Video: Verizon Media CEO Guru Gowrappan | Full interview | Code Media 2019 (Octombrie 2024)
În acest episod din Fast Forward, îl salut pe Josh Schwartz, șeful echipei Roșii interne a Verizon Media. Asta înseamnă că își petrece zilele încercând să se insereze în cele mai valoroase și de încredere sisteme ale angajatorului său, în mod ideal înainte ca cineva care nu se află în salar să facă același lucru.
Dan Costa: Cred că oamenii au o idee vagă despre ce sunt echipele roșii; i-au văzut în filme. Este la fel de distractiv și interesant cum arată la televizor?
Josh Schwartz: Doresc doar, nu? Are responsabilitatea de a intra, de a ajunge în locuri. Desigur, este destul de interesant, dar, evident, în filme vezi că totul se întâmplă instantaneu și, în realitate, nu. Este nevoie de multă muncă… nu înseamnă că alergați la cauza provocărilor.
Încerca de fapt să afecteze schimbarea în cadrul unei organizații, încercând să ajute la informarea organizației despre „Ce fac cu adevărat băieții răi?” Acest rol de a fi în echipa roșie internă este, în timp ce este încă interesant, trebuie să mă duc la întâlniri, tot trebuie să îmi stabilesc obiective, lucruri de genul acesta.
Dan Costa: Cine sunt indivizii din această echipă? Îmi imaginez că există o mulțime de programatori, dar îmi imaginez că nu se limitează doar la programatori.
Josh Schwartz: Diversitatea competenței în echipă este ceva care, dacă nu avem, nu avem această capacitate. Există o concepție greșită foarte frecvent din cauza a ceea ce vedeți în filme, este ca, există un tip de hacker și poate rezolva orice problemă tehnologică.
Dan Costa: Și acolo este tipul mașinii, specialistul în arme.
Josh Schwartz: În realitate, construiesc o echipă astfel încât fiecare persoană să fie expertă în ceva. Acest tip este tipul care știe să facă intruziune fizică și altcineva este expert în criptografie și altcineva este expert în inginerie socială. Faptul că fiecare persoană este un expert înseamnă că ne putem apleca unul pe celălalt pentru a rezolva eficient orice tip de echipă.
Dan Costa: Deci, cum arată o zi la birou? Ce tipuri de lucruri testezi?
Josh Schwartz: A fi hacker este doar un fel de a fi cineva căruia îi place să ia sistemele în parte, nu? Acesta este motivul pentru care nu suntem inerent criminali doar prin faptul că suntem un hacker.
Așadar, într-o zi la birou, ne-am stabilit obiective bazate pe rezultate, cum ar fi scenariile cele mai grave cazuri pe care vrem să le vedem. Care sunt pașii pentru a trece de la nimic la atingerea acestui obiectiv care este cu adevărat rău pentru companie? De acolo, putem forma ceva numit „lanț de ucidere”. O zi la birou își dă seama cum să facă acest lanț. Apoi ne gândim la diferitele locuri în care am putea rupe acel lanț. De acolo, ne întâlnim cu părțile interesate, le spunem cum ar face atacatorii și oferim o mică schimbare pe care o puteți face pentru a ajuta la remedierea acestui lucru.
Dan Costa: Care sunt vectorii care vă preocupă cel mai mult? Știu că tot primesc e-mailuri de la IT, spunându-le oamenilor să nu facă clic pe linkurile atașate în e-mailuri sau atașamente de e-mail. Unde vezi vulnerabilitățile care sunt încă acolo?
Josh Schwartz: Dacă faceți clic pe link-uri și descărcați atașamente, le executați pe computer, în ciuda numeroaselor avertismente, aceasta este o problemă. Dar am evoluat într-o nouă eră în care acum este accesul la informații care există în cloud și în diferite locuri. Dacă autorizați accesul la altcineva, aceasta este și o problemă.
Acest lucru ajunge să fie mai problematic decât ceva care rulează pe computer, deoarece există deja multe protecții în jurul valorii de acest lucru. Acum avem informații care plutesc acolo peste tot și aveți o agenție care să o controleze. Aveți o agenție care să acorde acces la alte lucruri, este felul în care funcționează internetul acum. Atacatorii, inclusiv noi, s-au îndreptat către lucrurile asemănătoare cu ceva mai mult.
Dan Costa: Este destul de extraordinar, chiar dacă mă uit la propriul meu Google Drive și la câte fișiere am acces la asta nu ar trebui. Îmi imaginez că este mult mai rău în companii care nu sunt la fel de sofisticate din punct de vedere tehnologic precum Ziff Davis și PCMag. Nu este vorba doar de fișiere cu malware, dar ar putea fi documente corporative sau documente financiare pe care chiar nu doriți ca concurenții săi să aibă sau utilizatori finali sau criminali.
