Jamey Heary dari Cisco: Organisasi yang bekerja dengan maklumat sensitif, menggunakan WiFi yang disulitkan, VPN dan apl yang disulitkan

Pada 18 Oktober, kami telah dijemput ke Cisco Connect 2017. Pada acara ini, kami bertemu dengan pakar keselamatan Jamey Heary. Beliau ialah Jurutera Sistem Terbilang di Cisco Systems di mana beliau mengetuai Pasukan Seni Bina Keselamatan Global. Jamey ialah penasihat dan arkitek keselamatan yang dipercayai untuk kebanyakan pelanggan terbesar Cisco. Beliau juga seorang pengarang buku dan bekas blogger Network World. Kami berbincang dengannya tentang keselamatan dalam perusahaan moden, isu keselamatan penting yang memberi kesan kepada perniagaan dan organisasi, dan kelemahan terkini yang menjejaskan semua rangkaian dan pelanggan wayarles (KRACK). Inilah yang dia katakan:

Kandungan

1. Khalayak kami terdiri daripada pengguna akhir dan pengguna perniagaan. Untuk bermula, dan memperkenalkan diri anda sedikit, bagaimana anda akan menerangkan tugas anda di Cisco, dengan cara bukan korporat?
2. Dalam pengalaman anda sebagai pakar keselamatan, apakah ancaman keselamatan yang paling ketara kepada perusahaan moden?
3. Apabila bercakap tentang keselamatan, orang adalah pautan paling lemah dan juga tumpuan utama serangan. Bagaimanakah kita dapat menangani isu ini, kerana kejuruteraan sosial adalah salah satu ancaman keselamatan yang utama?
4. Anda mempunyai siri artikel yang menarik di Dunia Rangkaian tentang sistem Pengurusan Peranti Mudah Alih (MDM). Walau bagaimanapun, dalam beberapa tahun kebelakangan ini, subjek ini nampaknya kurang dibincangkan. Adakah minat industri terhadap sistem sedemikian semakin perlahan? Apa yang berlaku, dari perspektif anda?
5. Adakah ini menjejaskan penggunaan program seperti Bring Your Own Device (BYOD) untuk berfungsi?
6. Isu keselamatan paling hangat pada radar semua orang ialah "KRACK" (Key Reinstallation AttaCK), yang menjejaskan semua pelanggan rangkaian dan peralatan menggunakan skema penyulitan WPA2. Apakah yang Cisco lakukan untuk membantu pelanggan mereka dengan masalah ini?
7. Sehingga semuanya diperbaiki, apakah yang anda cadangkan pelanggan anda lakukan untuk melindungi diri mereka?
8. Di pasaran pengguna, beberapa vendor keselamatan menggabungkan VPN dengan antivirus dan suite keselamatan keseluruhan mereka. Mereka juga mula mendidik pengguna bahawa ia tidak lagi mencukupi untuk mempunyai tembok api, dan antivirus, anda juga memerlukan VPN. Apakah pendekatan Cisco berkenaan keselamatan untuk perusahaan? Adakah anda juga aktif mempromosikan VPN sebagai lapisan perlindungan yang diperlukan?
9. Dalam pembentangan anda di Cisco Connect, anda menyebut automasi sebagai sangat penting dalam keselamatan. Apakah pendekatan yang disyorkan anda untuk automasi dalam keselamatan?
10. Bagaimanakah Cisco menggunakan automasi dalam portfolio produk keselamatannya?
11. Adakah penggunaan serangan DDOS semakin perlahan?
12. Orang ramai membawa masuk ke dalam organisasi mereka bukan sahaja peranti mereka sendiri tetapi juga sistem awan mereka sendiri (OneDrive, Google Drive, Dropbox, dll.) Ini mewakili satu lagi risiko keselamatan untuk organisasi. Bagaimanakah sistem seperti Cisco Cloudlock menangani isu ini?

Khalayak kami terdiri daripada pengguna akhir dan pengguna perniagaan. Untuk bermula, dan memperkenalkan diri anda sedikit, bagaimana anda akan menerangkan tugas anda di Cisco, dengan cara bukan korporat?

