I dagens verden, der store og små bedrifter i stor grad blir påvirket av cyberangrep og datainnbrudd, har utgiftene til cybersecurity fått skyrocket. Foretak bruker millioner av dollar for å sikre deres cyberforsvar. Og når vi snakker om cybersikkerhet og informasjonssikkerhet, er Georgia Weidman et av de få fremtredende navnene i bransjen som kommer til hjernen.
Georgia Weidman er en etisk hacker, penetrasjonstester, administrerende direktør i Shevirah Inc / Bulb Security LLC og forfatter av boken "Penetration Testing: A Hands-on Introduction to Hacking."
Her er et eksklusivt intervju av Georgia Weidman med teamet vårt på Ivacy der vi stilte noen spørsmål knyttet til henne og Cyber Security generelt:
Q1 - Hei Georgia, vi er veldig glade for å ha deg og ble helt imponert over å vite hvor mye du har oppnådd på kort tid. Hva bringer deg til denne infosec industrien? Hvordan startet du reisen din som etisk hacker?
Jeg gikk tidlig på college, klokka 14 i stedet for den vanlige 18. Og jeg tok en matematikkgrad fordi jeg ikke ønsket å bli informatiker. Moren min var en, og hvilken tenåring vil være som foreldrene sine?
Men så kunne jeg egentlig ikke finne en jobb på 18 år med bare en bachelorgrad og ingen arbeidserfaring, jeg ble bedt om å gjøre en mastergrad i informatikk, og de hadde tenkt å gi meg penger! Det var bedre enn å måtte bo sammen med foreldrene mine.
Så jeg gikk inn i masterstudiet og universitetet hadde en cyberforsvarsklubb. Kapteinen for nettforsvarsklubben virket veldig interessant, og jeg ønsket å lære mer om ham. Så jeg visste ingenting om cybersecurity, og meldte meg inn i cyber defense club, og vi konkurrerte i Midt-Atlantic Cyber Defense Competition. Vel, jeg lærte at cybersecurity var mer interessant enn fyren, men jeg fant også hva jeg ville gjøre med livet mitt.
Spørsmål 2 - Hva var din inspirasjon og motivasjon bak å skrive boken din "Penetration Testing"?
Jeg ønsket å skrive boken som jeg ønsket at jeg hadde da jeg begynte i infosec. Da jeg først begynte og prøvde å lære så mye av det som var tilgjengelig i form av tutorials og samlet så mye forkunnskaper at jeg gjorde det tekniske ekvivalentet med å slå opp alle ordene i ordboken. Så de ordene i barneboken for til og med å få et inntrykk av hvordan ting fungerte mye mindre hvorfor de jobbet.
Da jeg ba om hjelp, fikk jeg mye “Gå av n00b, ” eller “Prøv hardere!” Snarere enn forklaringer. Jeg ønsket å gjøre det lettere for de som kom etter meg og fylle ut det gapet med boken min.
Spørsmål 3 - Så interessant som navnet er, fortell oss om bedriften din Bulb Security og hvordan det hele startet?
Jeg har faktisk to selskaper Shevirah Inc. og Bulb Security LLC. Jeg startet pære da jeg fikk et DARPA Cyber Fast Track-stipend for å bygge Smartphone Pentest Framework og ble deretter irettesatt for å ha frimodighet til å søke om tilskuddet uavhengig.
I tillegg til forskningsprosjektene, bygde jeg også en konsulentvirksomhet for penetrasjonstesting, trening, omvendt prosjektering, til og med patentanalyse på dette tidspunktet. På fritiden er jeg også professor ved University of Maryland University College og Tulane University.
Jeg startet Shevirah da jeg begynte i Mach37 oppstartsakselerator for å produsere mitt arbeid innen penetrasjonstesting av mobilen og Internet of Things, phishing-simulering og validering av forebyggende kontroll for å utvide rekkevidden fra å hjelpe andre forskere til å hjelpe bedrifter med å få en bedre forståelse av mobilen og IoT sikkerhetsstilling og hvordan du kan forbedre den.
Q4- Vel, fortell oss om den mest spennende tiden da du virkelig var stolt av jobben din som penetrasjonstester.