Josh Schwartz: Securitatea, în general, este acest sistem holistic. Nu este vorba despre „Există o eroare în sistemul în care o să arunc o exploatare la ea și o să explodeze” sau ceva de genul. Nu mai funcționează așa. Este vorba despre sisteme interconectate, oameni, procese de afaceri, tehnologia care le susține, modul în care ne simțim despre asta, politica - totul împreună… este securitate.
Și de multe ori securitatea este doar un fel de cum te simți în acest sens. Ce părere aveți despre date și informații? Ce pași puteți face pentru ao proteja? Dacă vă simțiți puternic și eforturile pe care le depuneți sunt mai mici decât eforturile forțelor din jurul vostru încercând să-l obțineți, atunci sunteți nesiguri. Dar dacă simți că faci eforturi mari și nu se întâmplă nimic rău, atunci te simți în siguranță. Dar nu există niciun comutator de pornire / oprire pentru securitate.
Dan Costa: Hai să vorbim puțin despre natura acelor amenințări. Mi se pare că există câteva găleți de care oamenii se îngrijorează. Hackingul a fost un lucru jucăuș pe care oamenii l-au făcut pentru a avea acces la computer sau a vă prăbuși computerul. Apoi criminalii și-au dat seama cum să câștige bani folosind aceste tehnici diferite. Există însă și actori de stat și chiar companii private care au cantități enorme de date despre oameni. Unde credeți că cele mai mari amenințări nevăzute sunt în spațiul de securitate?
Josh Schwartz: Să-ți dai seama unde este cea mai mare amenințare, sfârșește prin a-ți da seama cine ești. Cea mai mare amenințare pentru tine, probabil, nu este cea mai mare amenințare pentru mine, care nu este cea mai mare amenințare pentru o anumită companie undeva. Este tot ce ține de modelarea amenințărilor, nu? Nu alegeți doar cea mai mare amenințare și indicați-le. Vă gândiți: "Ce am eu? Cine ar putea să-l doresc? Ce ar trebui să fac în acest sens?" Și încercați să întreprindeți acțiuni pentru atenuarea lucrurilor care nu doriți să se întâmple.
Doar încercarea de a indica această națiune este cea mai mare amenințare sau această companie este cea mai mare amenințare este ceva care ne ajunge într-o capcană unde începem să construim un model de amenințare. Și în timp ce suntem atât de concentrați pe acest lucru mic, lumea din jurul nostru se schimbă și atunci, ajungem orbiți undeva în linie.
Dan Costa: Multe companii au înregistrat încălcări masive de date, iar majoritatea sunt datorate securității laxe sau doar obiceiurilor proaste. Equifax a distrus milioane de americani, dar nu au existat consecințe. Vor plăti o amendă, dar toți directorii lor au primit bonusuri. Credeți că trebuie să existe un fel de schimbare în ceea ce privește responsabilitatea?
Josh Schwartz: Ei bine, sunt un tip care se ocupă de calculatoare, nu de producător de politici publice, așa că nu știu. Poate că asta ar schimba lucrurile. Probabil, ar exista schimbări, dar la nivelul său fundamental, gândindu-mă că o schimbare undeva schimbă totul și că nu mai există probleme, cred că este puțin vizibilă.
Este vorba despre cum totul funcționează împreună. Este modul în care ne pasă de public, este modul în care întreprinderile le pasă. Este o singură bucată, dar nu este întreaga soluție, desigur. Și cred că unul dintre lucrurile mari de care avem nevoie ca practicieni tehnologici sau consumatori de tehnologie trebuie să se gândească la faptul că securitatea nu este treaba cuiva într-un turn de fildeș pentru a întoarce comutatorul drept și a face totul perfect. Modificările mai mici ale comportamentelor pe care le putem lua pentru a ajuta totul să fie ceva mai sigur… pentru toată lumea.
Dan Costa: Cum sunt obiceiurile tale personale de securitate? Folosești un VPN? Utilizați detectarea de malware comercială de pe raft?
Josh Schwartz: Revin la modelul amenințării, nu? Depinde ceea ce fac la momentul respectiv. Un VPN vă protejează de unele lucruri, dar conectarea la un VPN nu vă protejează de viruși. Conectarea la un VPN se schimbă în esență acolo unde ești în lume și uneori, asta poate fi util dacă ai nevoie.
Îți plasează traficul într-un tunel mic, iar tunelul te duce în altă parte, iar traficul iese în alt loc. Un VPN este util dacă locul unde ești este puțin sigur sau nu vrei ca cineva să știe unde te afli. Ideea că sunt conectat la un VPN și acum sunt în siguranță pe internet, nu este atât de adevărată.
