A THANKSGIVING SPECIAL: Phishing Failures, Red Team Career Advice, and Cybersecurity Ethics
Hacker And The Fed
Deep Dive
- 56% of users clicked on phishing links in a study involving 20,000 employees.
- Technical controls like email security providers and DNS filtering can deter phishing attempts.
- Training is important but must be complemented with technical measures.
Shownotes Transcript
最重要的是一个特殊的词,最令人感兴趣。
帽子得到三百万美元。
在生活中造成的损害,在阴影中,正在上升。
欢迎来到联邦调查局的黑客。我是克里斯·特博。前联邦调查局特工,我的整个职业生涯都在从事网络犯罪工作,并且总是由我的黑客朋友兼播客联合主持人黑客SA陪同,他是一位前黑帽黑客,曾因我们面临125年的监禁,多年来一直在进行黑客活动,代号为B。我们的故事在2011年6月发生碰撞,当时我逮捕了Hector,并说服他与我在联邦调查局合作。现在,他是一位红队研究员、网络安全专家,就像我说的那样,也是我的好朋友,Hector,你今天过得怎么样?
我的朋友,你好吗?
Hector,这是一集非常特别的节目。首先,这将在感恩节直播。
在美国对我们的美国听众表示非常感谢的感恩节。
我们在世界各地都有听众,所以希望每个人都知道感恩节是什么。祝所有听众感恩节快乐,Hector。
谢谢。你也是。
这也让我反思并心存感激,因为这是我们自播客回归以来的第一次现场录制,我和Hector都被下载量、听众的联系等等惊呆了。播客已经回归,并且势头强劲,我们对听众给予我们的一切都深表感激。
嘿,我必须说一件事。你知道,首先我很高兴能再次和你一起做这件事。这是最重要的。
但我想说的第二点是,收到很多问题或电子邮件是多么令人着迷。这些都非常好,有很多支持,很多信息和链接。所以我真的非常感谢你们,感谢你们一直以来的支持。
但听众、粉丝、那些只想问我们一些红队印象的人。这是一段旅程,你无法想象当我看到这些东西时我的感受有多么激动。所以是的,黑客。
粉丝们已经宣布了更大的影响力,很高兴节目回归。我们收到了很多电子邮件,很多下载量,但要广而告之,告诉你的朋友们,联邦调查局的黑客回来了,而且比以往任何时候都更强大。但是,是的,我们这个月去了佛罗里达州。
我们这周在那里。参加了GPSEC会议。一次很棒的活动,观众出席率很高。
我和你一起坐在台上,我知道你在聊天的时候,我一边听着你说的话,一边也在想着我有多感激我们的友谊。我很感激我们都有幸福的家庭。是的。而且,就像我们能够环游世界,在悉尼与观众见面,讲述故事,谈论网络安全,传播如何增强网络安全的信息一样。而且,你知道,只是我们一起做的事情,就像你我曾经经历过逆境,而我们现在作为亲密的朋友坐在这里,你可以诚实地分享,然后最后,人们为我们鼓掌。我的意思是,我们怎么能不感激这种生活、这个节目以及我们所创造的一切呢,对吧?
这是一种美好的感觉和体验。每次我们上台,即使我们与线下的人交谈。嗯,你知道,人们真的非常接受和开放,这意味着很多。我们必须记住。我花了很长时间生活在阴影中,事实上,我现在戴着帽子,你可以看到,克里斯。
所以我总是觉得有人像,你知道,保持安静,直到我自己更长时间,嗯,所以一开始能够和你一起上台,或者像我们这样交谈,对我来说很奇怪,所以,嗯,但现在这已经成为第二天性了。我觉得很舒服、很快乐、很兴奋,而且我们在这次活动中得到了一些很棒的问题。所以,我们专注于奥兰多的指南针点。我们认识的人非常重视安全。
我甚至在结束后不久就进行了一次分组讨论,在我们结束演讲后不久。所以,进展得相当顺利。我认为人们不知道我们要谈论什么,甚至我自己对要谈论什么也有一个很好的想法,结构等等。
它非常非常私密,房间很小。这是一个挤满了人的酒店。所以,感谢指南针点,感谢今天的生态系统。我们有一个小房间,但它挤满了人。人们站着。
所以我们在分组讨论中讨论的主题是关于神秘的网络风险服务,对于那些不在网络安全领域的人来说,网络安全服务可能包括渗透测试评估、攻防兼备的紫队设置等等。我看到的一个问题,克里斯,尤其是我与新客户打交道时,这意味着我第一次见到他们。他们过去可能做过某种渗透测试服务,但从其他对话中得出的结论是,他们不太确定渗透测试到底是什么。
在某些情况下,他们不知道黑盒测试和白盒测试的区别,我不是在吹嘘任何人,嗯,但这些事情在许多方面都是安全行业未能向某些客户解释清楚的区别或细微之处。所以分组讨论的重点就是,只是想了解什么是渗透测试,什么是黑盒测试,以及电子邮件、社交工程活动、目标活动之间的区别,当然还有回答问题。所以,嗯,效果非常好,我大约一个半小时后离开了那个地方。
嗯,假设你有一家小型或中型公司。在这个阶段之后,你有一个IT团队。IT团队的工作是提供服务,并为IT迁移技术,让客户拥有电子邮件,你知道,确保打印机正常工作,提供服务,而不是基于安全的。
也许他们,你知道,偶尔更新密码或重置密码,就是这样。但是像你这样的人会在哪里获得你刚才在分组讨论中谈到的信息呢?比如你向人们提供了什么?你知道,也许这个行业因为没有告知他们这些事情而让他们失望了,但除了联邦调查局的黑客之外,还有什么好的信息来源呢?