Hver gang jeg kommer inn, særlig på en ny måte, har det samme suset som første gang. Det som også gjør meg stolt er å ha gjentatte kunder som ikke bare fikset alt vi fant første gang, men også har fortsatt å øke sikkerhetsstillingen etter hvert som nye sårbarheter og angrep ble kjent i tiden mellom testene.
Å se en kunde ikke bare lappe det jeg pleide å få inn, men også bygge en mer moden sikkerhetsstilling for bedriften som helhet, betyr at jeg har gjort mye mer utslag enn bare å vise dem at jeg kan få domeneadministrator med LLMNR-forgiftning eller EternalBlue.
Q5- For de som ønsker å starte reisen sin innen etisk hacking og penetreringstesting, hvilke forslag eller karriereråd du ønsker å gi? Det kan være ethvert online kursforslag, attester eller utdannelsesgrad for den saks skyld.
Jeg vil anbefale boken min, Penetration Testing: A Hands-On Introduction to Hacking selvfølgelig. Jeg vil også foreslå å bli involvert i lokale hacker-møter eller konferanser som et lokalt DEF CON-gruppekapittel eller Security BSides. Det er en flott måte å møte potensielle mentorer og kontakter i bransjen. Jeg vil også foreslå å gjøre et forskningsprosjekt eller en klasse.
Dette er konkurransen som fikk meg inn i #infosec i utgangspunktet. Det er konkurranser i regioner over hele landet, så vel som statsborgere for de regionale vinnerne. Et bra sted å legge opp de oppsøkende dollar og dugnadstimer. https://t.co/TcNLC7r8tV
- Georgia Weidman (@georgiaweidman) 28. februar 2019
Så mange tror sikkerhetsforskning er mørk magi som krever arkane ferdigheter om den indre funksjonen til bootloader, men i de fleste tilfeller er det ikke tilfelle. Selv om du bare begynner, har alle et ferdighetssett som vil være nyttig for andre i feltet som de kan dele. Kanskje du er flink til å formatere i Word eller har mange års erfaring som Linux-systemadministrator?
Q6- Vil du foreslå noen sikkerhetsprogramvare, tilleggsprogrammer, utvidelser osv. Til publikum som er bekymret for deres personvern og sikkerhet på nettet? Er det noen idiotsikre metoder for maksimal online beskyttelse?
Gitt at en del av virksomheten min validerer effektiviteten til forebyggende løsninger, er jeg sikker på at du vil forstå at jeg må være forhandleragnostiker i intervjuer. Det er viktig å merke seg at det ikke er noe som betyr idiotsikker sikkerhet. Faktisk er jeg sterkt overbevist om at forebyggende sikkerhetsleverandørers markedsføringsstrategi av "Hvis du installerer programvaren vår (eller legger boksen i nettverket ditt), trenger du ikke å bekymre deg for sikkerhet lenger", er grunnen til mange av de høye profilbruddene vi ser i dag.
Foretak, som har blitt informert av disse såkalte ekspertleverandørene, kaster mye penger på sikkerhetsproblemet, men overser ting som lapp og phishing-bevissthet fordi leverandørene deres sa at de hadde alt dekket. Og som vi ser gang på gang, vil ingen forebyggende løsning stoppe alt.
Q7 - Fra en hackers synspunkt, hvor vanskelig blir det å hacke noen hvis de har en VPN som kjører på smartenheten? Hvor effektive er VPN-er? Bruker du noen?
Som de fleste angrep i disse dager, involverer de fleste mobilangrep en slags sosial ingeniørarbeid, ofte som en del av en større utnyttingskjede. Som med de forebyggende produktene, kan en VPN absolutt være nyttig mot noen angrep og sikkert mot avlytting, men så lenge mobilbrukere laster ned ondsinnede applikasjoner, administrasjonsprofiler osv. Og åpner ondsinnede lenker på deres smarte enheter, kan en VPN bare gå så langt.
Jeg vil oppfordre brukere til å bruke VPN-er, spesielt i offentlige nettverk, så vel som andre sikkerhetsprodukter selvfølgelig. Jeg vil bare at brukerne skal fortsette å være årvåken om sikkerhetsstillingene sine i stedet for å stole utelukkende på disse produktene for å beskytte dem.
