211service.com
Utvecklingen av cybersäkerhet: Veracodes Chris Wysopal
Sedan tillkomsten av internet och efter otaliga, massiva intrång, fortsätter det globala samfundet att kämpa med cybersäkerhet och att behandla det som en eftertanke.
27 juni 2019
När internet tog fäste och hack, dataintrång och andra cyberhot blev rutin — organisationer och regeringar har slagit tillbaka genom den stadiga utvecklingen av cybersäkerhetsteknologier och -strategier. Men framgången med att tillhandahålla äkta cybersäkerhet har varit svårfångad. Kan vi lära oss av några av de misstag som gjorts på vägen?
Chris Wysopal, CTO och medgrundare av Veracode, har varit involverad i cyberförsvar sedan starten. I själva verket, som sårbarhetsforskare vid den framstående hackertanksmedjan L0pht, har han arbetat i årtionden för att kräva säker teknik från inflytelserika teknikföretag.
I det här avsnittet delar Wysopal med sig av sitt arbete under de första åren av cybersäkerhet, och berättar om berättelser som när han vittnade inför 1998 års senaten om datorsäkerhet. Vid den tiden argumenterade han för antagandet av förordningar om stora företag som Microsoft, för att upprätthålla ansvar och utveckling av genomtänkt, säkrare kod som skyddar konsumenternas integritet. Dessa initiala farhågor har bara ökat, eftersom det fortfarande finns ett knappt skydd mot kod och firmware som tillåter intrång. Vart går vi härifrån? Wysopal delar viss visdom och några varningar.
Business Lab är värd av Elizabeth Bramson-Boudreau, VD och utgivare för MIT Technology Review. Showen är producerad av Katherine Gorman, med redaktionell hjälp av Emily Townsend. Musik av Merlean, från Epidemic Sound.
Från MIT Technology Review. Jag är Elizabeth Bramson-Boudreau. Och det här är Business Lab: showen som hjälper företagsledare att förstå ny teknik som kommer ut från labbet och in på marknaden. Idag kommer vi att fokusera på historien och utvecklingen av cybersäkerhet och hur dessa tidiga tillvägagångssätt återspeglar idag. Med andra ord, har svaret på de allra tidigaste cyberhoten format hur vi ser på säkerhet idag?
Elizabeth Bramson-Boudreau : Och finns det några lärdomar för hur vi utövar vår digitala säkerhet nu? Detta är den andra i vår serie om cybersäkerhet där vi utforskar allt från det senaste om hackingattacker till vad organisationer kan göra för att bättre skydda sina människor och deras data. Vår gäst idag är Chris Wysopal, CTO och medgrundare av Veracode. Han har varit aktiv sedan starten i den pågående kampen för digital säkerhet. Jag är här med Chris Wysopal, som är en av grundarna och teknikchefen för Veracode, ett cybersäkerhetsföretag på internet. Chris har, innan Veracode, en ganska lång historia inom cybersäkerhet och jag tror att vi kommer att börja där. Kan du berätta för oss, Chris, om din cybersäkerhetshistoria?
Chris Wysopal : Ja definitivt. Jag började med cybersäkerhet förmodligen som i slutet av 80-talet på anslagstavlasystem innan internet och det hade den här typen av underjordisk dragningskraft som alternativa medier ungefär som 'zinevärlden där du typ kommunicerade en-till-en med detta alternativ Plats. Några av filerna på dessa system talade om att hacka telefonsystemet och det var den typen av information som du inte kunde få någon annanstans. Jag var högskolestudent på den tiden. Det var lite spännande och jag tror att det satte mig på en resa där jag försökte utforska information kring datorer och nätverk som jag gjorde under hela 90-talet.
Elizabeth : Så hur har du sett landskapet utvecklas... du har haft en ganska lång karriär i det här och så du har verkligen sett landskapet förändras som jag skulle tro under dessa 20, 30 år. Vad har du sett — hur skulle du karakterisera de förändringar du har observerat?
