בית Appscout לראש הצוות האדום של Verizon Media יש טיפ אבטחה אחד פשוט

לראש הצוות האדום של Verizon Media יש טיפ אבטחה אחד פשוט

וִידֵאוֹ: Verizon Media CEO Guru Gowrappan | Full interview | Code Media 2019 (נוֹבֶמבֶּר 2024)

וִידֵאוֹ: Verizon Media CEO Guru Gowrappan | Full interview | Code Media 2019 (נוֹבֶמבֶּר 2024)
Anonim

בפרק זה של Fast Forward אני מברך את ג'וש שוורץ, ראש צוות האדום הפנימי של Verizon Media. פירוש הדבר שהוא מקדיש את ימיו לנסות לפרוץ למערכות היקרות והאמינות ביותר של המעסיק שלו, באופן אידיאלי לפני שמישהו שאינו בשכר עובד עושה את אותו הדבר.

ב- SXSW דיברנו על האופן בו מטריקס האיום השתנה לאורך זמן ומה חברות צריכות לעשות כדי להגן על עצמן. שוורץ הסביר גם כיצד צרכנים יכולים להגן על עצמם גם באופן מקוון. ספוילר: ב כרוך במנהלי סיסמאות.

דן קוסטה: אני חושב שלאנשים יש מושג מעורפל לגבי הקבוצות האדומות; הם ראו אותם בסרטים. האם זה כיף ומרגש כמו שהוא נראה בטלוויזיה?

ג'וש שוורץ: אני רק מאחל, נכון? מוטלת האחריות לפרוץ, להגיע למקומות. כמובן שזה די מרגש, אבל ברור שבסרטים אתה רואה הכל קורה באופן מיידי ובמציאות זה לא. זה דורש הרבה עבודה… זה לא רק להתרוצץ וגורם למעשי קונדס.

זה בעצם מנסה להשפיע על שינוי בארגון, לנסות לעזור ליידע את הארגון על 'מה הרעים באמת עושים?' התפקיד הזה של להיות בצוות האדום הפנימי הוא, למרות שהוא עדיין מרגש, אני עדיין צריך ללכת לפגישות, עדיין צריך להציב יעדים, דברים כאלה.

דן קוסטה: מי האנשים בצוות הזה? אני מתאר לעצמי שיש הרבה מתכנתים, אבל אני מתאר לעצמי שזה לא רק מוגבל לתכנתים.

ג'וש שוורץ: המגוון של מערך המיומנות בצוות הוא דבר שאם אין לנו, אין לנו את היכולת הזו. יש תפיסה שגויה לעתים קרובות מאוד בגלל מה שאתה רואה בסרטים, הוא כאילו, יש בחור האקר אחד והוא יכול לפתור כל בעיה טכנולוגית.

דן קוסטה: ויש את איש המכונית, מומחה הנשק.

ג'וש שוורץ: במציאות אני בונה צוות כך שכל אדם יהיה מומחה במשהו. הבחור הזה הוא הבחור שיודע לעשות חדירה גופנית ומישהו אחר מומחה בקריפטוגרפיה ומישהו אחר מומחה להנדסה חברתית. להיות כל אדם מומחה פירושו שנוכל להישען זה על זה ביעילות… לפתור כל סוג של סוג צוות.

דן קוסטה: אז איך נראה יום במשרד? איזה סוג של דברים אתה בודק?

ג'וש שוורץ: להיות האקר זה פשוט סוג של להיות מישהו שאוהב להפריד מערכות, נכון? זו הסיבה שאנחנו לא פליליים מטבעם רק על ידי היותנו האקר.

לכן, ביום במשרד קבענו יעדים על בסיס תוצאות, די כמו תרחישים גרועים ביותר שאנחנו רוצים לראות. מהם הצעדים עבורנו לעבור מכלום להשגת מטרה זו שבאמת גרועה לחברה? משם, אנו יכולים ליצור משהו שנקרא "שרשרת להרוג". יום במשרד הוא להבין איך לגרום לרשת הזו לקרות. ואז אנו חושבים על המקומות השונים שבהם יכולנו לשבור את השרשרת ההיא. משם אנו נפגשים עם בעלי העניין, מספרים להם כיצד היו התוקפים עושים זאת ומציעים שינוי אחד קטן שתוכלו לעשות כדי לתקן זאת.

דן קוסטה: מהם הווקטורים שאתה הכי מודאג מהם? אני יודע שאני עדיין מקבל דוא"ל מ- IT המורה לאנשים לא ללחוץ על קישורים המצורפים להודעות דוא"ל או קבצים מצורפים לדוא"ל. איפה אתה רואה את הפגיעויות שעדיין קיימות בחוץ?

