In de wereld van vandaag, waar grote en kleine bedrijven grotendeels worden getroffen door cyberaanvallen en datalekken, zijn de uitgaven aan cybersecurity omhooggeschoten. Bedrijven geven miljoenen dollars uit om hun cyberverdediging te beschermen. En als we het hebben over cyberbeveiliging en informatiebeveiliging, is Georgia Weidman een van de weinige prominente namen in de branche die te binnen schieten.
Georgia Weidman is een ethische hacker, penetratietester, CEO van Shevirah Inc / Bulb Security LLC en auteur van het boek 'Penetratietesten: een praktische introductie tot hacken'.
Hier is een exclusief interview van Georgia Weidman met ons team bij Ivacy waar we enkele vragen hebben gesteld met betrekking tot haar en Cyber Security in het algemeen:
Q1 - Hallo Georgia, we zijn erg blij je te hebben en waren helemaal onder de indruk van het weten hoeveel je in korte tijd hebt bereikt. Wat brengt jou naar deze infosec-industrie? Hoe je je reis begon als een ethische hacker?
Ik ging vroeg naar school, op 14 in plaats van de gebruikelijke 18. En ik behaalde een wiskundediploma omdat ik geen computerwetenschapper wilde worden. Mijn moeder was er een en welke tiener wil zijn zoals hun ouders?
Maar toen kon ik niet echt een baan vinden op mijn 18e met alleen een bachelordiploma en geen werkervaring, ik werd gevraagd om een masterdiploma in informatica te doen, en ze zouden me geld geven! Dat was beter dan bij mijn ouders te moeten wonen.
Dus ik ging naar het Masters-programma en de universiteit had een cyberverdedigingsclub. De kapitein van de cyberverdedigingsclub leek echt interessant en ik wilde meer over hem leren. Dus, wetende niets over cybersecurity, werd ik lid van de cyberverdedigingsclub en namen we deel aan de Mid-Atlantische Cyberdefensiecompetitie. Nou, ik heb geleerd dat cybersecurity interessanter was dan de man, maar ik vond ook wat ik met mijn leven wilde doen.
Vraag 2: Wat was uw inspiratie en motivatie voor het schrijven van uw boek “Penetratietesten”?
Ik wilde het boek schrijven dat ik wenste dat ik had toen ik in infosec begon. Toen ik voor het eerst begon en zoveel probeerde te leren van wat er beschikbaar was in de vorm van tutorials en zoveel voorkennis vergaarde dat ik het technische equivalent deed van het opzoeken van alle woorden in het woordenboek. Dan die woorden in het kinderwoordenboek om zelfs een idee te krijgen van hoe dingen veel minder werkten waarom ze werkten.
Toen ik om hulp vroeg, kreeg ik veel "Get off n00b" of "Try Harder!" In plaats van uitleg. Ik wilde het gemakkelijker maken voor degenen die na mij kwamen en dat gat opvullen met mijn boek.
Vraag 3 - Hoe interessant de naam ook is, vertel ons over uw bedrijf Bulb Security en hoe het allemaal begon?
Ik heb eigenlijk twee bedrijven Shevirah Inc. en Bulb Security LLC. Ik begon met Bulb toen ik een DARPA Cyber Fast Track-subsidie ontving om het Smartphone Pentest Framework te bouwen en kreeg vervolgens een berisping omdat ik de moed had om de subsidie onafhankelijk aan te vragen.
Naast de onderzoeksprojecten bouwde ik op dit punt ook een adviesbureau voor penetratietesten, training, reverse engineering en zelfs patentanalyse. In mijn overvloedige vrije tijd ben ik ook professor aan de University of Maryland University College en Tulane University.
Ik begon met Shevirah toen ik bij de Mach37-startup-accelerator kwam om mijn werk in mobiele en Internet of Things-penetratietests, phishing-simulatie en preventieve controlevalidatie te produceren om mijn bereik uit te breiden van het helpen van andere onderzoekers om ondernemingen te helpen een beter inzicht te krijgen in hun mobiel en IoT-beveiligingshouding en hoe deze te verbeteren.
V4- Vertel ons eens over de meest opwindende tijd waarin u zich echt trots voelde op uw werk als penetratietester.
Elke keer als ik instap, vooral op een nieuwe manier, heeft het dezelfde haast als de eerste keer. Waar ik ook trots op ben, is het hebben van terugkerende klanten die niet alleen alles hebben opgelost wat we de eerste keer hebben gevonden, maar ook hun beveiligingspositie hebben verhoogd naarmate nieuwe kwetsbaarheden en aanvallen bekend werden in de tijd tussen de tests.
