Hejmo Intervjuoj kaj Komprenoj PASVORTOJ ESTAS KAJ ĈIAM A AILA KALKO EN CIBERSECURECO

PASVORTOJ ESTAS KAJ ĈIAM A AILA KALKO EN CIBERSECURECO

de MaryS

"Mi timas, ke homoj restos la plej malforta ligo en sekureco, kaj la vasta plimulto de ciberkrimuloj iras post ĉi tiu plej malalta pendanta frukto. Ĝi estas la plej malgranda peno por la plej granda rekompenco. "

Enkonduko

Ĉe Logmeonce, ni celas helpi protekti vin kontraŭ minacoj pri cibersekureco. Ni faras tion multmaniere. Unue, ni provizas al vi aron da iloj, inkluzive de pasvorta mastrumilo, por konservi viajn pasvortojn sekuraj.

Tamen, teknologio mem ne povas solvi ĉiujn niajn sekurecajn problemojn (kiel ni baldaŭ diskutos sube). Eduko ludas grandan rolon por resti sekura interrete. Tial, de tempo al tempo, ni venigas fakulojn pri cibersekureco el la tuta mondo por helpi vin eduki, niaj blogaj legantoj, pri la diversaj manieroj, kiel vi povas protekti vin interrete.

Hodiaŭ, Logmeonce havis la okazon babili kun Dave Witelegg, spertulo pri cibersekureco, pri lia partopreno en la cibersekureca spaco.

Ni havas ekscitan intervjuon planitan por vi hodiaŭ, do sen plua atendo, ni eniru!  

La Intervjuo

Saluton kaj dankon pro via tempo por babili kun niaj bloglegantoj hodiaŭ Dave. Vi havas super 25 jaroj da komerca sperto en preskaŭ ĉio rilata al Cibera kaj Informa Sekureco, ĉu ĝi estas fajromuroj, biometriko, ĉifrado, operaciuma sekureco, ciberkrimo, kodrompaj teknikoj, datuma protekto, administrado pri informsekureco, ciberminaco kaj riskotaksado, minaca inteligento, pagokarta sekureco, kaj eĉ pionira Satelita VPN-konektebleco. Sed ni komencu ĉi tiun intervjuon per revenu al viaj fruaj tagoj en la cibera sekureca spaco. Kio instigis vin partopreni en ĉi tiu spaco? Kio allogis vin unue?

Mi ĉiam fascinis min kiel funkcias teknologio, kiel juna knabo en la 1980-aj jaroj mi memoras, ke mi disigis unu el la fruaj hejmaj buĝetaj komputiloj eldonitaj en la UK, ZX Spectrum, nur por kontentigi mian scivolemon pri tio, kiel funkciis ĉi tiu spaca-nova teknologio. Mia scivolemo kondukis al eniro kaj rekodigo de unu el la fruaj futbalteamaj mastrumaj ZX Spectrum-aparatoj, permesante al mia futbala teamo havi la plej grandan monon, plej bonaj ludantoj kaj ĉiam gajnas matĉojn. Mi ne sciis ĝin tiutempe, ne nur mi instruis al mi mem kiel verki kodon, sed la procezo, kiun mi entreprenis, hakis, persiste farante ripetajn provojn kaj erarojn ĝis mi atingis la rezultojn, kiujn mi volis.

Kiam mi rigardas novan teknologion hodiaŭ, Mi ankoraŭ serĉas ĝisfunde kompreni kiel ĝi funkcias, nature pensante pri la malfortaj valoroj, kaj la negativa efiko de tiaj ekspluatadoj al homoj kaj entreprenoj uzantaj la teknologion. Mi disvolvis specon de 'hako-okulo por komerco', ĉi tio krom kompreni la motivojn de la minacaj aktoroj, taŭgas por ĝua kaj rekompencanta kariero en cibera kaj informa sekureco.