Chris : Ja, så i början av 90-talet var jag mjukvaruingenjör. Jag jobbade faktiskt på Lotus här i Cambridge och vi blev anslutna till internet. Och jag typ — vi började fundera på vad händer om vi har haft vår programvara igång på internet så att människor över internet kan ansluta till vår programvara? Och den typen av öppnade mitt sinne för tanken att, wow, det låter som att det kommer att finnas alla dessa säkerhetsproblem.
Elizabeth : I det skedet. Vad fick dig att se att tillgången till internet alltid skulle leda åt båda hållen, åt båda hållen?
Chris: Så jag började arbeta med mjukvara som var ansluten till internet och det började bli ett svårt problem att göra det säkert så att folk inte bara kunde få tillgång till data som låg bakom din programvara är faktiskt svårt att bygga mjukvara som var säker . Det var nästan så att vi inte visste hur. Det öppnade verkligen mina ögon att när fler och fler saker blev anslutna till internet skulle det bli riktigt problematiskt.
Elizabeth: Och så, vad är det största problemet du ser nu? Så med tanke på att du vet att du var där i början såg du många saker dyka upp. Din egen historia var att du tillbringade en period som hackare. Vad ser du idag som håller dig vaken på natten som du tror är de största sakerna som inte bara du känner människor som lyssnar på den här podden utan kanske våra lagstiftare och våra och våra ledare borde tänka på?
Chris : Du vet att det som skrämmer mig är att folk bygger system, mjukvara, IoT och att de inte riktigt tänker på säkerhet från första början, antingen tänker de inte på det alls, som att de inte bryr sig, eller så tänk på det i slutet och de gör det absoluta minimum och det slutar med att de lägger ut en produkt som i sig kommer att bli bruten. Det är i sig problemen kommer att finnas i det. Och jag tror bara att vi ständigt lägger ut en ström av teknik som är fundamentalt bruten ur säkerhetssynpunkt. Och vi städar hela tiden.
Elizabeth: Så, pratar du om mjukvara? Du pratar om IoT-aktiverade enheter? Pratar du om alla dessa saker? Och varför bryr sig inte människor som skapar dessa saker om sin säkerhet?
Chris: Ja. Det här var något vi pratade om när jag vittnade inför senaten 1998 som var den första datorn — höra om regeringens datorsäkerhet och några av sakerna vi pratade om var att leverantörerna inte vet vad de ska göra. Försäljarna bryr sig inte om det eftersom deras kunder inte efterfrågar det. Säljarna är inte ansvariga. De licensierar programvaran. Om något går fel har de frånsägit sig allt ansvar. Vi hade en marknad där människor kunde lägga ut saker utan nackdelar från problem som föll på grund av deras oförmåga att säkra. En av de största aktörerna på den tiden var Microsoft. Och Microsoft levererade all denna programvara och den hade många sårbarheter. Och vem som helst som springer — alla företag som kör programvaran fick — de höll på att bryta sig in i och det var typ status quo som Microsofts partilinje var du vet Nej, vi bygger säker programvara och vår partilinje var nej det gör du inte. Vi kommer att visa dig sårbarheterna i programvaran. Och det fanns en period då man var tvungen att öka medvetenheten och nästan skämma ut dessa företag för att bygga bättre saker som de skulle sälja.
Elizabeth: Så tror du att Microsoft vid den tidpunkten verkligen förstod att de byggde produkter som inte var säkra eller tror du att de var oseriösa när de sa att våra produkter var tillräckligt bra?
Chris : Jag tror inte att de förstod vad de byggde. Jag tror att du vet att företagets PR-linje är att vi bygger säker programvara. Det är vår position. Så de kunde bygga liknande säkerhetsfunktioner som autentisering och kryptografi. Egentligen gjorde de det ganska dåligt, men de förstod inte om sårbarheter. De förstod inte att misstag i koden kunde utnyttjas av angripare för att komma åt data bakom applikationen, köra sina egna kommandon på programvaran. Och det var där hackare kom in och visade försäljarna vad som var möjligt om du var den onde. Och det är då du säger att du vet att du är en hackare. Det var så jag såg min roll och rollen vi hade på L0pht, hackergruppen jag var en del av, publicerade att leverantörerna inte visste vad de gjorde och att de måste börja bygga mjukvara på ett annat sätt.