ג'וש שוורץ: אם אתה לוחץ על קישורים ומוריד קבצים מצורפים, מריץ אותם במחשבך למרות ההתרעות הרבות, זו בעיה. אבל התפתחנו לעידן חדש בו כעת מדובר בגישה למידע שקיים בענן ובמקומות שונים. אם אתה מאשר גישה למישהו אחר, גם זו בעיה.

זה בסופו של דבר בעייתי יותר ממשהו שרץ במחשב שלך, מכיוון שכבר יש הרבה הגנות סביב זה. עכשיו יש לנו מידע שצף שם בכל מקום ויש לך סוכנות לשלוט בזה. יש לך סוכנות להעניק לדברים אחרים גישה אליו, זה סוג של איך שהאינטרנט עובד עכשיו. התוקפים, כוללנו, עברו לעבר דברים כאלה עוד קצת.

דן קוסטה: זה די יוצא דופן אפילו אם מסתכלים על כונן Google שלי וכמה קבצים יש לי גישה אליו אני באמת לא אמור. אני מתאר לעצמי שזה הרבה יותר גרוע בחברות שאינן מתוחכמות טכנולוגית כמו זיף דיוויס ו- PCMag. לא מדובר רק בקבצים עם תוכנות זדוניות, אלא יכולים להיות מסמכים ארגוניים או מסמכים פיננסיים שאתה פשוט לא רוצה שלמתחרות שלך יהיו משתמשים או קצה או עבריינים.

ג'וש שוורץ: ביטחון, באופן כללי, זו המערכת ההוליסטית הזו. זה לא קשור 'האם יש באג במערכת שאני הולך לזרוק עליו קצת ניצול וזה הולך להתפוצץ' או משהו כזה. זה כבר לא עובד ככה. זה מערכות קשורות זו בזו, אנשים, תהליכים עסקיים, הטכנולוגיה התומכת בהם, איך אנחנו מרגישים בנושא, מדיניות - הכל ביחד… זה ביטחון.

וביטחון, לעתים קרובות, הוא פשוט סוג של איך אתה מרגיש לגבי זה. איך אתה מרגיש לגבי הנתונים והמידע? אילו צעדים אתה יכול לנקוט כדי להגן עליו? אם אתה מרגיש חזק בזה והמאמצים שאתה עושה פחות ממאמץ הכוחות סביבך שמנסים להשיג את זה, אתה לא בטוח. אבל אם אתה מרגיש שאתה עושה מספיק מאמץ ושום דבר רע לא קורה, אתה מרגיש בטוח. אך אין מתג הפעלה / כיבוי לאבטחה.

דן קוסטה: בואו נדבר קצת על טיב האיומים האלה. נראה לי שיש כמה דליים שאנשים דואגים להם. פריצה הייתה בעבר דבר שובב שאנשים עשו כדי לקבל גישה למחשב שלך או לקרוס את המחשב שלך. ואז פושעים הבינו כיצד להרוויח כסף באמצעות טכניקות שונות אלה. אבל יש גם שחקנים ממלכתיים ואפילו חברות פרטיות שיש להם כמויות אדירות של נתונים על אנשים. איפה אתה חושב שהאיומים הבלתי נראים הגדולים ביותר נמצאים במרחב האבטחה?

ג'וש שוורץ: להבין איפה האיום הגדול ביותר הוא בסופו של דבר להבין מי אתה. האיום הגדול ביותר עבורך כנראה אינו האיום הגדול ביותר עליי, וזה לא האיום הגדול ביותר על איזו חברה איפשהו. זה די הכל על דוגמנות איומים, נכון? אתה לא פשוט בוחר איום הכי גדול ומצביע עליהם. אתה חושב, "מה יש לי? מי עשוי לרצות את זה? מה עלי לעשות בקשר לזה?" ונסה לנקוט בפעולות כדי להקל על הדברים שאתה לא רוצה שיקרה.

רק לנסות להצביע על האומה הזו זה האיום הגדול ביותר או שהחברה הזו היא האיום הגדול ביותר זה משהו שמכניס אותנו למלכודת קטנה בה אנחנו מתחילים לבנות מודל איום שכולו עניין. ובעוד שאנחנו כל כך ממוקדים בדבר הקטן הזה, העולם סביבנו משתנה ואז אנחנו מסתובבים איפשהו לאורך הקו.

