采访网络安全专家和渗透测试员

2019-08-06 11

  采访网络安全专家和渗透测试员

  Lisa Forte是来自英国的网络安全专家和主题演讲人。在我们的采访中,她为她在Red Goat公司工作提供了令人兴奋的见解,该公司专注于社会工程并提供渗透测试。她还对英国脱欧对IT行业的影响有一些看法,并对男性主导的科技行业中的女性形象持积极态度。

  嗨丽莎!今天我们很高兴与您交谈。首先,我们想知道您是如何决定首先进入IT安全行业的?

  我在英国的情报部门工作,在为他们工作的同时进入了网络安全领域。之后,我进入英国警察网络犯罪部门,在那里我们正在调查英国的大型网络攻击。然后,我决定离开警察并建立自己的公司,为组织提供更多服务,帮助他们抵御黑客攻击。

  您的公司Red Goat的主要目的是什么?

  我们是社会工程专家,我们专注于社会工程,因此,基本上是黑客攻击。当我为警察工作时,我们处理的几乎所有案件都涉及社会工程。我认为,由于我是社会工程方面的专家,我所关注的领域应该仅限于此。在英国,你可能听说过的一个情报机构是GCHQ。他们实际上认证了我们的社会工程培训课程,以便能够保证这样做的人具有最高的质量。我们的大多数客户都是富时100指数公司,律师事务所,银行,大学,所以他们是非常大的组织,但它也适用于小公司。

  RGTX3

  在您的网站上,您可以对公司的人类对网络攻击的适应能力进行多阶段评估。那是什么意思?

  我们的社会工程测试侧重于真正有针对性的攻击,这些攻击很难通过技术防御来发现。我们从开源智能开始,因此在线收集有关公司员工的信息。然后,我们会向员工发送非常具体的网络钓鱼电子邮件,短信或电话。有时我们亲自出现,看看我们是否也可以进入办公室。我们测试了所有这四个社会工程向量。最后,我们将报告编入目录,以便向客户提供可用于提高安全性的建议。这些可能是简单的事情,如培训和使用更好的加密的更多意识,所以如果我进入,数据是加密的。

  所以基本上,你的员工必须成为针对这些人的好演员吗?这也是社会工程的一部分吗?

  当然。这是关于信心,并且知道不幸的是人类行为是非常可预测的。一旦您知道某人可能如何回应您,您就可以利用它来获取您无法访问的内容。

  您如何评估这种多阶段评估的结果?如果您遇到弱点,您对您测试的公司有什么建议?

  我认为社会工程学的一个主要问题是培训员工。因为问题是,通常你会发现最有可能危及安全性的员工,往往只是快速点击计算机培训并且不参与其中。所以他们不学习,往往是最薄弱的环节。通常,我的建议包括意识培训,但公司也可以采取许多技术措施来尝试降低风险。加密敏感数据并确保并非所有员工都能访问所有内容,这也有所帮助。大多数黑客都想要钱,所以他们会看着你并思考“如果我花时间和精力去攻击你,我的投资回报会高还是会低”。如果它看起来很难,他们只会想“好吧,我会继续下一家公司”。

  除了社会工程,你也可以做战争游戏。你能告诉我们Red Goat的战争游戏场景是什么样的吗?

  战争游戏基本上是计划在网络攻击中幸存下来。如果你想象,在你的公司,你有一个消防计划。它可能会计划撤离路线,会面点和谁负责检查,工作人员都逃脱了。该计划可能很棒,但您需要测试它是否有效。因此,您可以运行消防演习来测试该计划是否有效。战争游戏与网络攻击基本相同。我们模拟攻击,然后公司的经理必须考虑他们将要做什么,比如说和决定。他们不得不问“我们将如何处理这个问题?我们要对媒体说什么?好吧,我们的一些未加密数据被盗了,我们该怎么处理呢?“

  这是为了确保他们有一个计划,他们知道如何使用该计划。这样他们就不会陷入某种情况,如果他们受到攻击他们会做出错误的决定。实践变得完美!

