Video: 人生抉擇點上,你是否有挑戰的勇氣?:鄒開蓮 Rose Tsou @TEDxTaipei 2015 (Tháng mười một 2024)
Trong tập phim Fast Forward này, tôi hoan nghênh Josh Schwartz, người đứng đầu Đội Đỏ nội bộ của Verizon Media. Điều đó có nghĩa là anh ta dành nhiều ngày cố gắng hack vào các hệ thống đáng tin cậy và đáng tin cậy nhất của chủ nhân, lý tưởng trước khi một người không có trong biên chế làm điều tương tự.
Dan Costa: Tôi nghĩ mọi người có một ý tưởng mơ hồ về các đội màu đỏ là gì; họ đã thấy chúng trong phim. Nó có vui và thú vị như trên TV không?
Josh Schwartz : Tôi chỉ muốn, phải không? Đó là trách nhiệm đột nhập, đến nơi. Tất nhiên điều đó khá thú vị, nhưng rõ ràng, trong các bộ phim bạn thấy mọi thứ diễn ra tức thời và trong thực tế thì không. Phải mất rất nhiều công sức … nó không chỉ chạy xung quanh gây ra trò đùa.
Nó thực sự đang cố gắng ảnh hưởng đến sự thay đổi trong một tổ chức, cố gắng giúp thông báo cho tổ chức về 'Kẻ xấu thực sự làm gì?' Vai trò này thuộc về đội đỏ nội bộ, trong khi vẫn còn thú vị, tôi vẫn phải đi họp, vẫn phải đặt mục tiêu, những thứ như thế.
Dan Costa: Các cá nhân trong đội này là ai? Tôi tưởng tượng có rất nhiều lập trình viên, nhưng tôi tưởng tượng nó không chỉ giới hạn ở các lập trình viên.
Josh Schwartz : Sự đa dạng của các kỹ năng trong đội là điều mà nếu chúng ta không có, chúng ta không có khả năng đó. Có một quan niệm sai lầm rất thường xuyên vì những gì bạn thấy trong các bộ phim, giống như, có một anh chàng hacker và anh ta có thể giải quyết bất kỳ vấn đề công nghệ nào.
Dan Costa: Và có anh chàng xe hơi, chuyên gia vũ khí.
Josh Schwartz: Trong thực tế, tôi xây dựng một nhóm để mỗi người là một chuyên gia về một cái gì đó. Anh chàng này là chàng trai biết cách xâm nhập vật lý và một người khác là một chuyên gia về mật mã và một người khác là một chuyên gia về kỹ thuật xã hội. Có mỗi người là một chuyên gia có nghĩa là chúng ta có thể dựa vào nhau để … giải quyết bất kỳ loại vấn đề nào của nhóm.
Dan Costa: Vậy, một ngày ở văn phòng trông như thế nào? Những loại điều bạn đang thử nghiệm?
Josh Schwartz : Trở thành một hacker chỉ là một người thích tách rời các hệ thống, phải không? Đó là lý do mà chúng ta vốn không phải là tội phạm chỉ bằng cách trở thành một hacker.
Vì vậy, trong một ngày tại văn phòng, chúng tôi đặt ra các mục tiêu dựa trên kết quả, giống như các tình huống xấu nhất mà chúng tôi muốn thấy. Các bước để chúng ta đi từ không có gì để đạt được mục tiêu này thực sự xấu cho công ty là gì? Từ đó, chúng ta có thể tạo thành một thứ gọi là "chuỗi giết". Một ngày trong văn phòng đang tìm cách làm cho chuỗi đó xảy ra. Sau đó, chúng tôi nghĩ về những nơi khác nhau mà chúng tôi có thể phá vỡ chuỗi đó. Từ đó, chúng tôi gặp gỡ các bên liên quan, cho họ biết những kẻ tấn công sẽ làm điều đó như thế nào và đưa ra một thay đổi nhỏ mà bạn có thể thực hiện để giúp khắc phục điều đó.
