Video: Former Verizon CEO Provide Inside Look At Company In New Book (Oktober 2024)
På denne episoden av Fast Forward ønsker jeg Josh Schwartz, leder av Verizon Medias interne røde team, velkommen. Det betyr at han bruker dagene sine på å prøve å hacke seg inn i arbeidsgivers mest verdifulle og pålitelige systemer, ideelt sett før noen som ikke er på lønningslisten gjør det samme.
Dan Costa: Jeg tror folk har en vag ide om hva røde lag er; de har sett dem i filmer. Er det så morsomt og spennende som det ser ut på TV?
Josh Schwartz: Jeg ønsker bare, ikke sant? Det har ansvaret for å bryte seg inn, komme seg til steder. Selvfølgelig er det ganske spennende, men tydeligvis ser du i filmene at alt skjer øyeblikkelig og i virkeligheten ikke. Det krever mye arbeid… det er ikke bare å løpe rundt og forårsake pranks.
Det prøver å påvirke endring i en organisasjon, prøve å hjelpe informere organisasjonen om 'Hva gjør de skurkene virkelig?' Denne rollen å være på det interne røde laget er, selv om det fremdeles er spennende, jeg fremdeles må på møter, fortsatt må sette meg mål, sånt.
Dan Costa: Hvem er individene på dette laget? Jeg ser for meg at det er mange programmerere, men jeg ser for meg at det ikke bare er begrenset til programmerere.
Josh Schwartz: Mangfoldet i skillset på teamet er noe som hvis vi ikke har det, ikke har vi den evnen. Det er en misforståelse veldig ofte på grunn av hva du ser i filmene, er, det er en hacker fyr og han kan løse ethvert teknologisk problem.
Dan Costa: Og der er bilmannen, våpenspesialisten.
Josh Schwartz: I virkeligheten bygger jeg et team slik at hver person er en ekspert på noe. Denne fyren er fyren som vet hvordan man gjør fysisk inntrenging og noen andre er en ekspert på kryptografi og noen andre er en ekspert på sosialteknikk. Å ha hver person til å være en ekspert betyr at vi kan lene oss på hverandre for effektivt… å løse enhver problemtype team.
Dan Costa: Så, hvordan ser en dag på kontoret ut? Hvilke typer ting tester du?
Josh Schwartz: Å være en hacker er bare en slags å være noen som liker å ta systemer fra hverandre, ikke sant? Det er grunnen til at vi ikke iboende er kriminelle bare ved å være en hacker.
Så på en dag på kontoret setter vi mål basert på utfall, litt som worst-case scenarier som vi ønsker å se. Hva er trinnene for å gå fra ingenting til å nå dette målet som virkelig er dårlig for selskapet? Derfra kan vi danne noe som kalles en "drepekjede." En dag på kontoret er å finne ut hvordan de kjeden skal skje. Så tenker vi på de forskjellige stedene der vi kunne bryte den kjeden. Derfra møter vi interessenter, forteller dem hvordan angriperne ville gjort det, og tilbyr en liten endring du kan gjøre for å fikse det.
Dan Costa: Hva er vektorene du er mest opptatt av? Jeg vet at jeg fremdeles får e-poster fra IT som forteller folk om ikke å klikke på lenker som er knyttet til e-post eller vedlegg til e-post Hvor ser du sårbarhetene som fremdeles er der ute?
Josh Schwartz: Hvis du klikker på lenker og laster ned vedlegg, kjører dem på datamaskinen til tross for mange advarsler, er det et problem. Men vi har utviklet seg til en ny epoke der det nå er tilgang til informasjon som finnes i skyen og forskjellige steder. Hvis du autoriserer tilgang til noen andre, er det også et problem.
Det ender opp med å være mer problematisk enn noe som kjører på datamaskinen din, fordi det allerede er mye beskyttelse rundt det. Nå har vi informasjon som flyter der ute og du har byrå til å kontrollere den. Du har byrå for å gi andre ting tilgang til det, det er på en måte hvordan internett fungerer nå. Angripere, oss inkludert, har skiftet mot slike ting litt til.
Dan Costa: Det er ganske ekstraordinært å se på min egen Google Drive og hvor mange filer jeg har tilgang til som jeg egentlig ikke burde ha. Jeg ser for meg at det er mye verre i selskaper som ikke er så teknologisk sofistikerte som Ziff Davis og PCMag. Det er ikke bare filer som kjører skadelig programvare, men det kan være bedriftsdokumenter eller økonomiske dokumenter som du egentlig ikke vil at konkurrentene skal ha eller sluttbrukere eller kriminelle.
