Appscout Verizon Mediaのレッドチームの責任者には、簡単なセキュリティのヒントが1つあります

Verizon Mediaのレッドチームの責任者には、簡単なセキュリティのヒントが1つあります

Anonim

このFast Forwardのエピソードでは、Verizon Mediaの社内Red TeamのヘッドであるJosh Schwartzを歓迎します。 つまり、彼は雇用者の最も貴重で信頼できるシステムにハッキングしようとして日々を過ごし、理想的には給与計算に参加していない人が同じことをする前に。

SXSWでは、時間の経過とともに脅威マトリックスがどのように変化したか、および企業が自身を保護するために何をする必要があるかについて話しました。 シュワルツはまた、消費者がオンラインで身を守る方法についても説明しました。 ネタバレ:パスワードマネージャーが関与します。

ダンコスタ:私は、レッドチームとは何かについて漠然と考えていると思います。 彼らは映画でそれらを見てきました。 テレビで見るのと同じくらい楽しくてエキサイティングですか?

ジョシュ・シュワルツ :願うだけですよね? 侵入し、場所に着く責任があります。 もちろん、それは非常にエキサイティングですが、明らかに、映画ではすべてが瞬時に起こるのが見えますが、実際にはそうではありません。 それは多くの作業が必要です…それはただいたずらを引き起こして走り回っているだけではありません。

それは実際、組織内の変化に影響を与えようとしていることであり、「悪者たちは本当に何をしているのか」について組織に知らせるのを助けようとしています。 社内のレッドチームの一員であるというこの役割は、それでも刺激的ですが、私はまだ会議に出席し、目標を設定する必要があります。

ダンコスタ:このチームのメンバーは誰ですか? プログラマーはたくさんいると思いますが、プログラマーだけに限らないのではないかと思います。

Josh Schwartz :チームのスキルセットの多様性は、持っていなければその能力を持っていないことです。 映画で見たもののように誤解が非常に頻繁にあります。たとえば、ハッカーが1人いて、技術的な問題を解決できます。

ダンコスタ:そして、車の男、武器の専門家がいます。

ジョシュ・シュワルツ:実際には、各人が何かの専門家になるようにチームを編成しています。 この男は、物理的な侵入を行う方法を知っている男であり、他の誰かが暗号化の専門家であり、他の誰かがソーシャルエンジニアリングの専門家です。 各人が専門家であるということは、私たちがお互いに頼って、あらゆるタイプの問題を効果的に解決できることを意味します。

ダンコスタ:では、オフィスでの一日はどのようなものですか? どのようなことをテストしていますか?

Josh Schwartz :ハッカーであることは、システムを分解するのが好きな人のようなものですよね? それが、ハッカーであるというだけで本質的に犯罪者ではない理由です。

そのため、オフィスでの1日で、結果に基づいて目標を設定します。これは、見たい最悪のシナリオのようなものです。 会社にとって本当に悪いこの目標を達成するために、何もしないから進むためのステップは何ですか? そこから、「キルチェーン」と呼ばれるものを形成できます。 オフィスでの一日は、その連鎖を実現する方法を考えています。 次に、その連鎖を断ち切ることができるさまざまな場所について考えます。 そこから、利害関係者と会い、攻撃者がそれをどのように行うかを伝え、それを修正するために行うことができる小さな変更を提供します。

ダンコスタ:あなたが最も心配しているベクトルは何ですか? メールやメールの添付ファイルに添付されているリンクをクリックしないようにと、ITからまだメールを受け取っていることを知っています。 まだそこにある脆弱性はどこにありますか?

Josh Schwartz :リンクをクリックして添付ファイルをダウンロードし、多くの警告にもかかわらずそれらをコンピューターで実行している場合、それは問題です。 しかし、クラウドやさまざまな場所に存在する情報にアクセスできるようになった新しい時代に進化しました。 他の人へのアクセスを許可している場合、それも問題です。

コンピューター上で実行されているものよりも問題が多くなります。既に多くの保護が存在するためです。 今、私たちはどこにでも情報が浮かんでいるので、それを管理する機関があります。 他の物にアクセスを許可する代理店があります。これは、インターネットの仕組みのようなものです。 私たちも含めて、攻撃者はもう少しそのようなものにシフトしています。