Dan Costa: Các vectơ mà bạn quan tâm nhất là gì? Tôi biết tôi vẫn nhận được email từ IT nói với mọi người rằng không nên nhấp vào liên kết được đính kèm trong email hoặc tệp đính kèm email. Nơi nào bạn thấy các lỗ hổng vẫn còn đó?
Josh Schwartz : Nếu bạn nhấp vào liên kết và tải xuống tệp đính kèm, chạy chúng trên máy tính của bạn mặc dù có nhiều cảnh báo, đó là một vấn đề. Nhưng chúng ta đã phát triển thành một kỷ nguyên mới, nơi bây giờ nó truy cập vào thông tin tồn tại trên đám mây và các địa điểm khác nhau. Nếu bạn cho phép truy cập vào người khác, đó cũng là một vấn đề.
Điều đó kết thúc là có vấn đề hơn so với một cái gì đó chạy trên máy tính của bạn, bởi vì có rất nhiều sự bảo vệ xung quanh đó. Bây giờ chúng tôi có thông tin trôi nổi ở khắp mọi nơi và bạn có cơ quan để kiểm soát nó. Bạn có cơ quan cấp cho những thứ khác quyền truy cập vào nó, đó là cách thức hoạt động của internet. Những kẻ tấn công, bao gồm chúng tôi, đã chuyển sang những thứ như thế hơn một chút.
Dan Costa: Thật tuyệt vời khi nhìn vào Google Drive của tôi và có bao nhiêu tệp tôi có quyền truy cập mà tôi thực sự không nên. Tôi tưởng tượng nó tồi tệ hơn nhiều ở các công ty không tinh vi về công nghệ như Ziff Davis và PCMag. Đó không chỉ là các tệp chạy phần mềm độc hại mà còn có thể là tài liệu của công ty hoặc tài liệu tài chính mà bạn thực sự không muốn đối thủ của mình có hoặc người dùng cuối hoặc tội phạm.
Josh Schwartz : Bảo mật, nói chung, đây là hệ thống tổng thể. Đó không phải là "Có một lỗi trong hệ thống mà tôi sẽ ném một số khai thác vào nó và nó sẽ phát nổ" hoặc đại loại như thế. Nó không còn hoạt động như vậy nữa. Đó là các hệ thống kết nối, con người, quy trình kinh doanh, công nghệ hỗ trợ họ, cách chúng tôi cảm nhận về nó, chính sách của mọi thứ cùng nhau … là bảo mật.
Và bảo mật, thường, chỉ là loại cảm giác của bạn về nó. Bạn cảm thấy thế nào về dữ liệu và thông tin? Những bước bạn có thể thực hiện để bảo vệ nó? Nếu bạn cảm thấy mạnh mẽ về điều đó và những nỗ lực mà bạn bỏ ra ít hơn những nỗ lực của các lực lượng xung quanh bạn đang cố gắng để có được nó, thì bạn không an tâm. Nhưng nếu bạn cảm thấy mình đang nỗ lực hết sức và không có gì xấu xảy ra, thì bạn cảm thấy an tâm. Nhưng không có công tắc bật / tắt để bảo mật.
Dan Costa: Chúng ta hãy nói một chút về bản chất của những mối đe dọa đó. Dường như với tôi có một vài người lo lắng. Hacking từng là một trò đùa mà mọi người đã làm để truy cập vào máy tính của bạn hoặc làm hỏng máy tính của bạn. Sau đó, bọn tội phạm tìm ra cách kiếm tiền bằng cách sử dụng các kỹ thuật khác nhau này. Nhưng cũng có những tác nhân nhà nước và thậm chí các công ty tư nhân có lượng dữ liệu khổng lồ về con người. Bạn nghĩ đâu là mối đe dọa lớn nhất chưa từng thấy trong không gian an ninh?
