Vinnie Liu, Ulusal Güvenlik Ajansı’nda (NSA) ilk işine girdiğinde sadece 17 yaşındaydı. Yıl 1999’du ve sinyal istihbaratı toplama üzerinde çalıştı.
Şimdi Bishop Fox CEO’su ve kurucu ortağı olan Liu için zorlu ama tipik bir başlangıçtı. NSA, bilgisayar korsanlığı ve programlama dillerinde kanıtlanmış akıcılığa sahip gelecek vaat eden lise mezunları arıyordu. O zamanlar Pennsylvania Üniversitesi’nde yeni bir bilgisayar bilimi ve psikoloji çift anadal yapan Liu, Philadelphia’dan Baltimore’daki NSA uydu ofisine haftada iki kez gidip geldi. İlk yılı kırmızı takım korsanlığına, ikincisi ise özel araç geliştirmeye odaklandı.
NSA’da çalışmak, “bu tavşan deliğinin ne kadar derine inebileceğine dair gerçekten gözlerimi açtım” diyor Liu. “İnternetteki ilan tahtası sistemleriyle büyümüştüm. Siber güvenlik, insanların kullandığı bir terim bile değildi.”
Ulus-devlet aktörlerini içermesi dışında, NSA’daki çalışmaları hakkında söyleyeceği tek şey bu. Ancak deneyim kalıcı bir iz bıraktı.
Liu, “Bana büyük bir görev odaklı olma duygusu verdi” diyor. “Biz misyoneriz, paralı asker değiliz. Temel olarak misyonumuz, insanları hem çevrimiçi hem de çevrimdışı olarak güvende tutmaktır.”
Bu görev, sonunda, hacker ekibi kötü adam gibi davranan saldırgan bir güvenlik firması olan Bishop Fox olarak kendini gösterdi. Başka bir deyişle, düşman simülasyonları ve “mor ekip oluşturma” (kırmızı ekip oluşturma ve müşterinin mavi ekibine aynı anda danışmanlık yapma) dahil olmak üzere müşterinin güvenlik savunmalarına nüfuz etmek için mümkün olan her yolu denerler.
Ancak Piskopos Fox personelinin kullanması gereken tüm suçlu kurnazlıklarına rağmen, Liu şirketin çalışmalarını tıbbi terimlerle düşünüyor. Piskopos Fox, diyor ki, “doktorun doktoru”.
Dark Reading’e “İyi sağlık uygulamaları ve güvenlik arasında pek çok benzerlik var” diyor. “Sadece hap yazmıyorsun, hepsi bu. Bir kere sağlıklı beslenmez ve egzersiz yapmazsınız, o kadar.”
Bu yaklaşım, Liu’nun başarısının altında yatan iki kişisel niteliğe bir bakıştır: amaç duygusu – “paralı askerler değil misyonerler” – ve kendini beğenmişliği aşikar küçümsemesi. Liu’nun iyimserliği zor, hatta katı.
“Sektördeki insanlar çok karamsar bir bakış açısına sahip” diyor. “Şakadan bile hoşlanmıyorum, ‘Hack’e uğrarsan değil, ne zaman olur’. Bütün felsefemiz ileriyi savunmak.”
Kariyer yolu
Pek çok başarılı teknoloji firması gibi, Bishop Fox da mütevazi bir kökene sahiptir: bir bekar evinin oturma odası.
Liu, ağ güvenliği ve uyarlanabilir izinsiz giriş tespit hizmetlerine odaklanarak 2003 yılında Penn’den mezun olmuştu. Daha sonra Ernst & Young’a güvenlik danışmanı olarak katıldı ve Fortune 500 müşterileri için sızma testi yaptı. Liu, Ernst & Young’ın Gelişmiş Güvenlik Merkezini “özel sektör için bir tür NSA” olarak adlandırıyor.
Ernst & Young’da Liu ile birlikte çalışan Francis Brown, şu anda Bishop Fox’un yönetim kurulundaydı. Brown ve Liu, Penn’deki birinci sınıf öğrencileriyle aynı salonda yaşıyorlardı ve ikisi de bilgisayar bilimi okudu. Liu, programlarında yıl içinde bırakmayan tek birinci sınıf öğrencileri olduklarını söylüyor. İki arkadaş, “pizza ve internete gücümüz yettiği sürece, gitmeye hazır olduğumuz” Arizona’da ev arkadaşı olarak yaşıyorlardı.
Honeywell sonunda her iki adamı da Ernst & Young’dan kaçıracaktı; Liu, Honeywell’in küresel sızma testi ekibine ve Honeywell’in çeşitli yan kuruluşlarının ekiplerine liderlik edecekti. Honeywell’in ekibini oluşturma şansı heyecan verici bir olasılıktı, ancak sınırlı bir fırsat olduğu ortaya çıktı: Ekip oluşturulduktan sonra, daha yavaş çalışma temposu Liu’yu (ve Brown’ı) huzursuz etti. Liu rolü aşmıştı; 2005 yılına gelindiğinde, Black Hat gibi konferanslarda, gençliğinden beri geliştirdiği bir beceri olan, adli tıpla mücadele araçlarının nasıl atlanacağı konusunda konuşuyordu. Hem Liu hem de Brown bağımsız güvenlik uzmanları olarak ek iş yapmaya başladılar.
