Sa mundo ngayon, kung saan malaki at maliliit na negosyo ang apektado ng mga pag-atake sa cyber at mga paglabag sa data, ang pag-gastos sa cybersecurity ay na-skyrocketed. Ang mga negosyo ay gumagastos ng milyun-milyong dolyar upang mapangalagaan ang kanilang mga panlaban sa cyber. At kung pinag-uusapan natin ang tungkol sa Cyber Security and Information Security, ang Georgia Weidman ay isa sa ilang mga kilalang pangalan sa industriya na nasa isipan.
Ang Georgia Weidman ay isang Ethical Hacker, Penetration Tester, CEO ng Shevirah Inc / Bulb Security LLC at may-akda ng librong "Penetration Test: Isang Hands-on Introduksiyon sa Pag-hack."
Narito ang isang eksklusibong pakikipanayam ng Georgia Weidman kasama ang aming koponan sa Ivacy kung saan tinanong namin ang ilang mga katanungan na may kaugnayan sa kanya at Cyber Security sa pangkalahatan:
Q1 - Kumusta Georgia, kami ay sobrang nasisiyahan sa iyo at lubos na humanga sa pag-alam sa kung gaano ka nakamit sa isang maikling panahon. Ano ang nagdadala sa iyo sa industriyang infosec na ito? Paano mo sinimulan ang iyong paglalakbay bilang isang Ethical Hacker?
Maaga akong nagtungo sa kolehiyo, sa 14 na sa halip na ang karaniwang 18. At kumuha ako ng isang degree sa matematika dahil hindi ko nais na maging isang siyentipiko sa computer. Ang aking ina ay isa at kung ano ang gustong maging tulad ng kanilang mga magulang?
Ngunit pagkatapos ay hindi ako tunay na makahanap ng trabaho sa 18 na may degree ng bachelor at walang karanasan sa trabaho, hiniling ako na gawin ang isang master's degree sa science sa computer, at bibigyan sila ng pera! Mas mabuti iyon kaysa sa pamumuhay kasama ng aking mga magulang.
Kaya pumasok ako sa programa ng Masters at ang unibersidad ay mayroong cyber defense club. Ang kapitan ng cyber defense club ay tila talagang kawili-wili at nais kong matuto nang higit pa tungkol sa kanya. Kaya, walang nalalaman tungkol sa cybersecurity, sumali ako sa cyber defense club at nakipagkumpitensya kami sa Mid-Atlantic Cyber Defense Competition. Kaya, nalaman ko na ang kawani ng cybersecurity ay mas kawili-wili kaysa sa lalaki, ngunit nahanap ko rin ang nais kong gawin sa aking buhay.
Q2- Ano ang iyong inspirasyon at pag-uudyok sa likod ng pagsulat ng iyong Aklat na "Pagsubok sa Pagsubok"?
Nais kong isulat ang libro na nais kong magkaroon noong ako ay nagsisimula sa infosec. Noong una kong sinimulan at sinusubukan upang malaman ang marami sa magagamit sa paraan ng mga tutorial at napunan nang labis na kaalaman na ginagawa ko ang katumbas na teknikal na hinahanap ang lahat ng mga salita sa diksyunaryo. Pagkatapos ang mga salitang iyon sa diksyonaryo ng mga bata upang makakuha ng isang ideya kung paano gumagana ang mga bagay na mas kaunti kung bakit sila nagtrabaho.
Kapag humihingi ng tulong, marami akong nakuha na "Bumaba n00b, " o "Subukan ang Mas Mahirap!" Kaysa sa mga paliwanag. Nais kong gawing mas madali para sa mga sumunod sa akin at punan ang puwang na iyon sa aking libro.
Q3- Tulad ng kawili-wili tulad ng pangalan, sabihin sa amin ang tungkol sa iyong kumpanya ng Bulb Security at kung paano nagsimula ang lahat?
Mayroon akong talagang dalawang kumpanya na Shevirah Inc. at Bulb Security LLC. Sinimulan ko ang Bulb nang nakatanggap ako ng isang bigyan ng DARPA Cyber Fast Track upang makabuo ng Smartphone Pentest Framework at kasunod ay sinisingil dahil sa pagkakaroon ng katapangan upang mag-aplay para sa paggawad nang nakapag-iisa.
