Dans le monde actuel, où les grandes et les petites entreprises sont largement touchées par les cyberattaques et les atteintes à la sécurité des données, les dépenses en cybersécurité ont explosé. Les entreprises dépensent des millions de dollars pour protéger leurs cyberdéfenses. Georgia Weidman est l’un des rares noms importants de l’industrie à nous parler de la cybersécurité et de la sécurité de l’information.
Georgia Weidman est un hack éthique, testeur de pénétration, PDG de Shevirah Inc / Bulb Security LLC et auteur du livre "Tests de pénétration: introduction pratique au piratage".
Voici une interview exclusive de Georgia Weidman avec notre équipe d'Ivacy où nous avons posé des questions sur elle et sur la cybersécurité en général:
Q1 - Coucou la Géorgie, nous sommes ravis de vous accueillir et nous avons été totalement impressionnés de savoir combien vous avez accompli en peu de temps. Qu'est-ce qui vous amène à cette industrie infosec? Comment avez-vous commencé votre parcours en tant que hack éthique?
Je suis allé au collège tôt, à 14 ans au lieu des 18 ans habituels. Et j'ai pris un diplôme en mathématiques parce que je ne voulais pas être informaticien. Ma mère en était une et quel adolescent veut être comme leurs parents?
Mais alors je ne pouvais pas vraiment trouver un emploi à 18 ans avec juste un baccalauréat et aucune expérience de travail, on m'a demandé de faire une maîtrise en informatique, et ils allaient me donner de l'argent! C'était mieux que de devoir vivre avec mes parents.
Je suis donc entré dans le programme de maîtrise et l'université avait un club de cyberdéfense. Le capitaine du club de cyberdéfense semblait vraiment intéressant et je voulais en savoir plus sur lui. Alors, ne connaissant rien à la cybersécurité, j'ai rejoint le club de cyberdéfense et nous avons participé au concours de cyberdéfense de la moitié de l'Atlantique. Eh bien, j’ai appris que la cybersécurité était plus intéressante que ce type, mais j’ai aussi trouvé ce que je voulais faire de ma vie.
Q2- Quelles ont été votre inspiration et votre motivation pour écrire votre livre «Tests de pénétration»?
Je voulais écrire le livre que je souhaitais avoir quand je débutais dans infosec. Quand j'ai commencé et que j'essayais d'apprendre tellement de choses sur ce qui était disponible sous forme de tutoriels et d'acquérir tellement de connaissances préalables que je faisais l'équivalent technique de la recherche de tous les mots du dictionnaire. Ensuite, ces mots dans le dictionnaire des enfants pour même avoir une idée de la façon dont les choses ont fonctionné beaucoup moins pourquoi ils ont fonctionné.
Lorsque j'ai demandé de l'aide, j'ai eu beaucoup de «Lève-toi n00b» ou «Essaie plus fort!» Plutôt que des explications. Je voulais faciliter la tâche à ceux qui sont venus après moi et combler cette lacune avec mon livre.
Q3- Aussi intéressant que son nom soit, parlez-nous de votre société Bulb Security et comment tout a commencé?
En fait, j'ai deux sociétés, Shevirah Inc. et Bulb Security LLC. J'ai commencé Bulb lorsque j'ai reçu une subvention DARPA Cyber Fast Track pour construire le cadre Pentest pour smartphone. J'ai ensuite été réprimandé pour avoir eu l'audace de demander la subvention de manière indépendante.
En plus des projets de recherche, j'ai également développé une entreprise de conseil en tests d'intrusion, formation, ingénierie inverse et même en analyse de brevets. Pendant mon temps libre copieux, je suis également professeur à l'Université du Maryland University College et à l'Université Tulane.
J'ai démarré Shevirah lorsque j'ai rejoint l'accélérateur de startups Mach37 pour produire mon travail dans les tests d'intrusion sur mobile et dans l'internet des objets, la simulation de phishing et la validation de contrôle préventif afin d'élargir ma portée en aidant d'autres chercheurs à aider les entreprises à mieux comprendre leurs technologies. Posture de sécurité IoT et comment l’améliorer.
Q4- Eh bien, parlez-nous de la période la plus excitante où vous vous êtes vraiment senti fier de votre travail de testeur de pénétration.
Chaque fois que je rentre, particulièrement d'une manière nouvelle, je suis aussi pressé que la première fois. Ce qui me rend aussi fier, c’est d’avoir des clients fidèles qui non seulement ont réparé tout ce que nous avons trouvé la première fois, mais ont également continué à améliorer leur sécurité, à mesure que de nouvelles vulnérabilités et de nouvelles attaques se faisaient jour entre les tests.