Elizabeth : Det här är bra. Låt oss sätta detta i ett sammanhang lite för folk som lyssnar på det här. Så du vittnade inför kongressen 1998 och vid den tidpunkten kan du måla upp bilden för mig lite om vad anledningarna var till att du gjorde och i dina mål — vad du försökte åstadkomma vid den tidpunkten. Och sedan kommer jag att komma tillbaka och be er att länka det till var vi är nu där vi nyligen har sett människor framför kongressen — Mark Zuckerberg ganska anmärkningsvärt. Och vad du är du vet vilka kopplingar och vilka upplevelser du har när du ser sådant hända, du vet alla dessa år senare.
Du vet att vi vittnade 1998 men de få åren innan dess började vi göra vad vi kallar sårbarhetsforskning. Vi skulle ta en populär produkt som Internet Explorer och vi skulle ställa in den i ett labb och vi skulle omvända den. Vi skulle försöka ta reda på var problemen fanns och vi skulle komma på sätt att kompromissa med det. Jag menar nu tänker vi på det som att du vet något som alla vet om du klickar på en länk och din dator kör någon annans mjuka — under någon annans kontroll. Jag tror att alla känner till risken nu ibland om du klickar på en länk och det är skadligt kan det leda till att någon annan du känner kontrollerar din dator. Det är den exakta typen av sårbarheter som vi undersökte 96, 97 och försökte få folk att uppmärksamma. Och vi började göra detta med bara ett mål att forska och utforska. Men efter ett tag insåg vi att konsumenterna inte vet att detta är ett problem. Försäljarna vet inte men konsumenterna vet inte heller. Och så började vi ta på oss en konsumentförespråkande roll där vi skulle försöka publicera att osäker programvara kommer att leda till att din dator äventyras.
Och vi fick lite press för det och det fick oss på senatens radar när de började ta itu med den här frågan. År 98 var det den första rapporten från Government Accountability Office som tittade på säkerheten för alla olika federala myndigheter och det gjordes för allra första gången. Och så ville utskottet för regeringsfrågor senator Thompson, som var ordförande vid den tiden, ha en utfrågning för att prata om resultaten och hur dåligt regeringen gjorde det, förmodligen för att de kör mycket Microsoft-programvara vid den tiden, men mycket av andra leverantörer också. Jag vet inte vem som stoppade felet i deras öra, men de ville ha mer än regeringens synpunkt, de ville ha en extern syn på detta. Och det slutade med att vi blev avlyssnade som ni vet, typ av expertvittnesmål som detta är en sorts utomstående syn som hackare har så bra utomstående syn på problem som du inte vet är motiverade av den normala regeringen eller kommersiella.
Elizabeth: Och, så, brygga mellan den erfarenheten och på senare tid som Mark Zuckerberg. Är du förvånad över hur — För det första verkar det annorlunda för dig alla dessa år senare vad du såg när han var där och pratade om Facebook? Eller verkar det chockerande bekant? Vet du vilka jämförelser och skillnader du vill dela med oss av?
Chris: Facebook har haft många olika problem, vissa, många av dem har skapats som bara med hur de hanterar integritet och deras affärsmodell. En del av problemen beror på att du vet att det är utmanande att säkra programvara som är så stor och komplex och att de har haft intrång, eller hur? Det är både säkerhet och integritet, när du tänker på det. Skillnaden idag är att riskerna är så mycket högre eftersom det är så mycket mer beroende av system som Facebook. Tänk bara på mängden personlig information som finns i Facebook som kan användas mot människor som helt klart skulle vara det — folk skulle inte vilja avslöjas. Och ni vet att det i viss mån används mot ni vet hela vårt system av demokrati. Höger? Och mot samhället och inte bara mot individer. Så insatserna verkar så mycket högre nu än 98 när vi bara försökte öka medvetenheten och sa som om vi ser att detta är ett problem som kommer att bli värre. Och sedan ser jag tillbaka och säger att du vet att mycket i grunden inte har förändrats. I grunden finns det fortfarande inget ansvar för programvara. Du vet att om Facebook blir intrång är det som, ja, du vet att det är svårt att bygga säker programvara och det verkar som att alla som bygger mjukvara får ett pass när de blir inträngda. Så det har i grunden inte förändrats. Men jag tror att det som har förändrats är att effekterna av dessa överträdelser har på samhället. Det bara genomsyrar hela våra liv.