是的,联邦调查局的黑客将尝试提供这些细节和答案。所以这是一个好问题。我想以我通常的黑客方式来回答它,通过提供背景信息。
所以在某个时候,当我开始从事这个领域的时候,在90年代,然后当然是在2000年,真的没有多少信息,对吧?真的没有多少关于,嘿,什么是渗透测试?为什么你需要渗透测试?而且,那时你没有太多的法规、要求。
我们有先决条件、指南、框架和网络犯罪要求。所以很多人直到以某种方式受到损害后才感兴趣。好吧,如果你当时是2000年代初,也许是2000年代到2010年代初的客户,你会上网输入“我需要渗透测试”,在谷歌上,也许你会得到,你知道,一百家顶级安全公司提供这样的服务,在世界各地都是值得信赖的。
所以,这很酷。现在的问题是,一旦你在谷歌搜索引擎或类似引擎中输入“渗透测试服务”,你就会被营销信息轰炸。现在,一些安全公司确实会整理一些内容,对服务进行细分或区分,但你在搜索引擎中看到的其他所有内容都可能是营销和销售内容,这并没有什么用。
所以,直接回答你的问题,是的,你可能可以在网上找到这些信息,一些非常具体的谷歌查询,例如“黑盒渗透测试和白盒渗透测试有什么区别?”,你可能会在那里找到一些很棒的资源,假设你没有被销售和营销信息淹没,你也可以使用,我相信人们已经听腻了,但绝对可以使用ChatGPT或类似的Claude,这些资源会很好地专注于你的问题,并提供比一般的或通用的搜索查询更直接的答案,你知道,但是,是的,所以你知道,如果你是一个组织,中型、小型、SMB,无论什么,如果你好奇的是你需要做什么,以及在网络安全测试方面需要使用什么。
使用ChatGPT,与你所在领域的其他人交谈。看看你当地的社区。如果你来自奥兰多,奥兰多有什么?你有一些非常好的资源,比如迈克·费尔特,我认识的另一个好人。
你有一些供应商,比如指南针点和其他组织,他们非常擅长沟通我们到目前为止讨论的许多内容。当地社区总是会成为你寻找当地供应商的好资源,你可以与他们建立关系。所以这是一个你将找到当地供应商、与他们交谈并提出这些问题的问题。如果失败了,那就失败了,再找其他人。
是的,我同意他说的所有话。另外两件事。如果你有任何问题,请将你的问题发送到hackerinthefed.com。我们将帮助你解决你的问题,并教你你需要知道的事情,并指引你正确的方向。我做了六十多集节目,我们对所有这些事情都非常诚实。
但是,是的,你关于人工智能搜索的说法是对的,我不是谷歌的粉丝,但我听过另一个播客,他们谈论了人工智能搜索现在在谷歌上有多好,它真的浓缩了研究,并以正确的方式呈现出来。所以,有一些很棒的人工智能搜索,可以尝试一下。但这引出了我们今天的第一个主题,钓鱼培训。它真的有效吗?嗯,你浏览了XH,你发现了一项题为“了解实践中钓鱼培训效率”的研究,这项研究是由芝加哥大学和卡内基梅隆大学的研究人员进行的,你能谈谈他们发现了什么吗?
是的,这是一份很棒的研究报告。我必须说,我真的很喜欢阅读它。
那么,首先,什么是钓鱼?
