I nutidens verden, hvor store og små virksomheder i vid udstrækning er påvirket af cyberangreb og dataovertrædelser, er udgifterne til cybersikkerhed skyrocket. Virksomheder bruger millioner af dollars for at beskytte deres cyberforsvar. Og når vi taler om cybersikkerhed og informationssikkerhed, er Georgia Weidman et af de få prominente navne i branchen, der kommer til at tænke på.
Georgia Weidman er en etisk hacker, penetrationstester, administrerende direktør for Shevirah Inc / Bulb Security LLC og forfatter af bogen "Penetration Testing: A Hands-on Introduction to Hacking."
Her er et eksklusivt interview af Georgia Weidman med vores team hos Ivacy, hvor vi stillede nogle spørgsmål i forbindelse med hende og Cyber Security generelt:
Q1 - Hej Georgien, vi er superglade for at have dig og var helt imponeret over at vide, hvor meget du har opnået på kort tid. Hvad bringer dig til denne infosec industri? Hvordan du startede din rejse som etisk hacker?
Jeg gik tidligt på college, klokken 14 i stedet for den sædvanlige 18. Og jeg tog en matematikeksamen, fordi jeg ikke ønskede at blive datalogi. Min mor var en, og hvilken teenager vil gerne være som deres forældre?
Men så kunne jeg ikke rigtig finde et job på 18 med bare en bachelorgrad og ingen arbejdserfaring, jeg blev bedt om at lave en kandidatgrad i datalogi, og de ville give mig penge! Det var bedre end at skulle bo hos mine forældre.
Så jeg gik ind i kandidatuddannelsen, og universitetet havde en cyberforsvarsklub. Kaptajnen for cyberforsvarsklubben virkede virkelig interessant, og jeg ville gerne lære mere om ham. Så da jeg ikke vidste noget om cybersikkerhed, sluttede jeg mig til cyberforsvarsklubben, og vi konkurrerede i Midt-atlantisk cyberforsvarskonkurrence. Nå, jeg lærte, at cybersikkerhed var mere interessant end fyren, men jeg fandt også, hvad jeg ville gøre med mit liv.
Spørgsmål 2 - Hvad var din inspiration og motivation bag at skrive din bog "Penetration Testing"?
Jeg ville skrive den bog, som jeg ønskede, at jeg havde, da jeg startede i infosec. Da jeg først begyndte og forsøgte at lære så meget af hvad der var tilgængeligt i vejen for tutorials og samlet så meget forkendskab, at jeg gjorde det tekniske svar på at søge alle ordene i ordbogen op. Så disse ord i børnenes ordbog for endda at få et indblik i, hvordan tingene virkede meget mindre, hvorfor de arbejdede.
Da jeg bad om hjælp, fik jeg en masse "Gå af n00b" eller "Prøv hårdere!" Snarere end forklaringer. Jeg ville gøre det lettere for dem, der kom efter mig og udfylde det hul med min bog.
Spørgsmål 3 - Så interessant som navnet er, fortæl os om din virksomhed Bulb Security og hvordan det hele startede?
Jeg har faktisk to virksomheder Shevirah Inc. og Bulb Security LLC. Jeg startede Pære, da jeg modtog et DARPA Cyber Fast Track-tilskud til at opbygge Smartphone Pentest Framework og blev derefter irettesat for at have modet til at ansøge om tilskuddet uafhængigt.
Foruden forskningsprojekterne byggede jeg også en konsulentvirksomhed med penetrationstest, træning, reverse engineering, endda patentanalyse på dette tidspunkt. På min rigelige fritid er jeg også professor ved University of Maryland University College og Tulane University.
Jeg startede Shevirah, da jeg sluttede mig til Mach37-startacceleratoren for at fremstille mit arbejde inden for mobil- og Internet of Things-penetrationstest, phishing-simulering og validering af forebyggende kontrol for at udvide min rækkevidde fra at hjælpe andre forskere med at hjælpe virksomheder med at få en bedre forståelse af deres mobil og IoT-sikkerhedsstilling og hvordan man forbedrer den.
Q4- Fortæl os om den mest spændende tid, hvor du virkelig var stolt af dit job som en penetrationstester.
