중소기업이 사이버 공격 및 데이터 유출의 영향을 크게받는 오늘날의 세계에서 사이버 보안에 대한 지출은 급증했습니다. 기업은 사이버 방어를 보호하기 위해 수백만 달러를 지출하고 있습니다. 사이버 보안 및 정보 보안에 관해 이야기 할 때, 조지아 웨이 드먼 (Georgeia Weidman)은 업계에서 눈에 띄는 몇 안되는 이름 중 하나입니다.
Georgia Weidman은 Shevirah Inc / Bulb Security LLC의 CEO 인 Penetration Tester, Ethn Hacker이며 "침투 테스트 : 해킹에 대한 실용적인 소개"라는 책의 저자입니다.
Georgia Weidman과 Ivacy의 독점적 인 인터뷰를 통해 그녀와 Cyber Security와 관련된 몇 가지 질문을 일반적으로 들었습니다.
Q1 - 안녕하세요, 조지아, 우리는 당신을 만나서 정말 기뻐하며, 짧은 시간 내에 얼마나 많은 것을 이룩했는지 알면 완전히 감동했습니다. 이 infosec 업계에 당신을 가져다 줄까요? 윤리적 인 해커로서의 여정을 시작한 방법은 무엇입니까?
나는 일찍 18 세가 아닌 14 세에 대학에 다녔다. 컴퓨터 과학자가되고 싶지 않았기 때문에 수학 학위를 받았다. 우리 엄마는 하나이고 십대는 부모처럼되고 싶어?
그렇지만 18 세에 직장을 찾지 못했지만 컴퓨터 과학 석사 학위를 요구 받았고 돈을 주려고했습니다. 그것은 부모님과 함께 사는 것보다 낫습니다.
그래서 나는 석사 과정에 들어가고 대학에는 사이버 방어 클럽이있었습니다. 사이버 국방 클럽의 선장은 정말로 흥미로웠다. 나는 그에게 대해 더 알고 싶었다. 따라서 사이버 보안에 대해 알지 못하면 사이버 방어 클럽에 합류하여 중서부 사이버 방위 경연 대회에서 경쟁했습니다. 음, 나는 사이버 보안이 그 사람보다 더 재미 있다는 것을 알았지 만, 나는 또한 내 인생에서하고 싶은 것을 발견했다.
Q2- 당신의 책 "침투 테스트"에 대한 당신의 영감과 동기는 무엇 이었습니까?
나는 infosec에서 시작했을 때 내가 갖고 싶었던 책을 쓰고 싶었다. 내가 처음 시작하고 튜토리얼의 방법으로 사용 가능한 것을 많이 배우려고했고 사전 지식을 축적 해 사전에있는 모든 단어를 검색하는 기술적 인면을 수행했습니다. 그런 다음 아이들 사전에있는 그 단어들은 심지어 어떻게 일을했는지에 대한 아이디어를 얻고 심지어 왜 그들이 일을했는지 훨씬 덜합니다.
도움을 청할 때, 설명보다는 오히려 많은 "Get off n00b"또는 "Try Harder!"를 많이 얻었습니다. 나는 나를 뒤쫓아 와서 그 틈을 나의 책으로 채우는 사람들을 더 쉽게 만들고 싶었다.
Q3- 이름이 흥미 롭기 때문에 귀사의 Bulb Security에 대해 알려주십시오.
실제로 Shevirah Inc.와 Bulb Security LLC의 두 회사가 있습니다. DARPA 사이버 패스트 트랙 (Smart Fastest Framework)을 구축하기위한 DARPA Cyber Fast Track 보조금을 받았을 때 Bulb를 시작한 후, 대담하게 독립적으로 보조금을 신청했기 때문에 견책을 받았습니다.
연구 프로젝트 외에도, 나는 침투 테스트, 교육, 리버스 엔지니어링, 심지어 특허 분석까지 컨설팅 사업을이 시점에서 구축했습니다. 풍부한 여가 시간에는 메릴랜드 대학 (University of Maryland University)과 툴란 (Tulane) 대학의 교수이기도합니다.
필자는 Mach37 시동 가속기에 참여하여 모바일 및 인터넷의 상황 침투 테스트, 피싱 시뮬레이션 및 예방 제어 유효성 검증에 참여하여 다른 연구원이 모바일 및 모바일 환경에 대해 더 잘 이해할 수 있도록 도움을줌으로써 나의 범위를 확장했습니다. IoT 보안 상태 및이를 개선하는 방법
Q4- 침투 테스터로서의 직업에 자부심을 느낀 가장 흥미 진진한 단일 시간에 대해 말씀해주십시오.