Josh Schwartz: Generelt sett er det dette helhetlige systemet. Det handler ikke om 'Er det en feil i systemet der jeg skal kaste litt utnyttelse på den og den kommer til å eksplodere' eller noe sånt. Det fungerer ikke sånn lenger. Det er sammenkoblede systemer, mennesker, forretningsprosesser, teknologien som støtter dem, hvordan vi føler om det, politikk - alt sammen… er sikkerhet.
Og sikkerhet er ofte bare hvordan du har det. Hvordan har du det med dataene og informasjonen? Hvilke grep kan du ta for å beskytte det? Hvis du føler deg sterkt om det og innsatsen du legger ned er mindre enn innsatsen fra styrkene rundt deg som prøver å få det, er du usikker. Men hvis du føler at du legger ned nok innsats og ingenting dårlig skjer, så føler du deg trygg. Men det er ingen av / på-bryter for sikkerhet.
Dan Costa: La oss snakke litt om naturen til disse truslene. Det virker som om det er et par bøtter folk bekymrer seg for. Hacking pleide å være en lekende ting som folk gjorde for å få tilgang til datamaskinen din eller krasje datamaskinen din. Da fant kriminelle ut hvordan de kunne tjene penger ved å bruke disse forskjellige teknikkene. Men det er også statlige aktører og til og med private selskaper som har enorme mengder data om mennesker. Hvor tror du de største usettede truslene er i sikkerhetsområdet?
Josh Schwartz: Å finne ut hvor den største trusselen er, ender opp med å finne ut hvem du er. Den største trusselen mot deg er sannsynligvis ikke den største trusselen for meg, noe som ikke er den største trusselen for noe selskap et sted. Det handler liksom alt om trusselmodellering, ikke sant? Du velger ikke bare en største trussel og peker på dem. Du tenker: "Hva er det jeg har? Hvem vil kanskje ha det? Hva skal jeg gjøre med det?" Og prøv å iverksette tiltak for å dempe de tingene du ikke vil skje.
Bare det å prøve å peke på denne nasjonen er den største trusselen, eller at dette selskapet er den største trusselen, er noe som får oss til å bli i en liten felle der vi begynner å bygge en trusselmodell om ting. Og mens vi er så fokusert på denne ene lille tingen, endres verden rundt oss, og så blir vi forblindet et sted nedover linjen.
Dan Costa: Mange selskaper har hatt enorme datainnbrudd, og de fleste av dem skyldes slapp sikkerhet eller bare dårlige vaner. Equifax doxed millioner av amerikanere, men det var virkelig ingen konsekvenser. De kommer til å betale en bot, men alle deres ledere fikk bonus. Tror du det må gjøres en slags endring med tanke på ansvarlighet?
Josh Schwartz: Vel, jeg er en fyr som bryter inn datamaskiner, ikke en offentlig beslutningstaker, så jeg vet ikke helt. Kanskje det vil endre ting. Det vil sannsynligvis være endringer, men på det grunnleggende nivået ved å tenke på at man endrer et sted forandrer alt og at det ikke lenger er noen problemer, synes jeg det er litt kortsiktig.
Det handler om hvordan alt fungerer sammen. Det er hvordan vi bryr oss om det som publikum, det er hvordan bedrifter bryr seg om det. Det er en del av det, men det er ikke hele løsningen, selvfølgelig. Og jeg tror at en av de store tingene vi trenger som teknikere eller forbrukere av teknologi må tenke på, er at sikkerhet ikke er noen jobb i et elfenbenstårn for å snu riktig bryter og gjøre alt perfekt. Jo flere små endringer i atferd vi kan ta for å gjøre alt litt sikrere… for alle.
Dan Costa: Hvordan er dine personlige sikkerhetsvaner? Bruker du et VPN? Bruker du kommersiell deteksjon av kommersiell skadelig programvare?
Josh Schwartz: Det kommer tilbake til trusselmodellen, ikke sant? Det kommer an på hva jeg gjør den gangen. En VPN beskytter deg mot noen ting, men å koble til en VPN beskytter deg ikke mot virus. Koble til en VPN endres i det vesentligste der du er i verden, og noen ganger kan det være nyttig hvis du trenger det.