Cibersekureco estis tre malsama spaco 25 antaŭ jaroj. Kiel vi sentas, ke la potenc-ekvilibro ŝanĝiĝis en la cibersekureca spaco en la lasta 25 jaroj? Ĉu vi sentas, ke cibersekureco pli kaj pli malfacilas penetri por retpiratoj? Aŭ ĉu vi kredas, ke progresoj en teknologio estas nur provizoraj flikaĵoj, kiujn piratoj fine trovas manierojn ĉirkaŭiri? Dum la lasta 25 jaroj, kiu venkis en la ludo de kato kaj muso? Kiel vi vidis la potenc-ekvilibron ŝanĝiĝi dum la lasta 25 jaroj?

Ni ĉiuj pli dependas de teknologio ol iu ajn punkto en nia historio. En la lasta 25 jarojn ni vidis inform-teknologian revolucion, kun IT konstante pli komplikiĝas, disvastigita kaj konektita. Hodiaŭ ni ĉiuj portas potencajn komputilojn konstante tutmondajn konektitajn en niaj poŝoj, teknologio, kiu fortigas kaj riĉigas nian ĉiutagan vivon. Tamen, ĉi tiu te revolutionnika revolucio ankaŭ signifas, ke la ataka surfaco kaj ŝanco estas ankaŭ pli grandaj ol iam ajn por kreskanta armeo de tutmonde ligitaj malicaj aktoroj. Hodiaŭ ĝi ne bezonas multan lertecon aŭ eĉ teknologion por fariĝi lerta ciberkrimulo, fakte, teknologio kiel kriptovalutoj, la malluma retejo kaj eĉ YouTube-lerniloj helpas malbonajn aktorojn tutmonde fari malbonajn agojn. Do la nevenkebla sekureca ludo de kato kaj muso, fariĝis multe pli granda dum la pasinteco 25 jaroj, kaj kiam sekureco haltas, la malbonuloj ĉiam venkas.

Ni parolu iom pli pri pasvorta sekureco dum momento. Vi mencias en via blogo kazon, kie Ring-fotilo estis kompromitita kaj retpirato akiris aliron al la ĉambro de juna knabino per sia fotilo kaj poste daŭrigis konversacion kun ŝi. Ĉi tiu hako ŝajnis esti kaŭzita de "pasvorta plenigo". Ĉu vi rimarkis pliiĝon en la kvanto de IoT-aparataj hakoj, ne pro la kompromiso de la aparato mem, sed pro malfortaj pasvortoj? En multaj el ĉi tiuj kazoj, kiam la retpiratoj celas IoT-aparaton, kion ili ofte celas gajni de la hako?

Pasvortoj estas kaj ĉiam estis A Achila Kalkano en cibersekureco, precipe kun IT-sistemoj konektitaj al interreto, kiel IoT-aparatoj kiel la Ring-fotilo.

La unua problemo kun pasvorta sekureco estas homoj elektantaj pasvorto de malforta forto, por helpi ilin facile memori ilin. Ciberkrimuloj tro bone scias tion, do provos ĉiujn plej popularajn kaj plej uzatajn pasvortojn akiritajn de pasintaj datumaj rompoj, provi eniri la interretajn kontojn.

La dua problemo estas, ke homoj uzas la samajn ĝustajn uzantnomon kaj pasvortajn atestilojn en multaj interretaj kontoj, do se unu konta pasvorto estas kompromitita, kiu eble eĉ ne kulpas pri la kontoposedantoj eble pro kompromiso de tria retejo, ciberkrimuloj povas uzi la samajn ŝtelitajn atestilojn por ensaluti en aliaj interretaj kontoj, kiujn la uzanto povus havi. Tipe la malbonaj aktoroj provos aliri popularajn interretajn retpoŝtajn kontojn, sociaj retoj kaj popularaj retkomercaj retejoj. Ĉi tiuj specoj de atakoj per ŝtelitaj atestiloj povas esti plenumitaj en amaso en tiel nomataj atakoj de 'atestiloj', kiu aŭtomatigas la procezon kaj malkaŝas kontojn, kie la samaj atestiloj estas uzataj.

