Eksperti peshon në gjendjen e sigurisë në internet


Këtu në vpnMentor, ne besojmë se siguria në internet është një përparësi, jo një pasojë. Por kush është përgjegjës për sigurimin e informacionit tuaj kur i ndani ato në internet – ju, ose kompania me të cilën ndani?

Kam pasur një shans të flas me Sean Wright, një nga ekspertët më të mëdhenj të MB në sigurinë e informacionit dhe udhëheqësi i kapitullit të Projektit të Sigurisë së Aplikimit të Hapur të Uebit (OWASP) në Skoci.


Logoja e OWASP

Cila është prejardhja juaj dhe si filluat në sigurinë në internet?

Unë jam një nga bashkëdrejtuesit e kapitullit OWASP Skoci dhe punoj për një kompani të madhe në departamentin e tyre inxhinierik. Unë jam përgjegjës për aplikacionet e sigurisë në internet, zhvillimin e sigurt të aplikacionit, rishikimet e dokumentacionit dhe gjithçka që unë jam përqëndruar kryesisht.

Në kohën time, bëj pak hulumtime dhe bashkëveprim në projekte anësore të sigurisë në internet. Unë fillova të mendoja për gjërat nga ana tjetër, por fillimisht, nuk kishte shumë në aspektin e punëve të sigurisë në internet – as përvoja ime nuk ishte aq shumë. Kështu që, unë kam qenë një zhvillues për shumë vite. Pastaj më ofroi një vend pune në kompaninë time aktuale si një zhvillues, i cili ka vepruar si një lloj bordi pranveror për të hyrë në siguri.

Ju punoni në distancë. Farë shihni se janë sfidat e kësaj? Si i siguroni pajisjet tuaja jashtë zyrës?

Kur bëhet fjalë për vetë punën, kompania jonë ofron gjithçka që më nevojitet. Unë nuk i di të gjitha detajet, unë vetëm ua lë këto – pasi që unë kam pak kontroll mbi këtë, si dhe këtë që qëndron jashtë përgjegjësive të mia.

Kur bëhet fjalë për gjërat e mia personale, unë jam pak paranojak. Unë përdor AlienVault (versionin e tyre falas) dhe shtresa shtesë të sigurisë, të tilla si Pi-Hole. E vetmja gjë që nuk mund ta siguroj siç dëshiroj është ruteri im, për shkak të ofruesit tim.

Në shtëpi, unë përdor një VPN private, së bashku me ProtonVPN. Pra, nëse ka ndonjë problem me shtëpinë time VPN, unë thjesht mund të kaloj në atë. Kur udhëtoj, ka gjëra si BitDefender, por në të vërtetë, unë përdor vetëm Linux kur jam larg.

Kështu që do të thonit që një VPN do të mbulojë shumicën e çështjeve të sigurisë në internet kur nuk janë në shtëpi?

Po. Një nga gjërat që është e frikshme është se kam përdorur një Pineapple WiFi në një holl hoteli një herë. Unë madje nuk isha duke u përpjekur të shkatërroj asnjë rrjet – thjesht po krijoja një pikë hyrje për përdorimin tim. Dhe brenda rreth pesë minutash, unë kam tashmë pesë klientë që lidhen me të.

Problemi tjetër me wireless është që pajisjet vazhdimisht pingulojnë për rrjetet pa tel. Pra, nëse tashmë jeni lidhur me një pikë të nxehtë të hapur, pajisja juaj do të pingulojë vazhdimisht dhe do të përpiqet të lidhet me atë. Nëse keni diçka si një Pineapple WiFi, atëherë mund të vendosni automatikisht një pikë të nxehtë wireless të prishur. Si një përdorues i lidhur me një rrjet publik, ju ndoshta do të dëshironi të përdorni një VPN – dhe atëherë trafiku juaj do të drejtohej përmes kësaj.

Le të themi se jeni i lidhur me njërën prej këtyre pikave spoof, por jeni duke përdorur një VPN në pajisjen tuaj. A do t’ju ​​mbrojë apo do t’ju ​​lërë të prekshëm?

Nëse trafiku juaj po kalon një VPN dhe jeni i lidhur me njërën nga këto pikat e nxehta të shkatërruara, të gjithë trafikun do të kodohen. Hakeri mund të shikojë ende trafikun, por do të harxhohet. Kjo është arsyeja pse gjërat si Security Layer Security (TLS) janë gjithashtu të rëndësishme, sepse është encryption fund-në-fund. Pra, madje, të themi, ju nuk do të përdorni një VPN, por po përdorni TLS – kjo është gjithashtu e koduar. Hakeri nuk do të jetë në gjendje të bëjë asgjë nga të dhënat që transferohen.

Ajo që do të thonit është rreziku më i madh që shihni me kërcënimet moderne në internet?

Për mua, potenciali më i madh për sistemet me të meta vjen në vendosjen dhe mirëmbajtjen e bazave të të dhënave. Në të kaluarën, pothuajse gjithçka ishte pritur në vend (brenda qendrës së të dhënave të organizatës) dhe madje edhe nëse e hidhni konfigurimin për këtë, gjasat që ndonjë e dhënë të ekspozohet publikisht nuk ka gjasa.

