في عالم اليوم ، حيث تتأثر الشركات الكبيرة والصغيرة إلى حد كبير بالهجمات الإلكترونية وانتهاكات البيانات ، ارتفع الإنفاق على الأمن السيبراني. تنفق الشركات ملايين الدولارات لحماية دفاعاتها الإلكترونية. وعندما نتحدث عن الأمن السيبراني وأمن المعلومات ، فإن Georgia Weidman هي واحدة من الأسماء القليلة البارزة في الصناعة التي تتبادر إلى الذهن.
جورجيا ويدمان هي هاكر أخلاقي ، مخترق الاختراق ، الرئيس التنفيذي لشركة Shevirah Inc / Bulb Security LLC ومؤلف كتاب "اختبار الاختراق: مقدمة عملية للتطفل".
إليك مقابلة حصرية لجورجيا ويدمان مع فريقنا في Ivacy حيث طرحنا بعض الأسئلة المتعلقة بها و Cyber Security بشكل عام:
Q1 - مرحبًا بجورجيا ، نحن سعداء للغاية بوجودك وقد أعجبنا تمامًا بمعرفة مقدار ما حققته في فترة زمنية قصيرة. ما الذي يوصلك إلى صناعة infosec؟ كيف بدأت رحلتك باعتبارها القراصنة الأخلاقية؟
ذهبت إلى الكلية مبكراً ، في الرابعة عشرة من العمر بدلاً من 18 عامًا. وحصلت على شهادة في الرياضيات لأنني لم أكن أريد أن أكون عالم كمبيوتر. كانت أمي واحدة وما يريد المراهق أن يكون مثل والديهم؟
لكن بعد ذلك لم أتمكن من العثور على وظيفة في سن الثامنة عشر مع الحصول على درجة البكالوريوس فقط ولا خبرة عمل ، وقد طُلب مني الحصول على درجة الماجستير في علوم الكمبيوتر ، وكانوا يمنحونني المال! كان ذلك أفضل من الاضطرار للعيش مع والدي.
لذا دخلت برنامج الماجستير والجامعة لديها نادي للدفاع الإلكتروني. بدا كابتن نادي الدفاع الإلكتروني مثيرًا للاهتمام حقًا وأردت معرفة المزيد عنه. لذلك ، لا أعرف شيئًا عن الأمن السيبراني ، فقد التحقت بنادي الدفاع السيبراني وتنافسنا في مسابقة الدفاع الأطلسي عبر المحيط الأطلسي. حسنًا ، تعلمت أن الأمن السيبراني كان أكثر إثارة للاهتمام من الرجل ، لكنني وجدت أيضًا ما أردت فعله في حياتي.
Q2 - ما هو مصدر إلهامك ودوافعك وراء كتابة كتابك "اختبار الاختراق"؟
كنت أرغب في كتابة الكتاب الذي تمنيت لو كنت بدأت في infosec. عندما بدأت في البداية وكنت أحاول أن أتعلم الكثير مما كان متاحًا في طريق الدروس وجمع الكثير من المعرفة المسبقة لدرجة أنني كنت أقوم بمعادل تقني للبحث عن كل الكلمات الموجودة في القاموس. ثم هذه الكلمات في قاموس الأطفال حتى للحصول على فكرة عن كيفية عمل الأشياء أقل بكثير لماذا كانوا يعملون.
عند طلب المساعدة ، حصلت على الكثير من "النزول n00b" ، أو "Try Harder!" بدلاً من التوضيحات. كنت أرغب في تسهيل الأمر بالنسبة لأولئك الذين جاءوا ورائي وملء تلك الفجوة بكتابي.
Q3 - بقدر ما يثير الاهتمام اسمك ، أخبرنا عن شركتك Bulb Security وكيف بدأ كل شيء؟
لديّ بالفعل شركتان شيفيرا إنك وشركة Bulb Security LLC. بدأت Bulb عندما تلقيت منحة DARPA Cyber Fast Track لبناء إطار عمل Smartphone Pentest وتم توبيخها بعد ذلك بسبب الجرأة في التقدم بطلب للحصول على المنحة بشكل مستقل.