Josh Schwartz : Tìm ra nơi mà mối đe dọa lớn nhất kết thúc bằng việc tìm ra bạn là ai. Mối đe dọa lớn nhất đối với bạn có lẽ không phải là mối đe dọa lớn nhất đối với tôi, đó không phải là mối đe dọa lớn nhất đối với một số công ty ở đâu đó. Đó là tất cả về mô hình mối đe dọa, phải không? Bạn không chỉ chọn một mối đe dọa lớn nhất và chỉ cho họ. Bạn nghĩ, "Tôi có cái gì? Ai có thể muốn nó? Tôi nên làm gì với nó?" Và thử và thực hiện các hành động để giảm thiểu những điều bạn không muốn xảy ra.
Chỉ cố gắng chỉ ra quốc gia này là mối đe dọa lớn nhất hoặc công ty này là mối đe dọa lớn nhất là điều gì đó khiến chúng ta rơi vào một cái bẫy nhỏ nơi chúng ta bắt đầu xây dựng một mô hình mối đe dọa tất cả về mọi thứ. Và trong khi chúng ta quá tập trung vào một điều nhỏ nhặt này, thế giới xung quanh chúng ta thay đổi và sau đó, chúng ta bị mù ở đâu đó.
Dan Costa: Nhiều công ty đã có những vi phạm dữ liệu lớn và hầu hết trong số đó là do bảo mật lỏng lẻo hoặc chỉ là những thói quen xấu. Equachus đã làm thất vọng hàng triệu người Mỹ, nhưng thực sự không có hậu quả. Họ sẽ trả tiền phạt, nhưng tất cả các giám đốc điều hành của họ đều có tiền thưởng. Bạn có nghĩ rằng cần phải có một số loại thay đổi về trách nhiệm?
Josh Schwartz: Chà, tôi là một người đột nhập vào máy tính, không phải là nhà hoạch định chính sách công, vì vậy tôi không thực sự biết. Có lẽ điều đó sẽ thay đổi mọi thứ. Có khả năng, sẽ có những thay đổi, nhưng ở cấp độ cơ bản của nó, nghĩ rằng một thay đổi ở đâu đó sẽ thay đổi mọi thứ và không còn vấn đề gì nữa, tôi nghĩ là hơi thiển cận.
Đó là về cách mọi thứ làm việc cùng nhau. Đó là cách chúng tôi quan tâm đến nó như công chúng, đó là cách các doanh nghiệp quan tâm đến nó. Đó là một phần của nó, nhưng tất nhiên nó không phải là toàn bộ giải pháp. Và tôi nghĩ một trong những điều lớn mà chúng ta cần là những người thực hành công nghệ hoặc người tiêu dùng công nghệ cần phải suy nghĩ là an ninh không phải là công việc của ai đó trong một tòa tháp ngà để bật công tắc đúng và làm cho mọi thứ trở nên hoàn hảo. Những thay đổi nhỏ hơn trong hành vi mà chúng ta có thể thực hiện để giúp mọi thứ an toàn hơn một chút … cho mọi người.
Dan Costa: Thói quen bảo mật cá nhân của bạn như thế nào? Bạn có sử dụng VPN không? Bạn có sử dụng phát hiện phần mềm độc hại thương mại không?
Josh Schwartz : Nó trở lại mô hình mối đe dọa, phải không? Nó phụ thuộc vào những gì tôi đang làm vào thời điểm đó. VPN bảo vệ bạn khỏi một số thứ, nhưng kết nối với VPN không bảo vệ bạn khỏi virus. Kết nối với VPN về cơ bản thay đổi nơi bạn đang ở trên thế giới và đôi khi, điều đó có thể hữu ích nếu bạn cần.
Nó đặt lưu lượng truy cập của bạn vào trong một đường hầm nhỏ và đường hầm đó sẽ đưa bạn đến một nơi khác và giao thông đi ra ở một nơi khác. VPN rất hữu ích nếu bạn đang ở một nơi không an toàn một chút hoặc bạn không muốn ai đó biết bạn đang ở đâu. Ý tưởng rằng tôi đã kết nối với VPN và bây giờ tôi an toàn trên internet, không đúng như vậy.
