Expert cântărește starea cibersecurității

Aici, la vpnMentor, credem că securitatea cibernetică este o prioritate, nu o gândire ulterioară. Dar cine este responsabil pentru securizarea informațiilor dvs. atunci când le distribuiți online – dvs. sau compania cu care o împărtășiți?

Am avut ocazia să vorbesc cu Sean Wright, unul dintre cei mai importanți experți din Marea Britanie în securitatea informațiilor și liderul capitol al Proiectului Open Web Security Security (OWASP) din Scoția.


Logo OWASP

Care este fondul tău și cum te-ai apucat de cybersecurity?

Sunt unul dintre co-liderii capitolului OWASP Scoția și lucrez pentru o companie mare din departamentul lor de inginerie. Sunt responsabil pentru aplicațiile de securitate online, dezvoltarea aplicațiilor sigure, recenzii de documentație și toate acestea pe care mă concentrez în principal.

La momentul meu, fac un pic de cercetare și interacțiune în proiecte de securitate cibernetică. Am început să tinc cu lucrurile din lateral, dar inițial, nu erau prea multe din punct de vedere al securității cibernetice – și nici experiența mea nu a fost atât de mare. Deci, am fost dezvoltator timp de mai mulți ani. Apoi mi s-a oferit un loc de muncă la compania mea actuală ca dezvoltator, care a acționat ca un fel de resort pentru a intra în securitate.

Lucrezi de la distanță. Care găsiți că sunt provocările acestui lucru? Cum vă asigurați dispozitivele în afara biroului?

Când vine vorba de funcționarea în sine, compania noastră oferă tot ceea ce am nevoie. Nu știu toate detaliile, le las doar pe acestea – din moment ce am prea puțin control asupra acestui fapt, precum și acest lucru care se află în afara responsabilităților mele.

Când vine vorba de lucrurile mele personale, sunt un pic paranoic. Folosesc AlienVault (versiunea lor gratuită) și straturi suplimentare de securitate, cum ar fi Pi-Hole. Singurul lucru pe care nu îl pot securiza așa cum mi-aș dori este routerul meu, din cauza furnizorului meu.

Acasă, folosesc un VPN privat, împreună cu ProtonVPN. Așadar, dacă există o problemă cu VPN-ul de acasă, pot trece la asta. Când călătoresc, există lucruri precum BitDefender, dar, în realitate, folosesc în principal doar Linux când sunt plecat.

Așadar, ați spune că un VPN ar acoperi majoritatea problemelor de securitate cibernetică atunci când nu sunt acasă?

Da. Unul dintre lucrurile care este înfricoșător este că am folosit o ananas WiFi în holul unui hotel. Nici măcar nu încercam să distrug rețelele – am creat doar un punct de acces pentru uz propriu. Și în aproximativ cinci minute, am deja cinci clienți care se conectează la acesta.

Cealaltă problemă în ceea ce privește wireless-ul este că dispozitivele fac un ping constant pentru rețelele wireless. Așadar, dacă sunteți deja conectat la un hotspot gratuit și deschis, dispozitivul dvs. va face un ping constant și va încerca să vă conectați la asta. Dacă aveți ceva ca un ananas WiFi, atunci puteți configura automat un hotspot wireless spoofed. Ca utilizator conectat la o rețea publică, probabil că veți dori să utilizați o VPN – și apoi traficul dvs. va fi dirijat prin.

Să presupunem că sunteți conectat la unul dintre aceste puncte-spoof-hots, dar utilizați un VPN pe dispozitiv. Acest lucru vă va proteja sau vă va lăsa vulnerabil?

Dacă traficul dvs. trece printr-un VPN și sunteți conectat la unul dintre aceste hotspot-uri spoofed, tot traficul va fi criptat. Hackerul poate vedea în continuare traficul, dar va fi zguduit. De aceea, lucruri precum Transport Layer Security (TLS) sunt, de asemenea, importante, deoarece este o criptare end-to-end. Deci, spuneți, nu utilizați un VPN, ci utilizați TLS – care este, de asemenea, criptat. Hackerul nu va putea face nimic din datele transferate.

Ce ai spune este cel mai mare risc pe care îl vezi cu amenințările cibernetice moderne?

Pentru mine, cel mai mare potențial pentru sisteme defecte vine în configurarea și întreținerea bazelor de date. În trecut, aproape tot ce a fost găzduit local (în centrul de date al organizației) și chiar dacă ați înșurubat configurația pentru aceasta, probabilitatea ca datele să fie expuse public este puțin probabil.