Pentru mine personal, cred că cel mai mare lucru sunt administratorii de parole. Sunt un lucru nou, dar dacă ar fi mai mulți oameni, ar fi într-un loc mult mai bun. Au fost toate aceste încălcări, nu? Ești destul de familiar cu ei. Deci, ca adversar ofensiv, aceștia nu sunt privați. Tot ce s-a scurs este pe internet. Putem să curatăm o listă mare de lucruri și să căutăm parole și să vedem ce parole ai folosit înainte.
Apoi, dacă încerc să obțin acces la ceva ce ai, dacă pot merge să găsesc parola pe care ai folosit-o înainte, știu puțin despre tine și pot lua informațiile respective și pot încerca să o reutilizez sau să încerc să ghicesc următoarea parolă ar putea fi. Utilizarea unui manager de parole și a face ca fiecare parolă să fie super unică pentru fiecare site pe care îl vizitați este de fapt ceva bun și necesită o încărcătură din creierul uman. Trebuie doar să o protejați într-un singur loc, ceea ce face securitatea mult mai simplă.
Dan Costa: Suntem mari fani ai managerilor de parole la PCMag, folosesc LastPass de aproape 10 ani. Odată ce treceți peste acel salt de a nu vă cunoaște de fapt parolele, este o astfel de ușurare. Îmi amintește și că am uitat de încălcarea Yahoo, care a scurs o mulțime de nume de utilizator și parole. Era cu ani în urmă și nimeni nu-i mai păsa de Yahoo, dar valoarea acelui hack și valoarea pentru criminalii cibernetici este că o mulțime de oameni încă mai folosesc acele parole pe care le-au folosit pe Yahoo acum 10 ani. Și puteți căuta care sunt toate acele parole este ceea ce spuneți.
Josh Schwartz: Se reduce la comportamentul uman. Se reduce la faptul că ai obiceiuri ca om și ca atacator. Adesea asta caut să exploatez. Nu este tehnologia. Tehnologia va continua să se îmbunătățească și va continua să crească securitatea și să devină mai sigură, deoarece avem această nevoie pentru ea care conduce afacerile înainte.
Însă comportamentul uman este ceva care este responsabilitatea noastră de a schimba. Și dacă nu ne schimbăm obiceiurile și ne facem să fim mai siguri, nu există tehnologie care să ne protejeze de orice.
Dan Costa: Există alte obiceiuri în afară de un manager de parole pe care credeți că vor trebui să le adopte consumatorii, mai ales că ne îndreptăm către Internet of Things în vârstă și totul este mult mai conectat?
Josh Schwartz: Dacă te gândești la asta, nu mai este doar computerul tău. Este dispozitive peste tot și anumite obiceiuri. Poate crezi că telefonul tău nu este atât de important, dar parola pe care ai pus-o în esență este parola ta acolo. Telefonul are acces la multe din aceleași lucruri la care ar putea avea acces computerul tău. Gândiți-vă la tot ceea ce atingeți, care interacționează cu toate datele pe care doriți să le protejați și asigurați-vă că le tratați la fel de sensibil ca laptopul sau desktopul sau computerul la locul de muncă.
Dan Costa: Am avut câțiva oameni la RSA săptămâna trecută și au intervievat un oficial NSA, care a spus: „Indiferent de criptarea telefonului, pot accesa telefoane, deoarece majoritatea oamenilor încă nu își blochează telefoanele.” Există o mulțime de oameni care nu-și blochează telefoanele deloc și nu au nevoie de nicio criptare pentru a sparge asta. Este doar un comportament pur al utilizatorului.
Josh Schwartz: Sau toate zero-urile parolei sau toate altele sau ceva de genul ăsta. Întotdeauna există această idee că, pe măsură ce tehnologiile avansează și pe măsură ce parola devine mai multe lucruri precum amprenta ta sau fața ta sau ceva de genul acesta, întotdeauna va exista un anumit atac și o anumită cale. Trebuie doar să te găsesc și să îți îndrepți telefonul spre față sau trebuie să-ți tai degetul și să-l pun pe telefon.
Dan Costa: Văzut și în multe filme.
Josh Schwartz: Da, dar nu facem asta în zilele noastre, ceea ce este bine.
Dan Costa: Ai fugit de membrii echipei într-adevăr rapid în acest fel.
Josh Schwartz: Și degetele, îngreunează tastarea.
Dan Costa: Pot lucra la 10 proiecte și atunci, acesta este sfârșitul. Deci, spuneți-mi în termeni de ceea ce faceți, care este echilibrul dintre inginerie socială și hackingul tehnic? Și acest amestec se schimbă în timp?