بالإضافة إلى المشاريع البحثية ، قمت ببناء شركة استشارية لاختبار الاختراق والتدريب والهندسة العكسية وحتى تحليل براءات الاختراع في هذه المرحلة. في وقت فراغي الغزير ، أنا أيضًا أستاذ في كلية جامعة ماريلاند وجامعة تولين.
بدأت تشغيل Shevirah عندما انضممت إلى مُسرع بدء التشغيل Mach37 لإنتاج عملي في الأجهزة المحمولة واختبار اختراق إنترنت الأشياء ومحاكاة التصيّد والتحقق من الصحة الوقائية لتوسيع نطاقي من مساعدة الباحثين الآخرين إلى مساعدة المؤسسات على الحصول على فهم أفضل لهواتفهم المحمولة و إنترنت الأشياء الموقف الأمني وكيفية تحسينه.
Q4 - حسناً ، أخبرنا عن الوقت الأكثر إثارة عندما تشعر حقًا بالفخر بوظيفتك كاختبار الاختراق.
في كل مرة أحصل فيها ، خاصةً بطريقة جديدة ، يكون لديها نفس الاندفاع مثل المرة الأولى. ما يجعلني فخوراً أيضًا هو تكرار العملاء الذين لم يقتصر الأمر على إصلاح كل شيء وجدناه في المرة الأولى ، ولكنهم واصلوا أيضًا رفع موقفهم الأمني عندما أصبحت الثغرات والهجمات الجديدة معروفة في الفترة الفاصلة بين الاختبارات.
لرؤية العميل ليس فقط تصحيح ما اعتدت عليه ، ولكن أيضًا بناء موقف أمني أكثر نضجًا للمؤسسة ككل ، يعني أنني قد أحدثت تأثيرًا أكبر بكثير من مجرد إظهارهم يمكنني الحصول على مسؤول مجال باستخدام التسمم LLMNR أو EternalBlue.
Q5- بالنسبة لأولئك الذين يرغبون في بدء رحلتهم في مجال اختبار الاختراق والاختراق الأخلاقي ، ما هي الاقتراحات أو المشورة المهنية التي تود تقديمها؟ يمكن أن يكون أي اقتراحات بالطبع عبر الإنترنت ، وشهادات أو درجة تعليمية لهذه المسألة.
أوصي بكتابي ، اختبار الاختراق: مقدمة عملية عن الاختراق بالطبع. أود أن أقترح أيضًا التورط في اجتماعات أو مؤتمرات للقراصنة المحليين مثل فصل مجموعة DEF CON محلي أو BSides Security. هذه طريقة رائعة للقاء المرشدين المحتملين والتواصل في الصناعة. أود أن أقترح أيضًا القيام بمشروع أو فصل بحثي.
هذه هي المنافسة التي دفعتني إلى #infosec في المقام الأول. هناك مسابقات في مناطق في جميع أنحاء البلاد بالإضافة إلى مواطنين للفائزين الإقليميين. مكان جيد لوضع دولارات التوعية الخاصة بك وساعات التطوع. https://t.co/TcNLC7r8tV
- جورجيا ويدمان (@ جورجياويدمان) 28 فبراير 2019
يعتقد الكثير من الناس أن البحوث الأمنية هي سحر غامق يتطلب مهارات غامضة حول الأعمال الداخلية لمحمل الإقلاع ، ولكن في معظم الحالات ، ليس هذا هو الحال. حتى لو كنت بدأت للتو ، فإن كل شخص لديه مجموعة من المهارات التي من شأنها أن تكون مفيدة للآخرين في المجال الذي يمكنهم مشاركته. ربما أنت رائع في التنسيق في Word أو لديك سنوات من الخبرة كمسؤول لنظام Linux؟
Q6- هل ترغب في اقتراح بعض برامج الأمان والوظائف الإضافية والإضافات إلى جمهورنا المهتمين بخصوصية وأمان الإنترنت؟ هل هناك أي طرق مضمونة لتوفير الحماية القصوى عبر الإنترنت؟
نظرًا لأن هذا الجزء من عملي يتحقق من فعالية الحلول الوقائية ، فأنا متأكد من أنك ستفهم أنه يجب عليّ أن أظل بائعًا لا أدري في المقابلات. من المهم أن نلاحظ أنه لا يوجد شيء اسمه الأمن المضمون. في الواقع ، أعتقد اعتقادا راسخا أن استراتيجية تسويق بائعي الأمن الوقائي المتمثلة في "إذا قمت بتثبيت برنامجنا (أو وضعت صندوقنا على شبكتك) ، فلن تقلق بشأن الأمان بعد الآن" ، هي السبب الرئيسي لكثير من الخروقات البارزة التي نراها اليوم.