培训?让我们从这里开始。是的,是的,让我们这样做。让我们专业一点,对吧?让我们把它分解一下。所以,钓鱼培训,有几种不同的方法可以进行。首先让我们谈谈什么是钓鱼。
所以,钓鱼是指对手、坏人试图通过人为因素来获取信息,这些信息可能是凭据,可能是敏感细节,可能是电汇细节,可能是客户细节,嗯,他们将使用电子邮件,嗯,短信钓鱼,这非常有效,他们使用领英、社交工程,嗯,当然,你还有像物理钓鱼这样的东西,嗯,走进一栋建筑,说,“嘿,我是一个新员工,嗯,我需要一张通行证,你能带我参观一下吗?”所以,当你在一个组织中进行钓鱼培训时,你会做两件事。一个是会有某种内容、材料、阅读材料、视频截图,实际上还有一些非常酷的平台可以进行培训。
我发现它很有效,因为,你知道,为了从第一个屏幕前进,你必须阅读并回答问题才能进入下一个屏幕,并且,你知道,要经历这个过程,这可能会让人感到厌烦。嗯,我认为人们倾向于快速完成,我认为这在报告中得到了暗示,快速完成这些培训。钓鱼培训的下一个阶段是从你自己的组织内部发送电子邮件,并试图让你的员工点击链接,打开电子邮件,嗯,提供凭据或类似的东西。
现在,根据,你知道,一旦收到一封不好的电子邮件会发生什么,你是否打开它,你是否对电子邮件的标题、主题、正文、链接箭头进行视觉检查,那么参与的下一步就是,我们的诱饵是否被点击了?如果是这样,他们是否提供了凭据或敏感信息?所以,我认为钓鱼培训有两个不同的方向。而且你有点像自我测试或自我社交工程参与,这就是这份报告要涵盖的内容。
This week on Hacker And The Fed former FBI agent Chris Tarbell and ex-black hat hacker Hector Monsegur discuss key cybersecurity challenges, from the effectiveness of phishing training to the ethical dilemmas of vulnerability disclosure. They explore how technical controls and employee education can work together to defend against increasingly sophisticated attacks, including SMS and social media phishing. They also dive into career advice for transitioning from Blue Team to Red Team roles and the complexities of the cybersecurity job market. And to close out, a heartfelt Thanksgiving message.</context> <raw_text>0 所以,我知道很长一段时间以来,他们试图使链接尽可能具有吸引力,例如,他们会尝试发送关于年度奖金以及奖金如何分配给每个人的奖金的信息,他们会说你不应该收到这个,并试图让你点击所有这些东西。但他们也喜欢让你看起来像被踢出局了一样。如果你点击链接,你就会被踢出,你必须通过一个伪造的登录页面重新登录系统,诸如此类。你发现IT越来越复杂了吗?或者这并没有必要,因为人们会谨慎对待链接?
伙计,是的。所以,这绝对变得更加复杂了,攻击者甚至像安全研究人员一样,想出了非常巧妙的方法,其中社会工程会超越电子邮件链接,进入登录页面。登录页面内有一些凭据收集表单。
他们所做的是,他们可能设置了一个托管静态重定向的平台。当你点击静态网页时,它会将你重定向到真实的首页。但在两者之间……
所以,你访问的恶意网站充当中间人,以便如果潜在的,你知道,凭据是从员工那里收集的,那么攻击者就可以劫持这些会话cookie,或者等待你提交你的多因素身份验证令牌或一次性密码。现在,攻击者拥有会话cookie和凭据。所以你也见过很多这样的东西。还有一些事情,比如诱骗式钓鱼,你会得到一个看起来像微软的合法授权应用程序的登录页面,你授权登录,你所做的是泄露了你的电子邮件帐户。我的意思是,有很多方法可以被一些非常老练的操作者利用,并且超越了简单的规避措施。我可以理解为什么我们从不同报告中看到的统计数据,比如一年前的报告,查看了数十亿封电子邮件,其中两到五分之一的数十亿封电子邮件仍然有大量的员工点击链接,这相当可怕。
让我快速浏览一下这项研究的结果,然后你分享一些你从这些数据中发现的要点。这项研究是对加州大学圣地亚哥健康系统2万名全职员工进行的,历时8个月的反钓鱼活动。你知道,主要针对的是活跃的全职员工。这项研究中只包含了主要活跃账户的数据。参与者来自各种医疗岗位,医生、护士、人力资源、IT、行政人员,每个人都参与其中。该行动涉及10封独特的钓鱼邮件,重点是驱动下载和凭据钓鱼攻击。参与者被随机分配到不同的培训组,以评估各种培训项目的有效性。他们发现,56%的用户(超过1.1万名)至少点击过一次恶意链接,这令人惊讶。
对你来说,这并不奇怪,对吧?他们打开邮件并点击链接,56%并不让我惊讶,因为这是人的因素,是好奇心。这是什么?我应该处理吗?
我会说我点击过电子邮件。我知道有一些有效的活动。这是一项明显的调查。
我点击了它,但我后来发现它来自一个钓鱼活动或类似的东西。但我认为我从未真正泄露过任何东西,我认为我在这方面做得很好。但26%的用户至少失败了两次钓鱼模拟。
10%至少失败了三次,3.5%失败了四次,还有一名用户每次都失败。我不知道。我认为你应该以这个人为例,你知道,我知道他们不会因为钓鱼而解雇员工,但为什么不呢?为什么不因为反复失败而解雇某人呢?