Bilang karagdagan sa mga proyekto ng pananaliksik, nagtayo rin ako ng isang negosyo sa pagkonsulta sa pagsubok sa pagtagos, pagsasanay, reverse engineering, kahit na patent analysis sa puntong ito. Sa nakakapagod na bakanteng oras, propesor din ako sa University of Maryland University College at Tulane University.
Sinimulan ko ang Shevirah nang sumali ako sa Mach37 startup accelerator upang mabuo ang aking trabaho sa mobile at pagsubok ng Internet of Things na pagtagos, phishing simulation, at preventative control validation upang mapalawak ang aking pag-abot mula sa pagtulong sa ibang mga mananaliksik sa pagtulong sa mga negosyo na makakuha ng isang mas mahusay na pag-unawa sa kanilang mobile at Ang postura ng seguridad ng IoT at kung paano mapagbuti ito.
Q4- Well, sabihin sa amin ang tungkol sa nag-iisang pinaka kapana-panabik na oras kung kailan mo talagang ipinagmamalaki ang iyong trabaho bilang isang Penetration Tester.
Sa tuwing nakakapasok ako, lalo na sa isang bagong paraan, ay may parehong pagmamadali sa unang pagkakataon. Ang nagpapasaya sa akin ay ang pagkakaroon ng paulit-ulit na mga customer na hindi lamang naayos ang lahat na natagpuan namin sa unang pagkakataon, ngunit nagpatuloy din na itaas ang kanilang seguridad na pustura dahil ang mga bagong kahinaan at pag-atake ay kilala sa oras sa pagitan ng mga pagsubok.
Upang makita ang isang customer hindi lamang i-patch kung ano ang ginamit ko upang makapasok, ngunit bumuo din ng isang mas mature na seguridad na pustura para sa negosyo sa kabuuan, nangangahulugan na gumawa ako ng higit pa sa isang epekto kaysa sa pagpapakita lamang sa kanila na makakakuha ako ng domain admin Pagkalason ng LLMNR o EternalBlue.
Q5- Para sa mga nais na simulan ang kanilang Paglalakbay sa larangan ng Pagsubok sa Pagsubok at Pagsubok ng Ethical, ano ang mga mungkahi o payo sa karera na nais mong ibigay? Maaari itong maging anumang mga mungkahi sa kurso sa online, sertipiko o antas ng pang-edukasyon para sa bagay na iyon.
Gusto ko inirerekumenda ang aking libro, Penetration Testing: Isang Kamay-Panimula sa Pag-hack ng kurso. Gusto ko ring iminumungkahi na makisali sa mga lokal na pagpupulong o kumperensya tulad ng isang kabanata ng grupo ng DEF CON ng pangkat o Security BSides. Iyon ay isang mahusay na paraan upang matugunan ang mga potensyal na mentor at koneksyon sa industriya. Iminumungkahi ko rin ang paggawa ng isang proyekto sa pananaliksik o klase.
Ito ang kumpetisyon na nakuha sa akin sa #infosec. May mga kumpetisyon sa mga rehiyon sa buong bansa pati na rin ang isang nasyonal para sa mga panalo sa rehiyon. Ang isang mahusay na lugar upang ilagay ang iyong outreach dolyar at oras ng boluntaryo. https://t.co/TcNLC7r8tV
- Georgia Weidman (@georgiaweidman) Pebrero 28, 2019
Kaya't sa tingin ng maraming tao, ang pananaliksik sa seguridad ay madilim na mahika na nangangailangan ng mga kasanayan sa arcane tungkol sa panloob na mga pag-andar ng bootloader, ngunit, sa karamihan ng mga kaso, hindi iyon ang kaso. Kahit na nagsisimula ka lang, ang bawat isa ay may isang set ng kasanayan na maaaring makatulong sa iba sa larangan na maaari nilang ibahagi. Marahil ikaw ay mahusay sa pag-format sa Salita o may mga taon ng karanasan bilang isang admin ng system ng Linux?
Q6- Nais mo bang iminumungkahi ang ilang software ng seguridad, mga add-on, extension, atbp sa aming madla na nababahala tungkol sa kanilang online privacy at security? Mayroon bang mga nakakaloko na pamamaraan para sa maximum na proteksyon sa online?