Keghairahan saya adalah keselamatan. Apa yang saya cuba lakukan setiap hari ialah mengajar pelanggan dan pengguna akhir saya tentang seni bina. Sebagai contoh, saya bercakap tentang produk keselamatan dan cara ia berintegrasi dengan produk lain (milik kami atau daripada pihak ketiga). Oleh itu saya berurusan dengan seni bina sistem dari perspektif keselamatan.

Jamey Heary, Cisco

Dalam pengalaman anda sebagai pakar keselamatan, apakah ancaman keselamatan yang paling ketara kepada perusahaan moden?

Yang besar ialah kejuruteraan sosial dan perisian tebusan. Yang terakhir mendatangkan kemusnahan dalam banyak syarikat, dan ia akan menjadi lebih teruk kerana terdapat banyak wang di dalamnya. Ia mungkin perkara yang paling menguntungkan yang dicipta oleh pencipta perisian hasad untuk melakukannya.

Kami telah melihat bahawa tumpuan "orang jahat" adalah pada pengguna akhir. Dia adalah pautan paling lemah sekarang. Kami telah mencuba sebagai industri untuk melatih orang ramai, media telah melakukan kerja yang baik dalam menyampaikan berita tentang cara anda boleh melindungi diri anda dengan lebih baik, tetapi masih, adalah agak remeh untuk menghantar seseorang e-mel yang disasarkan dan meminta mereka menerima tindakan yang anda mahu: klik pautan, buka lampiran, apa sahaja yang anda mahukan.

Ancaman lain ialah pembayaran dalam talian. Kami akan terus melihat peningkatan dalam cara syarikat mengambil pembayaran dalam talian tetapi, sehingga industri melaksanakan cara yang lebih selamat untuk membuat pembayaran dalam talian, kawasan ini akan menjadi faktor risiko yang besar.

Apabila bercakap tentang keselamatan, orang adalah pautan paling lemah dan juga tumpuan utama serangan. Bagaimanakah kita dapat menangani isu ini, kerana kejuruteraan sosial adalah salah satu ancaman keselamatan yang utama?

Terdapat banyak teknologi yang boleh kita gunakan. Hanya banyak yang boleh anda lakukan untuk seseorang, terutamanya dalam industri yang sesetengah orang cenderung lebih membantu daripada yang lain. Sebagai contoh, dalam industri penjagaan kesihatan, orang hanya mahu membantu orang lain. Jadi anda menghantar e-mel berniat jahat kepada mereka, dan mereka lebih berkemungkinan mengklik pada apa yang anda hantar kepada mereka berbanding orang dalam industri lain, sebagai jabatan polis.

Jadi kita mempunyai masalah ini, tetapi kita boleh menggunakan teknologi. Salah satu perkara yang boleh kita lakukan ialah segmentasi, yang boleh mengurangkan secara drastik permukaan serangan yang tersedia kepada mana-mana pengguna akhir. Kami memanggil ini "sifar amanah": apabila pengguna menyambung ke rangkaian syarikat, rangkaian memahami siapa pengguna, apakah peranannya dalam organisasi, aplikasi apa yang pengguna perlu akses, ia akan memahami mesin pengguna dan apakah postur keselamatan mesin, ke tahap yang sangat terperinci. Sebagai contoh, ia juga boleh memberitahu perkara seperti kelaziman aplikasi yang dimiliki pengguna. Kelaziman ialah sesuatu yang kami dapati berkesan, dan ini bermakna berapa ramai orang lain di dunia menggunakan aplikasi ini, dan berapa ramai dalam organisasi tertentu. Di Cisco, kami melakukan analisis ini melalui pencincangan: kami mengambil cincang aplikasi, dan kami mempunyai berjuta-juta titik akhir, dan mereka akan kembali dan berkata: "kelaziman pada apl ini ialah 0.0001%". Prevalence mengira berapa banyak apl digunakan di dunia dan kemudian dalam organisasi anda. Kedua-dua langkah ini boleh menjadi sangat baik untuk mengetahui sama ada sesuatu sangat disyaki, dan sama ada ia patut dilihat dengan lebih dekat.