Sonra bir gün, 2006’da, Liu, Brown ve üçüncü bir katılımcı oturma odasında oturdu ve bir güvenlik hizmetleri girişimi başlatma fikriyle oynadı.
“’Neden olmasın?’ dedik” diye hatırlıyor Liu. “Bundan gerçekten zevk alıyorduk.”
Liu, şirketin hala onlar için bir tür hobi olduğu gerçeğine atıfta bulunarak, “2006’dan 2009’a kadar bir ‘yaşam tarzı’ şirketiydik” diyor. 2009’da profesyonel bir zihniyete geçtiler ve Piskopos Fox doğdu. Liu ve ortakları, bulabildikleri en iyi yetenekleri işe almaya ve giderek daha büyük isimlere sahip müşterileri çekmeye başladılar. Büyük Durgunluk sırasında piyasaya sürülmesine rağmen gelirleri arttı.
Aynı zamanda Titan Yağmur dönemi – Çin devlet destekli aktörlerin işi olduğuna inanılan bir dizi saldırı, Amerika Birleşik Devletleri ve Birleşik Krallık’taki bir dizi devlet kurumunu tehlikeye attığında – ve şirketler ve devlet kurumları, gerçekte ne kadar savunmasız olduklarını anlamaya başladılar. İkili analiz ve olaya müdahale adli tıp aniden yüksek talep gördü. Liu, Amerika Birleşik Devletleri’nde bu iki işlevle ilgili herhangi bir deneyimi olan sadece birkaç yüz kişiden biriydi ve meslektaşlarının çoğu yalnızca adli tıpla çalışmıştı.
“O zamanlar emdik!” Güler. “Herkes yaptı. Virüsleri yazan insanlara yetişmeye çalışıyorduk.”
Şimdi İleri Sar
Bugünlerde Bishop Fox, çeşitli değerlendirmelerin ve simülasyonların merkezi bir masa üstü alıştırması etrafında oluşturulduğu kapsamlı 4+1 metodolojisi de dahil olmak üzere çeşitli değerlendirme testleri sunmaktadır. Ancak şirketin tüm hizmetleri, “şelale” tarzında bir test ve burada başka bir test gerçekleştirme yerine, müşterinin geliştiricileri, mimarları ve ekipleriyle sürekli çalışmayı içerir. Bazen bir değerlendirmenin tek başına tamamlanması iki ayı bulabilir.
Liu, “Bu, ‘sadece lastikleri tekmelememe izin ver’ türünde bir tarama değil,” diyor. “Kodlara bakıyoruz. İş mantığı sorunlarına bakıyoruz. Zor sorunları bulmayı seviyoruz, her zaman istismar ediyoruz ve sonuna kadar peşine düşeceğiz.”
Liu, müşterilerinin yepyeni araçlarına veya altyapılarına da güvenmesine izin vermiyor. “Temel bilgileri doğru bir şekilde öğrenmelisiniz” diyor ve “Onlara nasıl yumruk atacaklarını ve nasıl devam edeceklerini öğretiyoruz.”
On iki yıl sonra tehditler arttı, saldırganlar daha karmaşık hale geldi ve savunucular güvenliğe yaklaşımlarını değiştiriyor. Liu, güvenlik ekiplerinin uyumluluğa dayalı güvenlikten devam eden, gelişimsel güvenlik operasyonlarına geçtiğini gözlemledi.
Piskopos Fox için bu ne anlama geliyor?
Liu, “Çok dikkatli davrandık” diyor. “Bence kabuğumuzdan çıkmanın zamanı geldi. Büyük isim müşterileri ile iyi iş çıkardık. Dışarı çıkıp konuşmanın, daha fazla insana iyi işler getirmenin zamanı geldi.”
Manzara değişmiş olabilir, ancak Liu’nun misyonu değişmedi: insanları güvende, çevrimiçi ve kapalı tutmak.
KİŞİLİK BAYTLARI
Vinnie Liu’nun en büyük başarısı nedir? “Bu kulağa korkunç geliyor, ancak Piskopos Fox aracılığıyla gelen insanlarla gerçekten gurur duyuyorum. Mezunlarımızdan bazıları halka açık şirketlerde CISO oldular. İşe alım görevlileri, Bishop Fox’ta çalıştığınızı duyarlarsa telefonu kapatırlar.”
Meslektaşlarının onun hakkında asla tahmin edemeyecekleri bir şey var mı? “Aptalca dans ederim, yüksek sesle şarkı söylerim, yerde yuvarlanırım, surat asarım. … Çocuklarımı güldürmek ve güldürmek için her şeyi yapacağım.”
Farklı bir sektörde çalışsaydı hayalindeki iş? “Kesinlikle ellerimle bir şeyler yaptığım bir şey – insanlar için yemek, inşaat, vb.”
Boş zamanlarında yapmayı en sevdiğin şey? “Pandemi becerim bahçemde bir şeyler yetiştirmekte başarısız oldu. Evren, bahçemin bulunduğu 32 metrekarelik arka bahçeyi bir şekilde mahvetti.”
Favori kitap? “Ben büyük bir bilimkurgu/fantezi kitabı ineğiyim. Ne kadar çok uzay savaşı, büyücü ve uzaylı olursa o kadar iyi.”