视频: Диакритические знаки во французском. Accent aigu, accent grave, accent circonflexe. Видеоурок 1. (十一月 2024)
在本期《快进》中,我欢迎Verizon Media内部红色团队负责人Josh Schwartz。 这意味着他花了很多时间试图破解其雇主最有价值和最受信任的系统,理想情况是在没有薪资的人做同样的事情之前。
丹·科斯塔(Dan Costa):我认为人们对红队是什么有一个模糊的认识。 他们在电影中看过它们。 它像在电视上一样有趣又令人兴奋吗?
Josh Schwartz :我只希望,对吗? 它有闯入,到达地点的责任。 当然,这非常令人兴奋,但是显然,在电影中,您可以看到所有事情都是瞬间发生的,而实际上却并非如此。 这需要大量的工作…这不仅是在四处奔波造成恶作剧。
它实际上是在试图影响组织内部的变化,试图帮助组织了解“坏人实际上是做什么的?” 在内部红队中的角色虽然很令人兴奋,但我仍然必须参加会议,仍然必须设定目标,诸如此类。
丹·科斯塔:该团队的成员是谁? 我想有很多程序员,但我想不仅限于程序员。
乔什·施瓦茨(Josh Schwartz) :团队技能的多样性是我们没有的能力,而我们没有这种能力。 由于您在电影中看到的东西,经常会产生误解,就像有一个黑客家伙,他可以解决任何技术问题。
丹·科斯塔(Dan Costa):还有个汽车专家,武器专家。
乔什·施瓦茨(Josh Schwartz):实际上,我组建了一个团队,以便每个人都是某方面的专家。 这个人是知道如何进行物理入侵的人,其他人是密码学专家,其他人是社会工程学专家。 让每个人都成为专家意味着我们可以相互依靠,以有效地……解决任何问题类型的团队。
丹·科斯塔(Dan Costa):那么,办公室的一天是什么样的? 您正在测试什么类型的东西?
Josh Schwartz :做一个黑客就像是一个喜欢拆解系统的人,对吗? 这就是为什么我们并不是仅仅因为成为黑客而固有地犯罪。
因此,在办公室的一天里,我们根据结果设定目标,就像我们想看到的最坏情况一样。 从无到有,实现对公司真正不利的目标,我们需要采取哪些步骤? 从那里,我们可以形成称为“杀伤链”的东西。 办公室里有一天正在弄清楚如何实现这一链条。 然后,我们考虑可以打破这一链条的不同地方。 在那儿,我们与利益相关者会面,告诉他们攻击者将如何做,并提供一些小的更改以帮助解决此问题。
丹·科斯塔:您最关心的向量是什么? 我知道我仍然从IT部门收到电子邮件,告诉人们不要单击电子邮件或电子邮件附件中附加的链接。 您在哪里看到仍然存在的漏洞?
Josh Schwartz :如果您单击链接并下载附件,尽管有很多警告,仍在计算机上运行它们,这是一个问题。 但是我们已经进入了一个新时代,现在它可以访问云中和不同地方存在的信息。 如果您要授权他人访问,这也是一个问题。
最终,这比在计算机上运行的问题要麻烦得多,因为已经有很多保护措施了。 现在,我们掌握的信息随处可见,您可以通过代理机构进行控制。 您可以授权其他事物访问它,这就是现在互联网的工作方式。 包括我们在内的攻击者已经朝着类似的方向转移了一点。
丹·科斯塔(Dan Costa):即使查看我自己的Google云端硬盘以及我实际上应该访问的文件数量,这也非常出色。 我想在技术不如Ziff Davis和PCMag的公司中,情况会更糟。 这不仅是运行恶意软件的文件,还可能是公司文件或财务文件,而这些文件实际上是您不希望竞争对手拥有的,最终用户或犯罪分子。
Josh Schwartz :安全性,总的来说,就是这个整体系统。 并不是说“系统中是否存在一个漏洞,我打算对其进行一些利用,并且将会爆炸”。 它不再那样工作了。 它是相互连接的系统,人员,业务流程,支持它们的技术,我们的感觉,政策-一切……都是安全。
通常,安全性只是您的感觉。 您如何看待数据和信息? 您可以采取什么步骤来保护它? 如果您对此有强烈的感觉,并且付出的努力少于周围为获得它而付出的努力,那么您就没有安全感。 但是,如果您觉得自己付出了足够的努力而没有发生任何不好的事情,那么您会感到安全。 但是没有用于安全性的开/关开关。
丹·科斯塔(Dan Costa):让我们谈谈这些威胁的性质。 在我看来,有几个人在担心这个问题。 黑客曾经是人们用来访问您的计算机或使您的计算机崩溃的一种有趣的事情。 然后,犯罪分子想出了如何使用这些不同的技术来赚钱的方法。 但是,也有一些国家行为者,甚至私人公司拥有大量有关人员的数据。 您认为安全领域最大的看不见的威胁在哪里?