Anda mempunyai siri artikel yang menarik di Dunia Rangkaian tentang sistem Pengurusan Peranti Mudah Alih (MDM). Walau bagaimanapun, dalam beberapa tahun kebelakangan ini, subjek ini nampaknya kurang dibincangkan. Adakah minat industri terhadap sistem sedemikian semakin perlahan? Apa yang berlaku, dari perspektif anda?

Beberapa perkara telah berlaku, salah satunya ialah sistem MDM telah menjadi agak tepu di pasaran. Hampir semua pelanggan saya yang lebih besar mempunyai satu sistem sedemikian. Perkara lain yang berlaku ialah peraturan privasi dan minda privasi pengguna telah berubah sehingga ramai orang tidak lagi memberikan peranti peribadi mereka (telefon pintar, tablet, dll.) kepada organisasi mereka dan membenarkan perisian MDM dipasang. Oleh itu, kami mempunyai persaingan ini: perusahaan itu mahu mempunyai akses penuh kepada peranti yang digunakan oleh pekerja mereka supaya ia dapat melindungi dirinya sendiri dan pekerja menjadi sangat tahan terhadap pendekatan ini. Terdapat pertempuran berterusan antara kedua-dua pihak. Kami telah melihat bahawa kelaziman sistem MDM berbeza dari satu syarikat ke syarikat, bergantung pada budaya dan nilai syarikat,

Adakah ini menjejaskan penggunaan program seperti Bring Your Own Device (BYOD) untuk berfungsi?

Ya, ia benar-benar berlaku. Apa yang berlaku, sebahagian besarnya, ialah orang yang menggunakan peranti mereka sendiri pada rangkaian korporat, menggunakannya di kawasan yang sangat terkawal. Sekali lagi, pembahagian ikut dimainkan. Jika saya membawa peranti saya sendiri ke rangkaian korporat, maka mungkin saya boleh mengakses internet, beberapa pelayan web korporat dalaman, tetapi tidak bermakna, saya akan dapat mengakses pelayan pangkalan data, aplikasi kritikal syarikat saya atau syarikat itu. data kritikal, daripada peranti itu. Itu adalah sesuatu yang kami lakukan secara pengaturcaraan di Cisco supaya pengguna dapat pergi ke tempat yang diperlukan dalam rangkaian syarikat tetapi bukan ke tempat yang syarikat tidak mahu pengguna pergi, dari peranti peribadi.

Isu keselamatan paling hangat pada radar semua orang ialah "KRACK" (Key Reinstallation AttaCK), yang menjejaskan semua pelanggan rangkaian dan peralatan menggunakan skema penyulitan WPA2. Apakah yang Cisco lakukan untuk membantu pelanggan mereka dengan masalah ini?

Sungguh mengejutkan bahawa salah satu perkara yang kami harapkan selama bertahun-tahun kini boleh retak. Ia mengingatkan kita tentang isu SSL, SSH dan semua perkara yang pada asasnya kita percayai. Kesemuanya telah menjadi "tidak layak" untuk kepercayaan kita.

Untuk isu ini, kami mengenal pasti sepuluh kelemahan. Daripada sepuluh itu, sembilan daripadanya adalah berasaskan pelanggan, jadi kami perlu membetulkan pelanggan. Salah satunya berkaitan rangkaian. Untuk itu, Cisco akan mengeluarkan patch. Isunya adalah eksklusif kepada pusat akses dan kami tidak perlu membetulkan penghala dan suis.

Saya gembira melihat bahawa Apple mendapat pembetulan mereka dalam kod beta supaya peranti pelanggan mereka akan ditambal sepenuhnya tidak lama lagi. Windows sudah mempunyai tampung sedia, dsb. Untuk Cisco, jalannya adalah mudah: satu kelemahan pada titik akses kami dan kami akan mengeluarkan tampung dan pembaikan.