记住,很多人都在接受培训。所以这是一个针对这些活跃员工的社会工程活动。但从我们正在阅读的报告来看,这些人也在进行内部培训,所以他们正在阅读材料和内容截图。
这就是钓鱼邮件的样子。你不应该做什么。如果你泄露了潜在信息,你需要联系你的安全团队。所以,对我们来说,看到10%的1.9万名员工至少失败了三次,这相当可怕。一个人每次模拟都失败,我开始在内部线程中考虑这个问题。
一百个内部线程。我会没收他们的电脑。
是的,你说得对。问责制。我们之前在之前的剧集中讨论过这个问题。好的,对于56%点击链接的用户来说,这是不好的。但我可以理解他们的好奇心。
好的,对于那些点击了两到三次活动、进行了三到四次参与的人来说,我们需要和他们坐下来谈谈。伙计们,我们需要真正解决这个问题,为什么你们会点击至少三次不同的活动?是我们的培训吗?
让我们坐下来更深入地探讨一下。但对于第四点和第五点,1.9万名员工中有3.5%的人在所有练习中都失败了。当然,对于那个人,我们可能需要考虑某种试用期,甚至更广泛的培训。
必须发生一些事情,因为他们正在进行内部培训。现在,如果这2万人都是非技术人员,他们从未接受过任何IT培训或安全培训,并且这些参与发生在培训之前,那么是的,我可以理解这些数字。但如果在培训之后,这些人仍然失败,那么也许他们没有认真对待这份工作。这是我的看法。
你每天都在这个领域工作,你提供一些这些服务。无论组织规模大小或安全措施多么完善,你是否看到了类似的结果?
是的,我们确实看到了非常类似的结果。每当我们作为服务进行模拟活动时,这些电子邮件或短信,实际上我们通过短信看到了更高的数字。
通过……
短信之所以更成功,并且是一个获胜的赌注,是因为它的易访问性。你的手机总是和你在一起,你总是查看你的手机。你收到来自你的老板、你的顾问或你的治疗师的消息。
所以,短信会直接发送到你的手机。你会立即查看它。
现在你很好奇,你点击了那个链接。我的天,我需要查看这些减少,我点击了它,就是这样,对吧?所以我们看到短信的成功率要高得多。
我不能告诉你关于社交媒体的情况,因为很多人都在问我们这个问题。但对于电子邮件,数字非常相似。我们看到大约一半的电子邮件被打开了。
也许一小部分电子邮件产生了点击。这是一个很大的区别。我的一些客户,特别是四个特定的客户,失败了四到五次,我经常看到这种情况。但我们每次活动的访问率至少有10%到12%。
你认为这种培训很重要吗?
我认为培训仍然很重要,但我认为更重要的是开始实施技术控制措施,以真正帮助解决电子邮件安全问题。所以,放……
因为人们失败了,你的员工在这些测试中失败了,你看到了哪些技术方面正在被规避,以及你认为你可以识别系统漏洞,仅仅是因为用户犯了错。
糟糕吗?是的,总会有差距,你会从报告中吸取教训。我认为这份报告非常有用。我认为任何收听的人都可以查看这份报告,并开始识别他们自己环境中的潜在差距。记住,这份报告的重点是质疑钓鱼培训是否有效,以帮助减轻外部攻击者和社会工程活动的威胁。答案可能是“不”,对吧?
