Büyük ve küçük işletmelerin siber saldırılardan ve veri ihlallerinden büyük ölçüde etkilendiği günümüz dünyasında, siber güvenlik harcamaları fırladı. İşletmeler siber savunmasını korumak için milyonlarca dolar harcıyorlar. Siber Güvenlik ve Bilgi Güvenliği hakkında konuştuğumuzda, Georgia Weidman, akla gelen sektörde öne çıkan isimlerden biri.
Georgia Weidman, Shevirah Inc / Bulb Security LLC'nin CEO'su olan Etik Hacker, Penetrasyon Test Cihazı ve “Penetrasyon Testi: Hacking'e Uygulamalı Bir Giriş” kitabının yazarıdır.
İşte Georgia Weidman'ın Ivacy'deki ekibimizle, genel olarak kendisi ve Siber Güvenlik ile ilgili bazı sorular sorduğumuz özel röportajı:
S1 - Merhaba Gürcistan, size sahip olduğumuz için çok memnunuz ve kısa sürede ne kadar kazandığınızı bilerek çok etkilendik. Seni bu infosec endüstrisine getiren nedir? Yolculuğunuza Etik Korsan Olarak Nasıl Başladınız?
Her zamanki 18 yerine 14 yaşında koleje gittim. Ve matematik diploması aldım çünkü bilgisayar uzmanı olmak istemiyordum. Annem bir yaşındaydı ve hangi genç ebeveynleri gibi olmak istiyor?
Ama o zaman 18 yaşında bir lisans derecesi ve iş deneyimi olmayan bir iş bulamadım, bilgisayar bilimi alanında yüksek lisans yapmam istendi ve bana para vereceklerdi! Bu ailemle yaşamak zorunda kalmaktan daha iyiydi.
Bu yüzden Master programına girdim ve üniversitede bir siber savunma kulübü vardı. Siber savunma kulübünün kaptanı gerçekten ilginç görünüyordu ve onun hakkında daha fazla şey öğrenmek istedim. Böylece, siber güvenlik hakkında hiçbir şey bilmeden, siber savunma klübüne katıldım ve Orta Atlantik Siber Savunma Yarışması'nda rekabet ettik. Şey, siber güvenliğin adamdan daha ilginç olduğunu öğrendim, ama hayatımla ne yapmak istediğimi de buldum.
S2- “Penetrasyon Testi” kitabınızı yazmanın ardındaki ilham ve motivasyonunuz neydi?
İnfosec'e başlarken dilediğim kitabı yazmak istedim. İlk başladığımda ve öğreticiler yolunda mevcut olan şeyleri öğrenmeye çalıştığımda ve sözlükteki tüm kelimeleri ararken teknik eşdeğeri olarak yaptığım kadar önceki bilgileri biriktirdiğimde. Sonra çocuk sözlüğündeki bu kelimeler, işlerin neden daha az işe yaradıklarına dair bir fikir edinmeye başladı.
Yardım isterken, açıklamalardan çok “n00b'den kurtul” veya “Daha Çok Deneyin!” Alıyorum. Benim peşimden gelenler için kolaylaştırmak ve bu boşluğu kitabımla doldurmak istedim.
S3- İsmi olduğu kadar ilginç, bize Bulb Security firmanız hakkında bilgi verin ve her şey nasıl başladı?
Aslında iki şirketim Shevirah Inc. ve Bulb Security LLC var. Smartphone Pentest Framework'ü kurmak için bir DARPA Cyber Fast Track hibesi aldığımda Bulb'a başladım ve daha sonra hibe için bağımsız olarak başvuruda bulunabilmek için cüret ettim.
Araştırma projelerine ek olarak, bu noktada penetrasyon testi, eğitim, tersine mühendislik, hatta patent analizi danışmanlığı da yaptım. Çok boş zamanlarımda, ayrıca Maryland Üniversitesi Koleji ve Tulane Üniversitesi'nde profesörüm.
Mobil ve Nesnelerin İnterneti penetrasyon testi, kimlik avı simülasyonu ve önleyici kontrol doğrulamasını yapmak için Mach37 başlangıç hızlandırıcısına katıldığımda Shevirah’a başladım. IoT güvenlik duruşu ve nasıl geliştirileceği.
S4- Bir Penetrasyon Test Cihazı olarak işinizle gerçekten gurur duyduğunuzda bize en heyecan verici zamanı anlatın.
Her girdiğimde, özellikle yeni bir şekilde, ilk kez aynı acele etti. Ayrıca beni gururlandıran şey, yalnızca ilk defa bulduğumuz her şeyi düzelten değil, testler arasındaki dönemde yeni güvenlik açıkları ve saldırılar ortaya çıktıkça güvenlik duruşlarını yükseltmeye devam eden müşterileri tekrarlamak.