  2-1引用Forte EN

  渗透测试成功的最常见原因是什么?问题更常见于员工的疏忽或IT系统中缺少的部分吗?

  这真的是两者兼而有之。另外,有时当发生攻击时,管理人员不知道该怎么做。他们最终可能做出非常糟糕的决定,或者他们完全停止做出决定。结果,攻击造成的损害变得更加严重,因为他们没有做出正确的决定来确保公司向前发展并使其运营重新上线。问题是,如果你不这样做,你不太可能在网络攻击中存活下来。测试这些东西是很好的,以确保你知道你会做什么以及你将如何回应。

  所以基本上,你是专业黑客公司。您是否因为作为黑客来测试公司而遭受任何偏见?

  我不喜欢说“黑客”,因为我认为很多人都认为如果你是黑客,你就是罪犯,你就是坏人之一。通常,我会将自己称为渗透测试员。我从来都不是罪犯。我为警察工作。我只是从合同约定的角度攻击他们。我认为犯罪分子的黑客和测试安全系统的高技能专业人员之间存在很大差异。这是我要澄清的第一件事。

  我确实认为网络安全中的语言对非网络人来说有点混乱。我们使用诸如黑客,数据,网络,信息安全等术语,我认为这使得不属于这一领域的人的情况变得复杂。没用。也许信息犯罪或数据犯罪会比网络犯罪更好。

  Red Goat的目标群体是什么类型的公司正在接近您?

  目前,我们的大多数客户都是大公司。他们最关心的是对员工进行针对性的社会工程攻击。他们有很多员工分布在许多办公室。显然,对于非常小的公司,他们可能在一个小型办公室中拥有10-20名员工,因此在某些方面对这些公司进行社会工程攻击要困难得多。很多大公司都非常关注社会工程,因此他们雇用我们来培训他们的员工,进行大量的测试,并运行战争游戏来为攻击做好准备。

  你什么时候推荐一家公司进行渗透测试?这样的测试应该如何嵌入公司的安全策略中?

  这实际上取决于公司的规模和他们的安全态势。如果您是一家非常小的公司,并且在我认为您可能需要更少的东西之前从未测试过您的安全系统。在英国,我们有一个名为Cyber?? Essentials的政府支持计划。它可以帮助您达到公司应具备的最低安全标准。我认为从这样的事情开始是一个非常好的主意。问题是,如果你花了很多钱在完全渗透测试上,你会收到一份非常大的报告,最后会有很多建议。如果您之前没有进行任何测试,那可能会有点压倒性并且修复成本非常高。所以,我认为最好从小做起,然后通过做一些小改动就开始爬上安全阶梯。

  在渗透测试期间,公司的个人数据如何受到保护?例如,由于GDPR合规性,有些客户担心被专业黑客攻击吗?

  我们在测试任何公司时都不会访问任何个人数据。所以对我的公司而言,这不是问题。对于那些进行更多技术渗透测试,更多技术黑客攻击的公司,我认为有可能访问某些数据。我想你可以争辩说,只要你没有访问任何个人数据,你就不会违反GDPR。可能是他们希望访问公司中的其他数据,作为一种概念证明,而不是个人数据。

  您的客户对您提供的结果有何反应?是否存在差异取决于他们是自愿接近您,还是法律强迫他们使用您的服务?

  我认为这取决于你发现的东西,而不是它们如何接近你。在我们的报告中,我总是指出,我永远不会说出为我打开门的员工。我认为,如果一名员工为我开门,那很可能,大多数其他员工也会这样做。因此,如果一个人可能因为没有接受足够的培训或意识而被解雇,那就不公平了。

  我们始终确保不会发生这种情况,因为它不对,它无助于建立良好的公司文化。我认为大多数时候公司都对我们获得了多少或者我们进入的速度感到震惊。他们认为这是值得的,现在他们知道自己的弱点在哪里。

  您认为IT安全行业中发生的任何与英国退欧有关的事情是什么?