Shpejt përpara, kur të keni re, dhe përsëri mund të shihni kohë dhe kohë, njerëzit sjellin baza të të dhënave mbi infrastrukturën e cloud dhe nuk i konfigurojnë ato si duhet. Papritur, baza e të dhënave tuaja është e ekspozuar publikisht. Gjërat si Mongo-DB dhe ElasticSearch – të cilat po bëhen më të mira për sa i përket sigurisë, por fillimisht ato nuk ishin të sigurta si parazgjedhje.

Këto të dhëna nuk kanë mbrojtje të paracaktuar të sigurisë, si vërtetimi dhe autorizimi. Pastaj, kur ata janë të ekspozuar në internet, papritmas të gjitha të dhënat janë të arritshme publikisht pa ndonjë vërtetim. Kështu që dikush me aftësi teknike relativisht themelore mund të marrë të dhënat. Thatshtë kaq e thjeshtë.

Si mendoni se ndodhin shumica e këtyre gabimeve? A është mungesë njohurish, apo është thjesht e thjeshtë sa të bësh një gabim?

Unë mendoj se është mungesa e njohurive të tyre, por është gjithashtu menaxhimi i pasurive të tyre. Ne mund të shohim përsëri dhe me kohë që kompanitë nuk po mbajnë një listë të fortë të pasurive të tyre, përfshirë shërbimet që ata kanë, cilat porte gjërat po funksionojnë dhe cilat janë të arritshme atje. Nëse keni menaxhim dhe zbulim të fortë të pasurive, atëherë do të zbuloni se diçka është e keqfiguruar dhe mund ta adresoni atë sa më shpejt të jetë e mundur. Megjithatë, më shpesh sesa jo, nuk është kompania që i gjen këto raste – është dikush tjetër që i thotë kompanisë.

Kjo mund të jetë shqetësuese për kompanitë, me siguri. Por, për përdoruesin mesatar të internetit, cilat janë këshillat tuaja më të mira në mënyrë që ata të mbrojnë veten e tyre, në mënyrë që edhe nëse përfshihen një bazë të dhënash që është zbuluar, ata mund të lehtësojnë mundësinë e kërcënimeve?

Ka disa gjëra që mund të bësh. Sigurohuni që kontrolloni rregullisht A kam qenë i pavonduar. Shtë një shërbim që do t’ju njoftojë kur ka ndodhur një shkelje me letrat kredenciale tuaja (p.sh. adresa e emailit dhe fjalëkalimi). Jo gjithmonë është i menjëhershëm, por është sigurisht një mënyrë për të zbuluar nëse detajet tuaja janë pjesë e një shkeljeje.

Monitorimi i kredisë është gjithashtu shumë i dobishëm sepse shumë shkelje mund të përdoren për, në fund të ditës, përfitime financiare në fund të hakerit.

Një tjetër gjë që mund të jetë e dobishme për një haker është përdorimi i të dhënave që kanë zbuluar në përpjekjet e phishing. Shtë e rëndësishme të keni kujdes nga email-et nga faqet e internetit kur ata ju kërkojnë të azhurnoni detajet e llogarisë suaj ose të rihishni fjalëkalimin tuaj. Një nga dhuratat më të mëdha për të kërkuar janë gabimet drejtshkrimore, në të vërtetë. Për shumicën, anglishtja nuk është gjuha e tyre amtare, kështu që ata shpesh bëjnë gabime gramatikore mjaft të dukshme gjithashtu. Nëse nuk jeni të sigurt, shkoni direkt në sit (shkruani URL-në në shfletuesin tuaj sesa të klikoni një lidhje nga emaili).

Ky është këshillë praktike shumë e mirë. Whatfarë aktualisht ju irriton më shumë në botën e sigurisë së kibernetikës, dhe çfarë do të bënit ndryshe?

Securityshtë shumë shpesh që siguria është një pasqyrë. Bazat e të dhënave duhet të jenë të sigurta në vend se të sigurohen në mënyrë reaktive. Me rastet kur shfaqen në media gjatë gjithë kohës tani, mesazhi duhet të kuptohet se ata duhet të fillojnë të marrin seriozisht sigurinë.

Një gjë tjetër është kur kompanitë bëjnë shkelje pasi një studiues u zbulon diçka atyre. Ata duhet të kuptojnë se nuk është një kritikë ndaj kompanisë së tyre. Ata duhet të punojnë me studiuesin për të zgjidhur çështjen, sepse ai / ai po i ndihmon ata. Studiuesi mund ta zhdukej lehtësisht dhe ta shiste në internet të errët ose çfarëdo, kështu që ata në të vërtetë po ndihmojnë kompaninë të dalë. Dhe kompania gjithashtu duhet të sigurohet që ata punojnë me studiuesin, dhe të paktën t’u japin atyre një falënderim të thjeshtë.

Unë kam punuar në disa prej këtyre rasteve dhe kjo është arsyeja pse unë jam i irrituar me status quo-në për këtë. Në dy vitet e fundit, me siguri kam gjetur rreth pesë ose gjashtë numra, dhe ende nuk duhet të marr një falënderim. [qesh] Refuzimi i problemit nuk e bën atë të shkojë larg.

Farë bëni kur nuk po përpiqeni të siguroni botën?

Unë kam një familje, kështu që kalimi i kohës me familjen është përparësi – por me sa duket nuk kam bërë aq mirë një punë kohët e fundit. Kështu që unë duhet të përqëndrohem në atë pak më shumë. Po ashtu, të dilni për shëtitje dhe të tilla. Disa lojëra në internet. Unë kam provuar golf dhe dështova tmerrësisht, megjithëse.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map