Unu efika metodo por protekti la enecan malsekurecon de pasvortoj estas ebligi Multi-Faktoran Aŭtentikigon (MFA) kie ĝi haveblas, alie uzu trian partion pasvorta administrada programo krei altajn fortajn kaj unikajn pasvortojn al ĉiu retejo, uzata programo kaj aparato.

La fina problemo estas specifaj IoT-aparatoj, kiuj ofte estas sendataj kun apriora uzantnomo kaj pasvorto de fabrikanto, kutimis akiri komencan aliron. Estas esence, ke ĉi tiu defaŭlta konta pasvorto estas ŝanĝita tuj kaj antaŭ ajna uzo. Vi surprizus, kiom multaj homoj ne ŝanĝas la defaŭltajn atestilojn en IoT-aparatoj kiel interret-ligitaj sekurecaj fotiloj, la malbonuloj facile povas skani, detekti kaj eĉ identigi la modelojn de iuj IoT-aparatoj, vi ne devas esti Sherlock Holmes por ĝuste dedukti la unuan uzantnomon kaj pasvortan kombinaĵon, kiun ili provos.

En via blogo vi diras "Ni esperu, ke organizoj, same kiel sekurecaj vendistoj, enfokusigi pli bone kompreni la sekurecajn bezonojn de la industrio, kaj investi en solvoj kaj politikoj, kiuj donus al ili pli bonan ŝancon defendi kontraŭ la ĉiam evoluanta ciberminaca pejzaĝo. " Tamen ni parolu pri la sekurecaj bezonoj de individuoj dum momento. Kiujn bazajn sekurecajn bezonojn de individuo vi kredas, ke ne sekure taŭgas la sekureca industrio?

Ni ĉiuj devas praktiki ian bazan sekurecan higienon por teni nin sekuraj. Unue certigu niajn komputilojn, porteblaj komputiloj, poŝtelefonoj, inteligentaj horloĝoj, aplikoj kaj Interreto de Aĵoj (IoT) aparatoj en la hejmo, kiel inteligentaj termostatoj kaj interkonektitaj sekurecaj fotiloj, estas ĝisdataj kun la plej novaj sekurecaj ĝisdatigoj. Hodiaŭ defaŭlte plej multaj operaciumoj kaj aparatoj aŭtomate elŝutos kaj instalos sekurecajn ĝisdatigojn, sed gravas scii, ke pli malnova teknologio kaj multaj IoT-aparatoj eble bezonas manan intervenon por certigi, ke ili aplikas la plej novajn sekurecajn ĝisdatigojn. Ne apliki sekurecajn ĝisdatigojn rapide signifas, ke konataj vundeblecoj malkovreblaj de retpiratoj kaj aŭtomataj malware povus esti ekspluatitaj.

Pasvortoj estas unu el la plej grandaj malfortoj en hejma cibersekureco, kaj la malbonuloj scias ĉi tion. Bona pasvorta higieno signifas uzi kompleksan unikan pasvorton en ĉiu retejo, aparato kaj programo, kiujn ni uzas. Sed memorante sennombrajn komplikajn kaj unikajn pasvortojn por centoj da malsamaj retejoj, aparatoj kaj programoj estas ne nur vera laboro, sed preskaŭ ne eblas fari por multaj el ni, precipe se vi volas uzi fortajn malfacilajn hakajn pasvortojn. Pasvortaj mastrumaj programoj kaj pasvortaj volboj ofertas la solvon al ĉi tiu moderna epoko, Vi nur bezonas memori ĉefan pasvorton por aliri fidindan volbon de ĉiuj viaj uzantnomoj kaj pasvortoj. Kaj kompreneble, fariĝas nekredeble grave protekti tiun majstran trezorejan pasvorton per forta unika pasvorto kaj ideale, multfaktora aŭtentikigo se ĝi haveblas.

