Di dunia saat ini, di mana bisnis besar dan kecil sebagian besar dipengaruhi oleh serangan dunia maya dan pelanggaran data, pengeluaran untuk keamanan dunia maya telah meroket. Perusahaan menghabiskan jutaan dolar untuk melindungi pertahanan siber mereka. Dan ketika kita berbicara tentang Keamanan Cyber dan Keamanan Informasi, Georgia Weidman adalah salah satu dari sedikit nama terkemuka di industri yang muncul dalam pikiran.
Georgia Weidman adalah Ethical Hacker, Penetration Tester, CEO Shevirah Inc / Bulb Security LLC dan penulis buku "Pengujian Penetrasi: Pengenalan Langsung terhadap Peretasan."
Berikut adalah wawancara eksklusif Georgia Weidman dengan tim kami di Ivacy di mana kami mengajukan beberapa pertanyaan yang terkait dengannya dan Keamanan Cyber secara umum:
Q1 - Hai Georgia, kami sangat senang memiliki Anda dan benar-benar terkesan dengan mengetahui berapa banyak yang telah Anda capai dalam rentang waktu singkat. Apa yang membawa Anda ke industri infosec ini? Bagaimana Anda memulai perjalanan Anda sebagai Peretas Etis?
Saya kuliah lebih awal, pada usia 14 tahun daripada yang biasanya 18. Dan saya mengambil gelar matematika karena saya tidak ingin menjadi ilmuwan komputer. Ibuku adalah satu dan remaja apa yang ingin menjadi seperti orang tua mereka?
Tetapi kemudian saya benar-benar tidak dapat menemukan pekerjaan pada usia 18 dengan hanya gelar sarjana dan tanpa pengalaman kerja, saya diminta untuk mengambil gelar master dalam ilmu komputer, dan mereka akan memberi saya uang! Itu lebih baik daripada harus tinggal bersama orang tua saya.
Jadi saya memasuki program Master dan universitas memiliki klub pertahanan siber. Kapten klub pertahanan dunia maya tampak sangat menarik dan saya ingin belajar lebih banyak tentang dia. Jadi, tanpa tahu apa-apa tentang keamanan siber, saya bergabung dengan klub pertahanan siber dan kami berkompetisi di Kompetisi Pertahanan Siber Atlantik Tengah. Yah, saya belajar bahwa cybersecurity lebih menarik daripada pria itu, tetapi saya juga menemukan apa yang ingin saya lakukan dengan hidup saya.
Q2- Apa inspirasi & motivasi Anda di balik penulisan Buku Anda "Penetration Testing"?
Saya ingin menulis buku yang saya inginkan ketika saya mulai di infosec. Ketika saya pertama kali mulai dan mencoba belajar banyak dari apa yang tersedia di tutorial dan mengumpulkan begitu banyak pengetahuan sebelumnya bahwa saya melakukan teknis yang setara dengan mencari semua kata dalam kamus. Kemudian kata-kata itu di kamus anak-anak bahkan untuk mendapatkan ide tentang bagaimana segala sesuatunya bekerja lebih sedikit mengapa mereka bekerja.
Ketika meminta bantuan, saya mendapat banyak "Turun n00b, " atau "Coba Lebih Keras!" Daripada penjelasan. Saya ingin membuatnya lebih mudah bagi mereka yang datang setelah saya dan mengisi celah itu dengan buku saya.
Q3 - semenarik namanya, beri tahu kami tentang Keamanan Bulb perusahaan Anda dan bagaimana semuanya dimulai?
Saya sebenarnya memiliki dua perusahaan Shevirah Inc. dan Bulb Security LLC. Saya memulai Bulb ketika saya menerima hibah DARPA Cyber Fast Track untuk membangun Smartphone Pentest Framework dan kemudian ditegur karena memiliki keberanian untuk mengajukan hibah secara mandiri.
Selain proyek penelitian, saya juga membangun bisnis konsultasi pengujian penetrasi, pelatihan, rekayasa balik, bahkan analisis paten pada saat ini. Di waktu luang saya yang berlimpah, saya juga seorang profesor di University of Maryland University College dan Tulane University.
Saya memulai Shevirah ketika saya bergabung dengan akselerator startup Mach37 untuk memproduksikan pekerjaan saya di seluler dan pengujian penetrasi Internet of Things, simulasi phishing, dan validasi kontrol pencegahan untuk memperluas jangkauan saya dari membantu peneliti lain untuk membantu perusahaan mendapatkan pemahaman yang lebih baik tentang ponsel mereka dan Postur keamanan IoT dan cara memperbaikinya.
Q4 - Nah, beri tahu kami tentang saat paling mengasyikkan ketika Anda benar-benar merasa bangga dengan pekerjaan Anda sebagai Penetration Tester.