내가 들어올 때마다, 특히 새로운 방식으로, 처음으로 같은 서두를 가지고 있습니다. 또한 내가 처음으로 발견 한 모든 것을 고쳐야 할뿐만 아니라 새로운 취약점과 공격이 테스트 사이에 알려짐에 따라 보안 태세를 계속해서 높이는 반복적 인 고객이 있음을 자랑스럽게 생각합니다.
고객을보기 위해 내가 전에 사용했던 것을 패치 할뿐만 아니라 기업 전체에 대해보다 성숙한 보안 태세를 구축하기 위해서는 도메인 관리를 얻을 수있는 것보다 훨씬 많은 영향을 미쳤습니다. LLMNR 중독 또는 EternalBlue.
Ethical Hacking & Penetration Testing 분야에서 여행을 시작하고자하는 사람들에게 당신이주고 자하는 제안이나 직업 조언은 무엇입니까? 이 문제는 온라인 과정 제안, 인증서 또는 교육 학위 일 수 있습니다.
내 책인 "침투 테스트 : 해킹에 대한 실습 소개"를 권하고 싶습니다. 지역 DEF CON 그룹 장이나 보안 BSides와 같은 지역 해커 모임이나 회의에 참여할 것을 제안합니다. 이는 업계의 멘토와 연결 고리를 만날 수있는 좋은 방법입니다. 또한 연구 프로젝트 나 수업을하는 것이 좋습니다.
이것은 처음 엔 #infosec에 들어간 경쟁입니다. 지역 우승자에게는 전국 대회뿐만 아니라 전국 대회가 있습니다. 봉사 활동 달러 및 자원 봉사 활동을위한 좋은 장소. https://t.co/TcNLC7r8tV
- Georgia Weidman (@georgiaweidman) 2019 년 2 월 28 일
많은 사람들은 보안 연구가 어두운 마법이며 부트 로더의 내부 동작에 대한 기본적인 기술이 필요하다고 생각합니다. 그러나 대부분의 경우 그렇지 않습니다. 방금 시작한 사람이라도 누구나 현장에서 다른 사람들과 공유 할 수있는 기술을 갖추고 있습니다. 어쩌면 Word에서 포맷을 잘하거나 Linux 시스템 관리자로서 수년 간의 경험을 쌓았을 수도 있습니다.
Q6- 온라인 개인 정보 및 보안에 대해 우려하는 고객에게 보안 소프트웨어, 부가 기능, 확장 기능 등을 제안 하시겠습니까? 최대한의 온라인 보호를위한 확실한 방법이 있습니까?
제 사업의 일부가 예방 솔루션의 유효성을 입증하고 있다는 것을 감안할 때, 저는 당신이 면접에서 벤더 불가지론 자로 남아 있어야한다는 것을 이해할 것이라고 확신합니다. 확실한 보안과 같은 것은 없다는 점에 유의해야합니다. 실제로, 나는 예방 적 보안 업체의 마케팅 전략에 "우리 소프트웨어를 설치하거나 네트워크 상에 박스를두면 보안에 대해 더 이상 걱정할 필요가 없다"고 강력하게 믿습니다. 오늘날 우리가보고있는 높은 프로필 위반.
이 소위 전문 공급 업체가 정보를 얻은 기업은 보안 문제에 많은 돈을 던지지만 공급 업체가 모든 정보를 다 관리했기 때문에 패치 적용 및 피싱 인식과 같은 것을 간과합니다. 그리고 우리가 시간과 시간을 다시 보게되면 예방책으로 모든 것을 막을 수 없습니다.
Q7- 해커의 입장에서 스마트 장치에서 VPN을 실행하는 경우 누군가를 해킹하는 것이 얼마나 어려울까요? VPN은 얼마나 효과적입니까? 당신은 어떤 것을 사용하나요?
오늘날 대부분의 공격과 마찬가지로 대부분의 모바일 공격은 사회 공학의 일종을 포함하며 대다수의 착취 과정에 속합니다. 예방 제품과 마찬가지로 VPN은 일부 공격 및 확실히 도청에 유용 할 수 있지만 모바일 사용자가 악의적 인 응용 프로그램, 관리 프로필 등을 다운로드하고 스마트 장치에서 악성 링크를 여는 한 VPN은 지금까지가.
나는 특히 공용 네트워크뿐만 아니라 다른 보안 제품에 대해서도 VPN을 사용하도록 장려 할 것이다. 나는 단지 사용자가 보안 제품에 전적으로 의존하지 않고 보안 상태에 대해 경계하지 않으면 안되기를 바란다.
스마트 장치의 기하 급수적 인 발전과 IOT 분야의 엄청난 발전으로 인해 잠재적으로 발생할 수있는 보안 위협 및 취약성은 무엇이라고 생각합니까?