Bir müşteriyi görmek için sadece eskiden alıştıklarımı izlemekle kalmayıp, aynı zamanda işletme için daha olgun bir güvenlik duruşunu da oluşturmak, etki alanı yöneticisi alabileceğimi göstermekten çok daha fazla etki yarattığım anlamına geliyor. LLMNR zehirlenmesi veya EternalBlue.
S5- Etik Hacking ve Penetrasyon Testi alanında Yolculuğuna başlamak isteyenler için ne önerileri veya kariyer tavsiyesi vermek istersiniz? Herhangi bir çevrimiçi kurs önerisi, sertifika veya bu konuda eğitim derecesi olabilir.
Penetrasyon Testi: Kitabı Hacking'e Uygulamalı Bir Giriş dersi kitabımı öneririm. Ayrıca, yerel DEF CON grup bölümü veya Güvenlik BSidesleri gibi yerel bilgisayar korsanları toplantılarına veya konferanslarına katılmanızı öneririm. Sektördeki potansiyel danışmanlarla ve bağlantılarla tanışmanın harika bir yolu. Ayrıca bir araştırma projesi ya da sınıfı yapmayı da öneririm.
Bu beni ilk etapta #infosec'e sokan rekabet. Ülkenin dört bir yanındaki bölgelerde bölgesel kazananlar için bir uyruk var. Sosyal yardım dolarınızı ve gönüllü saatlerinizi koymak için iyi bir yer. https://t.co/TcNLC7r8tV
- Georgia Weidman (@georgiaweidman) 28 Şubat 2019
Pek çok insan güvenlik araştırmasının bootloader'ın iç çalışmaları hakkında gizli beceriler gerektiren karanlık bir sihir olduğunu düşünüyor, ancak çoğu durumda durum böyle değil. Yeni başlamış olsanız bile, herkesin paylaşabilecekleri alanda başkalarına yardımcı olabilecek bir beceri seti vardır. Belki Word'de biçimlendirme konusunda harikasınız ya da Linux sistem yöneticisi olarak yılların deneyimine sahipsin?
S6- İzleyicilere çevrimiçi gizlilik ve güvenlikleri hakkında endişe duyan bazı güvenlik yazılımları, eklentiler, uzantılar vb. Önermek ister misiniz? Maksimum çevrimiçi koruma için kusursuz yöntemler var mı?
İşletmemin bir kısmı önleyici çözümlerin etkinliğini doğruladığı için, görüşmelerde satıcıyı agnostik olarak kalmam gerektiğini anlayacağınıza eminim. Kusursuz güvenlik diye bir şey olmadığını not etmek önemlidir. Aslında, koruyucu güvenlik üreticilerinin “Yazılımımızı yüklüyorsanız (veya ağımızı kutuya koyarsak) pazarlama stratejisinin, artık güvenlik konusunda endişelenmenize gerek kalmayacağına” inanıyorum. Bugünlerde görülen yüksek profilli ihlaller.
Bu sözde uzman satıcılar tarafından bilgilendirilen şirketler, güvenlik sorununa çok fazla para atıyorlar, ancak satıcıları her şeyin kapadığını belirttiğinden, yama ve kimlik avı farkındalığı gibi şeyleri görmezden geliyorlar. Ve tekrar tekrar zaman ve tekrar gördüğümüz gibi, hiçbir önleyici çözüm her şeyi durduramaz.
S7- Bir Hacker'in bakış açısından, akıllı cihazlarında çalışan bir VPN varsa, birisinin hacklenmesi ne kadar zor olur? VPN'ler ne kadar etkilidir? Herhangi birini kullanıyor musun?
Bugünlerde çoğu saldırı gibi, çoğu mobil saldırı çoğu zaman daha büyük bir sömürü zincirinin parçası olarak bir tür sosyal mühendislik içeriyor. Önleyici ürünlerle olduğu gibi, bir VPN de bazı saldırılara ve kesinlikle gizlice dinlenmeye karşı kesinlikle yardımcı olabilir, ancak mobil kullanıcılar kötü niyetli uygulamalar, yönetim profilleri vb. İndirdikleri ve akıllı cihazlarına kötü niyetli bağlantılar açtığı sürece, bir VPN yalnızca çok ileri git.
Kullanıcıları VPN'leri, özellikle halka açık ağlarda ve tabii ki diğer güvenlik ürünlerinde kullanmalarını teşvik ediyorum. Kullanıcıların, yalnızca onları korumak için bu ürünlere güvenmek yerine güvenlik durumları konusunda dikkatli olmaya devam etmelerini istiyorum.
S8- Akıllı cihazların üssel patlaması ve IOT alanındaki inanılmaz gelişme ile birlikte, muhtemelen etiketleyebilecek potansiyel güvenlik tehditleri ve güvenlik açıkları nelerdir?