Le fait de voir un client non seulement corriger ce que je recevais auparavant, mais également créer une posture de sécurité plus mature pour l'entreprise dans son ensemble, signifie que j'ai eu un impact bien plus important que de simplement leur montrer que je peux obtenir un administrateur de domaine avec Intoxication par LLMNR ou EternalBlue.
Q5- Quelles suggestions ou conseils de carrière souhaitez-vous donner à ceux qui souhaitent débuter leur aventure dans le domaine du piratage éthique et des tests de pénétration? Il peut s’agir de suggestions de cours en ligne, de certificats ou de diplômes universitaires.
Je recommanderais mon livre, Test de pénétration: Une introduction pratique au piratage, bien sûr. Je suggèrerais également de participer à des réunions ou à des conférences sur les pirates informatiques, telles qu'un chapitre local du groupe DEF CON ou des BSides de sécurité. C'est un excellent moyen de rencontrer des mentors potentiels et des relations dans l'industrie. Je suggérerais également de faire un projet de recherche ou un cours.
C'est la concurrence qui m'a amené à #infosec en premier lieu. Il y a des compétitions dans toutes les régions du pays ainsi qu'un concours national pour les gagnants régionaux. Un bon endroit pour mettre vos dollars de sensibilisation et vos heures de bénévolat. https://t.co/TcNLC7r8tV
- Georgia Weidman (@georgiaweidman) 28 février 2019
Tant de gens pensent que la recherche en matière de sécurité est une magie noire qui nécessite des compétences obscures sur le fonctionnement interne du chargeur de démarrage, mais dans la plupart des cas, ce n'est pas le cas. Même si vous débutez, tout le monde a un ensemble de compétences qui pourraient être utiles aux autres dans le domaine qu’ils pourraient partager. Peut-être avez-vous l'habitude de formater dans Word ou avez-vous des années d'expérience en tant qu'administrateur système Linux?
Q6- Souhaitez-vous suggérer des logiciels de sécurité, des add-ons, des extensions, etc. à notre public préoccupé par leur sécurité et leur confidentialité en ligne? Existe-t-il des méthodes infaillibles pour une protection en ligne maximale?
Étant donné qu'une partie de mon entreprise valide l'efficacité des solutions préventives, vous comprendrez certainement que je dois rester indépendant des vendeurs lors des entretiens. Il est important de noter qu’il n’existe pas de sécurité à toute épreuve. En fait, je suis fermement convaincu que la stratégie marketing des fournisseurs de sécurité préventive consistant à «Si vous installez notre logiciel (ou placez notre boîtier sur votre réseau), vous n’aurez plus à vous soucier de la sécurité». les violations de haut niveau que nous voyons aujourd'hui.
Les entreprises, après avoir été informées par ces soi-disant vendeurs experts, investissent beaucoup d’argent dans le problème de la sécurité, mais négligent des choses telles que les correctifs et l’hameçonnage, car leurs fournisseurs ont déclaré qu’ils avaient tout couvert. Et, comme nous le voyons maintes et maintes fois, aucune solution préventive n'arrêtera tout.
Q7- Du point de vue d'un pirate informatique, à quel point il est difficile de pirater quelqu'un qui a un réseau privé virtuel (VPN) sur son appareil intelligent? Quelle est l'efficacité des VPN? En utilisez-vous?
Comme la plupart des attaques de nos jours, la plupart des attaques mobiles impliquent une sorte d'ingénierie sociale, souvent dans le cadre d'une chaîne d'exploitation plus large. Comme pour les produits préventifs, un VPN peut certainement être utile contre certaines attaques et contre l’écoute, mais, tant que les utilisateurs mobiles téléchargent des applications et des profils de gestion malveillants et ouvrent des liens malveillants sur leurs appareils intelligents, un VPN ne peut que aller si loin.
J'encourage les utilisateurs à utiliser les VPN, en particulier sur les réseaux publics, ainsi que d'autres produits de sécurité. Je voudrais simplement que les utilisateurs continuent à faire preuve de vigilance en ce qui concerne leur sécurité plutôt que de compter uniquement sur ces produits pour les protéger.
Q8- Avec le boom exponentiel des appareils intelligents et le développement incroyable dans le domaine de l'IOT, quelles sont, selon vous, les menaces potentielles pour la sécurité et les vulnérabilités qui vont probablement s'accompagner?