乔什·施瓦茨(Josh Schwartz) :弄清楚最大的威胁在哪里,最终弄清了你是谁。 对您最大的威胁可能不是对我的最大威胁,也不是对某处某公司的最大威胁。 差不多就是威胁建模了吧? 您不仅会选择最大的威胁并指向它们。 您认为,“我有什么?谁想要它?我应该怎么做?” 并尝试采取措施减轻您不想发生的事情。
试图指出这个国家是最大的威胁,或者这家公司是最大的威胁,这使我们陷入了一个陷阱,在这个陷阱中,我们开始构建有关事物的威胁模型。 当我们如此专注于一件小事时,我们周围的世界发生了变化,然后,我们陷入了困境。
丹·科斯塔(Dan Costa):许多公司都有大规模的数据泄露事件,其中大多数是由于安全性不强或不良习惯造成的。 Equifax使数以百万计的美国人感到困惑,但实际上没有任何后果。 他们将要支付罚款,但所有高管都会获得奖金。 您是否认为在问责制方面需要进行某种更改?
Josh Schwartz:好吧,我是一个闯入计算机领域的人,而不是公共政策制定者,所以我真的不知道。 也许那会改变事情。 可能会有所变化,但从根本上来说,我认为某个地方的更改会改变一切,并且不再存在任何问题,我认为这有点短视。
关于一切如何协同工作。 这是我们作为公众关心它的方式,也是企业关心它的方式。 当然,这只是其中的一部分,但不是全部解决方案。 而且我认为,作为技术从业者或技术消费者,我们需要考虑的一件大事是,安全不是象牙塔上人的工作,而是要正确切换开关并使一切完美。 我们可以采取的行为上较小的变化来帮助所有人,让一切变得更加安全。
丹·科斯塔:您的个人安全习惯是怎样的? 您是否使用VPN? 您是否使用现成的商业恶意软件检测?
Josh Schwartz :回到威胁模型,对吗? 这取决于我当时在做什么。 VPN可以保护您免受某些伤害,但是连接到VPN不能保护您免受病毒侵害。 连接到VPN实质上会改变您在世界上的位置,有时,如果需要它会很有用。
它会将您的流量放入一个小的隧道内,而该隧道将您带到其他地方,而流量则从其他地方出来。 如果您所处的位置有些不安全,或者您不想让别人知道您的位置,则VPN很有用。 我已经连接到VPN,现在我可以安全地上网了,但事实并非如此。
就我个人而言,我认为最大的事情就是密码管理器。 他们是新事物,但是如果有更多的人,他们会处于一个更好的地方。 所有这些违规行为,对不对? 您对它们非常熟悉。 因此,作为进攻对手,这些都不是私人的。 泄漏的所有内容都可以在互联网上找到。 我们可以整理所有内容的大清单,查找密码,然后查看您之前使用过的密码。
然后,如果我试图访问您拥有的东西,如果我可以找到以前使用的密码,我对您有所了解,那么我就可以获取该信息并尝试重用它,或者尝试猜测您的身份。下一个密码可能是。 使用密码管理器并使您访问的每个站点的每个密码都超级独特,这实际上是一件好事,并且可以减轻人脑的负担。 您实际上只需要在一个地方保护它,这使安全性大大简化了。
Dan Costa:我们是PCMag密码管理器的忠实拥护者,我使用LastPass已有近10年的历史。 一旦您克服了实际上不知道密码的麻烦,那就很轻松了。 这也让我想起了我们忘记了Yahoo漏洞,该漏洞泄露了许多用户名和密码。 早在几年前,就再也没有人真正关心过Yahoo,但是这种黑客攻击的价值以及对网络犯罪分子的价值在于,许多人仍然使用他们十年前在Yahoo上使用的那些密码。 然后您可以查看您所说的所有密码是什么。
Josh Schwartz :归结为人类行为。 归结为这样的事实,即您有作为人类和攻击者的习惯。 这就是我通常想要利用的东西。 这不是技术。 该技术将不断变得更好,并将继续提高安全性并变得更加安全,因为我们需要这种技术来推动业务发展。
但是人类的行为是我们改变责任的一种。 而且,如果我们不改变自己的习惯,使自己更安全,那么没有什么技术可以保护我们免受任何伤害。
丹·科斯塔(Dan Costa):您认为消费者需要采用除密码管理器之外的其他习惯,尤其是在我们进入物联网时代并且所有事物之间的联系更加紧密的情况下?