Sehingga semuanya diperbaiki, apakah yang anda cadangkan pelanggan anda lakukan untuk melindungi diri mereka?

Dalam sesetengah kes, anda tidak perlu melakukan apa-apa, kerana kadangkala penyulitan digunakan dalam penyulitan. Contohnya, jika saya pergi ke tapak web bank saya, ia menggunakan TLS atau SSL untuk keselamatan komunikasi, yang tidak terjejas oleh isu ini. Jadi, walaupun saya menggunakan WiFi yang terbuka luas, seperti yang ada di Starbucks, ia tidak begitu penting. Di mana isu dengan WPA2 ini lebih banyak dimainkan adalah pada bahagian privasi. Sebagai contoh, jika saya pergi ke laman web dan saya tidak mahu orang lain tahu itu, kini mereka akan tahu kerana WPA2 tidak berkesan lagi.

Satu perkara yang boleh anda lakukan untuk melindungi diri anda ialah menyediakan sambungan VPN. Anda boleh menyambung ke wayarles, tetapi perkara seterusnya yang perlu anda lakukan ialah menghidupkan VPN anda. VPN adalah baik kerana ia mencipta terowong yang disulitkan melalui WiFi. Ia akan berfungsi sehingga penyulitan VPN juga digodam dan anda perlu memikirkan penyelesaian baharu. 🙂

Di pasaran pengguna, beberapa vendor keselamatan menggabungkan VPN dengan antivirus dan suite keselamatan keseluruhan mereka. Mereka juga mula mendidik pengguna bahawa ia tidak lagi mencukupi untuk mempunyai tembok api, dan antivirus, anda juga memerlukan VPN. Apakah pendekatan Cisco berkenaan keselamatan untuk perusahaan? Adakah anda juga aktif mempromosikan VPN sebagai lapisan perlindungan yang diperlukan?

VPN adalah sebahagian daripada pakej kami untuk perusahaan. Dalam keadaan biasa, kami tidak bercakap tentang VPN dalam terowong yang disulitkan dan WPA2 ialah terowong yang disulitkan. Biasanya, kerana ia berlebihan dan ada overhead yang perlu berlaku di pihak pelanggan untuk menjadikan semuanya berfungsi dengan baik. Untuk sebahagian besar, ia tidak berbaloi. Jika saluran itu sudah disulitkan, mengapa menyulitkannya lagi?

Dalam kes ini, apabila anda terperangkap dengan seluar anda ke bawah kerana protokol keselamatan WPA2 pada asasnya rosak, kami boleh menggunakan VPN semula, sehingga isu-isu tersebut diselesaikan dengan WPA2.

Tetapi setelah berkata demikian, dalam ruang perisikan, organisasi keselamatan seperti jenis organisasi Jabatan Pertahanan, mereka telah melakukan ini selama bertahun-tahun. Mereka bergantung pada VPN, serta penyulitan wayarles dan, sering kali aplikasi di tengah-tengah VPN mereka juga disulitkan, jadi anda mendapat penyulitan tiga hala, semuanya menggunakan jenis kriptografi yang berbeza. Mereka melakukan itu kerana mereka "paranoid" seperti yang sepatutnya. :))

Dalam pembentangan anda di Cisco Connect, anda menyebut automasi sebagai sangat penting dalam keselamatan. Apakah pendekatan yang disyorkan anda untuk automasi dalam keselamatan?

Automasi akan menjadi keperluan dengan cepat kerana kita, sebagai manusia, kita tidak boleh bergerak cukup pantas untuk menghentikan pelanggaran keselamatan dan ancaman. Seorang pelanggan mempunyai 10,000 mesin yang disulitkan oleh perisian tebusan dalam masa 10 minit. Tidak mungkin secara manusiawi anda boleh bertindak balas terhadapnya, jadi anda memerlukan automasi.