Q8 - Med den eksponentielle oppsvinget av smarte enheter og utrolig utvikling innen IOT-området, hva tror du er de potensielle sikkerhetstruslene og -sårbarhetene som mest sannsynlig vil komme med?
Jeg ser truslene mot mobil og IoT som de samme som tradisjonelle enheter med flere inn- og utkjøringspunkter. På en Windows-datamaskin er det trusselen om angrep på ekstern kode, der brukeren ikke trenger å gjøre noe for at angrepet skal lykkes, angrep fra klientsiden der brukeren trenger å åpne en ondsinnet fil, det være seg en webside, en PDF, en kjørbar osv. Det er også angrep på sosialt ingeniørarbeid og opptrapping av lokale privilegier.
Oppdateringer mangler, passord er enkle å gjette, tredjepartsprogramvare er usikker, listen fortsetter. På mobil og IoT håndterer vi de samme problemene, bortsett fra i stedet for bare den kablede eller trådløse tilkoblingen, har vi nå mobilmodemet, Zigbee, Bluetooth, Near Field Communication, bare for å nevne noen som potensielle angrepsvektorer samt veier for å omgå enhver forebygging av tap av data implementert. Hvis konfidensielle data blir sendt fra databasen av en kompromittert mobil enhet og deretter sendt til mobilnettet via SMS, vil ikke all den forebyggende teknologien i verden i nettverksgrensen fange dem. På samme måte har vi flere måter enn noen gang brukere kan være sosialt konstruert.
I stedet for bare e-post og en telefonsamtale nå har vi SMS, sosiale medier som Whatsapp og Twitter, QR-koder, listen over de mange måtene en bruker kan være målrettet mot å åpne eller laste ned noe ondsinnet foregår og fortsetter.
Q9- Er det noen sikkerhetskonferanser du ser frem til? Hvis ja, hva er da de?
Jeg liker også å se nye steder og møte nye mennesker. Så jeg er alltid oppe for å reise til fremmede land for å holde konferanser. I år har jeg blitt invitert til keynote RastacCon! på Jamaica. I fjor hadde jeg en fantastisk tid på besøk i Salvador, Brasil, og valgte en av Roadsec-konferansene. Også i år er jeg i gang med å notere Carbon Black Connect, som er et godt sted for meg, da jeg jobber for å bli like kjent i forretningsverdenen som i infosec verdenen. Til tross for å være i het og overfylt Las Vegas, er infosec sommerleir (Blackhat, Defcon, BSidesLV, pluss diverse andre arrangementer samtidig) en flott måte å innhente mange mennesker fra industrien og se hva de har vært oppe til.
Q10- Hva er dine fremtidsplaner? Vil du skrive en annen bok? Stifter du et annet selskap? Skalere du den eksisterende? Hva er Georgia Weidman som ønsker å oppnå videre i livet sitt?
Jeg er for øyeblikket ferdig med den andre utgaven av Penetration Testing: A Hands-On Introduction to Hacking. Jeg ønsker definitivt å skrive flere nybegynnervennlige tekniske bøker i fremtiden. Selv om jeg bare har gjort et par engleinvesteringer så langt, håper jeg å kunne investere i og veilede andre oppstartsstiftere i fremtiden, spesielt tekniske grunnleggere som meg, og gjøre mer for å støtte kvinner og minoriteter i infosec.
Jeg har lært mye av å starte opp, men jeg er også en av den sjeldne rasen som egentlig bare vil gjøre sikkerhetsundersøkelser. Etter oppstart kan jeg forestille meg at jeg bare driver sikkerhetsforskning på heltid en stund. Helt ikke teknisk relatert, men hvis du følger meg på sosiale medier, har du kanskje lagt merke til at jeg konkurrerer i hesteeventer, så i år håper min hest Tempo og jeg å vinne Virginia Horse Show Association-finaler. På lengre sikt vil jeg gjerne bruke mer tid og ressurser på å matche redningshester med fortjente eiere og redde havskilpadder.
“ Du kan ikke fikse sikkerhet med forebyggende produkter alene. Testing er en nødvendig og ofte oversett del av sikkerheten. Hvordan vil en ekte angriper bryte seg inn i organisasjonen din? Vil de kunne omgå den forebyggende løsningen din? (Hint: ja.) ”- Georgia Weidman