Mobil ve IoT'ye yönelik tehditleri, daha fazla giriş ve çıkış noktalarına sahip geleneksel cihazlarla aynı şekilde görüyorum. Windows bilgisayarda, saldırının başarılı olması için kullanıcının hiçbir şey yapmaması gereken uzaktan kod yürütme saldırıları tehdidi, kullanıcının kötü niyetli bir dosyayı açması gereken istemci tarafı saldırıları web sayfası, PDF, yürütülebilir, vb. Ayrıca sosyal mühendislik saldırıları ve yerel ayrıcalık artışı da var.
Yamalar eksik, şifreler kolay tahmin edilebiliyor, üçüncü parti yazılımlar güvensiz, liste devam ediyor. Mobil ve IoT'de, sadece kablolu veya kablosuz bağlantı yerine şu anda aynı sorunları ele alıyoruz; mobil modem, Zigbee, Bluetooth, Yakın Alan İletişimi, sadece birkaç tanesini atlamak için olası saldırı vektörleri ve bazı potansiyel saldırı vektörleri olarak adlandırıyoruz. veri kaybı önleme konuşlandırıldı. Gizli veriler veri tabanından tehlikeye atılmış bir mobil cihaz tarafından şifreleniyorsa ve daha sonra SMS yoluyla hücresel ağa gönderiliyorsa, dünyadaki ağ koruyucu dünyadaki tüm önleyici teknolojiler onu yakalamaz. Aynı şekilde, kullanıcıların sosyal olarak tasarlanabileceğinden çok daha fazla yolumuz var.
Artık sadece e-posta ve telefon görüşmesi yerine SMS, Whatsapp ve Twitter gibi sosyal medya, QR kodları, bir kullanıcının kötü niyetli bir şeyi açmak veya indirmek için hedefleyebileceği sayısız yolun listesi var.
S9- Beklediğiniz herhangi bir güvenlik konferansı var mı? Evet ise, bunlar nedir?
Ayrıca yeni yerler görmeyi ve yeni insanlarla tanışmayı seviyorum. Bu yüzden konferans yapmak için her zaman yabancı ülkelere seyahat etmeye hazırım. Bu yıl RastacCon! 'Un açılış konuşmasına davet edildim! Jamaika’da Geçen yıl, Roadsec konferanslarından birini düzenleyen Brezilya'nın Salvador kentini ziyaret ettim. Ayrıca bu yıl, infosec dünyasında olduğum gibi iş dünyasında da iyi tanınmaya çalıştığım için benim için iyi bir yer olan Carbon Black Connect'i hatırlıyorum. Sıcak ve kalabalık Las Vegas'ta olmasına rağmen, infosec yaz kampı (Blackhat, Defcon, BSidesLV, artı aynı anda çeşitli diğer etkinlikler) sektörden birçok insanı yakalamak ve neler yaptıklarını görmek için harika bir yoldur. için.
S10- Gelecek planlarınız neler? Başka bir kitap mı yazacaksın? Başka bir şirket mi kuruyorsunuz? Mevcut olanı ölçeklendirme? Georgia Weidman hayatında daha fazlasını başarmak için neyi hedef alıyor?
Şu anda Penetrasyon Testinin 2. Basımını bitirdim: Hacking'e Uygulamalı Bir Giriş. Gelecekte kesinlikle acemi dostu ek teknik kitaplar yazmak istiyorum. Şu ana kadar sadece birkaç melek yatırım yapmama rağmen, gelecekte benim gibi diğer teknik kuruculara, özellikle de benim gibi teknik kuruculara yatırım yapmayı ve mentorluk yapmayı ve infosec'teki kadın ve azınlıkları desteklemek için daha fazlasını yapmayı umuyorum.
Yeni bir başlangıç yapmaktan çok şey öğrendim, fakat aynı zamanda gerçekten sadece güvenlik araştırması yapmak isteyen nadir türlerden biriyim. Başlangıç sonrası bir süredir tam zamanlı olarak güvenlik araştırması yaptığımı hayal ediyorum. Tamamen teknoloji ile ilgili değil, ama beni sosyal medyada takip ederseniz, binicilik etkinliklerinde rekabet ettiğimi fark etmiş olabilirsiniz, bu yıl atım Tempo ve Virginia At Gösterisi Derneği finallerini kazanmayı umuyorum. Uzun vadede, kurtarma atlarını hak sahipleriyle ve deniz kaplumbağalarını kurtarmakla eşleştirmek için daha fazla zaman ve kaynak ayırmak istiyorum.
“ Yalnızca önleyici ürünlerle güvenliği düzeltemezsiniz. Test etmek, güvenliğin gerekli ve sıklıkla gözden kaçırılan bir parçasıdır. Gerçek bir saldırgan kuruluşunuza nasıl girecek? Önleyici çözümünüzü atlayabilecekler mi? (İpucu: evet.) ”- Georgia Weidman