Setiap kali saya masuk, terutama dengan cara baru, memiliki kesibukan yang sama dengan yang pertama kali. Apa yang juga membuat saya bangga adalah memiliki pelanggan tetap yang tidak hanya memperbaiki semua yang kami temukan pertama kali, tetapi juga terus meningkatkan postur keamanan mereka karena kerentanan dan serangan baru dikenal pada waktu di antara pengujian.
Untuk melihat pelanggan tidak hanya sekadar menambal apa yang saya gunakan, tetapi juga membangun postur keamanan yang lebih matang untuk perusahaan secara keseluruhan, berarti saya telah membuat lebih banyak dampak daripada hanya menunjukkan kepada mereka saya bisa mendapatkan domain admin dengan Keracunan LLMNR atau EternalBlue.
Q5- Bagi mereka yang ingin memulai Perjalanan mereka di bidang Etis Peretasan & Pengujian Penetrasi, saran atau saran karier apa yang ingin Anda berikan? Ini bisa berupa saran kursus online, sertifikat, dan gelar pendidikan dalam hal ini.
Saya akan merekomendasikan buku saya, Pengujian Penetrasi: Pengenalan Praktis Peretasan. Saya juga menyarankan untuk terlibat dalam rapat atau konferensi hacker lokal seperti bab grup DEF CON lokal atau Security BSides. Itu cara yang bagus untuk bertemu mentor dan koneksi potensial di industri. Saya juga menyarankan melakukan proyek penelitian atau kelas.
Ini adalah kompetisi yang membuat saya menjadi #infosec sejak awal. Ada kompetisi di daerah di seluruh negeri serta warga negara untuk pemenang regional. Tempat yang bagus untuk mengeluarkan uang penjangkauan dan waktu sukarela Anda. https://t.co/TcNLC7r8tV
- Georgia Weidman (@georgiaweidman) 28 Februari 2019
Begitu banyak orang berpikir penelitian keamanan adalah sihir gelap yang membutuhkan keterampilan misterius tentang cara kerja bootloader, tetapi, dalam kebanyakan kasus, itu bukan masalahnya. Bahkan jika Anda baru memulai, setiap orang memiliki seperangkat keterampilan yang akan membantu orang lain di bidang yang dapat mereka bagikan. Mungkin Anda hebat dalam memformat di Word atau memiliki pengalaman bertahun-tahun sebagai admin sistem Linux?
Q6 - Apakah Anda ingin menyarankan beberapa perangkat lunak keamanan, add-on, ekstensi, dll. Kepada audiens kami yang peduli dengan privasi & keamanan online mereka? Apakah ada metode yang sangat mudah untuk perlindungan online maksimum?
Mengingat bahwa bagian dari bisnis saya memvalidasi keefektifan solusi pencegahan, saya yakin Anda akan mengerti bahwa saya harus tetap vendor agnostik dalam wawancara. Penting untuk dicatat bahwa tidak ada keamanan yang sangat mudah. Bahkan, saya sangat percaya bahwa strategi pemasaran vendor keamanan pencegahan, "Jika Anda menginstal perangkat lunak kami (atau meletakkan kotak kami di jaringan Anda), Anda tidak perlu khawatir tentang keamanan lagi, " adalah penyebab utama dari banyak pelanggaran profil tinggi yang kita lihat hari ini.
Perusahaan, yang telah diberi tahu oleh vendor yang disebut ahli, membuang banyak uang pada masalah keamanan tetapi mengabaikan hal-hal seperti menambal dan kesadaran phishing karena vendor mereka mengatakan bahwa mereka telah menutup semuanya. Dan, seperti yang kita lihat berulang kali, tidak ada solusi pencegahan yang akan menghentikan semuanya.
T7 - Dari sudut pandang seorang Peretas, seberapa sulitkah untuk meretas seseorang jika mereka memiliki VPN yang berjalan di perangkat pintar mereka? Seberapa efektif VPN? Apakah Anda menggunakan?
Seperti kebanyakan serangan hari ini, sebagian besar serangan seluler melibatkan semacam rekayasa sosial, seringkali sebagai bagian dari rantai eksploitasi yang lebih besar. Seperti halnya produk pencegahan, VPN tentu dapat membantu melawan beberapa serangan dan tentu saja terhadap penyadapan, tetapi, selama pengguna seluler mengunduh aplikasi jahat, profil manajemen, dll. Dan membuka tautan berbahaya di perangkat pintar mereka, VPN hanya dapat pergi sejauh ini.
Saya akan mendorong pengguna untuk menggunakan VPN, khususnya di jaringan publik, dan tentu saja produk keamanan lainnya. Saya hanya ingin pengguna untuk terus waspada tentang postur keamanan mereka daripada hanya mengandalkan produk-produk ini untuk melindungi mereka.