דן קוסטה: חברות רבות עברו הפרות נתונים מאסיביות ורובן נובעות מאבטחת רפה או סתם הרגלים רעים. אקוויפקס שיכרה מיליוני אמריקאים, אבל באמת לא היו השלכות. הם ישלמו קנס, אבל כל המנהלים שלהם קיבלו בונוסים. האם אתה חושב שצריך להיות שינוי כלשהו מבחינת האחריות?

ג'וש שוורץ: טוב, אני בחור שמתפרץ למחשבים, לא מקבלי מדיניות ציבורית, אז אני לא ממש יודע. אולי זה ישנה דברים. סביר להניח שיהיו שינויים, אבל ברמה הבסיסית שלה, המחשבה ששינוי איפשהו משנה את הכל ושאין עוד בעיות, אני חושב שזה קצת קצר רואי.

זה קשור לאופן שבו הכל עובד יחד. ככה אכפת לנו מהציבור, וככה אכפת לעסקים ממנו. זה חתיכה אחת שלו, אבל זה לא כל הפיתרון, כמובן. ואני חושב שאחד הדברים הגדולים שאנו זקוקים לכך שעוסקים בטכנולוגיה או צרכני טכנולוגיה צריכים לחשוב עליהם הוא שהביטחון אינו משרה של מישהו במגדל שנהב להעיף את המתג הנכון ולהפוך הכל למושלם. השינויים הקטנים יותר בהתנהגויות שנוכל לנקוט כדי להפוך את הכל למעט יותר בטוח… לכולם.

דן קוסטה: איך נראים הרגלי הביטחון האישיים שלך? האם אתה משתמש ב- VPN? האם אתה משתמש בזיהוי תוכנות זדוניות מסחריות מחוץ למדף?

ג'וש שוורץ: זה חוזר למודל האיום, נכון? תלוי מה אני עושה בזמנו. VPN מגן עליך מפני כמה דברים, אבל חיבור ל- VPN לא מגן עליך מפני וירוסים. החיבור ל- VPN למעשה משתנה היכן שאתה נמצא בעולם ולעיתים זה יכול להיות שימושי אם אתה זקוק לו.

זה מכניס את התנועה שלך למנהרה קטנה והמנהרה הזו לוקחת אותך למקום אחר והתנועה יוצאת במקום אחר. VPN שימושי אם היכן שאתה נמצא קצת לא בטוח או שאתה לא רוצה שמישהו יידע היכן אתה נמצא. הרעיון שאני מחובר ל- VPN ועכשיו אני בטוח באינטרנט, לא כל כך נכון.

מבחינתי באופן אישי, אני חושב שהדבר הגדול ביותר הוא מנהלי סיסמאות. הם קצת דבר חדש, אבל אם יותר אנשים, הם היו במקום הרבה יותר טוב. היו כל הפרצות האלה, נכון? אתה די מכיר אותם. לכן, כיריב פוגעני, אלה אינם פרטיים. כל מה שדלף נמצא שם באינטרנט. נוכל לאצור רשימה גדולה של הכל ולחפש סיסמאות ולראות באילו סיסמאות השתמשת בעבר.

ואז, אם אני מנסה להשיג גישה למשהו שיש לך, אם אוכל למצוא את הסיסמה שהשתמשת בה בעבר, אני יודע עליך קצת ואני יכול לקחת את המידע הזה ולנסות לעשות בו שימוש חוזר או לנסות לנחש מה הסיסמה הבאה עשויה להיות. השימוש במנהל סיסמאות והפיכת כל סיסמא לסופר ייחודית לכל אתר שאתה מבקר בו הוא למעשה משהו שהוא טוב ומוריד עומס מהמוח האנושי. אתה באמת צריך רק להגן עליו במקום אחד, מה שהופך את האבטחה להרבה יותר פשוטה.

דן קוסטה: אנחנו מעריצים גדולים של מנהלי סיסמאות ב- PCMag, אני משתמש ב- LastPass כמעט 10 שנים. ברגע שאתה מתגבר על הקפיצה הזו של אי-היכרות עם הסיסמאות שלך, זו הקלה כזו. זה גם מזכיר לי שאנחנו די שכחנו מהפרת יאהו, שהדלפה הרבה שמות משתמש וסיסמאות. זה היה לפני שנים ואף אחד כבר לא ממש דאג ליאהו, אבל הערך של הגרזן ההוא והערך לפושעי הסייבר הוא שהרבה אנשים עדיין משתמשים בסיסמאות בהן השתמשו ב- Yahoo לפני 10 שנים. ואתה יכול לחפש מה כל הסיסמאות האלה זה מה שאתה אומר.