Elizabeth: Tror du att lagstiftare tillsynsmyndigheter skapar nya lagar för att implementera bättre cybersäkerhet är svaret? Och i så fall, finns det särskilda åtgärder som du är mest intresserad av att se implementeras.
Chris: Ja så jag gillar att titta på analogier i andra affärer — andra branscher som regeringen har reglerat, som saker som att du vet att mat regleras med ingrediensetiketter och renlighet och sånt. Säkerheten är reglerad på många ställen: bilar, flygplan, alla typer av transporter, på arbetsplatsen och även konsumentprodukter. Jag gillar att titta på dessa liknelser och säga att du vet. Hur fick det oss, hur får vi fördelen utan att kväva dessa industrier? Jag menar självklart att säkerhet i bilar har varit en stor framgångssaga. Höger? Som att vi är så mycket säkrare att köra nu. Och det vet du att det inte gör — bilindustrin verkar ha det bra. Så hur kan vi ha reglering som kan förbättra säkerheten som är ganska nära säkerheten, särskilt när vi börjar prata om IoT och enheter som styrs av datorer. Hur kan vi, hur kan vi göra det på ett sådant sätt att vi inte kväver dessa industrier? Vi måste trampa mycket försiktigt men jag tror att det har fungerat att titta på några av de saker som har fungerat som du vet för matsaker som ingrediensetiketter. Så bara transparens om vad som finns där och låt konsumenten bestämma. Som att om något visar sig orsaka cancer tar vi bort det från marknaden.
Men andra saker är bara i princip att du vet att det är riskbaserat, baserat på att du vet din hälsa. Så vi kan tänka på insyn i vad som gick in i programvaran om den bearbetades i en anläggning som gjorde nötter, vet du? Så vad är det. Hur skapas den? Och vilka är ingredienserna, som vilka delar av öppen källkod finns där, vilken kryptografi använder den? Jag tror att ingrediensetiketter och transparens är ett bra sätt att börja med det. Men det andra som jag tror måste hända är när det finns du känner till intrång som är stora, behandla dem som du vet som en transportolycka och försök komma till grundorsaken till vad som händer. Vi tycks alltid göra det med transporter och många gånger när det är ett intrång säger vi typ som att det är så här många skivor komprometterades. Vi kommer att köpa alla du känner kreditupplysning eller kreditövervakning och vi kommer att försöka att det inte händer igen. Men du vet att vi inte riktigt vet vad som hände. Jag tror att 10 procent av tiden du vet att nyheterna kommer ut och vanligtvis beror det på att angripargruppen gör påståenden.
Elizabeth: Höger. Jag menar att det är så intressant det du säger eftersom den här typen av obduktionsanalys om vad som hände, du vet säkert att du kan titta på flygplansolyckor och de lägger ut varenda del om det på ett lager och de tar en titt på absolut allt och de försöker verkligen komma på exakt vad den svarta lådan säger till dem etc. Och det finns ett par olika — Jag menar och då pratar du om saker som en livsmedelssäkerhetsolycka du vet att du har en situation där romansallat går dåligt, glöm det - du kommer aldrig hitta romainesallat förrän du vet att krisen har passerat. Och jag tror att det finns en verklig fördel med den typen av tillvägagångssätt.
Men jag tror att utmaningarna och jag är intresserad av din synpunkt är att de är det — det finns något som är naturligt lättare för människor att förstå om vad som gick till att göra den salladen och förberedd till förtvättad sallad eller vilka är de olika bitarna på flygplanet som interagerar med varandra? Och på något sätt när det kommer till mjukvarusårbarheter och du känner till ett stort nätverkssäkerhetsbrott kanske det är frånvaron av kunskap och verklig insikt om vad alla ingredienser är. Men för ett fåtal dyrbara människor skulle jag tro att alla ingredienserna som finns där ger mening.
