大小の企業がサイバー攻撃やデータ漏えいの影響を大きく受けている今日の世界では、サイバーセキュリティへの支出が急増しています。 企業は、サイバー防御を保護するために数百万ドルを費やしています。 そして私達がサイバーセキュリティと情報セキュリティについて話すとき、ジョージアウェイドマンは頭に浮かぶ業界で数少ない有名な名前のうちの1つです。
Georgia Weidmanは、Shevirah Inc / Bulb Security LLCのCEOで、「侵入テスト:ハッキングの実践的な紹介」という本の著者である倫理的ハッカー、侵入テスターです。
これが、ジョージア・ウェイドマン氏と私達のチームであるイヴァシー氏との独占インタビューで、彼女とサイバーセキュリティ全般に関するいくつかの質問をしました。
Q1 - こんにちはジョージア、私たちはあなたをお迎えできてとてもうれしく思いますし、短期間でどれだけの成果を上げたかを知っていることに感銘を受けました。 あなたはこのインフォセック業界に何をもたらしますか? Ethical Hackerとしてどのように旅を始めましたか?
私は通常の18ではなく14で早く大学に行きました。そして私はコンピュータ科学者になりたくないので数学の学位を取得しました。 私の母は1歳でした、そして、何が10代の若者が彼らの両親のようになりたいですか?
しかし、それから私は学士号と実務経験がない18歳での仕事を本当に見つけることができませんでした、私はコンピュータサイエンスの修士号を取るように頼まれました、そして、彼らは私にお金を与えようとしていました! 私の両親と一緒に暮らさなければならないよりはましだ。
そこで私は修士課程に入り、大学にはサイバー防衛クラブがありました。 サイバーディフェンスクラブのキャプテンはとても面白そうだったので、彼についてもっと知りたいと思った。 だから、サイバーセキュリティについては何も知らずに、私はサイバーディフェンスクラブに参加し、私たちは中部大西洋サイバーディフェンスコンペティションに参加しました。 さて、私はサイバーセキュリティがその男よりもおもしろいことを知りましたが、私は私の人生で何をしたいのかもわかっていました。
Q2-あなたの本「侵入テスト」を書くことの背後にあるあなたのインスピレーションと動機は何でしたか?
私はinfosecで始めたときに持っていたかった本を書きたいと思いました。 私が最初に始めて、チュートリアルの方法で利用可能であったことの多くを学ぼうとしていたとき、そして私が辞書ですべての単語を調べるのと同等の技術をしていたほど多くの予備知識を集めていました。 それから子供たちの辞書に載っているこれらの言葉は、物事がどのように働いたのかということさえも理解していました。
助けを求めるとき、私は説明よりもむしろ「n00bから降りる」または「もっと頑張ってください」というたくさんのことを得ました。 私は私の後を追って来て、私の本でそのギャップを埋める人たちのためにそれをより簡単にしたかった。
Q3-その名前と同じくらい面白いのですが、あなたの会社のBulb Securityについて教えてください。
私は実際には2社Shevirah Inc.とBulb Security LLCがあります。 私は、Smartphone Pentest Frameworkを構築するためのDARPA Cyber Fast Trackの助成金を受け取ったときに電球を始めましたが、その後大胆に自主的にその助成金を申請することができたことで叱責されました。
研究プロジェクトに加えて、私はこの時点で侵入テスト、トレーニング、リバースエンジニアリング、さらには特許分析のコンサルティングビジネスも構築しました。 私は暇なときには、メリーランド大学大学とTulane大学の教授でもあります。
私は、Mach37スタートアップアクセラレータに参加して、モバイルおよびモノのインターネットの侵入テスト、フィッシングシミュレーション、および予防的制御検証で製品を製品化し、他の研究者によるモバイルの理解を深めるための手助けを拡大しました。 IoTのセキュリティ体制とその改善方法
Q4-さて、あなたがペネトレーションテスターとしてのあなたの仕事を本当に誇りに思っていたときの最もエキサイティングな時期について教えてください。
