بيت Appscout رئيس فريق فيريزون وسائل الإعلام الحمراء لديه نصيحة أمنية بسيطة واحدة

رئيس فريق فيريزون وسائل الإعلام الحمراء لديه نصيحة أمنية بسيطة واحدة

فيديو: من زينو نهار اليوم ØµØ Ø¹ÙŠØ¯ÙƒÙ… انشر الفيديو Øتى يراه كل Ø§Ù„Ø (شهر نوفمبر 2024)

فيديو: من زينو نهار اليوم ØµØ Ø¹ÙŠØ¯ÙƒÙ… انشر الفيديو Øتى يراه كل Ø§Ù„Ø (شهر نوفمبر 2024)
Anonim

في هذه الحلقة من Fast Forward ، أرحب بجوش شوارتز ، رئيس الفريق الأحمر الداخلي لشركة Verizon Media. هذا يعني أنه يقضي أيامه في محاولة اختراق أنظمة صاحب العمل الأكثر قيمة وثقة ، من الناحية المثالية قبل أن يقوم شخص ليس على جدول الرواتب بنفس الشيء.

في SXSW ، تحدثنا عن كيفية تغير مصفوفة التهديد بمرور الوقت وما الذي يجب على الشركات فعله لحماية نفسها. كما أوضح شوارتز كيف يمكن للمستهلكين حماية أنفسهم عبر الإنترنت أيضًا. المفسد: في ينطوي على مديري كلمة المرور.

دان كوستا: أعتقد أن لدى الناس فكرة غامضة عن ماهية الفرق الحمراء ؛ لقد رأوهم في الأفلام. هل هي ممتعة ومثيرة كما تبدو على التلفزيون؟

جوش شوارتز: أتمنى فقط ، أليس كذلك؟ انها تتحمل مسؤولية اقتحام ، والوصول إلى الأماكن. بالطبع إنه مثير للغاية ، لكن من الواضح أنه في الأفلام ترى كل شيء يحدث على الفور وفي الواقع لا يحدث ذلك. يتطلب الأمر الكثير من العمل… إنه لا يعمل فقط على التسبب في المزح.

تحاول فعلاً التأثير على التغيير داخل المنظمة ، وتحاول المساعدة في إعلام المنظمة حول "ماذا يفعل الأشرار حقًا؟" إن دور التواجد في الفريق الأحمر الداخلي هو ، رغم أنه لا يزال مثيرًا ، لا يزال يتعين علي الذهاب إلى الاجتماعات ، ولا يزال يتعين علي تحديد الأهداف ، وأشياء من هذا القبيل.

دان كوستا: من هم الأفراد في هذا الفريق؟ أتصور أن هناك الكثير من المبرمجين ، لكني أتخيل أنه لا يقتصر على المبرمجين فقط.

جوش شوارتز: تنوع مجموعة المهارات في الفريق هو شيء إذا لم يكن لدينا ، فلن نملك هذه القدرة. هناك اعتقاد خاطئ في كثير من الأحيان بسبب ما تراه في الأفلام ، مثل ، هناك رجل قرصان واحد ويمكنه حل أي مشكلة تقنية.

دان كوستا: وهناك رجل السيارة ، أخصائي الأسلحة.

جوش شوارتز: في الواقع ، أقوم بإنشاء فريق حتى يكون كل شخص خبيرًا في شيء ما. هذا الرجل هو الرجل الذي يعرف كيفية القيام بالتسلل الجسدي وشخص آخر هو خبير في التشفير ، وشخص آخر هو خبير في الهندسة الاجتماعية. يعني أن يكون كل شخص خبيراً يعني أنه يمكننا الاعتماد على بعضنا البعض… من أجل حل أي مشكلة في الفريق.

دان كوستا: إذن ، كيف يبدو يوم العمل في المكتب؟ ما أنواع الأشياء التي تختبرها؟

جوش شوارتز: كونك متسللًا هو مجرد شخص يحب تفكيك الأنظمة ، أليس كذلك؟ هذا هو السبب في أننا لسنا مجرمين بطبيعتها فقط من خلال كونك متسللًا.