Den plasserer trafikken din i en liten tunnel, og den tunnelen tar deg et annet sted, og trafikken kommer ut et annet sted. En VPN er nyttig hvis du er litt usikker eller hvis du ikke vil at noen skal vite hvor du er. Ideen om at jeg er koblet til en VPN og nå er jeg trygg på internett, er ikke så sant.
For meg personlig tror jeg det største er passordbehandlere. De er litt av en ny ting, men hvis flere mennesker ville vært på et mye bedre sted. Det har vært alle disse bruddene, ikke sant? Du er ganske kjent med dem. Så som en støtende motstander er de ikke private. Alt som har blitt lekket er der ute på internett. Vi kan sammenstille en stor liste over alt og se etter passord og se hvilke passord du har brukt før.
Så hvis jeg prøver å få tilgang til noe du har, hvis jeg kan finne passordet du brukte før, vet jeg litt om deg, og jeg kan ta den informasjonen og prøve å bruke den på nytt eller prøve å gjette hva neste passord kan være. Å bruke en passordbehandling og gjøre hvert passord super unikt for hvert nettsted du besøker, er faktisk noe som er bra, og det tar mye belastning av den menneskelige hjernen. Du trenger egentlig bare å beskytte det ett sted, noe som gjør sikkerheten mye enklere.
Dan Costa: Vi er store fans av passordbehandlere på PCMag, jeg har brukt LastPass i snart 10 år. Når du først har kommet over spranget av å ikke kjenne passordene dine, er det en lettelse. Det minner meg også om at vi på en måte glemte Yahoo-bruddet, som lekket mange brukernavn og passord. Det var år siden, og ingen brydde seg virkelig om Yahoo lenger, men verdien av det hacket og verdien for cyberkriminelle er at mange mennesker fremdeles bruker passordene de brukte på Yahoo for 10 år siden. Og du kan slå opp hva alle disse passordene er, er hva du sier.
Josh Schwartz: Det kommer til menneskelig atferd. Det kommer ned på det faktum at du har vaner som menneske og som angriper. Det er ofte det jeg ønsker å utnytte. Det er ikke teknologien. Teknologien vil fortsette å bli bedre og vil fortsette å øke sikkerheten og bli sikrere, fordi vi har dette behovet for det som driver virksomheten videre.
Men menneskelig atferd er noe som er vårt ansvar å endre. Og hvis vi ikke endrer vanene våre og gjør oss sikre, er det ingen teknologi som kan beskytte oss mot noe.
Dan Costa: Er det andre vaner enn en passordbehandler som du tror forbrukerne vil trenge å ta i bruk, spesielt når vi flytter inn på tingenes internett, og alt er så mye mer koblet sammen?
Josh Schwartz: Hvis du tenker på det, er det ikke lenger bare datamaskinen din. Det er enheter over alt og visse vaner. Kanskje du tror at telefonen din ikke er så viktig, men passordet du legger på telefonen, er passordet ditt der. Telefonen har tilgang til mange av de samme tingene som datamaskinen din har tilgang til. Tenker på alt du berører som samhandler med alle dataene du ønsker å beskytte, og sørg for at du behandler det like følsomt som den bærbare datamaskinen, skrivebordet eller datamaskinen på jobb.
Dan Costa: Jeg hadde et par mennesker på RSA forrige uke, og de intervjuet en NSA-tjenestemann, som sa: "Uavhengig av kryptering av telefonen, kan de få tilgang til telefoner, fordi de fleste fortsatt ikke låser telefonene sine." Det er mange mennesker som ikke låser telefonene i det hele tatt, og de trenger ikke kryptering for å knekke det. Det er bare ren brukeratferd.
Josh Schwartz: Eller passordet er alle nuller eller alle eller noe sånt. Det er alltid denne ideen om at når teknologiene går fremover og når passordet ditt blir flere ting som fingeravtrykket eller ansiktet ditt eller noe sånt, vil det alltid være et angrep og et stykke rundt det. Jeg trenger bare å finne deg og rette telefonen mot ansiktet ditt, eller jeg må kutte fingeren og legge den på telefonen.
Dan Costa: Også sett i mange filmer.
Josh Schwartz: Ja, men vi gjør ikke det i disse dager, noe som er bra.
Dan Costa: Du går tom for teammedlemmer veldig raskt på den måten.
Josh Schwartz: Og fingre, gjør det vanskelig å skrive.
Dan Costa: De kan jobbe med 10 prosjekter, og da er det slutten på det. Så fortell meg når det gjelder hva du gjør, hva er balansen mellom sosialteknikk og teknisk hacking? Og endres den blandingen over tid?