私が入るたびに、特に新しい方法で、初めてと同じラッシュがあります。 また私が誇りに思うのは、最初に見つけたものすべてを修正しただけでなく、テストの合間に新しい脆弱性と攻撃が知られるようになったため、セキュリティの姿勢を高め続けたリピート顧客を持つことです。
顧客に、私が慣れ親しんだものにパッチを当てるだけでなく、企業全体としてより成熟したセキュリティ体制を構築するのを見ることは、単にドメイン管理者になることを示すよりもはるかにインパクトがあることを意味します。 LLMNR中毒またはEternalBlue。
Q5-倫理的ハッキングと侵入テストの分野で自分の旅を始めたい人のために、あなたはどんな提案やキャリアアドバイスを与えたいと思いますか? それはそのことについてのどんなオンラインコース提案、証明書または学位であることもできます。
私は私の本、ペネトレーションテスト:ハッキングの実践的な紹介はもちろんお勧めです。 また、地元のハッカー会議や、地元のDEF CONグループの章やSecurity BSidesなどの会議に参加することをお勧めします。 これは、業界の潜在的なメンターやつながりを満たすための素晴らしい方法です。 私はまた、研究プロジェクトやクラスをやることをお勧めします。
これが私を最初に#infosecに導いた競争です。 全国各地の地域での競争だけでなく、地域の勝者のための国民があります。 あなたのアウトリーチのドルとボランティアの時間を置くのに良い場所です。 https://t.co/TcNLC7r8tV
- ジョージア州ウェイドマン(@georgiaweidman)2019年2月28日
セキュリティ研究はブートローダの内部動作に関する難解なスキルを必要とする暗黒の魔法であると多くの人が思うが、ほとんどの場合、そうではない。 あなたが始めたばかりであっても、誰もが彼らが共有できる分野で他の人に役立つだろうスキルセットを持っています。 Wordでの書式設定が得意なのか、それともLinuxシステム管理者としての長年の経験があるのでしょうか。
Q6-オンラインのプライバシーとセキュリティを心配しているセキュリティソフトウェア、アドオン、拡張機能などをオーディエンスに提案しますか? 最大のオンライン保護のための絶対確実な方法はありますか?
私の業務の一部が予防的解決策の有効性を検証していることを考えると、私は面接でベンダーにとらわれないままでいなければならないことを理解するでしょう。 絶対確実なセキュリティのようなものがないことに注意することは重要です。 実際、私たちは、予防的セキュリティベンダーの「私たちのソフトウェアをインストールすれば(あるいはネットワークにもう私たちのボックスを置いていれば)セキュリティについて心配する必要はなくなる」というマーケティング戦略を強く考えています。今日見られる有名な違反
これらのいわゆるエキスパートベンダーから知らされてきた企業はセキュリティ問題に多額の資金を投入していますが、パッチを当てることやフィッシング詐欺の認識などは見落とされています。 そして、私たちが何度も何度も見るように、予防的な解決策がすべてを止めることはありません。
Q7-ハッカーの立場から見れば、スマートデバイス上でVPNが動作していると、誰かをハッキングすることがどれほど困難になりますか? VPNはどの程度効果的ですか。 何か使用しますか?
最近のほとんどの攻撃と同様に、ほとんどのモバイル攻撃はある種のソーシャルエンジニアリングを含み、多くの場合、より大きな一連の攻撃の一部として行われます。 予防製品と同様に、VPNは一部の攻撃や傍受に対して確かに役立ちますが、モバイルユーザーが悪意のあるアプリケーションや管理プロファイルなどをダウンロードし、スマートデバイス上で悪意のあるリンクを開く限り、VPNは悪用可能です。これまでに行きなさい。
私はユーザーに、特に公衆ネットワーク上で、もちろん他のセキュリティ製品上でも、VPNを使用することをお勧めします。 これらの製品を保護するためにこれらの製品だけに頼るのではなく、ユーザーにセキュリティの姿勢について引き続き警戒してほしいのです。
Q8-スマートデバイスの急激なブームとIOTの分野における驚くべき開発により、最も可能性の高い潜在的なセキュリティの脅威と脆弱性は何だと思いますか?
