비디오: [ë¤ìë³´ë 맥ìë]ì¤í°ë¸ì¡ì¤ ì(å¼) í리ì í ì´ì ìê³ëª (십월 2024)
이번 Fast Forward 에피소드에서는 Verizon Media의 내부 Red Team 책임자 인 Josh Schwartz를 환영합니다. 즉, 급여를받지 않는 사람이 똑같은 일을하기 전에 고용주의 가장 가치 있고 신뢰할 수있는 시스템을 해킹하려고하면서 일을 보낸다는 것을 의미합니다.
Dan Costa: 사람들이 레드 팀이 무엇인지 모호하게 생각합니다. 그들은 영화에서 그들을 보았습니다. TV에서 보는 것처럼 재미 있고 신나는가요?
Josh Schwartz: 나만 바래요? 침입하여 장소에 도착해야 할 책임이 있습니다. 물론 그것은 흥미 진진하지만 분명히 영화에서는 모든 것이 순간적으로 일어나고 실제로는 그렇지 않습니다. 많은 작업이 필요합니다… 장난을 일으키는 것만으로는 아닙니다.
실제로 조직 내 변화에 영향을 미치려고 노력하고 있으며 조직에 '나쁜 사람들은 실제로 무엇을합니까?' 내부의 적색 팀이되는이 역할은 여전히 흥미 진진하지만 여전히 회의에 참석해야하고 목표를 설정해야합니다.
Dan Costa:이 팀의 개인은 누구입니까? 프로그래머가 많다고 생각하지만 프로그래머에만 국한된 것이 아니라고 생각합니다.
Josh Schwartz: 팀의 다양한 스킬 셋은 보유하고 있지 않은 경우 해당 기능이 없습니다. 영화에서 보는 것 때문에 오해가 자주 발생합니다. 해커가 한 명있어 어떤 기술적 문제도 해결할 수 있습니다.
Dan Costa: 무기 전문가 인 자동차 전문가가 있습니다.
Josh Schwartz: 실제로 각 팀원이 전문가가되도록 팀을 구성합니다. 이 사람은 물리적 침입을 수행하는 방법을 알고있는 사람이고 다른 사람은 암호화 전문가이고 다른 사람은 사회 공학 전문가입니다. 각 사람을 전문가로 만든다는 것은 문제 유형의 팀을 효과적으로 해결하기 위해 서로 의지 할 수 있음을 의미합니다.
Dan Costa: 사무실에서 하루는 어떻게 생겼나요? 어떤 종류의 것들을 테스트하고 있습니까?
Josh Schwartz: 해커가되는 것은 시스템을 분해하는 것을 좋아하는 사람 일뿐입니다. 이것이 바로 우리가 해커라는 것만으로 범죄자가 아닌 이유입니다.
그래서 사무실에서 하루에 우리는보고 싶은 최악의 시나리오와 같은 결과를 기반으로 목표를 설정합니다. 우리가이 목표를 달성하기 위해 아무 것도하지 않고 회사에 정말 나쁜 단계는 무엇입니까? 거기에서 "킬 체인"이라는 것을 만들 수 있습니다. 사무실에서 하루는 그 체인을 만드는 방법을 알아 내고 있습니다. 그런 다음 체인을 끊을 수있는 다른 장소에 대해 생각합니다. 여기에서 우리는 이해 관계자와 만나 공격자들이 어떻게 할 것인지를 알려주고이를 해결하기 위해 약간의 변경을 제공합니다.
Dan Costa: 가장 걱정하는 벡터는 무엇입니까? 사람들에게 이메일 또는 이메일 첨부 파일에 첨부 된 링크를 클릭하지 말라고 알려주는 이메일이 여전히 IT로부터 발송되고 있음을 알고 있습니다. 아직 존재하지 않는 취약점은 어디에 있습니까?
Josh Schwartz: 많은 경고에도 불구하고 링크를 클릭하고 첨부 파일을 다운로드하는 경우 컴퓨터에서 실행하면 문제가됩니다. 그러나 우리는 이제 클라우드와 다른 장소에 존재하는 정보에 액세스 할 수있는 새로운 시대로 진화했습니다. 다른 사람에게 액세스 권한을 부여하는 경우에도 마찬가지입니다.