모바일 및 IoT에 대한 위협이 더 많은 진입 점 및 종점이있는 기존 장치와 동일 함을 알 수 있습니다. Windows 컴퓨터에는 원격 코드 실행 공격의 위협이 있습니다. 사용자가 공격에 성공하기 위해 아무 것도하지 않아도되는 곳, 사용자가 악의적 인 파일을 열어야하는 클라이언트 측 공격 (웹 페이지, PDF, 실행 가능 등이 있습니다. 또한 사회 공학 공격 및 로컬 권한 상승이 있습니다.
패치가 누락되어 암호를 추측하기 쉽고 타사 소프트웨어가 안전하지 않아 목록이 계속됩니다. 모바일 및 IoT에서는 유선 또는 무선 연결 대신 모바일 모뎀, 지그비, 블루투스, 근거리 무선 통신 (Near Field Communication)을 사용하는 것을 제외하고는 동일한 문제를 처리합니다. 일부는 잠재적 인 공격 경로로 지정하고 어떤 것도 우회 할 수있는 방법으로 지정합니다 데이터 손실 방지가 전개되었습니다. 기밀 데이터가 손상된 모바일 장치에 의해 데이터베이스에서 빨아 들여져 SMS를 통해 셀룰러 네트워크로 보내지는 경우 네트워크 경계에서 전 세계의 모든 예방 기술이이를 포착하지 않습니다. 마찬가지로 우리는 사용자가 사회적으로 조작 될 수있는 방법이 그 어느 때보 다 많습니다.
이제는 이메일 및 전화 대신 SMS, Whatsapp 및 Twitter와 같은 소셜 미디어, QR 코드, 악의적 인 무언가를 열거 나 다운로드 할 수있는 무수한 방법 목록이 있습니다.
Q9- 앞으로 보안 컨퍼런스가 있습니까? 예, 그렇다면 무엇입니까?
나는 또한 새로운 장소를보고 새로운 사람들을 만나고 싶습니다. 그래서 나는 항상 외국 땅으로 여행을 떠나서 회의를합니다. 올해 저는 RastacCon 기조 연설에 초대되었습니다! 자메이카. 작년에 저는 Roadsec 회의 중 하나를 기조로 한 브라질 살바도르를 방문했습니다. 또한 올해 저는 카본 블랙 커넥트 (Carbon Black Connect)의 기조 연설을합니다. 이는 제가 infosec 세계에있는 것처럼 비즈니스 세계에서 잘 알려지기 위해 노력하고있는 나에게 좋은 장소입니다. 뜨겁고 혼잡 한 라스 베이거스에도 불구하고, infosec 여름 캠프 (Blackhat, Defcon, BSidesLV, 동시에 여러 가지 다른 이벤트)는 업계에서 많은 사람들을 따라 잡고 그들이 무엇을 보았는지를 볼 수있는 좋은 방법입니다 에.
Q10- 앞으로의 계획은 무엇입니까? 다른 책을 쓸거야? 다른 회사 설립? 기존의 스케일링? 조지아 위드 먼 (Georgeia Weidman)은 자신의 인생에서 더 성취하고자하는 것은 무엇입니까?
나는 현재 해킹 테스트 2 판을 마무리 중입니다. 해킹에 대한 실용적인 소개. 나는 미래에 초보자 친숙한 기술 서적을 추가로 작성하고 싶습니다. 여태까지 천사 투자를 두 번이나 했었지만 미래의 다른 창업 창업자, 특히 나 같은 기술 창시자에 투자하고 멘토링하고 infosec에서 여성과 소수 민족을 지원하기 위해 더 많은 일을 할 수 있기를 바랍니다.
저는 신생 기업 활동을 통해 많은 것을 배웠습니다. 그러나 저는 또한 보안 연구를 실제로하고 싶어하는 희귀종 중 하나입니다. 시동 후 나는 한동안 보안 연구를 풀 타임으로하고 있다고 상상한다. 테크와 전혀 관련이 없지만 소셜 미디어에서 나를 따라 간다면 승마 이벤트에서 경쟁 할 수 있다는 것을 알았을 것입니다. 올해 내 말의 템포와 나는 버지니아 말 쇼 협회 결승에서 이기기를 바랍니다. 장기간에 걸쳐, 나는 소유주에게 도움이되고 바다 거북을 구하기 위해 구조 말과 조화를 이루는 데 더 많은 시간과 자원을 투자하고 싶습니다.
" 예방 제품만으로 보안을 수정할 수는 없습니다. 테스트는 보안의 필수적이고 간과되는 부분입니다. 진정한 공격자는 어떻게 조직에 침입 할 것입니까? 그들은 예방 솔루션을 우회 할 수 있습니까? (힌트 : 예. ") - Georgia Weidman