ダンコスタ:自分のGoogleドライブと、アクセスすべきファイルの数を実際に見ても、それはかなり異常です。 Ziff DavisやPCMagほど技術的に洗練されていない企業の方がずっと悪いと思います。 マルウェアを実行しているファイルだけでなく、競合他社にエンドユーザーや犯罪者を持ち込ませたくない企業文書や財務文書でもかまいません。

Josh Schwartz :セキュリティは、一般に、この全体的なシステムです。 「システムにバグがあるので、それを悪用し、爆発する」というようなことではありません。 もうそのようには動作しません。 相互接続されたシステム、人、ビジネスプロセス、それらをサポートするテクノロジー、それについて私たちがどう感じているか、ポリシーなど、すべてがセキュリティです。

そして、セキュリティは、多くの場合、あなたがそれについてどのように感じるかのようなものです。 データと情報についてどう思いますか? それを保護するためにどのような手順を踏むことができますか? あなたがそれについて強く感じ、あなたが費やした努力があなたの周りの力がそれを手に入れようとする努力の努力よりも少ないなら、あなたは不安です。 しかし、あなたが十分な努力をしていると感じて、何も悪いことが起こらないなら、あなたは安全だと感じます。 ただし、セキュリティのためのオン/オフスイッチはありません。

ダンコスタ:これらの脅威の性質について少しお話しましょう。 私には、人々が心配するバケットがいくつかあるようです。 ハッキングは、人々があなたのコンピューターにアクセスしたり、コンピューターをクラッシュさせたりするために行った遊び心のあることでした。 その後、犯罪者はこれらのさまざまなテクニックを使用してお金を稼ぐ方法を見つけました。 しかし、国の関係者だけでなく、膨大な量のデータを持っている民間企業もあります。 目に見えない最大の脅威はセキュリティのどこにあると思いますか?

Josh Schwartz :最大の脅威がどこにあるのかを突き止めることは、あなたが誰なのかを突き止めることになります。 あなたにとっての最大の脅威はおそらく私にとって最大の脅威ではありません。それはどこかの会社にとって最大の脅威ではありません。 脅威のモデリングに関するものですよね? 最大の脅威を選んでそれらを指すだけではありません。 「私が持っているものは何ですか?誰がそれを望んでいるのでしょうか?私はそれについて何をすべきですか?」 そして、起こりたくないことを緩和するための行動を試みてください。

ただこの国を指し示すのが最大の脅威であるか、この会社が最大の脅威であるということは、私たちをあらゆるものに関する脅威モデルの構築を開始するちょっとしたtrapに陥らせるものです。 そして、私たちはこの小さなことに集中していますが、私たちを取り巻く世界は変化し、その後、どこかで盲目的になります。

ダンコスタ:多くの企業が大規模なデータ侵害を経験しており、そのほとんどはセキュリティの緩みや悪い習慣によるものです。 Equifaxは何百万人ものアメリカ人をドキドキさせましたが、実際には結果はありませんでした。 彼らは罰金を支払うつもりですが、すべての役員はボーナスを受け取りました。 説明責任の面で何らかの変化が必要だと思いますか?

ジョシュ・シュワルツ:まあ、私はコンピューターに侵入する人であり、公共政策立案者ではないので、私は本当に知りません。 たぶんそれは物事を変えるでしょう。 おそらく、変化はあるでしょうが、根本的なレベルでは、どこかで変化すればすべてが変化し、問題はもう起こらないと考えると、少し近視眼的だと思います。

それはすべてが一緒に機能する方法についてです。 それは私たちがそれを大衆としてどのように気にするか、それは企業がそれをどう気にするかです。 それはその一部ですが、もちろん全体のソリューションではありません。 そして、技術実務家や技術の消費者が考える必要がある大きなことの1つは、正しいスイッチを入れてすべてを完璧にするために、象牙の塔でセキュリティが誰かの仕事ではないということだと思います。 すべてを少しでも安全にするために私たちが取ることができる行動のより小さな変更…すべての人のために。

ダンコスタ:個人的なセキュリティ習慣はどのようなものですか? VPNを使用していますか? 市販のマルウェア検出を使用していますか?