Chris: Men du har experter som är lagrade ovanpå dessa grundläggande saker som att det finns dietister, det finns läkare och sedan kan de ge råd baserat på dessa grunder. Och jag skulle vilja hävda att vilken typ av flygplanskrasch som helst är ett mycket komplicerat misslyckande som gick in i det som att om du tittar på den senaste med Ethiopia och Lion Air så är det en ganska komplicerad kedja av mjukvara, utbildning du kan kanske några dålig design att det som går in i det. Det är aldrig en enkel sak som att någon sensor misslyckades vilket gjorde att viss programvara misslyckades och sedan blev det ett träningsfel. Det brukar vara som två eller tre saker kombinerade. Och så jag tror att det faktiskt är ganska likt det vi ser i cybervärlden.
Elizabeth: Jag menar att jag kanske tänker mer på lagstiftarna. Jag menar, jag kan inte låta bli att upprepa i mitt sinne många gånger frågorna till Mark Zuckerberg handlar om Tja, hur tjänar man pengar?' Och som verkligen förråder en okunnighet i kongressen om hur företag och förmodligen en hel massa andra förutom driver i modernt internet, vilket leder till att jag tycker att det är lite svårt att föreställa sig att vi skulle kunna komma till en tillsynsmyndighet — vad det än betyder - det kan ha verklig förmåga att dra isär saker. jag hoppas det — Jag menar, jag tycker också att det är en intressant och övertygande sak att på ett eller annat sätt driva på, men jag undrar också vad du har för synpunkter, särskilt sedan du engagerade dig i Microsoft förr i tiden, kring kraften hos dessa enorma internetföretag och hur de kommer att svara på vissa typer av liknande typer av ljud från lagstiftare. Jag tror att flygbolagen är i en annan situation och livsmedelsföretagen är i en annan situation. Hur tror du att Facebook eller Instagram eller Twitter eller Google eller vem som helst skulle svara eller ha svarat hittills på den här typen av idéer?
Chris: Många av dessa företag, som, ta bara Microsoft, de svarade 2000... Jag tror att det faktiskt var 2002, Bill Gates kom ut och sa att vi ska veta att vi stoppar utvecklingen och alla kommer att tränas och de kallade det nu betrodd datoranvändning. Och de satte sig på en väg för att bygga säker programvara och sedan förmodligen 10 år efter det, gör de faktiskt ett riktigt bra jobb. Höger? Och jag tror att en del av det var att skydda sitt varumärke, de var tvungna att göra det här. Jag tittar mycket på det här och det är företag som gör det här för att skydda sitt varumärke. Gilla om du vill titta på molnleverantörer som Amazon och AWS. de är väldigt starka på säkerhet eftersom de måste ha ett starkt varumärke kring säkerhet annars kommer ingen att använda deras tjänst. Så att det är om det finns anpassning mellan företagets varumärke och vad de tillhandahåller på ett säkert sätt tror jag att det kan fungera. Men jag tror att problemet med Facebook är att jag inte tror att anpassning är nödvändig, nödvändigtvis där, på grund av hur folk ger upp sin information. Inriktningen är inte alltid där. Och om vi tittar på som du vet billigt så vet du IoT-tillverkare som har namn som vi aldrig riktigt hört talas om kommer från Kina, det finns ingen varumärkesanpassning alls och de bryr sig inte alls. Det är där jag tror att problemet är större, det är kanske inte med de större spelarna utan det är som de kommande tusen spelarna som bara alltid har en sårbarhet någonstans så att allas nätverk alltid är kompromissbart. Du vet, som att om du tittar på alla typer av system så är det ju längre du kommer bort från toppspelarna och varumärket som är problemet som WordPress är faktiskt ganska bra. Men du kan lägga in ett plugin-program från någon okänd spelare på din WordPress-bloggsida och det är nu kompromissen. Det är där jag tror att regleringen eller transparensen måste fokusera på att lyfta botten och upp inte göra toppspelarna starkare.
