В днешния свят, където големият и малкият бизнес са засегнати до голяма степен от кибератаки и нарушения на данните, разходите за киберсигурност нараснаха. Предприятията харчат милиони долари за защита на киберзащитата си. А когато говорим за киберсигурност и информационна сигурност, Джорджия Вайдман е едно от малкото видни имена в бранша, което идва на ум.
Джорджия Вайдман е етичен хакер, проникващ тестер, изпълнителен директор на Shevirah Inc / Bulb Security LLC и автор на книгата „Тестване на проникване: Ръководство за въвеждане на хакерство“.
Ето ексклузивно интервю на Джорджия Вайдман с нашия екип в Иваси, където зададохме някои въпроси, свързани с нея и като цяло от киберсигурността:
Q1 - Здравейте Джорджия, супер се радваме да ви имаме и бяхме напълно впечатлени, като разбрахме колко сте постигнали за кратък период от време. Какво ви отвежда в тази инфосек индустрия? Как започнахте пътуването си като етичен хакер?
Отидох в колеж по-рано, на 14, вместо обичайните 18. И взех матура, защото не исках да бъда компютърист. Майка ми беше една и какъв тийнейджър иска да бъде като техните родители?
Но тогава наистина не можах да намеря работа на 18 със само бакалавърска степен и без трудов стаж, помолиха ме да направя магистратура по компютърни науки и те щяха да ми дадат пари! Това беше по-добре, отколкото да се налага да живея с родителите си.
Така влязох в програмата на Магистър и университетът имаше клуб за киберзащита. Капитанът на клуба за киберзащита изглеждаше наистина интересен и исках да науча повече за него. И така, не знаейки нищо за киберсигурността, се присъединих към клуба за киберзащита и се състезавахме в състезанието за киберзащита в Средния Атлантически океан. Е, научих, че киберсигурността е по-интересна от човека, но също открих какво искам да правя с живота си.
Q2 - Какво беше вашето вдъхновение и мотивация зад написването на вашата книга „Тестване на проникване“?
Исках да напиша книгата, която исках да имам, когато започвах в инфосек. Когато за пръв път започнах и се опитвах да науча толкова много от това, което беше на разположение по пътя на уроците, и натрупах толкова много знания, че правех техническия еквивалент на търсенето на всички думи в речника. След това тези думи в речника на децата дори да добият представа как нещата са работили много по-малко, защо работят.
Когато помолих за помощ, получих много „Излезте от n00b“ или „Опитайте по-трудно!“, А не обяснения. Исках да улесня онези, които дойдоха след мен и да попълня тази празнина с моята книга.
Q3 - Колкото и интересно да е името, разкажете ни за вашата компания Bulb Security и как започна всичко?
Всъщност имам две компании Shevirah Inc. и Bulb Security LLC. Стартирах Bulb, когато получих безвъзмездна помощ за DARPA Cyber Fast Track за изграждане на рамката за тестване на смартфони и впоследствие получиха порицание, че имам дързостта да кандидатствам безвъзмездно.
В допълнение към изследователските проекти, в този момент изградих и консултантски бизнес за проникване, обучение, обратен инженеринг, дори патентен анализ. В обилното си свободно време съм и преподавател в Университета в Мериленд, Университетския колеж и Университета Тулан.
Започнах Shevirah, когато се присъединих към стартовия ускорител Mach37, за да продуцирам работата си в тестове за проникване на мобилни устройства и интернет на нещата, фишинг симулация и валидиране на превантивен контрол, за да разширя обхвата си от подпомагане на други изследователи, за да помогнат на предприятията да разберат по-добре своите мобилни и Защита на IoT и как да я подобрим.
Q4 - Е, разкажете ни за най-вълнуващия момент, когато наистина се почувствахте горди от работата си като тестер за проникване.
Всеки път, когато вляза, особено по нов начин, има същия прилив като първия път. Това, което също ме прави горд е, че имам многократни клиенти, които не само оправиха всичко, което открихме за първи път, но и продължиха да повишават позицията си за сигурност, тъй като във времето между тестовете станаха известни нови уязвимости и атаки.