Josh Schwartz :脅威モデルに戻りますよね? それは私がその時に何をしているかに依存します。 VPNはいくつかのことからユーザーを保護しますが、VPNに接続してもウイルスからは保護されません。 VPNへの接続は、世界のどこにいるのかを本質的に変更し、必要な場合に役立つことがあります。

それはあなたのトラフィックを小さなトンネルの中に置き、そのトンネルはあなたを他のどこかに連れて行き、トラフィックは他の場所に出ます。 VPNは、現在の場所が少し安全でない場合や、誰かに現在の場所を知らせたくない場合に便利です。 私はVPNに接続していて、今はインターネット上で安全だという考えは真実ではありません。

個人的には、最大のものはパスワード管理者だと思います。 彼らは少し新しいことですが、もっと多くの人がいれば、もっと良い場所にいるでしょう。 これらの違反はすべてありましたよね? あなたはそれらに非常に精通しています。 したがって、攻撃的な敵として、それらはプライベートではありません。 リークされたものはすべてインターネット上にあります。 すべての大きなリストをキュレートし、パスワードを探し、以前に使用したパスワードを確認できます。

次に、あなたが持っているものにアクセスしようとしている場合、以前に使用したパスワードを見つけることができれば、私はあなたについて少し知っていて、その情報を取り、それを再利用したり、あなたの次のパスワードは パスワードマネージャーを使用して、アクセスするすべてのサイトですべてのパスワードを非常にユニークにすることは、実際には良いことであり、人間の脳の負担を軽減します。 本当に1か所で保護する必要があるだけなので、セキュリティがはるかに簡単になります。

ダンコスタ:私たちはPCMagのパスワードマネージャーの大ファンです。私はほぼ10年間LastPassを使用しています。 実際にパスワードを知らないという飛躍を乗り越えると、それはとても安心です。 Yahooの侵害を忘れてしまい、多くのユーザー名とパスワードが漏洩したことも思い出します。 何年も前のことで、ヤフーのことはもう誰も気にしませんでしたが、そのハックの価値とサイバー犯罪者にとっての価値は、多くの人が10年前にヤフーで使用したパスワードを使用していることです。 そして、これらすべてのパスワードが何であるかを調べることができます。

Josh Schwartz :それは人間の行動に帰着します。 人間と攻撃者としての習慣があるという事実に帰着します。 それはしばしば私が悪用しようとしているものです。 それは技術ではありません。 このテクノロジーはビジネスを推進するために必要であるため、テクノロジーは改善され続け、セキュリティを強化し、より安全になります。

しかし、人間の行動は、私たちが変化する責任のようなものです。 そして、私たちが習慣を変えず、自分自身をより安全にするのでなければ、何からも私たちを守ることができる技術はありません。

ダンコスタ:特にモノのインターネット時代に移行し、すべてが非常に接続されているため、消費者が採用する必要があると思われるパスワードマネージャー以外の習慣はありますか?

Josh Schwartz :考えてみると、もはやあなたのコンピューターではありません。 それはあちこちにあるデバイスであり、特定の習慣です。 あなたの電話はそれほど重要ではないと思うかもしれませんが、あなたが電話にかけるパスワードは基本的にそこにあるあなたのパスワードです。 電話は、コンピューターがアクセスする可能性があるものと同じものの多くにアクセスできます。 保護するすべてのデータとやり取りするすべてのものに触れることを考え、ラップトップ、デスクトップ、または職場のコンピューターと同じように慎重に扱うようにします。

ダンコスタ:先週RSAに数人の人がいましたが、彼らは「電話の暗号化に関係なく、ほとんどの人はまだ電話をロックしていないので電話にアクセスできます」と言ったNSAの役人にインタビューしました。 電話をまったくロックしない人が多く、それを解読するために暗号化を必要としません。 それは単なるユーザーの行動です。

Josh Schwartz :または、パスワードのすべてゼロまたはすべて1またはそのようなもの。 技術が進歩し、パスワードが指紋や顔などのようなものになると、常に何らかの攻撃があり、何らかの方法で回避されるという考えが常にあります。 私はあなたを見つけてあなたの顔にあなたの電話を向ける必要があるか、私はあなたの指を切断してあなたの電話にそれを置く必要があります。

ダンコスタ:多くの映画でも見られます。

ジョシュ・シュワルツ :ええ、でも最近はそんなことはしていません。それは良いことです。

ダンコスタ:チームメンバーはすぐに使い果たします。

Josh Schwartz :そして、指でタイプするのが難しくなります。

Dan Costa:彼らは10のプロジェクトに取り組むことができ、それで終わりです。 ソーシャルエンジニアリングと技術的ハッキングのバランスはどうですか? そして、そのミックスは時間とともに変化しますか?