ג'וש שוורץ: זה מסתכם בהתנהגות אנושית. זה מסתמך על העובדה שיש לך הרגלים כאדם וכמתקיף. זה לעתים קרובות מה שאני מחפש לנצל. זו לא הטכנולוגיה. הטכנולוגיה תמשיך להשתפר ותמשיך להגדיל את האבטחה ולהיות בטוחה יותר, מכיוון שיש לנו צורך זה בכך שמניע את העסק קדימה.

אבל התנהגות אנושית היא משהו שהוא סוג האחריות שלנו לשנות. ואם אנחנו לא משנים את ההרגלים שלנו וגורמים לעצמנו להיות בטוחים יותר, אין טכנולוגיה שיכולה להגן עלינו מפני כל דבר.

דן קוסטה: האם ישנם הרגלים אחרים מלבד מנהל סיסמאות שאתה חושב שצרכנים צריכים לאמץ, במיוחד כשאנחנו עוברים לגיל האינטרנט של הדברים והכל כל כך הרבה יותר מחובר?

ג'וש שוורץ: אם אתה חושב על זה, זה כבר לא רק המחשב שלך. זה מכשירים בכל מקום והרגלים מסוימים. אולי אתה חושב שהטלפון שלך לא כל כך חשוב, אבל הסיסמה ששמת בטלפון בעצם היא הסיסמה שלך שם. לטלפון יש גישה להרבה מאותם דברים אליהם המחשב עשוי לגשת. חושבים על כל מה שאתם נוגעים בו, הקיים אינטראקציה עם כל הנתונים שתרצו להגן עליהם וודאו כי תתייחסו אליו באותה רגישות כמו למחשב הנייד, לשולחן העבודה או למחשב בעבודה.

דן קוסטה: היו לי כמה אנשים ב- RSA בשבוע שעבר והם ראיינו גורם ב- NSA, שאמר 'בלי קשר להצפנת הטלפון, הם יכולים לגשת לטלפונים, כי רוב האנשים עדיין לא נועלים את הטלפונים שלהם.' יש הרבה אנשים שלא נועלים כלל את הטלפונים שלהם והם לא צריכים שום הצפנה כדי לפצח את זה. זו פשוט התנהגות משתמש טהורה.

ג'וש שוורץ: או שכל האפסים או הסיסמאות של הסיסמא או משהו כזה. תמיד יש רעיון זה שככל שהטכנולוגיות מתקדמות וככל שהסיסמה שלך תהפוך להיות יותר דברים כמו טביעת האצבע שלך או הפנים שלך או משהו כזה, תמיד תהיה איזושהי התקפה ואיזשהו דרך. אני רק צריך למצוא אותך ולהפנות את הטלפון שלך אל הפנים שלך או שאני צריך לכרות את האצבע ולהניח את זה בטלפון שלך.

דן קוסטה: נראה גם בסרטים רבים.

ג'וש שוורץ: כן, אבל אנחנו לא עושים את זה בימים אלה, וזה טוב.

דן קוסטה: נגמר לך חברי הצוות ממש מהר ככה.

ג'וש שוורץ: ואצבעות, מקשה על ההקלדה.

דן קוסטה: הם יכולים לעבוד על 10 פרויקטים ואז, זה הסוף של זה. אז תגיד לי מבחינת מה שאתה עושה, מה האיזון בין ההנדסה החברתית לפריצה הטכנית? והאם התמהיל הזה משתנה לאורך זמן?

ג'וש שוורץ: הנדסה חברתית תמיד הייתה הלחם והחמאה שלי. זה הדרך של הכי פחות התנגדות לעיתים קרובות מאוד. הייתי אומר שזה תמהיל. חלק גדול מהנושא הזה מנסה להבין מה באמת קיים שם, אבל זה מעניין. ההיבט ההנדסי החברתי, זה לא רק בעולם הפוגע. אם אתה חושב על איך קיים צוות אדום פנימי בתוך חברה… אנו מבצעים חלק מההאקינג הטכני ומשתמשים בהנדסה חברתית, פיזית וכל מה שמשולב כדי לנסות ולבצע את שרשרת ההרג ההיא, מבצעים את המשימה.