Kontraŭvira programaro povas helpi malhelpi plej konatan malican programon instali sur portebla aŭ labortabla komputilo. Estas multaj vendistoj, kiuj vendos kontraŭvirusajn programojn, tipe per jara abono, antiviruso ofte estas liverita kun via komputilo aŭ portebla komputilo aĉetinte ĝin. Tamen, ekzistas ankaŭ multaj senpagaj kontraŭvirusaj produktoj sur la merkato, kiuj plenumos la taskon. Vindozo inkluzivas tre fortikan ilon kontraŭvirusan kaj kontraŭminacan minacon nomatan Vindozo Defender Advanced Threat Protection, kiu ege efikas por malebligi malware-infekton se ebligita.

Fine, la plej bona defendo estas adopti sekurajn kutimojn kaj kondutojn dum uzado de viaj personaj aparatoj, ĉiam evitu alklaki ligojn kaj malfermi aldonaĵojn en retpoŝtoj neatenditaj aŭ ŝajnaj suspektindaj. Instalu nur programojn, ludoj, kaj programojn, kiujn vi efektive volas, kaj nur tiam de famaj fidindaj provizantoj kaj programbutikoj. Atentu, kiun vi dividas viajn personajn informojn, debetaj aŭ kreditkartaj detaloj kaj bankaj detaloj kun. Memoru, tiuj antaŭpordaj konfidaj trompantoj kaj iamaj trompantoj deplojas la samajn sociajn inĝenierajn taktikojn kaj teknikojn per retpoŝto kaj sociaj retoj..

Ni konstatis, ke pasvortoj restas ofta malforta punkto por kompanioj kaj individuoj. Malfortaj pasvortoj kaj reuzo de pasvortoj povas malfermi malantaŭan pordon por retpiratoj donante al ili netakseblan aliron al privataj informoj. Ĉu vi kredas, ke organizaĵoj faras aŭ ne sufiĉe por eduki homojn pri la danĝeroj de malfortaj pasvortoj kaj reuzo de pasvortoj?

Ĝenerale, Mi kredas, ke organizoj povus fari pli por helpi siajn klientojn kaj uzantojn eviti kompromison de konto pro malforta uzado de pasvorto. Sekureca edukado kaj konscio estas unu afero, sed la teknologio mem plibonigeblas por pli bone protekti uzantajn kontojn. Ekzemple, ofertante aŭ plenumante Multfaktoran Aŭtentikigon (MFA) ambaŭ por klientaj kontoj kaj internaj personaj kontoj estas pruvita efika mezuro por malfortaj pasvortoj, tamen eĉ bankoj kaj kreditkartaj kompanioj ne provizas veran MFA per siaj interretaj bankaj kaj poŝtelefonaj programoj, ofte elektante pasvorton kaj paskodon, kiuj estas ripetitaj unufakta pasvorto de 'io, kion vi scias'. Ne estas arĝenta kuglo kun pasvorta sekureco, sed MFA proksimiĝas, ĝi signife reduktas la riskon de konta kompromiso, aŭguste 2019 Microsoft diris en bloga afiŝo, ke MFA blokos 99.9% de aŭtomataj atakoj al kontoj de uzanto.

Ĝis ĉi tiu punkto uzantoj mem plejparte respondecis pri granda parto de sia propra sekureco. Ni respondecas pri uzado de sekuraj pasvortoj, ne alklakante malicajn ligojn en retpoŝtoj aŭ retejoj ktp. Ĉu vi antaŭvidas estontecon, kie pli da sekureca respondeco estas forprenita de la manoj de la uzantoj kaj anstataŭe la respondeco pri protekto estas metita ene de la teknologio mem?? Kiom da progresoj ni faras pri protektado de uzantoj kontraŭ si mem kaj la oftaj eraroj, kiujn ili faras?