Да видя клиент не само да закърпи това, което използвах, за да вляза, но и да изгради по-зряла поза за сигурност за предприятието като цяло, означава, че съм направил много повече въздействие, отколкото просто да им покажа, че мога да получа администратор на домейн с Отравяне с LLMNR или EternalBlue.
Q5 - За тези, които искат да започнат своето пътуване в областта на етичното хакерство и проникване, какви предложения или кариерни съвети искате да дадете? Това може да бъде всяко предложение за онлайн курс, сертификати или образователна степен по този въпрос.
Бих препоръчал моята книга, Тест за проникване: Ръководство за запознаване с хакерството. Също така бих предложил да се включите в местни хакерски срещи или конференции, като например глава на местната група на DEF CON или Security BSides. Това е чудесен начин да се срещнете с потенциални ментори и връзки в бранша. Бих предложил също да направите изследователски проект или клас.
Това е конкуренцията, която ме вкара в #infosec на първо място. Съществуват състезания в региони в цялата страна, както и национали за регионалните победители. Добро място, където можете да вложите вашите долари и доброволчески часове. https://t.co/TcNLC7r8tV
- Джорджия Вайдман (@georgiaweidman) 28 февруари 2019 г.
Толкова много хора смятат, че изследванията за сигурност са тъмна магия, която изисква тайни умения за вътрешната работа на зареждащия механизъм, но в повечето случаи това не е така. Дори и само да започнете, всеки има набор от умения, които биха били полезни на другите в областта, които могат да споделят. Може би сте чудесен във форматирането в Word или имате дългогодишен опит като Linux системен администратор?
Q6 - Бихте ли искали да предложите на нашата аудитория някакъв софтуер за сигурност, добавки, разширения и т.н., които са загрижени за своята онлайн поверителност и сигурност? Има ли глупави методи за максимална защита онлайн?
Като се има предвид, че част от моя бизнес е валидиране на ефективността на превантивни решения, сигурен съм, че ще разберете, че трябва да оставам продавач агностик в интервюта. Важно е да се отбележи, че няма такова нещо като безотказна сигурност. Всъщност, аз силно вярвам, че маркетинговата стратегия на превантивната сигурност на доставчиците на „Ако инсталирате нашия софтуер (или поставите нашата кутия в мрежата ви), няма да се налага да се тревожите за сигурността вече“, е основната причина за много от нарушенията на високия профил, които виждаме днес.
Предприятията, като са били информирани от тези т. Нар. Доставчици на експерти, хвърлят много пари за проблема със сигурността, но пренебрегват неща като кръпка и фишинг информираност, тъй като техните доставчици казаха, че са покрили всичко. И както виждаме отново и отново, нито едно превантивно решение няма да спре всичко.
Въпрос 7 - От гледна точка на хакера, колко е трудно да хакнете някого, ако на неговото смарт устройство има VPN, работещ? Колко ефективни са VPN? Използвате ли някой?
Подобно на повечето атаки в наши дни, повечето мобилни атаки включват някакъв вид социално инженерство, често като част от по-голяма верига на експлоатация. Както при превантивните продукти, VPN със сигурност може да бъде полезен срещу някои атаки и със сигурност срещу подслушване, но докато мобилните потребители изтеглят злонамерени приложения, профили за управление и др. И отварят злонамерени връзки на своите смарт устройства, VPN може само отидете толкова далеч.
Бих насърчил потребителите да използват VPN мрежи, особено в обществени мрежи, както и други продукти за сигурност, разбира се. Просто бих искал потребителите да продължат да бъдат бдителни по отношение на стойката си за сигурност, а не да разчитат само на тези продукти, за да ги защитят.
Q8 - С експоненциалния бум на интелигентните устройства и невероятното развитие в областта на IOT, какви са според вас потенциалните заплахи за сигурността и уязвимостите, които най-вероятно ще бъдат маркирани заедно?