Đối với cá nhân tôi, tôi nghĩ rằng điều lớn nhất là quản lý mật khẩu. Họ là một chút của một điều mới, nhưng nếu nhiều người hơn, họ sẽ ở một nơi tốt hơn nhiều. Có tất cả những vi phạm, phải không? Bạn khá quen thuộc với họ. Vì vậy, như một kẻ thù gây khó chịu, những kẻ đó không riêng tư. Tất cả mọi thứ đã bị rò rỉ đều có trên internet. Chúng tôi có thể sắp xếp một danh sách lớn tất cả mọi thứ và tìm mật khẩu và xem mật khẩu nào bạn đã sử dụng trước đó.
Sau đó, nếu tôi đang cố gắng truy cập vào thứ gì đó bạn có, nếu tôi có thể đi tìm mật khẩu bạn đã sử dụng trước đó, tôi biết một chút về bạn và tôi có thể lấy thông tin đó và thử sử dụng lại hoặc thử và đoán xem bạn có gì không mật khẩu tiếp theo có thể là. Sử dụng trình quản lý mật khẩu và làm cho mọi mật khẩu trở nên siêu độc đáo cho mọi trang web bạn truy cập thực sự là một điều gì đó tốt và nó làm mất đi bộ não của con người. Bạn thực sự chỉ phải bảo vệ nó ở một nơi, điều này làm cho việc bảo mật đơn giản hơn rất nhiều.
Dan Costa: Chúng tôi là những người hâm mộ lớn các nhà quản lý mật khẩu tại PCMag, tôi đã sử dụng LastPass được gần 10 năm. Một khi bạn vượt qua được bước nhảy vọt mà không thực sự biết mật khẩu của mình, thật nhẹ nhõm. Nó cũng nhắc nhở tôi rằng chúng ta đã quên mất vi phạm của Yahoo, đã rò rỉ rất nhiều tên người dùng và mật khẩu. Đó là những năm trước và không ai thực sự quan tâm đến Yahoo nữa, nhưng giá trị của vụ hack và giá trị đối với tội phạm mạng là rất nhiều người vẫn sử dụng những mật khẩu mà họ đã sử dụng trên Yahoo 10 năm trước. Và bạn có thể tra cứu tất cả những mật khẩu đó là những gì bạn đang nói.
Josh Schwartz : Nó liên quan đến hành vi của con người. Thực tế là bạn có thói quen là một con người và là một kẻ tấn công. Đó thường là những gì tôi đang tìm cách khai thác. Đó không phải là công nghệ. Công nghệ sẽ tiếp tục tốt hơn và sẽ tiếp tục tăng cường bảo mật và trở nên an toàn hơn, bởi vì chúng tôi có nhu cầu này để thúc đẩy kinh doanh tiến lên.
Nhưng hành vi của con người là một thứ trách nhiệm của chúng ta phải thay đổi. Và nếu chúng ta không thay đổi thói quen và khiến bản thân an toàn hơn, sẽ không có công nghệ nào có thể bảo vệ chúng ta khỏi bất cứ điều gì.
Dan Costa: Có những thói quen nào khác ngoài trình quản lý mật khẩu mà bạn nghĩ rằng người tiêu dùng sẽ cần phải áp dụng, đặc biệt là khi chúng ta chuyển sang thời đại Internet vạn vật và mọi thứ kết nối nhiều hơn?
Josh Schwartz : Nếu bạn nghĩ về nó, nó không còn là máy tính của bạn nữa. Đó là thiết bị ở khắp mọi nơi và những thói quen nhất định. Có thể bạn nghĩ rằng điện thoại của bạn không quan trọng, nhưng mật khẩu bạn đặt trên điện thoại thực chất là mật khẩu của bạn ở đó. Điện thoại có quyền truy cập vào nhiều thứ giống như máy tính của bạn có thể truy cập. Suy nghĩ về mọi thứ bạn chạm vào tương tác với tất cả dữ liệu mà bạn muốn bảo vệ và đảm bảo rằng bạn đối xử với nó một cách nhạy cảm như máy tính xách tay hoặc máy tính để bàn hoặc máy tính của bạn tại nơi làm việc.