Je vois les menaces contre le mobile et l'IoT comme les mêmes appareils traditionnels avec plus de points d'entrée et de sortie. Sur un ordinateur Windows, il existe une menace d’attaques d’exécution de code à distance pour lesquelles l’utilisateur n’a rien à faire pour que l’attaque porte ses fruits. Des attaques côté client où l’utilisateur doit ouvrir un fichier malveillant, qu’il s’agisse d'une page Web, d'un PDF, d'un fichier. exécutable, etc. Il existe également des attaques d'ingénierie sociale et une élévation des privilèges au niveau local.
Les correctifs manquent, les mots de passe sont faciles à deviner, les logiciels tiers ne sont pas sécurisés, la liste est longue. Dans les environnements mobile et IoT, nous traitons les mêmes problèmes, à la différence qu'au lieu d'une simple connexion filaire ou sans fil, nous disposons maintenant du modem mobile, Zigbee, Bluetooth, de la communication en champ proche, pour n'en nommer que quelques-uns comme vecteurs d'attaque potentiels, ainsi que des moyens de contourner tout problème. prévention de perte de données déployée. Si des données confidentielles sont siphonnées de la base de données par un appareil mobile compromis, puis envoyées au réseau cellulaire par SMS, toute la technologie préventive du monde située au périmètre du réseau ne l’acceptera pas. De même, nous avons plus de moyens que jamais pour que les utilisateurs puissent être socialement conçus.
Au lieu d'envoyer simplement un e-mail et un appel téléphonique, nous avons maintenant des SMS, des médias sociaux tels que Whatsapp et Twitter, des codes QR, la liste des innombrables façons dont un utilisateur peut être ciblé pour ouvrir ou télécharger un objet malveillant continue encore et encore.
Q9- Y a-t-il des conférences sur la sécurité que vous attendez avec impatience? Si oui, alors quels sont-ils?
J'aime aussi voir de nouveaux endroits et rencontrer de nouvelles personnes. Je suis donc toujours prêt à voyager dans des pays étrangers pour des conférences. Cette année, j'ai été invité à prendre la parole devant RastacCon! en Jamaïque. L’année dernière, j’ai passé un moment merveilleux à Salvador, au Brésil, à participer à l’une des conférences Roadsec. De plus, cette année, je suis le conférencier principal de Carbon Black Connect, qui est un bon lieu pour moi, car je travaille pour devenir aussi connu dans le monde des affaires que dans le monde de l’infosec. En dépit d'être à Las Vegas, très chaud et surpeuplé, le camp d'été infosec (Blackhat, Defcon, BSidesLV, et bien d'autres événements en même temps) est un excellent moyen de rattraper beaucoup de gens de l'industrie et de voir ce qu'ils ont fait. à.
Q10- Quels sont vos projets futurs? Voulez-vous écrire un autre livre? Fonder une autre entreprise? Mise à l'échelle de l'existant? Qu'est-ce que Georgia Weidman cherche à accomplir davantage dans sa vie?
Je termine actuellement la deuxième édition de Test de pénétration: introduction pratique au piratage. J'aimerais certainement écrire d'autres livres techniques adaptés aux débutants à l'avenir. Bien que je n’aie jusqu’à présent investi que quelques investissements providentiels, j’espère pouvoir investir dans d’autres futurs fondateurs de startups, en particulier des fondateurs techniques comme moi, et les encadrer, et faire davantage pour soutenir les femmes et les minorités dans infoec.
J'ai beaucoup appris en faisant du démarrage, mais je suis aussi l'un des rares types à faire de la recherche sur la sécurité. Après le démarrage, je m'imagine juste faire des recherches en sécurité à temps plein pendant un certain temps. Pas du tout lié à la technologie, mais si vous me suivez sur les médias sociaux, vous aurez peut-être remarqué que je participais à des épreuves équestres. Cette année, mon cheval Tempo et moi-même espérons gagner les finales de la Virginia Horse Show Association. À plus long terme, j'aimerais consacrer plus de temps et de ressources à la mise en relation des chevaux de sauvetage avec les propriétaires méritants et à la sauvegarde des tortues marines.
« Vous ne pouvez pas résoudre le problème de sécurité uniquement avec des produits préventifs. Le test est un élément nécessaire et souvent négligé de la sécurité. Comment un véritable attaquant va-t-il pénétrer dans votre organisation? Pourront-ils contourner votre solution préventive? (Indice: oui.) ”- Georgia Weidman