私は、モバイルとIoTに対する脅威が、より多くの入り口と出口を持つ従来のデバイスと同じであると考えています。 Windowsコンピュータでは、ユーザーが攻撃を成功させるために何もしなくてもよいリモートコード実行攻撃、悪意のあるファイルをユーザーがWebページ、PDF、Windowsで開くことができるクライアントサイド攻撃の脅威があります。ソーシャルエンジニアリング攻撃やローカルでの権限昇格もあります。
パッチが見つからない、パスワードが推測しやすい、サードパーティ製のソフトウェアが安全でない、リストが続いている。 モバイルとIoTでは、有線または無線接続ではなく、モバイルモデム、Zigbee、Bluetooth、近距離無線通信などを除いて同じ問題に対処しています。データ損失防止を展開。 機密データが危険にさらされたモバイルデバイスによってデータベースからサイフォンで取り出され、その後SMSを介して携帯電話ネットワークに送信されている場合、ネットワーク境界で世界中のすべての予防技術がそれを捉えることはできません。 同様に、ユーザーを社会的に設計することができる方法はこれまで以上に増えています。
電子メールや電話だけでなく、SMS、WhatsappやTwitterなどのソーシャルメディア、QRコード、悪意のあるものを開いたりダウンロードしたりすることを目的とした無数の方法のリストがあります。
Q9-あなたが楽しみにしているセキュリティカンファレンスはありますか? もしそうなら、それで何?
私はまた新しい場所を見、新しい人々に会うのが好きです。 それで私はいつも会議をするために外国に旅行することにしています。 今年はRastacConの基調講演に招待されました。 ジャマイカで。 昨年、私はブラジルのサルバドールを訪問し、Roadsecカンファレンスの1つを基調講演して素晴らしい時間を過ごしました。 また、今年は私がカーボンブラックコネクトに基調講演をしています。これは私がインフォセックの世界にいるのと同じくらいにビジネスの世界でも知られるようになるために私にとって良い場所です。 暑くて混雑しているラスベガスにいるにもかかわらず、インフォセックサマーキャンプ(Blackhat、Defcon、BSidesLV、さらにその他の各種イベント)は、業界の多くの人々に追いついて、彼らが何をしてきたのかを知るための素晴らしい方法です。に。
Q10-今後の予定は? あなたは別の本を書いていますか? 別の会社を設立しましたか? 既存のものをスケーリングする? ジョージア・ウェイドマンは、彼女の人生でさらに成し遂げることを目指していますか?
私は現在、侵入テスト第2版:ハッキングの実践的な紹介を終えています。 私は間違いなく将来、初心者向けの技術書をさらに書きたいと思います。 私はこれまでに2、3のエンジェル投資しか行っていませんが、将来的には他のスタートアップ創設者、特に私のような技術創設者に投資し、指導することができればと思っています。
私はスタートアップをやることから多くのことを学んだが、私は本当にセキュリティ研究をしたいというまれな品種の1つでもある。 起動後私は自分自身がしばらくの間セキュリティ調査をフルタイムで行っているだけであると想像します。 完全に技術関連ではない、しかしあなたがソーシャルメディアで私に従うならば、あなたは私が馬術競技で競うことに気付いたかもしれないので、今年私の馬テンポと私はバージニア馬ショー協会決勝に勝つことを望む。 長期的に見て、私はより多くの時間とリソースを、値する飼い主と節約するウミガメと救助馬のマッチングに費やしたいと思います。
「 予防製品だけでセキュリティを修正することはできません。 テストはセキュリティの必要かつ見落とされがちな部分です。 実際の攻撃者はどのようにしてあなたの組織に侵入するのですか? 彼らはあなたの予防策を回避することができますか? (ヒント:はい。) - ジョージア・ウェイドマン