Ibinigay na ang bahagi ng aking negosyo ay nagpapatunay ng pagiging epektibo ng mga solusyon sa pag-iwas, sigurado akong maiintindihan mo na kailangan kong manatiling nagbebenta ng agnostiko sa mga panayam. Mahalagang tandaan na walang bagay na tulad ng hindi mapanirang seguridad. Sa katunayan, naniniwala ako na ang istratehiya sa pagmemerkado ng pang-iwas sa seguridad ay, "Kung na-install mo ang aming software (o ilagay ang aming kahon sa iyong network), hindi mo na kailangang mag-alala tungkol sa seguridad, " ay ang sanhi ng marami sa ang mga paglabag sa mataas na profile na nakikita natin ngayon.
Ang mga negosyo, na napag-alaman ng mga tinatawag na dalubhasa na mga nagtitinda, ay nagtatapon ng maraming pera sa problema sa seguridad ngunit tinatanaw ang mga bagay tulad ng pag-patching at phishing na kamalayan dahil sinabi ng kanilang mga nagtitinda na nasasakop nila ang lahat. At, habang nakikita natin muli ang oras at oras, walang maiiwasang solusyon ang titigil sa lahat.
Q7- Mula sa paningin ng isang Hacker, gaano kahirap maging hack ang isang tao kung mayroon silang isang VPN na tumatakbo sa kanilang matalinong aparato? Gaano katindi ang mga VPN? Gumagamit ka ba?
Tulad ng karamihan sa mga pag-atake sa mga araw na ito, ang karamihan sa mga pag-atake sa mobile ay nagsasangkot ng ilang uri ng panlipunang engineering, madalas bilang bahagi ng isang mas malaking kadena ng pagsasamantala. Tulad ng mga produkto ng pag-iwas, ang isang VPN ay tiyak na maaaring makatulong laban sa ilang mga pag-atake at tiyak laban sa pag-aalis ng tubig, ngunit, hangga't ang mga gumagamit ng mobile ay nagda-download ng mga nakakahamak na aplikasyon, mga profile ng pamamahala, atbp at pagbubukas ng mga nakakahamak na link sa kanilang mga matalinong aparato, ang isang VPN ay maaari lamang pumunta sa ngayon.
Hikayatin ko ang mga gumagamit na gumamit ng mga VPN, lalo na sa mga pampublikong network, pati na rin sa iba pang mga produktong pangseguridad. Gusto ko lang na patuloy na maging maingat ang mga gumagamit tungkol sa kanilang seguridad sa poste kaysa sa umasa lamang sa mga produktong ito upang maprotektahan sila.
Q8- Sa pamamagitan ng exponential boom ng mga matalinong aparato at hindi kapani-paniwala na pag-unlad sa larangan ng IOT, ano sa palagay mo ang mga potensyal na banta sa seguridad at kahinaan na malamang na mai-tag?
Nakikita ko ang mga banta laban sa mobile at IoT bilang kapareho ng tradisyonal na mga aparato na may mas maraming mga entry at exit point. Sa isang Windows computer, may banta ng mga pag-atake ng malalayong code sa pag-atake kung saan kailangan ng gumagamit ay walang nagagawa para sa pag-atake na maging matagumpay, mga pag-atake ng kliyente na kung saan ang gumagamit ay kailangang magbukas ng isang malisyosong file maging isang web page, isang PDF, isang naisakatuparan, atbp. May mga pag-atake din sa panlipunang inhinyero at paglakas ng lokal na pribilehiyo.
Nawala ang mga patch, ang mga password ay madaling hulaan, ang software ng third party ay hindi sigurado, ang listahan ay nagpapatuloy. Sa mobile at IoT nahaharap namin ang mga parehong problema maliban sa halip na ang wired o wireless na koneksyon ay mayroon na tayong mobile modem, Zigbee, Bluetooth, Malapit sa Pakikipag-usap sa Field, para lamang mapangalanan ang ilan sa mga potensyal na pag-atake ng mga vectors pati na rin ang mga avenues upang makaligtaan ang anumang data prevention prevention na na-deploy. Kung ang kompidensiyal na data ay sinipsip mula sa database ng isang nakompromiso na mobile device at pagkatapos ay ipinadala sa cellular network sa pamamagitan ng SMS, ang lahat ng teknolohiyang pang-iwas sa mundo sa perimeter ng network ay hindi mahuhuli. Gayundin, mayroon kaming mas maraming mga paraan kaysa dati na ang mga gumagamit ay maaaring maging inhinyero sa lipunan.