Josh Schwartz: Sosialteknikk har alltid vært mitt brød og smør. Det er veien til minst motstand veldig ofte. Jeg vil si det er en blanding. Mye av det er gjenkjent, og prøver å finne ut hva som virkelig finnes der ute, men det er interessant. Det sosialtekniske aspektet, det er ikke bare i den krenkende verden. Hvis du tenker på hvordan et internt rødt team eksisterer i et selskap… gjør vi noe av den tekniske hacking og vi bruker sosialteknikk, fysisk og alt sammen for å prøve å utføre den drepende kjeden, utføre oppdraget.
Men så, i etterkant, hvis du tenker på hva trygghet prøver å gjøre, prøver vi å samfunnsingeniører alle i stor skala for å ha bedre vaner til det større. Mange ganger er det historien om hva vi gjorde og å utdanne mennesker innen… selskapet "slik fungerer det, her er hva du kan gjøre for å bli bedre." Det er sosialteknikk. Så egentlig er den store delen av jobben sosial ingeniørarbeid, fordi det får folk til å bry seg om sikkerhet på de riktige måtene, ta riktige valg, forhåpentligvis bry seg om de riktige tingene.
Dan Costa: Jeg ser for meg at når folk får e-post fra deg, at de ikke vil svare. Hvis du ber om noe, kan jeg ikke forestille meg at det første svaret er nei.
Josh Schwartz: Red Teams har gått gjennom litt av en metamorfose det siste tiåret. Du starter på dette stedet hvor du er ekstremt motstander, ekstrem støtende, prøver å slå trommelen og la alle få vite at sikkerhet er viktig, og i disse dager ser folk deg som en motstander, for det er jo jobben din.
Jeg har opplevd personlig hvor jeg kommer inn i heisen og folk er som, "Å, jeg vil ikke gå på gulvet mitt, fordi Red Team er her, " og jeg er som, "Jeg er ikke den virkelige dårlige fyr." Det har endret seg over tid, for til slutt jobber vi alle mot det samme målet: beskytte informasjon, beskytte forbrukerne våre. Så når vi jobber sammen og når vi deler informasjon om hva vi har gjort som motstandere, vil den slags sikringer og de ser på oss som en alliert og en venn, men det tar litt tid å komme dit. Men jeg ser en trend i riktig retning, så det er bra.
Dan Costa: Flott. Jeg skal stille deg et par spørsmål jeg stiller alle som kommer på showet. Er det en teknologitrend som angår deg, noe som holder deg oppe om natten?
Josh Schwartz: Det holder meg oppe om natten? Kanskje den allestedsnærværende og komfort vi får med all teknologien rundt oss. Ikke så mye… faktisk, det virkelige svaret er ingenting som holder meg oppe om natten.
Dan Costa: Du sover godt.
Josh Schwartz: Jeg ser de verste tingene, og det kommer til å risikere aksept der jeg er, 'Ok, jeg vet hvordan verden er, jeg vet hva som er mulig, og jeg kommer til å være i orden med det.' Jeg vet at teknologi kommer til å bli tilført livet mitt overalt, og jeg kommer til å ta valget om å være greit med det, men jeg kommer til å operere på en måte som jeg forstår det og jeg sover som en baby.
- De beste gratis passordadministratorene for 2019 De beste gratis passordadministratorene for 2019
- Hvordan finne ut om passordet ditt har blitt stjålet. Hvordan finne ut om passordet ditt har blitt stjålet
- Facebook lagret opp til 600M brukerpassord i vanlig tekst Facebook lagret opptil 600M brukerpassord i vanlig tekst
Dan Costa: OK, er det teknologi du bruker hver dag eller verktøy eller tjeneste som inspirerer til undring?
Josh Schwartz: Vel, det er ikke mobiltelefonen min, men ærlig talt er det mange ting som er oppe og kommer som jeg lurer på, og jeg føler meg mest utålmodig. Jeg skulle ønske de ville komme hit raskere. Jeg er spent på fremtiden til AI, fremtiden for maskinlæring og ting som forhåpentligvis vil gi oss en mer tilkoblet verden. Stort sett venter jeg bare på det. Men ingenting overrasker meg virkelig for mye, tror jeg.
Dan Costa: Så, hvordan kan folk følge det du gjør, hva du har lov til å fortelle folk offentlig, hvordan kan de finne deg på nettet?
Josh Schwartz: Jeg går forbi moniker FuzzyNop, så folk kan finne meg der hvor som helst.