我认为作为技术人员,如果你不是技术人员,你会看到这一点,并说,好吧,也许我们需要开始关注技术控制措施,除了内部培训之外,当然还有关于问责制的政策。我认为这份报告,一旦所有方面都被探索,将会为组织带来更好的结果。至于技术控制措施,我认为我们之前讨论过这些问题。
但你想使用一个电子邮件安全提供商,它会为你做几件事。首先,它会监控来自不良指标的传入电子邮件,例如可疑电子邮件。这封邮件是发送给某人的吗?这封邮件以前发送过吗?这是一个全新的发件人吗?所以,让我们在主题中添加一个标记,例如“新发件人”。
如果电子邮件来自我们的域之外,我们会在某个地方添加一个外部标记,以便员工理解这封电子邮件来自外部,并且必须对其内容保持高度警惕。我们还想查看的是,如果一封电子邮件来自与我们的域相似的域,这通常是恶意行为者的指标,最后是使用某种反垃圾邮件解决方案。你还想查看诸如网络内容过滤或DNS分类之类的功能。
即使,让我们回到第一步,56%的用户(11077/18089)至少点击过一次嵌入的钓鱼链接。这些是好奇的用户。如果链接指向未分类的域或IP地址,这意味着,取决于你决定使用的产品,它会利用DNS分类。
如果它是一个IP地址,它会自动失败,并且你会在重定向到该URL之前收到警告。这会阻止很多人。如果它是一个域,而不是一个IP地址,如果它不属于任何类别,例如Facebook属于社交媒体,AT&T属于服务提供商,当然,USBank.com属于银行。
你知道,如果该URL不属于任何类别,你就会收到警告消息。这同样是一种威慑。
任何警告消息都会对你的客户、你的员工产生威慑作用,特别是如果你的培训的一部分是说,顺便说一句,我们使用的是Cisco Umbrella,我们使用的是IBM X-Force,你会看到一条警告消息。
如果你看到警告消息,你必须更仔细地检查电子邮件和链接。我向你保证,克里斯,这些数字会开始下降。我的意思是,我同意你的观点。
我读过一些这些活动,我首先作为技术人员,我知道有时你必须告诉IT人员,我们可以关闭这个,这样人们就不会收到这些电子邮件,也不会收到这些警告。所以,技术控制措施非常重要。
但你也谈到了这些域,以及它们在不同位置的放置,我认为它们几年前取得了很大的成功,可能是六年前在Google Docs上托管,以便链接获得Google域。大多数公司都不会屏蔽Google,所以它会深入到子域、文档类型等等,然后你必须白名单所有你想要阻止的域,例如Google Docs。是的,有很多好的建议。你还有什么建议给听众?例如多因素身份验证、DNS分类。
你提到了很多听众可以从中吸取教训的好点。我们越来越多的使用社交媒体。你知道,你提到了这个测试,但你看到更多的情况是,链接与人们不认识的人联系在一起,受害者是MGM和NotPetya攻击的重要组成部分,对吧?所以,你的攻击媒介一直在变化。
你添加到平台上的东西越多,无论是社交媒体,如果你使用LinkedIn进行商务社交,这很好,我喜欢它,但它仍然增加了你的攻击面。如果你下个月要增加1000名新员工,你们将面临巨大的风险。如果你正在添加新的供应商到你的网络,如果你为了方便你的高管而打开某些端口和服务,并为他们提供更多不受政策限制的访问权限。
This week on Hacker And The Fed former FBI agent Chris Tarbell and ex-black hat hacker Hector Monsegur discuss key cybersecurity challenges, from the effectiveness of phishing training to the ethical dilemmas of vulnerability disclosure. They explore how technical controls and employee education can work together to defend against increasingly sophisticated attacks, including SMS and social media phishing. They also dive into career advice for transitioning from Blue Team to Red Team roles and the complexities of the cybersecurity job market. And to close out, a heartfelt Thanksgiving message.</context> <raw_text>0 是的,你们正在将你们的攻击服务扩展到越来越多的……你们知道,将其添加到你们的生态系统中,就会很难……很难从外部获得对所有事物的良好鸟瞰图,因为最终,广阔的视野将会达到极限,也就是你能看到的范围。如果你没有积极地监控自身,你总是会让自己处于劣势,尤其是在面对只需要赢一次的对手时,对吧?你一天可以赢一千次,你可以阻止每年两万次黑客攻击企图,你可以识别并阻止,在一个活跃的活动中,你可以用你的摄像头发现有人闯入你的大楼,在第二天早上,逮捕这个人。
这些都是很好的防范措施。对手只需要一次疏忽,一次错误的配置,一个没有启用(即使启用了)的帐户,这就结束了游戏,你知道的。所以我会说这是一个很好的报告。
我和克里斯真的从中学到了很多。作为一个读者,我把自己放在……有一件事你们不知道,对吧?当我读到这样的报告时,我不会把它看作是黑客攻击和一支雪茄或克里斯托夫。
我把它看作是最终用户或客户。我是一个CEO,所以我假装自己是这里的CEO。我在模拟这种情况。
让我看看这个。好的,这就是我对你们组织所做的,以及我没有对组织所做的。这些都是需要解决的问题。所以,你知道,我认为这些练习仍然很棒。我认为钓鱼训练非常棒。
我认为追究人们的责任,制定政策等等,所有这些都非常棒,进行桌面演习也很棒……但是你仍然需要……你知道的,实施技术控制。你仍然需要验证这些技术控制……然后希望……你知道的,坚持住,坚持住,尽可能地坚持住,因为正如我所说的,一个攻击者,只要坚持不懈,最终可能会成功。我希望到那时,如果真的发生了,你们已经实施了内部技术控制来拖延时间。
实际上,就像我在节目中说的那样,收到了很多很棒的听众问题,在Hacker in the Fed节目中收到了很多问题。如果你们有什么问题,请通过questions@hackerinthefed联系我们。我们收到了很多问题,但我只选了三个,所以我会告诉你们一个事实。
我们会做我们的事情。你们在及时回复人们方面做得很好。所以,如果你们提出问题,你们知道演员会很快回应,比我快得多。
呃,你会收到一封个人的电子邮件回复,但还有一些要补充到节目中。所以我们收到了来自我朋友科迪的电子邮件,科迪之前发过信息。实际上,我甚至和她私下进行过线下交流。
她是一位联邦网络调查员,所以她……她很棒。她做得很好。所以科迪问,你对安全研究人员公开披露对抗性活动,从而可能扰乱正在进行的调查有什么看法?