이미 주변에 많은 보호 기능이 있기 때문에 컴퓨터에서 실행되는 것보다 문제가 많습니다. 이제 우리는 정보가 어디에나 떠 다니고 있으며이를 통제 할 기관이 있습니다. 다른 것들에 대한 액세스 권한을 부여하는 대행사가 있습니다. 그것은 인터넷이 작동하는 방식입니다. 우리를 포함한 공격자들은 조금 더 그런쪽으로 이동했습니다.
Dan Costa: 내 Google 드라이브와 내가 액세스 할 수없는 파일이 몇 개인 지 확인하는 것조차 매우 특별합니다. Ziff Davis와 PCMag만큼 기술적으로 정교하지 않은 회사에서는 훨씬 더 나쁘다고 생각합니다. 악성 코드를 실행하는 파일 일뿐만 아니라 경쟁 업체가 최종 사용자 나 범죄자를 갖기를 원하지 않는 회사 문서 나 재무 문서 일 수도 있습니다.
Josh Schwartz: 일반적으로 보안은이 전체 론적 시스템입니다. ``시스템에 버그가 생겨서 폭발 할 것 ''이나 그와 비슷한 것이 아닙니다. 더 이상 그런 식으로 작동하지 않습니다. 상호 연결된 시스템, 사람, 비즈니스 프로세스, 이를 지원하는 기술, 시스템에 대한 느낌, 정책 등 모든 것이 보안입니다.
보안은 종종 여러분이 느끼는 방식의 일부입니다. 데이터와 정보에 대해 어떻게 생각하십니까? 그것을 보호하기 위해 어떤 조치를 취할 수 있습니까? 당신이 그것에 대해 강하게 느끼고 당신이 넣는 노력이 그것을 얻기 위해 주위의 힘의 노력보다 적다면, 당신은 안전하지 않습니다. 그러나 충분한 노력을 기울이고 있고 아무 일도 일어나지 않는다고 느끼면 안심할 수 있습니다. 그러나 보안을위한 켜기 / 끄기 스위치는 없습니다.
Dan Costa: 이러한 위협의 본질에 대해 조금 이야기 해 봅시다. 사람들이 걱정하는 양동이가 몇 개있는 것 같습니다. 해킹은 사람들이 컴퓨터에 액세스하거나 컴퓨터를 손상시키는 장난스러운 일이었습니다. 그런 다음 범죄자들은 이러한 다른 기술을 사용하여 돈을 버는 방법을 알아 냈습니다. 그러나 사람들에 대한 막대한 양의 데이터를 보유한 국가 행위자 및 개인 회사도 있습니다. 보이지 않는 가장 큰 위협이 보안 공간에서 어디에 있다고 생각하십니까?
조쉬 슈워츠 (Josh Schwartz): 가장 큰 위협이 어디에 있는지 파악하는 것은 당신이 누구인지 알아내는 것입니다. 당신에게 가장 큰 위협은 아마도 나에게 가장 큰 위협은 아니며, 이것은 어딘가에 어떤 회사에게는 가장 큰 위협이 아닙니다. 위협 모델링에 관한 모든 것입니다. 당신은 단지 가장 큰 위협을 고르는 것이 아니라 그들을 가리 킵니다. 당신은 "내가 가진 것이 무엇입니까? 누가 그것을 원할까요? 내가 어떻게해야합니까?"라고 생각합니다. 그리고 원하지 않는 일을 완화하기위한 조치를 취하십시오.
이 나라를 지적하는 것이 가장 큰 위협이거나이 회사가 가장 큰 위협이라는 것은 우리가 사물에 대한 위협 모델을 만들기 시작하는 작은 함정에 빠지게하는 것입니다. 그리고 우리가이 작은 것에 초점을 맞추고있는 동안, 우리 주변의 세상은 변하고, 그 다음으로 어딘가에 눈을 멀게됩니다.
Dan Costa: 많은 회사들이 대규모 데이터 유출 사고를 겪었으며 대부분은 느슨한 보안 문제 나 나쁜 습관 때문입니다. Equifax는 수백만 명의 미국인을 독살했지만 실제로는 아무런 영향을 미치지 않았습니다. 그들은 벌금을 내야하지만 모든 임원에게는 보너스가 있습니다. 책임 측면에서 어떤 변화가 필요하다고 생각하십니까?