Timemaj homoj restos la plej malforta ligo en sekureco, kaj la vasta plimulto de ciberkrimuloj iras post ĉi tiu plej malalta pendanta frukto, la plej malgranda peno por la plej granda rekompenco. Socia inĝenierado homo ofte multe pli facilas ol kodrompado de IT-sistemo, kvankam komunika teknologio estas uzata por faciligi la socian inĝenieristikan atakon. Ekzemple, phishing-retpoŝtoj estas la plej ofta komenca atakvektoro malantaŭ la vasta plimulto de hakoj kaj interreta fraŭdo. Mondfama kriptografisto Bruce Schneier resumis ĝin plej bone kiam li diris, “Amatoroj hakas sistemojn, Profesiuloj hakas homojn ".

Ĉar teknologio fariĝas pli sekura kaj pli malfacile venkebla, kredeble krimuloj pli kaj pli celos homojn. Dum la lastaj du jaroj, Mi observis ke phishing-atakoj fariĝas pli celaj kaj konvinkaj en naturo. Ciberkrimuloj prenas pli da tempo por elekti kaj esplori siajn celitajn viktimojn, uzante platformojn de sociaj rimedoj kiel Facebook kaj LinkedIn por krei inteligentecon pri specifaj celoj, kaj eĉ uzante tekstmesaĝojn, telefonvokoj kaj leteroj per poŝto por helpi sukcese trompi siajn viktimojn el mono. La financa rekompenco pravigas la nivelan penon, kiun krimulo faris en ĉi tiuj specoj de ciberatakoj. Do gravas, ke ni neniam memkontentu, kaj restu sur la piedoj al la plej novaj minacoj pri cifereca erao.

En via blogo vi ankaŭ parolas pri pliigita fokuso pri AI kiel ilo por kontraŭbatali hakajn provojn. Kiojn interesajn progresojn vi vidas ĉirkaŭ la kruciĝo, kie pasvortoj kaj AI renkontiĝas?

Maŝinlernado, kiu estas subaro de Artefarita Inteligenteco, jam montriĝas potenca ilo por detekti ciberajn minacojn per analizo de grandaj datumoj, uzante algoritmojn, kiuj flagas kiel nenecesaj aliraj privilegioj, kompromisitaj pasvortoj kaj ĝenerala malica agado. La konstanta memadaptiĝo pri kiel Maŝinlernado analizas datumojn signifas, ke komputiloj povas antaŭdiri malicajn agojn de minacoj antaŭ ol ili okazas, kaj eĉ paŝu plu per alvokado de ago por eviti ke tiuj malicaj agoj sukcesu preskaŭ realtempe, ĉio multe pli precize ol iu ajn homo kapablas. Ekzemple, suspektata pasvorto kompromitita konto povus esti aŭtomate malŝaltita de AI tuj kiam la pasvorto kompromitita estis detektita.

Profunda Lernado, subaro de Maŝina Lernado, povus tute forigi ĉian homan intervenon, ĉar la AI efike kapablas plene korekti sin. Do eble estonta Sekureca Operacia Centro ĉe granda entrepreno povus esti nur unu ekrano, kun AI-raportaj statistikoj kaj la agoj, kiujn ĝi faris. Sed hodiaŭ, dum ne panaceo, Maŝinlernado povas doni realajn avantaĝojn, precipe en grandaj Sekurecaj Operaciaj Centroj (SOC), helpante analizistojn disigi la konstantan fluon de datumoj en efektivigeblan inteligentecon, reduktante laborŝarĝon kaj fals-pozitivajn erarojn, kiel atestas la multaj grandnomaj vendistoj uzantaj Maŝinlernadon ene de nub-bazitaj SOCoj kaj administradservoj de Threat Intelligence. Dorsflanke, Maŝina Lernado povus ankaŭ esti aĉe uzita por detrui efikon al sekureco.

Laŭ via opinio, kiuj estas la plej ekscitaj progresoj en Biometrikaj teknologioj rilate al konservado de uzantoj sekuraj?