لذلك ، في يوم في المكتب ، وضعنا أهدافًا بناءً على النتائج ، مثل سيناريوهات أسوأ الحالات التي نريد رؤيتها. ما هي الخطوات بالنسبة لنا للانتقال من لا شيء إلى تحقيق هذا الهدف وهو أمر سيء حقًا للشركة؟ من هناك ، يمكننا تشكيل شيء يسمى "سلسلة القتل". يكتشف يوم في المكتب كيفية تحقيق هذه السلسلة. ثم نفكر في الأماكن المختلفة التي يمكننا فيها كسر هذه السلسلة. من هناك ، نلتقي مع أصحاب المصلحة ، ونخبرهم كيف سيفعل المهاجمون ذلك ، ونقدم تغييرًا بسيطًا يمكنك إجراؤه للمساعدة في إصلاح ذلك.

دان كوستا: ما هي المتجهات التي تهتم بها أكثر؟ أعلم أنني ما زلت أتلقى رسائل إلكترونية من قسم تكنولوجيا المعلومات تخبر الأشخاص بعدم النقر على الروابط المرفقة في رسائل البريد الإلكتروني أو مرفقات البريد الإلكتروني. أين ترى نقاط الضعف التي لا تزال موجودة؟

جوش شوارتز: إذا نقرت على روابط وقمت بتنزيل المرفقات ، قم بتشغيلها على جهاز الكمبيوتر الخاص بك على الرغم من العديد من التحذيرات ، فهذه مشكلة. لكننا تطورنا إلى عصر جديد حيث أصبح بإمكانك الآن الوصول إلى المعلومات الموجودة في السحابة والأماكن المختلفة. إذا كنت تسمح بالوصول إلى شخص آخر ، فهذه مشكلة أيضًا.

وينتهي الأمر بهذا الأمر إلى أن يكون أكثر إشكالية من شيء يعمل على جهاز الكمبيوتر الخاص بك ، لأن هناك الكثير من أشكال الحماية الموجودة بالفعل. الآن لدينا معلومات تطفو في كل مكان ولديك وكالة للسيطرة عليها. لديك وكالة لمنح أشياء أخرى الوصول إليها ، إنه نوع من كيفية عمل الإنترنت الآن. تحول المهاجمون ، بمن فيهم نحن ، نحو أشياء مثل هذا أكثر قليلاً.

دان كوستا: إنه أمر غير عادي حتى لو نظرت إلى Google Drive الخاص بي وعدد الملفات التي يمكنني الوصول إليها ولا ينبغي لي حقًا. أتصور أنها أسوأ بكثير في الشركات التي ليست متطورة تقنياً مثل Ziff Davis و PCMag. لا يقتصر الأمر على تشغيل ملفات ضارة ، بل قد يكون مستندات الشركات أو المستندات المالية التي لا تريد حقًا أن يكون لدى منافسيك مستخدمون أو مجرمون.

جوش شوارتز: الأمن ، بشكل عام ، إنه نظام كلي. الأمر لا يتعلق بـ "هل هناك خلل في النظام حيث سألقي بعض الاستغلال عليه وسيفجر" أو شيء من هذا القبيل. أنها لا تعمل من هذا القبيل بعد الآن. إنها أنظمة مترابطة ، والأفراد ، وعمليات الأعمال ، والتكنولوجيا التي تدعمهم ، وما نشعر به حيال ذلك ، والسياسة - كل شيء معًا… هو الأمن.

والأمن ، في كثير من الأحيان ، هو مجرد نوع من شعورك حيال ذلك. كيف تشعر حيال البيانات والمعلومات؟ ما هي الخطوات التي يمكنك اتخاذها لحمايتها؟ إذا كنت تشعر بقوة تجاه ذلك والجهود التي تبذلها هي أقل من الجهود التي تبذلها القوى من حولك التي تحاول الحصول عليها ، فأنت غير آمن. ولكن إذا كنت تشعر أنك تبذل جهدًا كافيًا ولا يحدث شيء سيء ، فأنت تشعر بالأمان. ولكن لا يوجد مفتاح تشغيل / إيقاف للأمن.