T8 - Dengan ledakan eksponensial perangkat pintar dan perkembangan luar biasa di bidang IOT, menurut Anda apa potensi ancaman keamanan & kerentanan yang kemungkinan besar akan ikut?
Saya melihat ancaman terhadap ponsel dan IoT sama dengan perangkat tradisional dengan lebih banyak titik masuk dan keluar. Pada komputer Windows, ada ancaman serangan eksekusi kode jarak jauh di mana pengguna tidak perlu melakukan apa pun agar serangan itu berhasil, serangan sisi klien di mana pengguna perlu membuka file berbahaya baik itu halaman web, PDF, dan dieksekusi, dll. Ada juga serangan rekayasa sosial dan eskalasi hak istimewa lokal.
Tambalan tidak ada, kata sandi mudah ditebak, perangkat lunak pihak ketiga tidak aman, daftarnya terus berlanjut. Dalam mobile dan IoT kita berurusan dengan masalah yang sama kecuali alih-alih hanya koneksi kabel atau nirkabel kita sekarang memiliki modem mobile, Zigbee, Bluetooth, Near Field Communication, hanya untuk menyebutkan beberapa sebagai vektor serangan potensial serta cara untuk memotong setiap pencegahan kehilangan data digunakan. Jika data rahasia disedot dari database oleh perangkat seluler yang dikompromikan dan kemudian dikirim ke jaringan seluler melalui SMS, semua teknologi pencegahan di dunia pada batas jaringan tidak akan menangkapnya. Demikian juga, kami memiliki lebih banyak cara dari sebelumnya sehingga pengguna dapat direkayasa secara sosial.
Alih-alih hanya email dan panggilan telepon sekarang kami memiliki SMS, media sosial seperti Whatsapp dan Twitter, kode QR, daftar berbagai cara pengguna mungkin ditargetkan untuk membuka atau mengunduh sesuatu yang jahat terus dan terus.
Q9 - Apakah ada konferensi keamanan yang Anda tunggu-tunggu? Jika Ya, lalu apa itu?
Saya juga suka melihat tempat-tempat baru dan bertemu orang baru. Jadi saya selalu siap untuk bepergian ke negeri asing untuk melakukan konferensi. Tahun ini saya diundang untuk menjadi pembicara utama RastacCon! di Jamaika. Tahun lalu saya bersenang-senang mengunjungi Salvador, Brasil, dengan menghadirkan salah satu konferensi Roadsec. Juga tahun ini saya memperkenalkan Carbon Black Connect, yang merupakan tempat yang baik bagi saya karena saya berusaha untuk menjadi terkenal di dunia bisnis seperti halnya saya di dunia infosec. Meskipun berada di Las Vegas yang panas dan ramai, perkemahan musim panas infosec (Blackhat, Defcon, BSidesLV, plus berbagai acara lainnya pada saat yang sama) adalah cara yang bagus untuk mengejar ketinggalan dengan banyak orang dari industri dan melihat apa yang telah mereka lakukan. untuk.
Q10- Apa rencana masa depan Anda? Apakah Anda akan menulis buku lain? Mendirikan perusahaan lain? Menskalakan yang sudah ada? Apa yang ingin dicapai oleh Georgia Weidman dalam hidupnya?
Saat ini saya sedang menyelesaikan Pengujian Penetrasi Edisi ke-2: Pengenalan Praktis Peretasan. Saya pasti ingin menulis buku teknis ramah pemula tambahan di masa depan. Meskipun saya hanya melakukan beberapa investasi malaikat sejauh ini, saya berharap dapat berinvestasi dan membimbing pendiri startup lain di masa depan, terutama pendiri teknis seperti saya, dan melakukan lebih banyak untuk mendukung perempuan dan minoritas di infosec.
Saya telah belajar banyak dari memulai, tetapi saya juga salah satu dari jenis langka yang benar-benar hanya ingin melakukan penelitian keamanan. Pasca-startup saya membayangkan diri saya hanya melakukan riset keamanan penuh waktu untuk sementara waktu. Benar-benar tidak terkait teknologi, tetapi jika Anda mengikuti saya di media sosial, Anda mungkin telah memperhatikan bahwa saya bersaing dalam acara berkuda, jadi tahun ini kuda saya Tempo dan saya berharap untuk memenangkan final Asosiasi Pertunjukan Kuda Virginia. Jangka panjang, saya ingin mencurahkan lebih banyak waktu dan sumber daya untuk mencocokkan kuda penyelamat dengan pemilik yang layak dan menyelamatkan penyu.
“ Anda tidak dapat memperbaiki keamanan hanya dengan produk pencegahan. Pengujian adalah bagian keamanan yang perlu dan sering diabaikan. Bagaimana seorang penyerang nyata masuk ke organisasi Anda? Apakah mereka dapat mem-bypass solusi pencegahan Anda? (Petunjuk: ya.) ”- Georgia Weidman