La enkonstruitaj biometrikaj aŭtentokapabloj de inteligentaj telefonoj estas signifa progreso por sekureco, ĉu per vizaĝa rekono aŭ fingrospura legado, ili malfacilas venki dum ili estas rapidaj kaj konvenaj por homoj uzi. Donita preskaŭ ĉiuj el ni havas inteligentan telefonon, poŝtelefonoj povus esti efika ilo por rapide aŭtentikigi homon kun MFA en iu ajn IT-sistemo. En tio, vi bezonas posedon de la inteligenta telefono kaj preterpasu la biometrikan kontrolon de la inteligenta telefono, do ĝi povus bone esti la respondo por solvi la problemon pri malforta pasvorto. Apple Pay kaj Google Pay jam sukcese ekfunkciis kaj helpis redukti pagokartan fraŭdon, donitaj inteligentaj telefonoj estas pli sekuraj pagi ol plastaj kreditkartoj, eĉ la pagokarta numero ne estas konservita ie ajn sur la inteligenta telefono.

Kiaj minacoj pri cibersekureco plej timigas vin? Kiaj aferoj subtenas vin nokte?

La kreskanta nacia ŝtato kaj ciber-terorisma minaco kreskas. Kiel socio, ni forte dependis de IT-infrastrukturo, kaj fariĝas pli verŝajne, ke estontaj ciberatakoj povus rezultigi fizikan mondan damaĝon kaj perdon de vivoj. La efiko de la eksplodo pri ransomware de WannaCry sur IT-sistemoj de NHS estas freŝa ekzemplo de tia ciberatako, kiu minacas vivojn.. Kvankam minacaj vivoj ne estis la celo de la atako de WannaCry, ĝi estas pruvo de fizika monda efiko kaj ebla damaĝo, kiu povus esti kaŭzita de ciberatako al teknologio fidita. Mi zorgas pri la kresko kaj nia dependeco de IoT-aparatoj, la sekureco de senŝoforaj aŭtoj kaj kamionoj, kaj lastatempaj pliiĝoj en naciŝtataj ciberaj armeoj kaj iliaj kapabloj kaŭzi fizikan mondan ocaoson tra grandskala, tre kompleksaj kaj persistaj ciberatakoj.

Laste, kiaj progresoj de cibersekureco plej ekscitas kaj inspiras esperon en vi?

Kiel profesiulo pri cibersekureco temigis protektadon de komplikaj komercaj sistemoj kaj IT-infrastrukturo, la plej novaj progresoj Maŝinlernado estas aparte interesa. La ebla realtempa analizo de altaj volumoj de sistemaj kontrolaj datumoj, identigi kaj poste interveni por malebligi malican agadon povus vera sekureca ludŝanĝo ĉe mezaj ĝis grandaj entreprenoj.

La delonge posttempa regulado de IoT inspiras esperon, konsumantoj aĉetantaj kaj uzantaj IoT-aparatojn devas esti protektataj defaŭlte kun la necesaj normoj pri sekureco kaj privateco. Estis iuj vere timigaj ekzemploj de nesekuraj IoT-aparatoj liberigitaj por hejma uzo, kiel la inteligenta pupo interrete konektita 'Mia Amiko Cayla', kiu estis infana ludila IoT-aparato, konsiderata tiel danĝera, ke ĝi estis malpermesita en Germanio. Ni ĉiam pli dependas de IoT-aparatoj, plej multaj hejmoj jam havas plurajn IoT-aparatojn, inteligentaj parolantoj, inteligentaj lumoj, inteligentaj termostatoj. IoT ankaŭ estas pli kaj pli adoptata en la fabrikado, agrikulturo, transportado, energiaj kaj medicinaj sektoroj, do regulado estas esenca por helpi certigi IoT-sekurecon ne neglektatan kaj por sekurigi nin ĉiujn.

Koran dankon pro via tempo por babili Logmeonce’s legantoj de blogoj pri cibersekureco hodiaŭ Dave. Ni vere dankas ĝin. Al nia blogo legantoj, se vi ŝatus lerni pli pri Dave kaj la laboro, kiun li faras, vi povas sekvu lin ĉe Twitteriru al sia retejo ĉi tie

HASHTAGS: #sekureco # sekureco #pasvortoj # CyberSec # CyberSafety # privateco