تقوم الشركات ، بعد أن تم إعلامها من قِبل ما يسمى بالباعة الخبراء ، بإلقاء الكثير من المال على المشكلة الأمنية ولكنها تتجاهل أشياء مثل الوعي بالرقع والتصيد لأن بائعيها قالوا إنهم قد غطوا كل شيء. وكما نرى مرارًا وتكرارًا ، لن يوقف أي حل وقائي كل شيء.
Q7 - من وجهة نظر هاكر ، ما مدى صعوبة اختراق شخص ما إذا كان لديه VPN يعمل على أجهزته الذكية؟ ما مدى فعالية VPNs؟ هل تستخدم أي؟
مثل معظم الهجمات هذه الأيام ، تنطوي معظم الهجمات على نوع من الهندسة الاجتماعية ، وغالبًا ما تكون جزءًا من سلسلة أكبر من الاستغلال. كما هو الحال مع المنتجات الوقائية ، يمكن أن تكون VPN مفيدة بالتأكيد ضد بعض الهجمات وبالتأكيد ضد التنصت ، ولكن طالما أن مستخدمي الهواتف المحمولة يقومون بتنزيل التطبيقات الضارة وملفات تعريف الإدارة وما إلى ذلك وفتح روابط ضارة على أجهزتهم الذكية ، فإن VPN يمكن فقط اذهب بعيدا.
أود أن أشجع المستخدمين على استخدام شبكات VPN ، خاصة على الشبكات العامة ، وكذلك منتجات الأمان الأخرى بالطبع. أود فقط أن يظل المستخدمون متيقظين بشأن موقفهم الأمني بدلاً من الاعتماد فقط على هذه المنتجات لحمايتهم.
Q8 - مع الازدهار المتسارع للأجهزة الذكية والتطور المذهل في مجال IOT ، ما هو برأيك تهديدات الأمان ونقاط الضعف المحتملة التي من المحتمل أن تتعرف عليها؟
أرى التهديدات التي يتعرض لها الهاتف المحمول وإنترنت الأشياء هي نفس الأجهزة التقليدية التي بها المزيد من نقاط الدخول والخروج. على جهاز كمبيوتر يعمل بنظام Windows ، هناك تهديد بتنفيذ هجمات تنفيذ التعليمات البرمجية عن بُعد ، حيث لا يحتاج المستخدم إلى القيام بشيء للهجمات الناجحة من جانب العميل حيث يحتاج المستخدم إلى فتح ملف ضار سواء كان صفحة ويب أو PDF أو قابل للتنفيذ ، إلخ. هناك أيضًا هجمات هندسية اجتماعية وتصعيد امتياز محلي.
الرقع مفقودة ، وكلمات المرور سهلة التخمين ، وبرامج الطرف الثالث غير آمنة ، والقائمة تطول. في الأجهزة المحمولة و IoT ، نتعامل مع هذه المشكلات نفسها باستثناء بدلاً من الاتصال السلكي أو اللاسلكي فقط ، لدينا الآن مودم الهاتف المحمول ، Zigbee ، Bluetooth ، Near Field Communication ، على سبيل المثال لا الحصر ناقلات هجومية محتملة وكذلك طرق لتجاوز أي منع فقدان البيانات نشرها. إذا تم نقل البيانات السرية من قاعدة البيانات بواسطة جهاز محمول مخترق ثم إرسالها إلى الشبكة الخلوية عبر الرسائل النصية القصيرة ، فلن تلتقطها جميع التكنولوجيا الوقائية في محيط الشبكة. وبالمثل ، لدينا طرق أكثر من أي وقت مضى يمكن للمستخدمين تصميمها اجتماعيا.