Sa halip na email lamang at isang tawag sa telepono ngayon mayroon kaming SMS, social media tulad ng Whatsapp at Twitter, QR code, ang listahan ng napakaraming mga paraan na maaaring mai-target ng isang gumagamit upang buksan o mag-download ng isang bagay na nakakahamak na nagpapatuloy.
Q9- Mayroon bang mga kumperensya sa seguridad na inaasahan mo? Kung Oo, kung gayon ano ang mga iyon?
Gusto ko rin makakita ng mga bagong lugar at makatagpo ng mga bagong tao. Kaya't palaging ako ay naglalakad para sa paglalakbay sa mga dayuhang lupain upang gumawa ng mga kumperensya. Ngayong taon ay inanyayahan ako sa keynote RastacCon! sa Jamaica. Noong nakaraang taon ay nagkaroon ako ng isang magandang panahon sa pagbisita sa Salvador, Brazil, na keynoting ang isa sa mga kumperensya ng Roadsec. Gayundin sa taong ito ako ay keynoting Carbon Black Connect, na kung saan ay isang mahusay na lugar para sa akin habang nagtatrabaho ako upang maging kilalang-kilala sa mundo ng negosyo tulad ng ako ay nasa infosec world. Sa kabila ng pagiging mainit at masikip sa Las Vegas, ang kampo ng tag-init ng infosec (Blackhat, Defcon, BSidesLV, kasama ang iba pang mga kaganapan sa parehong oras) ay isang mahusay na paraan upang makibalita sa maraming mga tao mula sa industriya at makita kung ano ang kanilang na-up sa.
Q10- Ano ang iyong mga plano sa hinaharap? Magsusulat ka ba ng ibang libro? Pagtatag ng ibang kumpanya? Pagsukat ng umiiral na? Ano ang hinahanap ni Georgia Weidman upang maisagawa pa sa kanyang buhay?
Kasalukuyan akong tinatapos ang 2nd Edition ng Pagsubok sa Penetration: Isang Kamay-Sa Panimula sa Pag-hack. Tiyak na nais kong magsulat ng mga karagdagang mga libro sa teknikal na nagsisimula-friendly Kahit na sa ngayon ay nagawa ko lamang ang mga pamumuhunan ng anghel hanggang ngayon, inaasahan kong magagawang mamuhunan at magturo ng iba pang mga tagapagtatag ng startup sa hinaharap, lalo na ang mga teknikal na tagapagtatag tulad ko, at gumawa ng higit pa upang suportahan ang mga kababaihan at mga menor de edad sa infosec.
Marami akong natutunan sa paggawa ng isang pagsisimula, ngunit isa rin ako sa bihirang lahi na talagang nais na gumawa ng pananaliksik sa seguridad. Post-startup Naisip ko ang aking sarili na gumagawa lamang ako ng security research sa buong oras. Ganap na hindi nauugnay sa tech, ngunit kung susundin mo ako sa social media, maaari mong napansin na nakikipagkumpitensya ako sa mga kaganapan sa equestrian, kaya sa taong ito ang aking kabayo na Tempo at inaasahan kong manalo ng Virginia Horse Show Association finals. Mas matagal, nais kong maglaan ng mas maraming oras at mapagkukunan sa pagtutugma ng mga kabayo sa pagliligtas na may karapat-dapat na mga may-ari at magse-save ng mga pagong dagat.
"Hindi mo maaaring ayusin ang seguridad sa mga preventative produkto lamang. Ang pagsubok ay isang kinakailangan at madalas na hindi napapansin na bahagi ng seguridad. Paano masisira ang isang tunay na attacker sa iyong samahan? Magagawa nilang mai-bypass ang iyong preventative solution? (Hint: oo.) ”- Georgia Weidman