Elizabeth: Jag vill flytta nu till att du vet vad som händer idag och några av innovationerna som finns — utvecklats för ökad säkerhet. Vi lever nu i en värld med tvåfaktorsautentisering kring våra lösenord. Hur länge tror du att just det kommer att vara standarden och vilka andra faktorer som biometri och saker utöver det tror du att vi kommer att gå mot om några?
Chris: Så jag tror att tvåfaktorer är en av de största innovationerna, speciellt du vet var du kan använda din mobila enhet som den andra faktorn, eftersom du vet att det är nästan lika enkelt att använda som ett lösenord och det är nästan lätt att ställa in som ett lösenord. Jag tror att vi kommer att få se tvåfaktorer vara väldigt länge. Biometri, du vet att det är bra för du känner till en hårdvaruenhet något som du vet är ditt dörrlås eller din telefon. Det börjar bli mer problematiskt när dessa biometriska uppgifter måste delas brett över många system, och hålla det säkert. Som om du tänker på biometrin på din telefon så lämnar det tumavtrycket aldrig det säkra chippet på din telefon, eller hur? Det är en av de saker som gör att det faktiskt fungerar. När folk börjar prata om biometri vet du vid bankomaten eller så vet du andra platser som finns i ett brett nätverk. Då börjar jag bli orolig för att det inte riktigt hjälper. Och då finns det faktiska risker för nu är ditt tumavtryck — du vet att du kan ändra ditt lösenord men du kan inte ändra tummen eller åtminstone inte lätt. Jag är inte så säker på biometri.
Elizabeth: Och vad sägs om cybersäkerhetsfrågor i maskininlärningsapplikationer? Vi pratar mycket om maskininlärning och många av de som lyssnar på den här podden använder maskininlärningslösningar för att analysera stora uppsättningar data. Vilka är några av de farhågor som de bör ha i åtanke?
Chris: Maskininlärning kan definitivt användas för att lösa vissa cybersäkerhetsproblem. Jag tror att det hamnar i ett utmanande territorium när du försöker skilja normalt beteende från skadligt beteende eftersom de bara är så nära matchade. Jag menar att det finns extrema fall där du vet att du alltid loggar in från Massachusetts och sedan helt plötsligt loggar du in från Kina för första gången och vi är faktiskt bra på den typen av saker. Det är typ den antibedrägeriupptäckt som kreditkortsföretag använder. Och så som extrema anomalier - det är bra. Men det blir svårare när du försöker förstå att du vet är ett beteende hos en användare på ett nätverk faktiskt den typen av skadligt beteende jämfört med det normala mänskliga beteendet? Som att någon kanske kommer åt ett kalkylblad för första gången för att de just blivit tillsagda att göra något. Vill du blockera den aktiviteten? Vill du att någon fysiskt följer upp den aktiviteten? Att det kan leda till många falska positiva resultat. Så när det handlar om mänskligt beteende som bara skyddar dig från din dator eller ditt nätverk, tror jag att det är en utmaning och vi är inte riktigt där än.
Elizabeth: Och för personer som är chefer som driver företag som behöver tänka på sin säkerhet, hur oroliga ska de vara? Och jag undrar ofta att du vet är detta ett fall av en terroristattack som statistiskt sett är ganska osannolik? Eller är detta mer som hotet om en trafikolycka på väg till jobbet? Var ska jag fokusera mina bekymmer? Och du vet att antalet företag som skulle älska att berätta för mig att det är fruktansvärt farligt när det gäller cybersäkerhetsrisker som jag möter här på Technology Review är förmodligen oändligt. Och hur filtrerar jag signalen från bruset?