Josh Schwartz: 저는 공공 정책 입안자가 아닌 컴퓨터에 침입하는 사람이므로 잘 모르겠습니다. 어쩌면 그것은 상황을 바꿀 것입니다. 아마도 변화가있을 것이지만 근본적인 수준에서 하나의 변화가 모든 것을 변화시키고 더 이상 아무런 문제가 없다고 생각하면 조금 근시안적이라고 생각합니다.
모든 것이 함께 작동하는 방식에 관한 것입니다. 그것이 우리가 대중으로서 그것을 돌보는 방법이고, 그것이 사업을 돌보는 방법입니다. 그것은 한 조각이지만 물론 전체 솔루션은 아닙니다. 그리고 기술 실무자 나 기술 소비자로서 우리가 필요로하는 가장 큰 것 중 하나는 보안이 아이보리 타워에서 올바른 스위치를 뒤집고 모든 것을 완벽하게 만드는 일이 아니라는 것입니다. 모든 사람을 위해 모든 것을 조금 더 안전하게 만들기 위해 취할 수있는 행동의 작은 변화.
Dan Costa: 개인 보안 습관은 어떻습니까? VPN을 사용하십니까? 상용 상용 맬웨어 탐지를 사용합니까?
Josh Schwartz: 위협 모델로 돌아 왔습니다. 그것은 내가 당시에하고있는 일에 달려 있습니다. VPN은 사용자를 보호하지만 VPN에 연결한다고해서 바이러스로부터 보호 할 수는 없습니다. VPN에 연결하면 전 세계 어디에서나 본질적으로 변경되며 때로는 필요할 때 유용 할 수 있습니다.
그것은 작은 터널 안에 당신의 트래픽을 넣고 그 터널은 당신을 다른 곳으로 데려다 줄 것이고 다른 곳에서 트래픽이 나옵니다. VPN은 현재 위치가 약간 안전하지 않거나 다른 사람이 현재 위치를 알고 싶지 않은 경우에 유용합니다. 내가 VPN에 연결되어 있고 인터넷에서 안전하다는 생각은 사실이 아닙니다.
개인적으로 가장 큰 것은 암호 관리자라고 생각합니다. 그들은 조금 새로운 것이지만, 더 많은 사람들이 있다면 훨씬 더 나은 곳에있을 것입니다. 이 모든 위반이 있었습니까? 당신은 그들에게 꽤 익숙합니다. 따라서 공격적인 적으로서 사적인 것이 아닙니다. 유출 된 모든 것이 인터넷에 있습니다. 우리는 모든 것의 큰 목록을 선별하고 비밀번호를 찾고 이전에 사용한 비밀번호를 확인할 수 있습니다.
그런 다음 내가 가지고있는 것에 액세스하려고하면 이전에 사용한 암호를 찾을 수 있다면, 나는 당신에 대해 조금 알고 있으며 그 정보를 가져 와서 재사용하고 시도하거나 추측 할 수 있습니다. 다음 비밀번호 일 수 있습니다. 암호 관리자를 사용하고 방문하는 모든 사이트에 대해 모든 암호를 고유하게 만드는 것은 실제로 좋은 일이며 사람의 두뇌를 사로 잡습니다. 보안을 한 곳에서만 보호하면 보안이 훨씬 간단 해집니다.
Dan Costa: PCMag에서 암호 관리자를 좋아하는 팬이며 거의 10 년 동안 LastPass를 사용해 왔습니다. 실제로 암호를 모르는 도약을 극복하면 그렇게 안심할 수 있습니다. 야후의 위반에 대해 잊어 버렸기 때문에 많은 사용자 이름과 암호가 유출되었습니다. 몇 년 전에는 아무도 야후에 대해 더 이상 신경을 쓰지 않았지만, 그 해킹의 가치와 사이버 범죄자의 가치는 많은 사람들이 10 년 전에 야후에서 사용한 암호를 여전히 사용한다는 것입니다. 그리고 당신은 그 모든 암호가 당신이 말하는 것을 찾을 수 있습니다.