Josh Schwartz: Ingineria socială a fost întotdeauna pâinea și untul meu. Este calea celei mai puțin rezistente foarte des. Aș spune că este un mix. O mulțime de recunoștințe, încearcă să descopăr ce există cu adevărat acolo, dar este interesant. Aspectul ingineriei sociale, nu este doar în lumea ofensatoare. Dacă vă gândiți la modul în care există o echipă roșie internă în cadrul unei companii… facem o parte din hacking-ul tehnic și folosim inginerie socială, fizică și tot ce este combinat pentru a încerca să executăm acel lanț de omor, să îndeplinim misiunea.
Dar, după aceea, dacă vă gândiți la ce încearcă să facă securitatea, încercăm să inginerăm pe toți cei de la scară pentru a avea obiceiuri mai bune pentru binele mai mare. De multe ori, este povestirea a ceea ce am făcut și educarea oamenilor din… compania „iată cum funcționează, iată ce puteți face pentru a fi mai bun”. Asta e inginerie socială. Deci, într-adevăr, marea parte a locului de muncă este inginerie socială, pentru că îi determină pe oameni să le pese de securitate în modurile corecte, să facă alegerile corecte, să sperăm că lucrurile potrivite.
Dan Costa: Îmi imaginez că atunci când oamenii primesc e-mailuri de la tine că nu vor să răspundă. Dacă ceri ceva, nu îmi imaginez că primul răspuns este nu.
Josh Schwartz: Echipele Roșii au trecut printr-o metamorfoză în ultimul deceniu. Începi în acest loc în care ești extrem de adversar, extrem de ofensiv, încercând să bateți toba și să anunți toată lumea că securitatea este importantă și în acele zile, oamenii te văd ca un adversar, pentru că bine, asta e treaba ta.
Am avut experiențe personal în care intru în lift, iar oamenii sunt de genul: „O, nu vreau să merg la podeaua mea, pentru că echipa Roșie este aici” și îmi place, „nu sunt adevărat rău tip." Acest lucru s-a schimbat de-a lungul timpului, pentru că, într-adevăr, cu toții lucrăm la același obiectiv: protejăm informațiile, protejăm consumatorii. Așa cum lucrăm împreună și în timp ce împărtășim informații despre ceea ce am făcut ca adversari, acel fel de siguranțe și ne văd ca un aliat și un prieten, dar este nevoie de ceva timp pentru a ajunge acolo. Dar văd o tendință în direcția corectă, așa că este bine.
Dan Costa: Grozav. O să vă pun câteva întrebări pe care le pun tuturor celor care vin la emisiune. Există o tendință tehnologică care te preocupă, ceva care te menține noaptea?
Josh Schwartz: Asta mă ține noaptea? Poate ubicuitatea și confortul pe care îl obținem cu toată tehnologia din jurul nostru. Nu atât… de fapt, răspunsul adevărat este că nimic nu mă ține la noapte.
Dan Costa: Dormi bine.
Josh Schwartz: Văd cele mai grave lucruri și se reduce la acceptarea riscurilor acolo unde sunt: „Bine, știu cum este lumea, știu ce este posibil și o să fiu bine cu asta”. Știu că tehnologia va fi infuzată în viața mea peste tot și voi face alegerea să fie în regulă cu ea, dar voi opera într-un mod în care am înțeles asta și voi dormi ca un copil.
- Cei mai buni manageri de parole gratuite pentru 2019 Cei mai buni manageri de parole gratuite pentru 2019
- Cum să aflați dacă ați fost furată parola dvs. Cum să aflați dacă ați fost furată parola dvs.
- Facebook Stocate până la 600M Parolele utilizatorului în text simplu Facebook Stocate până la 600M Parole utilizator în text simplu
Dan Costa: Bine, există o tehnologie pe care o utilizați în fiecare zi sau un instrument sau un serviciu care inspiră mirare?
Josh Schwartz: Ei bine, nu este telefonul meu mobil, dar, sincer, sunt multe lucruri care apar și vin de care mă întreb și mă simt mai ales nerăbdător. Mi-aș dori să ajungă mai repede aici. Sunt entuziasmat de viitorul AI, de viitorul învățării automate și de lucruri care, cu speranță, ne vor oferi o lume mai conectată. În mare parte, abia o aștept. Dar nimic nu mă surprinde prea mult, cred.
Dan Costa: Deci, cum pot oamenii să urmărească ceea ce faci, ce ai voie să le spui public oamenilor, cum te pot găsi online?
Josh Schwartz: Trec pe lângă monikerul FuzzyNop, pentru ca oamenii să mă găsească acolo oriunde.