دان كوستا: دعنا نتحدث قليلاً عن طبيعة تلك التهديدات. يبدو لي أن هناك مجموعة من الدلاء التي يقلق الناس. اعتاد الاختراق أن يكون شيئًا مرحًا فعله الأشخاص للوصول إلى جهاز الكمبيوتر الخاص بك أو تعطل جهاز الكمبيوتر الخاص بك. ثم اكتشف المجرمون كيفية كسب المال باستخدام هذه التقنيات المختلفة. ولكن هناك أيضًا جهات فاعلة حكومية وحتى شركات خاصة لديها كميات هائلة من البيانات عن الأشخاص. أين تعتقد أن أكبر التهديدات غير المرئية موجودة في المجال الأمني؟

جوش شوارتز: معرفة ما إذا كان التهديد الأكبر ينتهي بكشف هويتك. ربما لا يكون أكبر تهديد لك أكبر تهديد لي ، وهو ليس أكبر تهديد لبعض الشركات في مكان ما. الأمر كله يتعلق بنمذجة التهديد ، أليس كذلك؟ أنت لا تختار فقط أكبر تهديد وتشير إليه. تعتقد ، "ما الذي لدي؟ من الذي قد يريده؟ ماذا يجب أن أفعل حيال ذلك؟" وحاول واتخاذ الإجراءات لتخفيف الأشياء التي لا تريد أن تحدث.

مجرد محاولة للإشارة إلى هذه الأمة هي أكبر تهديد أو هذه الشركة هي أكبر تهديد هو الشيء الذي يجعلنا في فخ قليلاً حيث نبدأ في بناء نموذج تهديد كل شيء. وبينما نركز اهتمامنا على هذا الشيء الصغير ، يتغير العالم من حولنا ومن ثم ، فإننا نقع في مكان ما أسفل الخط.

دان كوستا: تعرضت العديد من الشركات لانتهاكات هائلة للبيانات ومعظمها بسبب التراخي الأمني ​​أو العادات السيئة. لقد دمر Equifax الملايين من الأميركيين ، لكن لم تكن هناك أي عواقب. إنهم سيدفعون غرامات ، لكن جميع التنفيذيين حصلوا على مكافآت. هل تعتقد أنه يجب أن يكون هناك نوع من التغيير من حيث المساءلة؟

جوش شوارتز: حسنًا ، أنا رجل اقتحم أجهزة الكمبيوتر ، وليس صانع السياسة العامة ، لذلك أنا لا أعرف حقًا. ربما هذا من شأنه أن يغير الأشياء. على الأرجح ، ستكون هناك تغييرات ، ولكن على مستوىها الأساسي ، أعتقد أن التغيير في مكان ما يغير كل شيء وأنه لم يعد هناك أي مشاكل ، أعتقد أنه قصير النظر إلى حد ما.

إنه حول كيفية عمل كل شيء معًا. إنها الطريقة التي نهتم بها بها كجمهور ، وكيف تهتم بها الشركات. إنه جزء واحد منه ، لكنه ليس الحل الكامل ، بالطبع. وأعتقد أن أحد الأشياء الكبيرة التي نحتاجها حيث يحتاج ممارسو التكنولوجيا أو مستهلكو التكنولوجيا إلى التفكير فيها هو أن الأمن ليس وظيفة شخص ما في برج عاجي لقلب المفتاح الصحيح وجعل كل شيء مثاليًا. التغييرات الصغيرة في السلوكيات التي يمكننا اتخاذها للمساعدة في جعل كل شيء أكثر أمانًا… للجميع.

دان كوستا: ما هي عادات الأمن الشخصي الخاصة بك؟ هل تستخدم VPN؟ هل تستخدم الكشف عن البرامج الضارة التجارية الجاهزة؟

جوش شوارتز: يعود إلى نموذج التهديد ، أليس كذلك؟ هذا يعتمد على ما أقوم به في ذلك الوقت. VPN تحميك من بعض الأشياء ، لكن الاتصال بشبكة VPN لا يحميك من الفيروسات. يتغير الاتصال بشبكة VPN بشكل أساسي في أي مكان في العالم وفي بعض الأحيان ، قد يكون ذلك مفيدًا إذا كنت في حاجة إليه.