Josh Schwartz: 인간의 행동으로 귀결됩니다. 그것은 인간과 공격자로서 습관이 있다는 사실에 달려 있습니다. 그것은 종종 내가 악용하려는 것입니다. 기술이 아닙니다. 이 기술은 비즈니스를 발전시키는 기술이 필요하기 때문에 계속해서 향상되고 보안을 강화하고 보안을 강화할 것입니다.
그러나 인간의 행동은 우리가 변화해야 할 책임입니다. 우리가 습관을 바꾸지 않고 더 안전 해지면 어떤 것도 우리를 보호 할 수있는 기술이 없습니다.
Dan Costa: 암호 관리자 이외의 다른 습관이 있습니까? 특히 우리가 사물 인터넷 시대로 이동하고 모든 것이 훨씬 더 연결되어있을 때 소비자가 채택해야한다고 생각하십니까?
Josh Schwartz: 생각해 보면 더 이상 컴퓨터가 아닙니다. 그것은 모든 곳의 장치와 특정 습관입니다. 휴대 전화가 그렇게 중요하지 않다고 생각할 수도 있지만 휴대 전화에 넣은 암호는 기본적으로 암호입니다. 전화는 컴퓨터가 액세스 할 수있는 것과 동일한 것들에 액세스 할 수 있습니다. 보호하고자하는 모든 데이터와 상호 작용하는 사용자가 만지는 모든 것에 대해 생각하고, 랩톱, 데스크탑 또는 직장의 컴퓨터처럼 민감하게 취급해야합니다.
Dan Costa: 지난주에 RSA에 부부가 있었는데 NSA 관계자와 인터뷰를했습니다. '전화 암호화와 관계없이 전화를 사용할 수 있습니다. 대부분의 사람들은 여전히 전화를 잠그지 않기 때문입니다.' 휴대 전화를 전혀 잠그지 않는 사람들이 많이 있으며, 이를 해독하기 위해 암호화가 필요하지 않습니다. 그것은 순수한 사용자 행동입니다.
Josh Schwartz: 또는 암호는 모두 0이거나 모두 0 또는 그와 비슷한 것입니다. 기술이 발전하고 암호가 지문이나 얼굴 또는 이와 유사한 것들이 될수록 항상 공격과 방법이있을 것이라는 아이디어가 있습니다. 나는 당신을 찾아서 당신의 얼굴을 당신의 얼굴로 향하게하거나 손가락을 잘라서 그것을 당신의 전화에 올려야합니다.
Dan Costa: 많은 영화에서도 볼 수 있습니다.
Josh Schwartz: 예, 하지만 요즘에는 그렇게하지 않습니다.
Dan Costa: 그렇게 빨리 팀원이 부족합니다.
Josh Schwartz: 그리고 손가락으로 입력하기가 어렵습니다.
Dan Costa: 10 개의 프로젝트를 진행할 수 있습니다. 그렇다면 사회 공학과 기술 해킹의 균형은 무엇입니까? 그리고 그 믹스는 시간이 지남에 따라 변화하고 있습니까?
Josh Schwartz: 사회 공학은 항상 제 빵과 버터였습니다. 저항이 가장 적은 경로입니다. 나는 그것이 혼합이라고 말하고 싶습니다. 많은 것이 정찰기인데 실제로 존재하는 것을 알아 내려고 노력하지만 흥미 롭습니다. 사회 공학 측면은 공격적인 세계에만있는 것이 아닙니다. 내부 Red Team이 회사 내부에 어떻게 존재하는지에 대해 생각한다면… 우리는 기술 해킹 중 일부를 수행하고 사회 공학, 물리적 및 모든 것을 사용하여 킬 체인을 시도하고 실행하여 임무를 수행합니다.