Josh Schwartz :ソーシャルエンジニアリングは常に私のパンとバターでした。 抵抗が最も少ない経路です。 ミックスだと思います。 その多くは偵察であり、そこに実際に存在するものを見つけようとしますが、興味深いです。 ソーシャルエンジニアリングの側面は、攻撃的な世界だけではありません。 社内のレッドチームが社内にどのように存在するかを考えると…私たちは技術的なハッキングをいくつか行い、ソーシャルエンジニアリング、フィジカル、そしてすべてを組み合わせて、そのキルチェーンを試行して実行し、ミッションを達成します。

しかし、その後、セキュリティが何をしようとしているのかを考えた場合、私たちは大規模なすべての人々をより良い習慣のためにソーシャルエンジニアリングしようとしています。 多くの場合、それは私たちがやったことのストーリーを伝え、社内の人々を教育することです…会社は「ここにそれがどのように機能するか、ここにあなたがより良くするためにできることです」 それがソーシャルエンジニアリングです。 本当に、仕事の大部分はソーシャルエンジニアリングです。なぜなら、それは人々に正しい方法でセキュリティを気にかけ、正しい選択をし、できれば正しいことを気にかけているからです。

ダンコスタ:人々があなたからメールを受け取ったとき、彼らは応答したくないと思います。 あなたが何かを頼むなら、私は最初の答えがノーだとは思いません。

Josh Schwartz :過去10年間でレッドチームは少し変貌を遂げました。 あなたは非常に敵対的で非常に攻撃的なこの場所から始め、ドラムを打ち負かそうとし、セキュリティが重要であることをみんなに知らせようとします。

私は個人的にエレベーターに乗る経験があり、人々は「ああ、私は自分のフロアに行きたくない、レッドチームがここにいるので」と、そして「私は本当に悪いわけではない」男。" 最終的には、私たち全員が同じ目標、つまり情報を保護し、消費者を保護するという目標に向かって取り組んでいるからです。 ですから、私たちが協力し、敵対者として何をしたかについての情報を共有すると、その種の融合が起こり、彼らは私たちを味方であり友人であるとみなしますが、そこに着くまでには時間がかかります。 しかし、私は正しい方向にトレンドを見ているので、それは良いことです。

ダンコスタ:すばらしい。 私はあなたにいくつかの質問をするつもりです、私はショーに来るすべての人に尋ねます。 あなたに関係のある技術トレンドがありますか?

ジョシュ・シュワルツ :それは私を夜更かしするの? おそらく、私たちが身近にあるすべてのテクノロジーで得られる遍在性と快適さでしょう。 それほど多くはありません…実際、本当の答えは何も夜に私を起こさないということです。

ダンコスタ:よく眠れます。

ジョシュ・シュワルツ :最悪のものを見ると、「世界がどんなものか知っているし、何が可能かわかっているし、大丈夫だよ」というように、リスクを受け入れることになります。 私はテクノロジーがどこにでも私の人生に注ぎ込まれ、大丈夫な選択をすることを知っていますが、私はそれを理解し、赤ちゃんのように眠る方法で動作します。

  • 2019年の最高の無料パスワードマネージャー2019年の最高の無料パスワードマネージャー
  • パスワードが盗まれたかどうかを調べる方法パスワードが盗まれたかどうかを調べる方法
  • Facebookがプレーンテキストで最大6億のユーザーパスワードを保存Facebookがプレーンテキストで最大6億のユーザーパスワードを保存

ダンコスタ:わかりました。毎日使用するテクノロジーや、驚異を引き起こすツールやサービスはありますか?

ジョシュ・シュワルツ :まあ、それは私の携帯電話ではありませんが、正直言って、私が疑問に思っていることや来ていることはたくさんあります。 もっと早くここに来てほしい。 AIの未来、機械学習の未来、さらにつながりのある世界を願っています。 ほとんどの場合、私はそれを待っています。 しかし、あまり私を驚かせるものは何もないと思います。

Dan Costa :それで、人々はあなたがしていることをどうやってフォローすることができますか、あなたが人々に公に伝えることを許可されているのか、彼らはあなたをオンラインで見つけることができますか?

Josh Schwartz :FuzzyNopというモニカーがいるので、人々はどこにいても私を見つけることができます。

Verizon Mediaのレッドチームの責任者には、簡単なセキュリティのヒントが1つあります