  我认为这将具有挑战性,因为我们还不知道英国退欧的实际情况。例如,如果英国脱欧没有交易,我们不确定英国是否会被视为欧盟数据的可靠国家。对许多公司来说,这将是一个大问题。此外,目前英国警方与德国,法国等地的警察密切合作。这是因为欧盟内部的合作协议。我不知道当我们离开欧盟时会发生什么,以及这些警察部队是否仍能像现在这样密切合作。我怀疑它看起来不一样,这对打击网络犯罪是一种耻辱。

  英国退欧对英国来说显然是一个巨大的变化。毫无疑问,公司可能会有更低的预算花在安全上,因为他们必须做出改变以允许英国退欧。所以我认为,毫无疑问它会产生影响。无论是积极还是消极,我们都必须拭目以待。

  主题变化:作为IT安全的女性,您是否曾经遇到任何问题或优势,处于男性主导的空间?

  英国的情报部门和警察也非常男性占主导地位。所以,我的整个职业生涯都是在男性主导的行业中工作过的。这对我来说并不奇怪。

  但我认为有一些优势,因为技术上的女性人数很少,特别是在欧洲,你们有很多机会为自己创造一个非常大的名字。我认为现在是成为一名技术女性的好时机。

  但是,这个行业的女性并不多。什么可以帮助女性进入科技领域,尤其是IT安全领域?

  在亚洲,一些国家,如日本,已将网络安全作为学校的必修素养。我认为这样做的好处是,年轻女孩将有机会尝试一下,看看她们是否擅长或者是否对它感兴趣。真正的问题,特别是在英国,很多男孩都认为他们想进入IT课程,女孩们不想进入一个没有其他女孩的课堂。所以,结果我们没有让很多想要研究IT的女性产生这种巨大的差距。我认为努力工作非常重要,因为女性和男性在思考和处理问题方面存在很大差异。重要的是让许多不同的人在安全方面工作以不同方式查看风险。

  您是否参与任何针对性别的网络以吸引更多业内女性?

  实际上,我在12月份因为成为Tech的100名女性之一而获得了一个奖项。我住在英国的布里斯托尔,我与一个名为“女性技术中心”的团队密切合作。他们鼓励女性改变职业,更多地参与科技行业。我们与他们密切合作,努力帮助他们提供女性开始或发展自己职业所需的技能。

  你的公司有配额吗?

  我们目前是一家非常小的公司,但由于我们的规模很小,我们的女性比例很高。在英国,较大的公司必须报告他们雇用的女性人数,以及高级别的工资差异。因此,我认为,在英国,文化正在发生变化,人们开始将其视为优先事项。

  回答我们的最后一个问题:您是否发现任何特别有趣的历史数据泄露或数据丢失实例?

  我工作的一个案例是整形外科诊所。他们有很多患者希望整容手术看起来更漂亮或增强他们的身体。袭击者实际上打电话给诊所并与接待员交谈。他说他是最近的病人,手术后他有一些问题。他说:“看,我可以发一些我所遇到的问题的照片,所以你可以看看我对手术的反应是否正常”。接待员同意,所以他给她发电子邮件并附上图片。她收到了电子邮件,然后立即转发给了一位顶级外科医生。外科医生打开文件,安装推荐的图像查看器,它根本不是图像查看器!它将恶意软件置于系统中。更糟糕的是,公司没有加密任何其他患者数据。作为英国的私人诊所,他们实际上并没有被要求这样做,所以他们没有打扰。所有患者数据均由攻击者获取并在线发布。

  因此,这是社交工程(电话和电子邮件)的一个例子,但也需要加密。如果该数据已加密,则攻击者可能没有那么多使用。那些病人可能已受到保护。它表明社会工程和加密是齐头并进的。安全涉及很多层,而不仅仅是一个解决方案!

  丽莎,非常感谢你抽出时间完成采访!

访!