Hver gang jeg kommer ind, især på en ny måde, har det samme sus som første gang. Det, der også gør mig stolt, er at have gentagne kunder, som ikke kun fik fikseret alt, hvad vi fandt første gang, men som også har fortsat med at hæve deres sikkerhedsposition, da nye sårbarheder og angreb blev kendt i tiden mellem testene.
At se en kunde ikke kun bare lappe det, jeg plejede at få i, men også opbygge en mere moden sikkerhedskontrol for virksomheden som helhed, betyder, at jeg har gjort meget mere af en indflydelse end bare at vise dem, at jeg kan få domæneadministrator med LLMNR-forgiftning eller EternalBlue.
Q5- For dem, der ønsker at starte deres rejse inden for etisk hacking og penetrationstest, hvilke forslag eller karriererådgivning vil du gerne give? Det kan være ethvert online kursusforslag, certifikater eller undervisningsgrad for den sags skyld.
Jeg vil anbefale min bog, Penetration Testing: A Hands-On Introduktion til Hacking selvfølgelig. Jeg vil også foreslå at blive involveret i lokale hacker-møder eller konferencer såsom et lokalt DEF CON-gruppekapitel eller Security BSides. Det er en fantastisk måde at møde potentielle mentorer og forbindelser i branchen. Jeg vil også foreslå, at du laver et forskningsprojekt eller en klasse.
Dette er den konkurrence, der fik mig til #infosec i første omgang. Der er konkurrencer i regioner over hele landet såvel som statsborgere for de regionale vindere. Et godt sted at placere dine opsøgende dollars og frivillige timer. https://t.co/TcNLC7r8tV
- Georgia Weidman (@georgiaweidman) 28. februar 2019
Så mange mennesker synes, at sikkerhedsundersøgelser er mørk magi, der kræver arkane færdigheder omkring bootloaders indre funktion, men i de fleste tilfælde er det ikke tilfældet. Selv hvis du lige er begyndt, har alle et færdigheds sæt, der ville være nyttigt for andre inden for området, som de kan dele. Måske er du god til at formatere i Word eller har mange års erfaring som Linux-systemadministrator?
Q6- Vil du foreslå noget sikkerhedssoftware, tilføjelsesprogrammer, udvidelser osv. Til vores publikum, der er bekymrede over deres online privatliv og sikkerhed? Er der nogen idiotsikker metoder til maksimal online-beskyttelse?
I betragtning af at en del af min virksomhed validerer effektiviteten af forebyggende løsninger, er jeg sikker på, at du forstår, at jeg er nødt til at forblive sælgeragnostiker i interviews. Det er vigtigt at bemærke, at der ikke findes noget som idiotsikker sikkerhed. Faktisk er jeg meget overbevist om, at forebyggende sikkerhedsleverandørers markedsføringsstrategi af "Hvis du installerer vores software (eller lægger vores kasse på dit netværk), behøver du ikke at bekymre dig om sikkerhed længere", er grundårsagen til mange af de høje profilbrud, vi ser i dag.
Virksomheder, der er blevet informeret af disse såkaldte ekspertleverandører, kaster en masse penge på sikkerhedsproblemet, men overser ting som plaster og phishing-opmærksomhed, fordi deres leverandører sagde, at de havde det hele dækket. Og som vi ser gang på gang, vil ingen forebyggende løsning stoppe alting.
Q7 - Fra en hackers synspunkt, hvor vanskeligt bliver det at hacke nogen, hvis de har en VPN, der kører på deres smarte enhed? Hvor effektive er VPN'er? Bruger du nogen?
Som de fleste angreb i disse dage involverer de fleste mobile angreb en slags social engineering, ofte som en del af en større udnyttelseskæde. Som med de forebyggende produkter kan en VPN bestemt være nyttig mod nogle angreb og bestemt mod aflytning, men så længe mobile brugere downloader ondsindede applikationer, administrationsprofiler osv. Og åbner ondsindede links på deres smarte enheder, kan en VPN kun gå så langt.
Jeg vil opfordre brugere til at bruge VPN'er, især på offentlige netværk såvel som andre sikkerhedsprodukter selvfølgelig. Jeg vil bare gerne have, at brugere fortsætter med at være opmærksomme på deres sikkerhedsposition snarere end at stole udelukkende på disse produkter for at beskytte dem.