乔什·施瓦兹(Josh Schwartz) :如果您考虑一下,它不再只是您的计算机。 遍布各地和某些习惯的设备。 也许您认为手机并不那么重要,但是您在手机上输入的密码本质上就是那里的密码。 电话可以访问计算机可能具有的许多相同功能。 考虑与您想要保护的所有数据交互的所有触摸内容,并确保将其与笔记本电脑,台式机或工作中的计算机一样敏感地对待。
丹·科斯塔(Dan Costa):我上周在RSA遇到了几个人,他们采访了一位国家安全局(NSA)官员,他说:“不管电话是否加密,他们都可以访问电话,因为大多数人仍然不锁定电话。” 很多人根本不锁手机,他们不需要任何加密就可以破解。 那仅仅是纯用户行为。
Josh Schwartz :或者密码是全零或全零或类似的东西。 总有这样的想法,随着技术的进步以及您的密码变得越来越多,例如指纹或面部表情之类的东西,总会有一些攻击和某种解决方法。 我只需要找到您,然后将手机对准您的脸,或者就需要切断手指并将其放在手机上。
丹·科斯塔:在很多电影中也都看过。
乔什·施瓦茨(Josh Schwartz) :是的,但是这些天我们没有这样做,这很好。
丹·科斯塔(Dan Costa):这样您很快就会耗尽团队成员。
Josh Schwartz :而且手指很难打。
Dan Costa:他们可以从事10个项目,然后就结束了。 那么,就您的工作而言,告诉我,社会工程学与技术黑客之间的平衡是什么? 而且这种混合会随着时间变化吗?
Josh Schwartz :社会工程一直是我的生计。 这通常是阻力最小的途径。 我会说这是混合的。 很多事情都是侦察,试图弄清楚那里到底存在什么,但这很有趣。 社会工程方面,这不仅是在攻击性世界中。 如果您考虑内部红队在公司内部的存在方式…我们进行了一些技术攻关,并使用社会工程,物理技术以及一切结合起来尝试执行该杀伤链的方法,以完成任务。
但是,此后,如果您考虑安全性的目的,那就是我们正在尝试大规模地使每个人都拥有社会工程学,以养成更好的习惯,实现更大的利益。 很多时候,这是在讲述我们所做的事情以及在公司内部对人进行教育的故事……公司“这是它的工作方式,这是您可以做得更好的事情。” 那是社会工程学。 因此,实际上,工作的很大一部分是社会工程学,因为它使人们以正确的方式关注安全,做出正确的选择,希望关注正确的事情。
丹·科斯塔:我想当人们收到您的电子邮件时,他们不想回复。 如果您要些什么,我不认为第一个答案是否定的。
乔什·施瓦兹(Josh Schwartz) :过去十年,红队经历了一些变态。 您从一个极具挑战性,极具攻击性的地方开始,试图击败所有人,并让所有人都知道安全性很重要,在那些日子里,人们将您视为对手,因为那是您的工作。
我亲身经历了进入电梯的经历,人们说:“哦,我不想去我的地板,因为红队在这里,”我想,“我不是真正的坏人家伙。” 随着时间的推移,这种情况发生了变化,因为最后,实际上,我们都在朝着相同的目标努力:保护信息,保护我们的消费者。 因此,当我们一起工作并分享有关作为对手所做的工作的信息时,这种融合将他们视为我们的盟友和朋友,但是花了一些时间才能到达那里。 但是我看到了朝着正确方向发展的趋势,所以这很好。
丹·科斯塔:太好了。 我要问几个问题,我问节目中的每个人。 是否有您所关注的技术趋势,使您彻夜难眠?
乔什·施瓦兹(Josh Schwartz) :那让我彻夜难眠? 也许我们周围所有技术给我们带来的无处不在和舒适感。 没那么多…实际上,真正的答案是没有什么可以让我彻夜难眠。
丹·科斯塔:你睡得好。
乔什·施瓦茨(Josh Schwartz) :我看到了最糟糕的事情,最终归结为风险接受,我想,“好吧,我知道世界是什么样的,我知道有什么可能,我会接受的。” 我知道技术将被注入到我的生活中,我将做出选择以便对它没问题,但是我将以一种理解的方式进行操作,并且我会像婴儿一样睡觉。
- 2019最佳免费密码管理器2019最佳免费密码管理器
- 如何找出您的密码是否被盗如何找出您的密码是否被盗
- Facebook以纯文本方式存储多达600M用户密码Facebook以纯文本方式存储多达600M用户密码
丹·科斯塔:好吧,您每天使用的技术,工具或服务是否会激发奇迹?
乔什·施瓦茨(Josh Schwartz) :好吧,这不是我的手机,但老实说,我想知道很多事情正在发生,我大多不耐烦。 我希望他们能更快到达这里。 我对AI的未来,机器学习的未来以及可以给我们带来更紧密联系的世界的事物感到兴奋。 通常,我只是在等待。 但是我想,没有什么能让我感到惊讶。
丹·科斯塔(Dan Costa) :那么,人们如何才能跟随您的工作,被允许公开告诉人们,他们如何在网上找到您?
乔什·施瓦兹(Josh Schwartz) :我喜欢使用FuzzyNop这个名字,所以人们可以在任何地方找到我。