Dan Costa: Tôi đã có một vài người tại RSA tuần trước và họ đã phỏng vấn một quan chức NSA, họ nói, 'Bất kể mã hóa điện thoại, họ có thể truy cập điện thoại, vì hầu hết mọi người vẫn không khóa điện thoại của họ.' Có rất nhiều người không khóa điện thoại của họ và họ không cần bất kỳ mã hóa nào để phá vỡ điều đó. Đó chỉ là hành vi người dùng thuần túy.
Josh Schwartz : Hoặc mật khẩu là tất cả số không hoặc tất cả những thứ tương tự. Luôn có ý tưởng rằng khi các công nghệ tiến bộ và khi mật khẩu của bạn trở thành nhiều thứ như dấu vân tay hoặc khuôn mặt của bạn hoặc một cái gì đó tương tự, sẽ luôn có một số cuộc tấn công và một số cách xung quanh nó. Tôi chỉ cần tìm bạn và hướng điện thoại vào mặt bạn hoặc tôi cần cắt đứt ngón tay của bạn và đặt nó vào điện thoại của bạn.
Dan Costa: Cũng được thấy trong nhiều bộ phim.
Josh Schwartz : Vâng, nhưng chúng tôi không làm điều đó những ngày này, điều đó là tốt.
Dan Costa: Bạn hết thành viên đội một cách nhanh chóng theo cách đó.
Josh Schwartz : Và ngón tay, làm cho nó khó gõ.
Dan Costa: Họ có thể làm việc trên 10 dự án và sau đó, đó là kết thúc của điều đó. Vì vậy, hãy cho tôi biết về những gì bạn làm, sự cân bằng giữa kỹ thuật xã hội và hack kỹ thuật là gì? Và sự pha trộn đó có thay đổi theo thời gian không?
Josh Schwartz : Kỹ thuật xã hội luôn là bánh mì và bơ của tôi. Đó là con đường của sự kháng cự ít nhất rất thường xuyên. Tôi muốn nói đó là một sự pha trộn. Rất nhiều điều đó được điều chỉnh lại, cố gắng tìm ra những gì thực sự tồn tại ngoài kia, nhưng thật thú vị. Khía cạnh kỹ thuật xã hội, nó không chỉ trong thế giới tấn công. Nếu bạn nghĩ về cách một Đội Đỏ nội bộ tồn tại trong một công ty … chúng tôi thực hiện một số hack kỹ thuật và chúng tôi sử dụng kỹ thuật xã hội, vật lý và mọi thứ kết hợp để thử và thực hiện chuỗi tiêu diệt đó, hoàn thành nhiệm vụ.
Nhưng sau đó, nếu bạn nghĩ về những gì an ninh đang cố gắng làm là chúng ta đang cố gắng thiết kế mọi người ở quy mô để có những thói quen tốt hơn cho những điều tốt đẹp hơn. Rất nhiều lần, đó là câu chuyện kể về những gì chúng tôi đã làm và giáo dục mọi người trong … công ty 'đây là cách nó hoạt động, đây là những gì bạn có thể làm để trở nên tốt hơn.' Đó là kỹ thuật xã hội. Vì vậy, thực sự, phần lớn của công việc là kỹ thuật xã hội, bởi vì nó khiến mọi người quan tâm đến an ninh theo đúng cách, đưa ra những lựa chọn đúng đắn, hy vọng quan tâm đến những điều đúng đắn.
Dan Costa: Tôi tưởng tượng rằng khi mọi người nhận được email từ bạn mà họ không muốn phản hồi. Nếu bạn yêu cầu một cái gì đó, tôi không tưởng tượng câu trả lời đầu tiên là không.
Josh Schwartz : Đội Đỏ đã trải qua một chút biến thái trong thập kỷ qua. Bạn bắt đầu ở nơi mà bạn cực kỳ bất lợi, cực kỳ phản cảm, cố gắng đánh trống và cho mọi người biết rằng an ninh là quan trọng và trong những ngày đó, mọi người coi bạn là một kẻ thù, bởi vì, đó là công việc của bạn.