Om een klant niet alleen te zien wat ik vroeger binnen kreeg, maar ook een volwassener beveiligingshouding voor de onderneming als geheel op te bouwen, betekent dat ik veel meer impact heb gemaakt dan alleen te laten zien dat ik domeinbeheerder kan krijgen met LLMNR-vergiftiging of EternalBlue.
V5- Voor degenen die hun reis willen beginnen op het gebied van ethisch hacken en penetratietesten, welke suggesties of loopbaanadviezen wilt u geven? Het kan om het even welke online cursussuggesties, certificaten of en educatieve graad zijn wat dat betreft.
Ik zou natuurlijk mijn boek, Penetration Testing: A Hands-On Introductie tot Hacking, aanbevelen. Ik zou ook willen voorstellen om deel te nemen aan lokale hackerbijeenkomsten of conferenties zoals een lokaal DEF CON-groepshoofdstuk of Security BSides. Dat is een geweldige manier om potentiële mentoren en connecties in de industrie te ontmoeten. Ik zou ook voorstellen om een onderzoeksproject of klas te doen.
Dit is de competitie die me in de eerste plaats in #infosec heeft gebracht. Er zijn wedstrijden in regio's over het hele land, evenals een onderdaan voor de regionale winnaars. Een goede plek om uw outreach-dollars en vrijwilligersuren te besteden. https://t.co/TcNLC7r8tV
- Georgia Weidman (@georgiaweidman) 28 februari 2019
Zoveel mensen denken dat beveiligingsonderzoek donkere magie is die mysterieuze vaardigheden vereist over de innerlijke werking van de bootloader, maar in de meeste gevallen is dat niet het geval. Zelfs als je net begint, heeft iedereen een set vaardigheden die nuttig kan zijn voor anderen in het veld die ze kunnen delen. Misschien ben je goed in formatteren in Word of heb je jarenlange ervaring als Linux-systeembeheerder?
V6- Wilt u een aantal beveiligingssoftware, add-ons, uitbreidingen, etc. voorstellen aan onze doelgroep die zich zorgen maakt over hun online privacy en beveiliging? Zijn er onfeilbare methoden voor maximale online bescherming?
Aangezien een deel van mijn bedrijf de effectiviteit van preventieve oplossingen valideert, weet ik zeker dat u zult begrijpen dat ik in interviews agnostisch moet blijven. Het is belangrijk op te merken dat er geen onfeilbare beveiliging bestaat. Ik ben er zelfs sterk van overtuigd dat de marketingstrategie van preventieve beveiligingsleveranciers: "Als u onze software installeert (of onze box op uw netwerk plaatst), u zich geen zorgen meer hoeft te maken over beveiliging, " is de hoofdoorzaak van veel van de spraakmakende inbreuken die we vandaag zien.
Ondernemingen, die op de hoogte zijn gebracht door deze zogenaamde expert-verkopers, gooien veel geld in het beveiligingsprobleem, maar zien dingen als patching en phishing-bewustzijn over het hoofd, omdat hun leveranciers zeiden dat ze alles hadden geregeld. En, zoals we keer op keer zien, zal geen enkele preventieve oplossing alles stoppen.
V7- Hoe moeilijk wordt het vanuit het standpunt van een hacker om iemand te hacken als hij een VPN op zijn smart-apparaat heeft? Hoe effectief zijn VPN's? Gebruik je er een?
Zoals de meeste aanvallen tegenwoordig, houden de meeste mobiele aanvallen een vorm van social engineering in, vaak als onderdeel van een grotere exploitatieketen. Net als bij de preventieve producten, kan een VPN zeker nuttig zijn tegen sommige aanvallen en zeker tegen afluisteren, maar zolang mobiele gebruikers kwaadaardige toepassingen, beheerprofielen, etc. downloaden en kwaadaardige links op hun slimme apparaten openen, kan een VPN alleen zo ver gaan.
Ik zou gebruikers aanmoedigen om VPN's te gebruiken, met name op openbare netwerken, en natuurlijk ook andere beveiligingsproducten. Ik wil gewoon dat gebruikers waakzaam blijven over hun beveiligingshouding in plaats van alleen op deze producten te vertrouwen om ze te beschermen.
V8 - Wat zijn volgens u de exponentiële opkomst van slimme apparaten en de ongelooflijke ontwikkeling op het gebied van IOT de potentiële beveiligingsbedreigingen en kwetsbaarheden die waarschijnlijk meespelen?