Chris: Ja. Så det är utmanande eftersom du vet att du inte vet du vet inte att du vet vilken risknivå du borde tolerera eftersom ett företag som olika företag har olika risknivåer som uppenbarligen något som är en bank har en annan risknivå än en media företag. Höger? Ett medieföretag kan överleva, du vet att deras webbplats slängs men en bank kan inte nödvändigtvis överleva att förlora miljarder dollar. Höger? Det finns olika risktolerans för alla typer av företag. Men vi ser några – och det är som när det mer är en riktad attack. Något jag är orolig för är den slumpmässiga urskillningslösa attacken som vi såg med NotPetya-viruset som tog ner det var Merck och jag tror att det finns ett par globala transportföretag och Maersk, jag tror var ett av dem. Och till hundratals miljoner dollar som om de inte kunde driva sina globala verksamheter på några veckor, vet du? Så det är något som alla företag måste oroa sig för. jag skulle — om jag skulle fokusera min cybersäkerhet skulle jag fokusera på den typen av händelser — utbredda händelser - först och sedan skulle jag fokusera på efter det som, finns det mål direkt mot min verksamhet? Och du vet hur jag ska hantera dem? Jag tror att du kan dela upp det i två och det kommer att bli lite olika för varje företag.
Elizabeth: Ja. Och vad sägs om människor som nu är på väg in på cybersäkerhetsområdet — du vet att antingen har de kommit så har de varit hackare eller så är de bara verkligen intresserade av att göra webben och företag att göra det, du vet att arbeta på webben säkrare? Vad säger du till dem? För saker och ting har förändrats mycket. Du vet att hackare och hacking har blivit mycket mer sofistikerat. Det är verkligen ett verktyg för dig som känner till nationalstater. Hur råder du dem att tänka på var de vill bygga sina karriärer?
Chris : Jag var faktiskt på det här evenemanget på VMI i Virginia. Det var ett capture-the-flag-evenemang där 13 olika kollegiala team samlades för att göra dessa cyber capture-the-flags. Och jag pratade med dem och du vet vad jag tycker om att säga är att börja med grunderna. Du måste verkligen förstå att du vet hur TCP/IP-nätverk fungerar och internet fungerar. Du måste förstå hur operativsystem fungerar som Unix och Windows. Du behöver veta något om kodning och du behöver en sådan bred grundgrund. Jag tror att det är bara att börja på och sedan måste man bestämma sig för vad man vill specialisera sig på. Visst? Ska du vara i försvar eller ska du vara med i det röda laget? Ska du göra incidentrespons och kriminalteknik? Som det jag slutade med är du vet, att arbeta med människor som utvecklar mjukvara för att hjälpa dem att utveckla mjukvara bättre. Jag tror att alla behöver den grunden eftersom det finns så många olika lager som du kan attackera system på. Du kan attackera nätverket du kan attackera på OS och jag antar att ett annat helt område är det mänskliga lagret. Som hur lurar man folk att göra saker? Jag tror att jag tror att du måste förstå grunderna i alla dessa lager och sedan fokusera på var du har en fallenhet. Du vet uppenbarligen att vissa människor helt naturligt dras till anfall eller försvar. Det slutade med att jag började på offensiven och sedan gick över till försvaret eftersom jag gillar det bättre. Jag skulle prova några saker och sedan vet du gå djupt och fokusera på ett område.
Elizabeth: Bra. Detta är ett mycket intressant samtal och jag uppskattar verkligen att du tar dig tid.
Chris: Tack för att du har mig här.
Elizabeth: Det var allt för det här avsnittet av Business Lab. Jag är din värd Elizabeth Bramson-Boudreau. Jag är VD och utgivare för MIT Technology Review. Vi grundades 1899 vid Massachusetts Institute of Technology. Du kan hitta oss i tryckt form, på webben, vid dussintals liveevenemang varje år. Och nu i ljudform. För mer information om oss, kolla in vår hemsida och TechnologyReview.com. Showen är tillgänglig var du än får dina poddar. Om du gillade det här avsnittet hoppas vi att du tar dig tid att betygsätta och recensera oss på Apple Podcasts.
Business Lab är en produktion av MIT Technology Review. Det här avsnittet producerades av Collective Next med hjälp av Emily Townsend och med redaktionell hjälp från Mindy Blodgett. Speciellt tack till vår gäst Chris Wysopal. Tack för att du lyssnade och vi kommer snart tillbaka med vårt nästa avsnitt.