Tôi đã có những trải nghiệm cá nhân khi tôi vào thang máy và mọi người nói, "Ồ, tôi không muốn lên tầng của mình, bởi vì Đội Đỏ ở đây" và tôi nói, "Tôi không phải là người xấu thực sự chàng." Điều đó đã thay đổi theo thời gian, bởi vì cuối cùng, thực sự, tất cả chúng ta đều hướng đến cùng một mục tiêu: bảo vệ thông tin, bảo vệ người tiêu dùng của chúng ta. Vì vậy, khi chúng tôi làm việc cùng nhau và khi chúng tôi chia sẻ thông tin về những gì chúng tôi đã làm với tư cách là đối thủ, loại cầu chì đó và họ xem chúng tôi như một đồng minh và một người bạn, nhưng phải mất một thời gian để đến đó. Nhưng tôi đang nhìn thấy một xu hướng đúng hướng, vì vậy điều đó tốt.
Dan Costa: Tuyệt vời. Tôi sẽ hỏi bạn một vài câu hỏi, tôi hỏi mọi người tham gia chương trình. Có một xu hướng công nghệ liên quan đến bạn, một cái gì đó khiến bạn thức đêm?
Josh Schwartz : Điều đó khiến tôi thức đêm? Có lẽ sự phổ biến và thoải mái mà chúng ta có được với tất cả các công nghệ xung quanh chúng ta. Không quá nhiều … thực sự, câu trả lời thực sự là không có gì khiến tôi thức đêm.
Dan Costa: Bạn ngủ ngon.
Josh Schwartz : Tôi thấy những thứ tồi tệ nhất và chấp nhận rủi ro khi tôi thích, 'Được rồi, tôi biết thế giới này như thế nào, tôi biết những gì có thể và tôi sẽ ổn với nó.' Tôi biết rằng công nghệ sẽ được truyền vào cuộc sống của tôi ở khắp mọi nơi và tôi sẽ đưa ra lựa chọn ổn với nó, nhưng tôi sẽ vận hành theo cách mà tôi hiểu điều đó và tôi ngủ như một đứa bé.
- Trình quản lý mật khẩu miễn phí tốt nhất cho năm 2019 Trình quản lý mật khẩu miễn phí tốt nhất cho năm 2019
- Cách tìm ra nếu mật khẩu của bạn bị đánh cắp Làm thế nào để tìm hiểu xem mật khẩu của bạn đã bị đánh cắp
- Facebook lưu trữ tới 600 triệu mật khẩu người dùng trong văn bản thuần túy Facebook được lưu trữ tới 600 triệu mật khẩu người dùng trong văn bản thuần túy
Dan Costa: Được rồi, có công nghệ nào mà bạn sử dụng hàng ngày hoặc công cụ hoặc dịch vụ truyền cảm hứng cho kỳ quan không?
Josh Schwartz : Chà, đó không phải là điện thoại di động của tôi, nhưng thành thật mà nói, có rất nhiều điều sắp xảy ra mà tôi tự hỏi và tôi chủ yếu cảm thấy thiếu kiên nhẫn. Tôi ước họ sẽ đến đây nhanh hơn. Tôi rất hào hứng về tương lai của AI, tương lai của học máy và những thứ hy vọng sẽ mang đến cho chúng ta một thế giới kết nối hơn. Hầu hết, tôi chỉ chờ đợi nó. Nhưng không có gì thực sự làm tôi ngạc nhiên quá nhiều, tôi nghĩ vậy.
Dan Costa : Vì vậy, làm thế nào mọi người có thể theo dõi những gì bạn đang làm, những gì bạn được phép nói với mọi người một cách công khai, làm thế nào họ có thể tìm thấy bạn trực tuyến?
Josh Schwartz : Tôi đi bằng biệt danh FuzzyNop, vì vậy mọi người có thể tìm thấy tôi ở bất cứ đâu.