يضع حركة المرور الخاصة بك داخل نفق صغير ويأخذك هذا النفق إلى مكان آخر وتخرج حركة المرور في مكان آخر. تعد VPN مفيدة إذا كنت غير آمن إلى حد ما أو كنت لا تريد أن يعرف شخص ما مكانك. فكرة أنني متصل بشبكة VPN ، وأنا الآن آمن على الإنترنت ، وليس صحيحًا.

بالنسبة لي شخصياً ، أعتقد أن أكبر شيء هو مديري كلمات المرور. إنهم شيء جديد بعض الشيء ، لكن إذا زاد عدد الأشخاص ، فسيكونون في مكان أفضل بكثير. كان هناك كل هذه الخروقات ، أليس كذلك؟ أنت على دراية بها. لذلك ، كخصم هجومي ، هؤلاء ليسوا خاصين. كل ما تم تسريبه موجود على الإنترنت. يمكننا الإشراف على قائمة كبيرة بكل شيء والبحث عن كلمات المرور ومعرفة كلمات المرور التي استخدمتها من قبل.

ثم ، إذا كنت أحاول الوصول إلى شيء لديك ، إذا كان بإمكاني البحث عن كلمة المرور التي استخدمتها من قبل ، فأنا أعلم قليلاً عنك ويمكنني أخذ هذه المعلومات ومحاولة إعادة استخدامها أو محاولة تخمين ما لديك قد تكون كلمة المرور التالية. إن استخدام مدير كلمات المرور وجعل كل كلمة مرور فريدة من نوعها لكل موقع تقوم بزيارته هو في الواقع أمر جيد ويستغرق تحميله من الدماغ البشري. عليك حقًا حمايته في مكان واحد ، مما يجعل الأمن أكثر بساطة.

دان كوستا: نحن من كبار المعجبين بمديري كلمة المرور في PCMag ، لقد تم استخدام LastPass منذ ما يقرب من 10 سنوات. بمجرد أن تتخطى تلك القفزة المتمثلة في عدم معرفة كلمات المرور الخاصة بك فعليًا ، سيكون هذا أمرًا مريحًا. إنه يذكرني أيضًا بأننا ننسى نوعًا ما خرق ياهو ، الذي سرب الكثير من أسماء المستخدمين وكلمات المرور. كان ذلك منذ سنوات ولم يهتم أحد فعلًا بـ Yahoo ، ولكن قيمة هذا الاختراق وقيمة مجرمي الإنترنت هي أن الكثير من الناس ما زالوا يستخدمون كلمات المرور التي استخدموها على Yahoo قبل 10 سنوات. ويمكنك أن تبحث عن كل كلمات المرور هذه ما تقوله.

جوش شوارتز: يتعلق الأمر بسلوك الإنسان. يتعلق الأمر بحقيقة أن لديك عادات كإنسان وكمهاجم. هذا غالبًا ما أتطلع إلى استغلاله. انها ليست التكنولوجيا. ستستمر التقنية في التحسن وستستمر في زيادة مستوى الأمان وتصبح أكثر أمانًا ، لأننا نحتاج إلى أن تدفع هذه الأعمال إلى الأمام.

لكن السلوك البشري شيء من مسؤوليتنا تجاه التغيير. وإذا لم نغير عاداتنا ونجعل أنفسنا أكثر أمانًا ، فلا توجد تكنولوجيا يمكنها حمايتنا من أي شيء.