这对我来说很难,赫克托。作为一名前联邦调查员,你知道我在追捕这些人。我有很多搜查令等等。
我试图建立我的案情,所有这些……研究人员认为他们做得很好,让坏人知道他们犯了什么错误……嘿,坏人,你在这样做,这让他们感到羞愧……所以某种程度上会错过我的逮捕,因为这改变了他们的技术或做事方式。所以,我到目前为止所做的所有工作,建立的案情都付诸东流了。不完全是,因为我仍然有指控,我仍然有信息来识别他是谁。
我现在可能无法识别受害者,但你知道,这会试图改变正在发生的事情的模式。你从安全研究人员的角度对这件事有什么看法?你在另一边。呃,你不会知道联邦调查正在进行。所以,很难责怪你作为一名安全研究人员,除非你与联邦政府合作。
这是一个很好的问题,如果你问过我很多次的话。作为一名研究人员,并且之前也问过一些研究人员,你知道,整个不披露和披露的事情,是我生活中的一部分。所以在所有这些之前,我是一个会进行披露的人,我会把它写成一篇博客文章。
事实上,我二十年前的旧博客文章仍然在线,很生气。我能找到一个博客吗?更多的是关于我的咨询内容。所以我也会做同样的事情。
我会发布一个披露,我会尝试遵循……你知道的,与你的组织或供应商进行友好的安全披露,我会写一封电子邮件给他们,开始沟通……他们会承认或给出通用的回复,说,是的,我们正在调查此事,然后他们就会消失。好的,他们会消失,那时我就不知道该怎么办了。我已经向组织报告了这个漏洞两个月了。
自从他们承认我的电子邮件以来……他们还没有解决这个问题。所以,作为一个研究人员,我现在面临一个困境。这个困境是,如果我保持沉默,对这个发现的漏洞闭口不提,没有人知道它,从技术上讲,我拥有一个零日漏洞,对吧?
我拥有一个零日漏洞。如果我可以按顺序执行利用这个漏洞的步骤,我有一个网络化的零日漏洞就放在我的笔记本电脑上。顺便说一句,对于在座的其他人,有很多这样的情况。
成千上万甚至数万个这样的事情正在发生,安全研究人员对我们的行业、我们的领域和社会都非常重要,我认为有很多优秀的人才,非常聪明的人,但困境总是会出现的,那就是你报告了一些事情。最好是与你进行进一步的交流,而不仅仅是最初的电子邮件,你不知道接下来该怎么办。一些安全研究人员随后会进行全面披露。
他们会发布博客文章,会在推特上发布,或者在X上发布,他们会在电视上接受采访或媒体采访。我说,是的,我已经确定了漏洞X,我已经向Y报告了,然后这些事情就会发生……或者,嘿,我看到人们正在积极利用这个漏洞,但我报告了,什么也没有发生。
所以这是一个完整的披露。这是产品,这是供应商,这是漏洞,这是你如何利用它。祝你好运。
祝大家好运,对吧?这是一个非常可怕的全面披露,包括最终用户。
然而,在某些情况下,走这条路是有意义的,特别是当供应商是那种不负责任的人,就像那些不负责任的房东一样,对吧?他们没有认真对待他们的安全问题。我认为在科迪的案例中,情况可能有点不同。
他提出的问题很棒。如果我们将它应用于类似的情况,比如某个来源的持续活动。如果你是一个秘密研究人员,并且能够拦截一个持续的活动,你可能应该与执法部门或某种你可以联系的人交谈,看看。
所以现在你可以联系巢穴,对吧?你有可以沟通的资源,呃,计算机紧急响应小组。你可以联系他们,就像有一些你可以联系的人一样,如果他们发现针对你、潜在受害者的活跃活动,了解活动进展情况。让我知道你们想让我做什么,因为我想揭露坏人……问题在于,当你发现一个研究人员立即披露所有信息,没有做出任何沟通努力时,我认为这会造成问题,并且会妨碍调查。
所以你知道,作为一名调查员,我会害怕联系一个安全研究人员,我会担心那是对手……试图从我的调查中获取信息,再说一次,这只是怀疑论者的想法,你知道的,你复制了我提出的观点,但在另一方面,你必须联系某些人,你没有得到回复。我是一名联邦调查局特工,让我讲一个快速的故事。
我是一名在纽约市工作的联邦调查局特工,处理大型案件。我得到一个消息,说哥伦比亚广播公司(CBS)的系统存在漏洞,有人正在利用它。我联系了哥伦比亚广播公司(CBS)。
他们不相信我。他们甚至不接我的电话。我……我最终找到了……当时哥伦比亚广播公司(CBS)的首席执行官莱斯·穆恩。