אבל אחר כך, אם אתה חושב על מה שהביטחון מנסה לעשות, אנו מנסים להנדס את החברתי שכולם בקנה מידה יהיו בעלי הרגלים טובים יותר לטובת הכלל. הרבה פעמים, זה סיפור הסיפור של מה שעשינו וחינוך האנשים בתוך… החברה 'הנה איך זה עובד, הנה מה שאתה יכול לעשות כדי להיות טובים יותר'. זה הנדסה חברתית. אז באמת, החלק הגדול בתפקיד הוא הנדסה חברתית, כי זה לגרום לאנשים לדאוג לביטחון בדרכים הנכונות, לבצע את הבחירות הנכונות, בתקווה לדאוג לדברים הנכונים.

דן קוסטה: אני מתאר לעצמי שכשאנשים מקבלים ממך מיילים שהם לא רוצים להגיב. אם אתה מבקש משהו, אני לא מדמיין שהתשובה הראשונה היא לא.

ג'וש שוורץ: הצוותים האדומים עברו מעט מטמורפוזה בעשור האחרון. אתה מתחיל במקום הזה שבו אתה מאוד יריב, פוגע במיוחד, מנסה להכות את התוף וליידע לכולם שהביטחון הוא חשוב ובאותם ימים אנשים רואים אותך כיריב, כי טוב, זו העבודה שלך.

עברתי חוויות באופן אישי איפה שאני נכנס למעלית ואנשים הם כמו, "אה, אני לא רוצה ללכת לקומה שלי, כי צוות האדום נמצא כאן, " ואני כאילו, "אני לא הרעה האמיתית בחור. " זה השתנה לאורך זמן, כי בסופו של דבר, כולנו עובדים למען אותה מטרה: להגן על מידע, להגן על הצרכנים שלנו. אז כשאנו עובדים יחד וכשאנו חולקים מידע על מה שעשינו כיריבים, סוג זה של נתיכים והם רואים בנו בעל ברית וחבר, אבל לוקח קצת זמן להגיע לשם. אבל אני רואה מגמה בכיוון הנכון, אז זה טוב.

דן קוסטה: נהדר. אני הולך לשאול אותך כמה שאלות שאני שואל את כל מי שמגיע לתוכנית. האם יש מגמה טכנולוגית שמעסיקה אותך, משהו שמקיים אותך בלילה?

ג'וש שוורץ: זה ממשיך להחזיק אותי בלילה? אולי השכיחות והנוחות שאנו מקבלים עם כל הטכנולוגיה סביבנו. לא כל כך… למעשה, התשובה האמיתית היא ששום דבר לא ממשיך אותי בלילה.

דן קוסטה: אתה ישן טוב.

ג'וש שוורץ: אני רואה את הדברים הגרועים ביותר וזה מסתכם בקבלה איפה שאני אוהב, 'אוקיי, אני יודע איך העולם, אני יודע מה אפשרי ואני הולך להיות בסדר עם זה.' אני יודע שהטכנולוגיה תוחדר לחיי בכל מקום ואני הולך לעשות את הבחירה להיות בסדר עם זה, אבל אני הולך לפעול באופן שאני מבין את זה ואני ישן כמו תינוק.

  • מנהלי הסיסמאות החינמיים הטובים ביותר לשנת 2019 מנהלי הסיסמאות החינמיים הטובים ביותר לשנת 2019
  • כיצד לגלות אם הסיסמה שלך נגנבה כיצד לברר אם הסיסמה שלך נגנבה
  • פייסבוק מאוחסנת עד 600M סיסמאות משתמש בטקסט רגיל. פייסבוק מאוחסנת עד 600M סיסמאות משתמש בטקסט רגיל

דן קוסטה: בסדר, האם יש טכנולוגיה בה אתה משתמש כל יום או כלי או שירות שמעורר תהייה?

ג'וש שוורץ: ובכן, זה לא הטלפון הנייד שלי, אבל בכנות יש הרבה דברים שעומדים לבוא עליהם ואני תוהה עליהם ובעיקר אני מרגיש חסר סבלנות. הלוואי שהם יגיעו לכאן מהר יותר. אני נרגש מהעתיד של AI, העתיד של למידת מכונות ודברים אשר בתקווה יעניקו לנו עולם מחובר יותר. בעיקר אני רק מחכה לזה. אבל שום דבר לא מפתיע אותי יותר מדי, אני חושב.

דן קוסטה: אז איך אנשים יכולים לעקוב אחרי מה שאתה עושה, מה אתה רשאי לספר לאנשים באופן פומבי, איך הם יכולים למצוא אותך ברשת?

ג'וש שוורץ: אני עובר ליד המטוס FuzzyNop, כדי שאנשים יוכלו למצוא אותי שם בכל מקום.

לראש הצוות האדום של Verizon Media יש טיפ אבטחה אחד פשוט