دان كوستا: هل هناك عادات أخرى بخلاف مدير كلمات المرور التي تعتقد أن المستهلكين سيحتاجون إلى تبنيها ، خاصة وأننا ننتقل إلى عصر إنترنت الأشياء وكل شيء مرتبط أكثر؟

جوش شوارتز: إذا كنت تفكر في ذلك ، فهو لم يعد جهاز الكمبيوتر الخاص بك. إنها أجهزة في كل مكان وعادات معينة. ربما تعتقد أن هاتفك ليس بهذه الأهمية ، لكن كلمة المرور التي تضعها على الهاتف هي كلمة المرور هناك. يمكن للهاتف الوصول إلى العديد من الأشياء نفسها التي قد يتمكن الكمبيوتر من الوصول إليها. فكر في كل شيء تلمسه ويتفاعل مع جميع البيانات التي ترغب في حمايتها والتأكد من أنك تتعامل معها بنفس الحساسية مثل الكمبيوتر المحمول أو سطح المكتب أو الكمبيوتر في العمل.

دان كوستا: كان لديّ شخصان في RSA الأسبوع الماضي وأجرى مقابلات مع أحد مسؤولي وكالة الأمن القومي ، وقال: "بغض النظر عن تشفير الهاتف ، يمكنهم الوصول إلى الهواتف ، لأن معظم الناس لا يزالون لا يقفلون هواتفهم". هناك الكثير من الأشخاص الذين لا يقومون بإغلاق هواتفهم على الإطلاق ولا يحتاجون إلى أي تشفير للقضاء على ذلك. هذا مجرد سلوك المستخدم النقي.

جوش شوارتز: أو كلمة المرور جميع الأصفار أو كل تلك أو شيء من هذا القبيل. هناك دائمًا هذه الفكرة بأنه مع تقدم التقنيات وكلما أصبحت كلمة مرورك أكثر أشياء مثل بصمتك أو وجهك أو شيء من هذا القبيل ، سيكون هناك دائمًا بعض الهجوم وبعض الشيء حوله. أنا فقط بحاجة إلى العثور عليك وتوجيه هاتفك إلى وجهك أو أحتاج إلى قطع إصبعك ووضعه على هاتفك.

دان كوستا: شوهد أيضا في العديد من الأفلام.

جوش شوارتز: نعم ، لكننا لا نفعل ذلك في هذه الأيام ، وهو أمر جيد.

دان كوستا: نفاد أعضاء الفريق بسرعة بهذه الطريقة.

جوش شوارتز: والأصابع ، يجعل من الصعب الكتابة.

دان كوستا: يمكنهم العمل في 10 مشاريع ، ثم هذه هي نهاية ذلك. أخبرني فيما يتعلق بما تفعله ، ما هو التوازن بين الهندسة الاجتماعية والاختراق التقني؟ وهل هذا المزيج يتغير مع مرور الوقت؟

جوش شوارتز: الهندسة الاجتماعية كانت دائمًا خبزي وزبدي. إنه الطريق الأقل مقاومة في كثير من الأحيان. أود أن أقول أنه مزيج. هناك الكثير من الأشياء التي تحاول إعادة اكتشاف ما هو موجود بالفعل ، لكنها مثيرة للاهتمام. الجانب الهندسة الاجتماعية ، فإنه ليس فقط في العالم الهجومية. إذا كنت تفكر في كيفية وجود فريق Red داخلي داخل الشركة… فنحن نقوم ببعض عمليات القرصنة التقنية ونستخدم الهندسة الاجتماعية والمادية وكل شيء مجتمعة لمحاولة تنفيذ سلسلة القتل هذه ، وإنجاز المهمة.

لكن بعد ذلك ، إذا فكرت في ما يحاول الأمن القيام به ، فنحن نحاول هندسة الجميع على نطاق واسع ليكون لديهم عادات أفضل من أجل الصالح الأكبر. في كثير من الأحيان ، هو سرد لقصة ما قمنا به وتثقيف الناس داخل… الشركة "إليك كيف تعمل ، وإليك ما يمكنك القيام به لتكون أفضل". هذه هي الهندسة الاجتماعية. في الحقيقة ، الجزء الأكبر من الوظيفة هو الهندسة الاجتماعية ، لأنها تجعل الناس يهتمون بالأمن بالطرق الصحيحة ، ويقومون بالاختيارات الصحيحة ، ونأمل أن يهتموا بالأشياء الصحيحة.

دان كوستا: أتصور أنه عندما يتلقى الأشخاص رسائل بريد إلكتروني منك لا يريدون الرد عليها. إذا طلبت شيئًا ما ، لا أتخيل أن الإجابة الأولى هي لا.