بدلاً من البريد الإلكتروني والمكالمة الهاتفية فقط لدينا الآن رسائل SMS ووسائط التواصل الاجتماعي مثل Whatsapp و Twitter ورموز QR وقائمة الطرق التي لا تعد ولا تحصى والتي قد يستهدف المستخدم فتحها أو تنزيلها.
Q9 - هل هناك أي مؤتمرات أمنية تتطلع إليها؟ إذا كان الجواب نعم ، فما هي هذه؟
أود أيضًا أن أرى أماكن جديدة والتعرف على أشخاص جدد. لذلك أنا دائمًا على السفر إلى أراضٍ أجنبية لإجراء مؤتمرات. لقد دعيت هذا العام إلى كلمة رئيسية RastacCon! في جامايكا. في العام الماضي ، قضيت وقتًا رائعًا في زيارة سلفادور بالبرازيل ، مع الإشارة إلى أحد مؤتمرات Roadsec. أيضا هذا العام أقوم بإبراز Carbon Black Connect ، وهو مكان جيد بالنسبة لي حيث أعمل على أن أصبح معروفًا في عالم الأعمال كما هو الحال في عالم infosec. على الرغم من كونه في لاس فيجاس حارًا ومزدحمًا ، إلا أن المعسكر الصيفي لـ infosec (Blackhat و Defcon و BSidesLV ، بالإضافة إلى الأحداث الأخرى المتنوعة في نفس الوقت) هو وسيلة رائعة للحاق بالكثير من الأشخاص من الصناعة ومعرفة ما كانوا عليه إلى.
Q10 - ما هي خططك المستقبلية؟ هل ستكتب كتابًا آخر؟ تأسيس شركة أخرى؟ توسيع نطاق القائمة؟ ما هي جورجيا ويدمان تتطلع إلى تحقيق المزيد في حياتها؟
أنا حاليًا على الانتهاء من الإصدار الثاني من اختبار الاختراق: مقدمة عملية عن الاختراق. بالتأكيد أود أن أكتب المزيد من الكتب الفنية الصديقة للمبتدئين في المستقبل. على الرغم من أنني قمت بقليل من استثمارات الملاك حتى الآن ، إلا أنني آمل أن أكون قادرًا على الاستثمار والتوجيه لمؤسسي الشركات الناشئة الآخرين في المستقبل ، وخاصة المؤسسين التقنيين مثلي ، وأن أقوم بالمزيد لدعم النساء والأقليات في infosec.
لقد تعلمت الكثير من القيام ببدء تشغيل ، لكنني أيضًا أحد هذه السلالات النادرة التي تريد حقًا إجراء البحوث الأمنية. في مرحلة ما بعد بدء التشغيل ، أتصور أنني مجرد إجراء أبحاث أمنية بدوام كامل لفترة من الوقت. لا علاقة لك مطلقًا بالتكنولوجيا ، لكن إذا كنت تتابعني على وسائل التواصل الاجتماعي ، فربما لاحظت أنني أتنافس في أحداث الفروسية ، لذا فإن حصانتي تيمبو هذا العام وآمل أن أفوز بنهائيات بطولة فرجينيا لعروض الخيول. على المدى الطويل ، أود تخصيص مزيد من الوقت والموارد لمطابقة خيول الإنقاذ بالملاك المستحقين وتوفير السلاحف البحرية.
" لا يمكنك إصلاح الأمان مع المنتجات الوقائية وحدها. الاختبار جزء ضروري وغالبًا ما يتم تجاهله. كيف سيتم اقتحام مهاجم حقيقي لمؤسستك؟ هل سيكونون قادرين على تجاوز الحل الوقائي؟ (تلميح: نعم). "- جورجيا ويدمان