我得到了他的手机号码,我从我的办公桌给他打电话。现在,我的老板认为我疯了,但这是我唯一能让他们注意到的方法。我总是用同样的伎俩。每次我打电话,他们说不信,我说,我叫克里斯·塔贝尔。
拨打任何你想要找到联邦调查局的号码,在互联网上搜索联邦调查局,打电话并要求与我交谈,他们会……他们会打电话给纽约的交换机,让我接听电话……所以他们会相信我,我们会进行交谈……但再说一次,我的意思是,我不是安全研究人员。我是一名联邦调查局特工,你认为我会有一定的可信度。我不知道哥伦比亚广播公司(CBS)什么时候会认真对待我,直到我联系了哥伦比亚广播公司(CBS)的负责人。
哦,所以祝安全研究人员好运,他们试图让他们的信息为人所知。有时你必须发布,然后人们……你知道的,我不是说这是最好的。呃,再说一次,如果我在科迪的处境中,我……这会让我很生气。但你知道,有时这些人别无选择,只能以这种方式获取信息。
所以,话虽如此,如果我是一名调查员,我看到有人发布了一个故事,一篇博客文章的内容,或者甚至在DEF CON或其他会议上发表演讲,呃,除了我正在调查的具体主题之外,是的,所以某种程度上是持续的。比如,大型勒索软件攻击,例如,我处理了很多此类案件,你看到你的研究与主题相关,实际上包括你的受害者。
我不知道适当的做法是什么,但我认为我会……作为调查员,我会联系研究人员,说,顺便说一句,我查看了你的博客文章,你提到了……碰巧你发现的受害者之一实际上是我的受害者之一。如果可能的话,我很想与你合作。再说一次,我不知道什么是……什么是适当的做法。
一个好的调查会这样做。他们会对这个人是谁做一些调查,然后他们会联系他们,说,我很想让你参与这个案子。你知道,我不能告诉你所有细节。我不能告诉你我在做什么,但你触及了我案情的一些要点,你知道的,他们甚至可以做到……你知道的,至少在联邦调查局,你可以把他们注册为线人,然后你就参与了调查,我知道与线人一起有很多事情要做,但你知道,有些人认为这非常频繁。
成为线人……是的,百分之百正确的问题。
是的,这建立了良好的关系。所以我们相处得很好。还有一个问题,乔丹·杰伊·雷茨说,我已经在网络安全领域工作了几年了,是一名蓝队成员。你能告诉我蓝队成员是什么吗?观众对蓝队的了解如何?
是的。是的。所以蓝队成员是指在你的IT安全程序的防御方面工作的人。
他们负责监控、漏洞管理、检测和响应。
所以乔丹最近有机会转向红队,也就是安全的进攻方面。他想了解,你会推荐什么培训、教育和认证,来磨练他在这个领域的技能?如果他已经拥有良好的技能,他长期担任蓝队成员。他需要什么技能才能转向红队?呃,你认为拥有蓝队成员的技能是否会让你成为一名优秀的红队成员?如果你擅长防守,你能转为进攻吗?
是的,我认为……他会有一些概念需要引入到他的知识领域。但我认为他真的掌握了基础知识,不是说他真的掌握了基础知识。他对攻击媒介或漏洞类型以及攻击者可能寻找的目标有很好的理解。
他已经进行了一些狩猎。他可能已经查看过SIM日志和垃圾邮件社区。所以我会说,从蓝队的角度来看,他比那些刚从大学毕业,想进入网络安全进攻领域的人更有优势。
他们必须学习进攻性内容以及网络安全基础知识。然后他们还必须学习蓝队的防御基础知识,以便能够突破。所以,如果你已经建立了一个建筑物,呃,如果你通过了第一扇门,你必须了解组织的布局,或者你必须学习如何进行侦察和渗透。
嗯,乔治亚州的房产基础知识。所以乔丹所要做的就是稍微改变一下,然后从对抗的角度来看待攻击媒介,而不是防御的角度,这是两种不同的讨论。所以在2024年,互联网上有很多好的资源。
嗯,你在YouTube上有很多很棒的博主,比如IPsac和其他一些人,他们会指导你学习TryHackMe、Hack The Box和虚拟机。他们会讲解课程内容、如何使用工具等等,我认为大多数都是进攻性的,这对乔丹来说很棒。最后,关于认证,在我生命中的某个阶段,克里斯,我有点迷恋IT认证。我认为它们有点……然后我意识到我不喜欢这些认证的原因是因为我的身份,这并不公平,因为99.9%的人,你知道,并没有……
我去监狱,对吧?