جوش شوارتز: مرت الفرق الحمراء قليلاً من التحول خلال العقد الماضي. عليك أن تبدأ في هذا المكان الذي تكون فيه عدائيًا للغاية ، وهجوميًا للغاية ، وتحاول التغلب على الطبلة وتُخبر الجميع أن الأمن مهم ، وفي تلك الأيام ، يراكم الناس كخصم ، لأنه حسنًا ، هذه وظيفتك.

لقد مررت بتجارب شخصية حيث وصلت إلى المصعد وكان الناس مثل ، "أوه ، لا أريد أن أذهب إلى طابقي ، لأن الفريق الأحمر هنا" ، وأنا معجب ، "أنا لست السيئ الحقيقي شاب." لقد تغير هذا بمرور الوقت ، لأننا في النهاية ، نعمل جميعًا على تحقيق نفس الهدف: حماية المعلومات ، وحماية عملائنا. لذا ، حيث نعمل معًا ونشارك المعلومات حول ما فعلناه كخصوم ، هذا النوع من الصمامات ويروننا كحليف وصديق ، لكن الأمر استغرق بعض الوقت للوصول إلى هناك. لكنني أرى اتجاهًا في الاتجاه الصحيح ، لذلك هذا جيد.

دان كوستا: عظيم. سوف أطرح عليك سؤالين أسألهما كل شخص يأتي في البرنامج. هل هناك اتجاه تكنولوجي يهمك ، شيء يبقيك مستيقظًا في الليل؟

جوش شوارتز: هذا يبقيني في الليل؟ ربما في كل مكان والراحة التي نحصل عليها مع كل التكنولوجيا من حولنا. ليس الكثير… في الواقع ، فإن الإجابة الحقيقية هي أن لا شيء يجعلني أستيقظ في الليل.

دان كوستا: أنت تنام جيدا.

جوش شوارتز: أرى أسوأ الأشياء ويتحمل قبول المخاطرة حيث أحببت ، "حسنًا ، أعرف ما هو شكل العالم ، أعرف ما هو ممكن ، وسأكون على ما يرام". أعلم أن التكنولوجيا سوف تُغرس في حياتي في كل مكان وسأقوم باختيار أن أكون على ما يرام معها ، لكنني سأعمل بطريقة أفهم ذلك وأنام كطفل.

  • أفضل مدراء كلمات المرور المجانية لعام 2019 أفضل مدراء كلمات المرور المجانية لعام 2019
  • كيفية اكتشاف ما إذا كانت كلمة المرور الخاصة بك قد سرقت
  • فيسبوك مخزنة ما يصل إلى 600M كلمات مرور المستخدم في نص عادي فيسبوك مخزنة ما يصل إلى 600M كلمات مرور المستخدم في نص عادي

دان كوستا: حسنًا ، هل هناك تقنية تستخدمها كل يوم أو أداة أو خدمة تلهمك؟

جوش شوارتز: حسنًا ، إنه ليس هاتفي الخلوي ، ولكن بصراحة ، هناك الكثير من الأشياء التي أتيحت لي ، وأنا أتساءل عنها وغالبًا ما أشعر بفارغ الصبر. أتمنى أن يحصلوا هنا بشكل أسرع. أنا متحمس لمستقبل الذكاء الاصطناعي ، ومستقبل التعلم الآلي والأشياء التي نأمل أن تمنحنا عالماً أكثر ارتباطاً. في الغالب ، أنا فقط في انتظار ذلك. لكن لا شيء يفاجئني كثيرًا ، كما أعتقد.

دان كوستا: إذن ، كيف يمكن للناس متابعة ما تقومون به ، وما يسمح لك بإخبار الناس علنًا ، كيف يمكنهم العثور عليك عبر الإنترنت؟

جوش شوارتز: أذهب إلى جانب FuzzyNop ، حتى يتمكن الناس من العثور علي هناك في أي مكان.

رئيس فريق فيريزون وسائل الإعلام الحمراء لديه نصيحة أمنية بسيطة واحدة