Виждам заплахите срещу мобилни и IoT същите като традиционните устройства с повече точки за влизане и излизане. На компютър с Windows съществува заплаха от атаки за изпълнение на отдалечен код, при които потребителят не трябва да прави нищо, за да бъде атаката успешна, атаки от страна на клиента, при които потребителят трябва да отвори злонамерен файл, било то уеб страница, PDF, изпълними и т.н. Има също атаки на социален инженеринг и ескалация на местните привилегии.
Пачовете липсват, паролите са лесни за отгатване, софтуерът на трети страни е несигурен, списъкът продължава. В мобилните и IoT ние се справяме със същите тези проблеми, освен вместо кабелна или безжична връзка, сега имаме мобилен модем, Zigbee, Bluetooth, комуникация в близост до полето, само за да назовем няколко като потенциални вектори за атака, както и пътища за заобикаляне на всякакви внедряване на предотвратяване на загуба на данни. Ако конфиденциалните данни се изсипват от базата данни от компрометирано мобилно устройство и след това се изпращат до клетъчната мрежа чрез SMS, цялата превантивна технология в света по периметъра на мрежата няма да я улови. По същия начин, ние имаме повече от всякога начини, по които потребителите могат да бъдат социално разработени.
Вместо само имейл и телефонно обаждане сега имаме SMS, социални медии като Whatsapp и Twitter, QR кодове, списъкът на безбройните начини, по които потребителят може да бъде насочен към отваряне или изтегляне на нещо злонамерено, продължава и продължава.
Q9 - Има ли някакви конференции за сигурност, които очаквате с нетърпение? Ако да, тогава какви са тези?
Обичам също да виждам нови места и да срещам нови хора. Затова винаги съм готов да пътувам до чужди страни, за да правя конференции. Тази година бях поканен да участвувам в RastacCon! в Ямайка. Миналата година имах прекрасно време, посещавайки Салвадор, Бразилия, водеща към една от конференциите на Roadsec. Също така тази година аз съм основен Carbon Black Connect, който е добро място за мен, тъй като работя, за да стана толкова известен в света на бизнеса, колкото съм в света на инсесека. Въпреки че е в горещ и претъпкан Лас Вегас, летен лагер с инфосек (Blackhat, Defcon, BSidesLV, както и различни други събития едновременно) е чудесен начин да настигнете много хора от индустрията и да видите какво са били да се.
Q10 - Какви са бъдещите ви планове? Ще напишете ли друга книга? Основате ли друга компания? Мащабиране на съществуващия? Какво търси Джорджия Вайдман да постигне по-нататък в живота си?
В момента завършвам второто издание на тестовете за проникване: Ръководство за хакерство. Определено бих искал да напиша допълнителни технически книги за начинаещи в бъдеще. Въпреки че досега направих само няколко ангелски инвестиции, надявам се в бъдеще да успея да инвестирам и да наставлявам други основатели на стартиращи фирми, особено технически основатели като мен, и да направя повече за подкрепа на жени и малцинства в инфосек.
Научих много от правенето на стартъп, но също така съм и от онази рядка порода, която наистина просто иска да прави изследвания за сигурност. След стартиране си представям, че само за известно време правя проучване на сигурността. Напълно не е свързано с технологиите, но ако ме следите в социалните медии, може би сте забелязали, че се състезавам в конни състезания, така че тази година конят ми Tempo и се надявам да спечеля финалите на Virginia Horse Show Association. В дългосрочен план бих искал да отделя повече време и ресурси за съпоставяне на спасителни коне със заслужили собственици и спасяване на морски костенурки.
„ Не можете да поправите сигурността само с превантивни продукти. Тестването е необходима и често пренебрегвана част от сигурността. Как истински нападател ще нахлуе във вашата организация? Ще успеят ли да заобиколят вашето превантивно решение? (Съвет: да.) ”- Джорджия Вайдман