Q8 - Med den eksponentielle boom af smarte enheder og en utrolig udvikling inden for IOT, hvad tror du, er de potentielle sikkerhedstrusler og sårbarheder, der sandsynligvis vil mærke med?
Jeg ser truslerne mod mobil og IoT som de samme som traditionelle enheder med flere ind- og udgangspunkter. På en Windows-computer er der truslen om angreb på fjernudførelse af kode, hvor brugeren ikke behøver at gøre noget for, at angrebet skal være vellykket, angreb fra klientsiden, hvor brugeren har brug for at åbne en ondsindet fil, det være sig en webside, en PDF, en eksekverbar osv. Der er også sociale ingeniørangreb og lokal privilegieoptrapning.
Patcher mangler, adgangskoder er nemme at gætte, tredjepartssoftware er usikker, listen fortsætter. I mobil og IoT behandler vi de samme problemer, undtagen i stedet for kun den kablede eller trådløse forbindelse, har vi nu mobilmodemet, Zigbee, Bluetooth, Near Field Communication, bare for at nævne nogle få som potentielle angrebsvektorer såvel som muligheder for at omgå enhver datatab forebyggelse implementeret. Hvis fortrolige data siphones fra databasen af en kompromitteret mobilenhed og derefter sendes til mobilnetværket via SMS, vil al den forebyggende teknologi i verden ved netværkets perimeter ikke fange dem. Ligeledes har vi flere måder end nogensinde før brugere kan være socialt konstrueret.
I stedet for bare e-mail og et telefonopkald nu har vi SMS, sociale medier som Whatsapp og Twitter, QR-koder, listen over de utallige måder, en bruger kan blive målrettet mod at åbne eller downloade noget ondsindet, der foregår og fortsætter.
Q9- Er der nogen sikkerhedskonferencer, du ser frem til? Hvis ja, hvad er der da?
Jeg kan også godt lide at se nye steder og møde nye mennesker. Så jeg er altid klar til at rejse til fremmede lande for at holde konferencer. I år er jeg blevet inviteret til at overføre RastacCon! på Jamaica. Sidste år havde jeg en vidunderlig tid på besøg i Salvador, Brasilien, hvor jeg valgte en af Roadsec-konferencerne. Også i år er jeg i gang med at vælge Carbon Black Connect, som er et godt sted for mig, da jeg arbejder for at blive så velkendt i erhvervslivet som jeg er i infosec verdenen. På trods af at være i hot og overfyldt Las Vegas, er infosec sommerlejr (Blackhat, Defcon, BSidesLV, plus forskellige andre begivenheder på samme tid) en fantastisk måde at indhente mange mennesker fra branchen og se, hvad de har været oppe med til.
Q10- Hvad er dine fremtidsplaner? Vil du skrive en anden bog? Grundlægger du et andet firma? Skalerer du den eksisterende? Hvad er Georgia Weidman, der ønsker at nå videre i sit liv?
Jeg er i færdig med at afslutte den 2. udgave af Penetration Testing: A Hands-On Introduction to Hacking. Jeg vil bestemt gerne skrive yderligere begyndervenlige tekniske bøger i fremtiden. Selvom jeg kun har foretaget et par engleinvesteringer indtil videre, håber jeg at kunne investere i og mentorere andre oprindelsesstiftere i fremtiden, især tekniske grundlæggere som mig, og gøre mere for at støtte kvinder og minoriteter i infosec.
Jeg har lært meget af at lave en opstart, men jeg er også en af den sjældne race, der virkelig bare ønsker at lave sikkerhedsundersøgelser. Efter opstart kan jeg forestille mig, at jeg bare laver sikkerhedsundersøgelser på fuld tid i et stykke tid. Helt ikke teknologirelateret, men hvis du følger mig på sociale medier, har du måske bemærket, at jeg konkurrerer i hestesportbegivenheder, så i år håber min hest Tempo og jeg at vinde Virginia Horse Show Association-finaler. På længere sigt vil jeg gerne bruge mere tid og ressourcer på at matche redningsheste med fortjenstfulde ejere og redde havskildpadder.
” Du kan ikke løse sikkerhed med forebyggende produkter alene. Testning er en nødvendig og ofte overset del af sikkerheden. Hvordan bryder en rigtig angriber ind i din organisation? Vil de være i stand til at omgå din forebyggende løsning? (Tip: ja.) ”- Georgia Weidman