Ik zie de bedreigingen tegen mobiel en IoT als dezelfde als traditionele apparaten met meer entry- en exitpunten. Op een Windows-computer bestaat de dreiging van externe code-uitvoeraanvallen waarbij de gebruiker niets hoeft te doen om de aanval te laten slagen, client-side aanvallen waarbij de gebruiker een schadelijk bestand moet openen, of het nu een webpagina, een PDF, een uitvoerbaar, etc. Er zijn ook social engineering-aanvallen en escalatie van lokale privileges.
Patches ontbreken, wachtwoorden zijn gemakkelijk te raden, software van derden is onzeker, de lijst gaat maar door. In mobiel en IoT behandelen we dezelfde problemen, behalve dat in plaats van alleen de bekabelde of draadloze verbinding we nu de mobiele modem, Zigbee, Bluetooth, Near Field Communication hebben, om er maar een paar te noemen als potentiële aanvalsvectoren en wegen om eventuele preventie van gegevensverlies ingezet. Als vertrouwelijke gegevens uit de database worden overgeheveld door een gecompromitteerd mobiel apparaat en vervolgens via sms naar het mobiele netwerk worden verzonden, zullen alle preventieve technologie ter wereld bij de netwerkperimeter deze niet opvangen. Op dezelfde manier hebben we meer dan ooit dat gebruikers sociaal kunnen worden ontwikkeld.
In plaats van alleen e-mail en een telefoontje hebben we nu sms'en, sociale media zoals WhatsApp en Twitter, QR-codes, de lijst met de talloze manieren waarop een gebruiker mogelijk wordt benaderd om iets kwaadaardigs te openen.
V9- Zijn er beveiligingsconferenties waar u naar uitkijkt? Zo ja, wat zijn dat dan?
Ik hou ook van nieuwe plaatsen te zien en nieuwe mensen te ontmoeten. Dus ik ben altijd in voor reizen naar vreemde landen om conferenties te houden. Dit jaar ben ik uitgenodigd voor keynote RastacCon! in Jamaica. Vorig jaar heb ik een geweldige tijd gehad in Salvador, Brazilië, waar ik een van de Roadsec-conferenties heb georganiseerd. Ook dit jaar speel ik Carbon Black Connect, wat een goede locatie voor mij is, omdat ik eraan werk om net zo bekend te worden in de zakenwereld als in de infosec-wereld. Ondanks dat het in warm en druk Las Vegas is, is infosec zomerkamp (Blackhat, Defcon, BSidesLV, plus diverse andere evenementen tegelijkertijd) een geweldige manier om veel mensen uit de industrie in te halen en te zien wat ze hebben gedaan naar.
Q10- Wat zijn uw toekomstplannen? Ga je nog een boek schrijven? Een ander bedrijf oprichten? Bestaande schalen? Wat wil Georgia Weidman verder in haar leven bereiken?
Ik ben momenteel bezig met het afronden van de 2e editie van penetratietesten: een praktische introductie tot hacken. Ik zou in de toekomst zeker nog meer beginnersvriendelijke technische boeken willen schrijven. Hoewel ik tot nu toe slechts een paar engelinvesteringen heb gedaan, hoop ik in de toekomst te kunnen investeren en andere startende oprichters te begeleiden, met name technische oprichters zoals ik, en meer te doen om vrouwen en minderheden in infosec te ondersteunen.
Ik heb veel geleerd van het doen van een startup, maar ik ben ook een van dat zeldzame ras dat echt alleen maar beveiligingsonderzoek wil doen. Na het opstarten Ik stel mezelf voor dat ik een tijdje voltijds beveiligingsonderzoek doe. Helemaal niet technisch gerelateerd, maar als je me volgt op sociale media, heb je misschien gemerkt dat ik meedoe aan paardensportevenementen, dus dit jaar hopen mijn paard Tempo en ik de finale van de Virginia Horse Show Association te winnen. Op langere termijn wil ik meer tijd en middelen besteden aan het matchen van reddingspaarden met verdienende eigenaren en het redden van zeeschildpadden.
“ Je kunt de beveiliging niet alleen met preventieve producten oplossen. Testen is een noodzakelijk en vaak over het hoofd gezien onderdeel van beveiliging. Hoe breekt een echte aanvaller in uw organisatie in? Zullen zij uw preventieve oplossing kunnen omzeilen? (Hint: ja.) ”- Georgia Weidman