Avansați până astăzi când aveți cloud și puteți vedea din nou și din nou, oamenii aduc bazele de date în infrastructura cloud și nu le configurează corect. Deodată, baza dvs. de date este expusă publicului. Lucruri precum Mongo-DB și ElasticSearch – care se îmbunătățesc din punct de vedere al securității, dar inițial nu sunt sigure în mod implicit.

Aceste baze de date nu au apărare implicită de securitate, cum ar fi autentificarea și autorizarea. Apoi, când sunt expuse la internet, dintr-o dată toate datele sunt accesibile publicului, fără nicio autentificare. Deci, oricine are abilități tehnice relativ de bază ar putea obține datele. Este atat de simplu.

Cum credeți că apar cele mai multe dintre aceste erori? Este o lipsă de cunoștințe sau este suficient de ușor să faci un pas greșit?

Cred că este lipsa lor de cunoștințe, dar este și gestionarea activelor. Putem vedea din nou și din când în când companiile nu păstrează o listă puternică a activelor lor, inclusiv serviciile pe care le au, care sunt lucrurile pe care se desfășoară activitățile și care sunt accesibile unde. Dacă aveți o gestionare și o detectare puternică a activelor, atunci veți detecta că ceva este neconfigurat și îl puteți adresa cât mai curând posibil. Totuși, cel mai des, nu compania a găsit aceste cazuri – altcineva spune companiei.

Acest lucru poate fi sigur pentru companii, cu siguranță. Însă, pentru utilizatorul de internet, care este cel mai bun sfat pentru a se putea proteja pe ei înșiși, astfel încât, chiar dacă sunt incluși o bază de date scursă, ar putea atenua posibilitatea amenințărilor?

Există câteva lucruri pe care le poți face. Asigurați-vă că verificați în mod regulat Have I been Pwned. Este un serviciu care vă va notifica atunci când s-a produs o încălcare cu datele dvs. de acreditare (de exemplu, adresa de e-mail și parola). Nu este întotdeauna instantaneu, dar este cu siguranță un mijloc de a detecta dacă detaliile dvs. fac parte dintr-o încălcare.

Monitorizarea creditului este, de asemenea, foarte utilă, deoarece multe încălcări ar putea fi utilizate, la sfârșitul zilei, pentru un câștig financiar la sfârșitul hackerului.

Un alt lucru care poate fi util pentru un hacker este să folosească datele scurse în încercările de phishing. Este important să fiți atenți la e-mailurile de pe site-uri web atunci când vă solicită să actualizați detaliile contului sau să reintroduceți parola. Una dintre cele mai mari cadouri de căutat sunt greșelile de ortografie, de fapt. Pentru cei mai mulți, engleza nu este limba lor maternă, așa că adesea fac și erori gramaticale destul de evidente. Dacă nu sunteți sigur, accesați direct site-ul (introduceți adresa URL din browserul dvs., mai degrabă decât faceți clic pe un link din e-mail).

Acesta este un sfat practic foarte bun. Ceea ce în prezent te frustrează cel mai mult în lumea cibersecurității și ce ai face diferit?

De prea multe ori, securitatea este o gândire ulterioară. Bazele de date ar trebui să fie securizate în mod implicit, mai degrabă decât protejate în mod reactiv. În timp ce cazurile apar în mass-media acum, mesajul ar trebui să răspundă că trebuie să înceapă să ia securitatea în serios.

Un alt lucru este atunci când companiile jignesc după ce un cercetător le dezvăluie ceva. Ei trebuie să realizeze că nu este o critică a companiei lor. Ei trebuie să lucreze cu cercetătorul pentru a rezolva problema, pentru că îi ajută. Cercetătorul ar putea să plece cu ușurință și să-l vândă pe web-ul întunecat sau orice altceva, așa că ajută de fapt compania. Și compania trebuie să se asigure, de asemenea, că lucrează cu cercetătorul și măcar să le mulțumească.

Am lucrat la câteva dintre aceste cazuri și de aceea sunt frustrat de status quo-ul în acest sens. În ultimii doi ani, probabil am găsit aproximativ cinci sau șase probleme și încă nu am să vă mulțumesc. [râde] Negarea problemei nu o face să dispară.

Ce faceți atunci când nu încercați să asigurați lumea?

Am o familie, așa că petrecerea timpului cu familia este prioritară – dar nu recunosc că am făcut o treabă grozavă în ultima perioadă. Așa că trebuie să mă concentrez puțin mai mult pe asta. De asemenea, ieșiți la plimbări și altele. Unele jocuri online. Am încercat golf și nu am reușit oribil.