你是谁,你是谁,我是谁,他是什么。
我们不想让你读到这个。
不,不,不确定。因此,由于这一点,我已经对你的虚构作品进行了更深入的研究。最近,我甚至与一家即将推出的初创公司合作,他们……
他们正在制作安全概念、安全培训内容,当然还有我认证的认证,这对美国来说非常好。所以,话虽如此,是的,你知道,看看你想要进入哪个领域,看看IT安全方面有什么。如果你想从事管理工作,你必须看看管理方面的特定认证和培训。
如果你想更深入地了解技术方面,也就是我所做的红队模拟,那么你必须关注像Offensive Security之类的认证,这会告诉你的潜在雇主:嘿,这个人对网络安全有一些了解。X、Y、Z。
这个人准备好了。所以,是的,2024年的IT。所以在培训方面,你有很多很棒的资源。
现在你可以使用TryHackMe、Hack The Box。你可以搭建你自己的虚拟机,设置一些易受攻击的应用程序并进行一些练习。你将不得不查看CVEs和安全研究人员的公开报告。
我还建议大家看看情报报告。这些都是非常棒的读物,无论你是否从事情报工作,其中有很多妥协指标和方法可以利用,从而丰富你的知识库。
你我对精彩读物的看法不同。
这令人兴奋吗?
就业市场怎么样?你是否看到了一些好的进展,比如如果你看到一个年轻人从事红队或蓝队工作,这是一个正在扩张的市场,还是人工智能开始影响这两个领域中的任何一个?
我会告诉你,克里斯,我们之前讨论过这个问题。我仍然认为,至少在美国,我不能代表欧洲或亚洲,但在美国,网络安全工作的就业市场很奇怪。我看到过来自不同领域、不同类别的研究人员的辩论,他们会说有数十万个职位空缺,让我们行动起来,然后你又会听到有人说,好吧,仅仅因为你在LinkedIn上看到十万个职位空缺,并不意味着有十万个职位空缺。
它们是存在的,但是入门级职位需要十年经验。
这不可能。可及性,对吧?所以你是一个刚毕业的学生。
你刚从学校毕业,对吧?假设克里斯刚从学校毕业。他准备好了。他对安全感兴趣。
然后,是的,他遇到一个HR人员,就像“我们很乐意给他这份工作”,但是你需要至少五年的经验,而他根本没有。他怎么可能现在就获得五年的工作经验呢?他两周前才从学校毕业。所以他去哪里工作呢?现在他们开放的工作岗位,没有对最低工作年限的严格要求……
这样的工作几乎不存在,除非是像入门级安全分析师这样的职位,也就是“整天盯着屏幕看警报并写报告”的那种工作,但即使是这些职位也很有限,而且通常需要数学方面的背景……所以,是的,就业市场本身很困难。我会建议大家像乔丹那样做。乔丹在蓝队找到了工作。
他想从事进攻性工作。他现在可以轻松地转到进攻方。如果他的公司告诉乔丹,“乔丹,我们现在不需要红队人员”。
所以,如果你不想做苦力,你必须找到这份工作。乔丹拥有什么?他拥有广泛的已知领域。
他拥有最低要求的工作经验。现在乔丹可以开始申请所有那些传说中的工作了。他正在申请所有那些疯狂数量的工作吗?我对他充满希望和信心,乔丹会找到一份好工作的。
但对于没有乔丹经验的人来说,不幸的是,你将面临更艰难的局面。一定要与当地社区建立联系。如果这不起作用,猜猜看?成为一名企业家。
乔丹很聪明,找到了他需要的资源。乔丹收听《黑客与联邦调查局》,他向我们提出了关于《黑客与联邦调查局》的问题。所以,伙计们,如果你像乔丹一样有疑问,请在《黑客与联邦调查局》中提出问题,留下一些五星评价,在社交媒体上分享,告诉你的朋友们关于我们。
我们真的想让节目发展壮大,埃克托尔非常投入,让节目重新开始……连续三周,我们势头强劲,我们喜欢做这个节目,埃克托尔。很棒的节目,祝你感恩节快乐,也祝所有听众感恩节快乐。我希望每个人都能享受与家人和朋友在一起的时光,放松身心,珍惜生活中美好的事物。
哦,是的,绝对的。我们倾听。有时我们会关注世界大事。在这个网络安全领域,这简直是一团糟。我希望你们能坐下来,放松身心,断开连接,享受美食,享受一两场精彩的橄榄球比赛,度过一个愉快的假期,感恩节快乐。
谢谢大家,我也爱你们,感谢你们。
好吧,让我先走了。