그러나 나중에 보안이 무엇을하려고하는지 생각한다면 우리는 더 큰 선을 위해 더 나은 습관을 갖도록 모든 사람을 사회 공학적으로 시도하고 있습니다. 많은 경우에, 그것은 우리가 한 일에 대한 이야기를 말하고 내부의 사람들을 교육시키는 것입니다. 회사는 '여기서 어떻게 작동하는지, 더 잘하기 위해 할 수있는 일이 여기 있습니다.' 그것은 사회 공학입니다. 따라서 실제로 업무의 큰 부분은 사회 공학입니다. 사람들이 올바른 방식으로 보안에 관심을 갖도록하고 올바른 선택을하고 올바른 일에 대해 희망을 가지게하기 때문입니다.
Dan Costa: 사람들이 귀하로부터 이메일을받을 때 응답을 원하지 않는다고 생각합니다. 당신이 무언가를 요구한다면, 나는 첫 번째 대답이 아니오라고 상상하지 않습니다.
Josh Schwartz: 레드 팀은 지난 10 년 동안 약간의 변형을 겪었습니다. 당신은 당신이 극도로 적대적이고 공격적이며 드럼을이기려고 노력하는 곳에서 시작하여 보안이 중요하다는 것을 모든 사람들에게 알리고 사람들은 당신을 적이라고 생각합니다.
나는 개인적으로 엘리베이터에 들어가는 경험을했으며 사람들은 "아, 레드 팀이 여기 있기 때문에 내 바닥에 가고 싶지 않아"라고 말합니다. "나는 진짜 나쁘지 않습니다. 사람." 결국 우리는 모두 동일한 목표, 즉 정보 보호, 소비자 보호를 위해 노력하고 있기 때문에 시간이 지남에 따라 바뀌 었습니다. 우리가 함께 일하고 적대자로서 한 일에 대한 정보를 공유 할 때, 그러한 종류의 신관은 우리를 동맹국과 친구로 생각하지만 거기에 도착하는 데 시간이 걸렸습니다. 그러나 올바른 방향으로 추세가 보이고 있으므로 좋습니다.
댄 코스타: 좋아요. 나는 쇼에 오는 모든 사람들에게 몇 가지 질문을 할 것입니다. 밤에 당신을 지켜주는 기술 트렌드가 있습니까?
조쉬 슈워츠: 밤에 나를 유지? 아마도 우리 주변의 모든 기술로 얻을 수있는 편재성과 안락함 일 것입니다. 그리 많지 않습니다… 실제로, 진정한 대답은 아무것도 밤에 나를 유지하지 않습니다.
댄 코스타: 잘 자요.
Josh Schwartz: 최악의 상황을 보았을 때, '좋아요, 세상이 어떤지 알고, 가능한 것이 무엇인지 알고, 괜찮을 것입니다.' 나는 기술이 어느 곳에서나 내 삶에 주입 될 것이며 그것을 잘 선택하기로 결정할 것이지만, 나는 그것을 이해하고 아기처럼 잠을자는 방식으로 작동 할 것임을 알고 있습니다.
- 2019 년 최고의 무료 비밀번호 관리자 2019 년 최고의 무료 비밀번호 관리자
- 비밀번호를 도난당한 지 확인하는 방법 비밀번호를 도난당한 지 확인하는 방법
- 일반 텍스트에 최대 600M 사용자 암호를 저장 한 Facebook 일반 텍스트에 최대 600M 사용자 암호를 저장 한 Facebook
Dan Costa: 좋아, 매일 사용하는 기술이나 놀라운 도구에 영감을주는 도구 나 서비스가 있습니까?
Josh Schwartz: 글쎄, 그것은 내 휴대 전화가 아니지만 솔직히 내가 떠오르는 것들이 많으며 대부분 참을성이 없다고 느낍니다. 나는 그들이 더 빨리 도착하기를 바랍니다. AI의 미래, 머신 러닝의 미래, 그리고 우리에게 더 연결된 세상을 제공 할 것입니다. 대부분, 나는 단지 그것을 기다리고 있습니다. 하지만 정말 나를 놀라게하는 것은 없습니다.
Dan Costa: 그렇다면 사람들은 내가하고있는 일을 어떻게 따르고, 공개적으로 사람들에게 알리는 것을 허용하며, 온라인에서 어떻게 나를 찾을 수 있습니까?
Josh Schwartz: 저는 이름이 FuzzyNop이라는 이름으로 가므로 사람들이 어디에서나 나를 찾을 수 있습니다.