Pendekatan kami hari ini tidak begitu berat seperti yang mungkin perlu dilakukan tetapi, apabila kami melihat sesuatu yang mencurigakan, tingkah laku yang kelihatan seperti pelanggaran, sistem keselamatan kami memberitahu rangkaian untuk meletakkan peranti atau pengguna itu ke dalam kuarantin. Ini bukan api penyucian; anda masih boleh melakukan beberapa perkara: anda masih boleh pergi ke Internet atau mendapatkan data daripada pelayan pengurusan tampung. Anda tidak sepenuhnya terpencil. Pada masa hadapan, kita mungkin perlu menukar falsafah itu dan berkata: sebaik sahaja anda dikuarantin, anda tidak mempunyai sebarang akses kerana anda terlalu berbahaya untuk organisasi anda.

Bagaimanakah Cisco menggunakan automasi dalam portfolio produk keselamatannya?

Di kawasan tertentu, kami menggunakan banyak automasi. Contohnya, dalam Cisco Talos , kumpulan penyelidikan ancaman kami, kami mendapat data telemetri daripada semua widget keselamatan kami dan satu tan data lain daripada sumber lain. Kumpulan Talos menggunakan pembelajaran mesin dan kecerdasan buatan untuk menyusun jutaan rekod setiap hari. Jika anda melihat keberkesanan dari semasa ke semasa dalam semua produk keselamatan kami, ia adalah menakjubkan, dalam semua ujian keberkesanan pihak ketiga.

Adakah penggunaan serangan DDOS semakin perlahan?

Malangnya, DDOS sebagai kaedah serangan masih hidup dan sihat, dan ia semakin teruk. Kami mendapati bahawa serangan DDOS cenderung disasarkan kepada jenis syarikat tertentu. Serangan sedemikian digunakan sebagai umpan dan sebagai senjata serangan utama. Terdapat juga dua jenis serangan DDOS: volumetrik dan berasaskan aplikasi. Volumetrik telah menjadi tidak terkawal jika anda melihat nombor terkini tentang jumlah data yang boleh mereka hasilkan untuk menjatuhkan seseorang. Memang mengarut.

Satu jenis syarikat yang menjadi sasaran serangan DDOS ialah syarikat runcit, biasanya semasa musim cuti (Black Friday akan tiba!). Jenis syarikat lain yang menjadi sasaran serangan DDOS ialah syarikat yang bekerja di kawasan kontroversi, seperti minyak dan gas. Dalam kes ini, kita berurusan dengan orang yang mempunyai sebab etika dan moral tertentu, yang memutuskan untuk DDOS organisasi atau yang lain kerana mereka tidak bersetuju dengan apa yang mereka lakukan. Orang sedemikian melakukan ini untuk tujuan, untuk tujuan, dan bukan untuk wang yang terlibat.

Orang ramai membawa masuk ke dalam organisasi mereka bukan sahaja peranti mereka sendiri tetapi juga sistem awan mereka sendiri (OneDrive, Google Drive, Dropbox, dll.) Ini mewakili satu lagi risiko keselamatan untuk organisasi. Bagaimanakah sistem seperti Cisco Cloudlock menangani isu ini?

Cloudlock melakukan dua perkara asas: pertama, ia memberi anda audit terhadap semua perkhidmatan awan yang sedang digunakan. Kami menyepadukan Cloudlock dengan produk web kami supaya semua log web boleh dibaca oleh Cloudlock. Itu akan memberitahu anda ke mana semua orang dalam organisasi pergi. Jadi anda tahu bahawa ramai orang menggunakan Dropbox mereka sendiri, sebagai contoh.

Perkara kedua yang Cloudlock lakukan ialah semuanya diperbuat daripada API yang berkomunikasi dengan perkhidmatan awan. Dengan cara ini, jika pengguna menerbitkan dokumen syarikat pada Box, Box segera memberitahu Cloudlock bahawa dokumen baharu telah tiba dan ia harus melihatnya. Jadi kita akan melihat dokumen itu, mengkategorikannya, memikirkan profil risiko dokumen itu, serta adakah ia telah dikongsi dengan orang lain atau tidak. Berdasarkan keputusan, sistem sama ada akan menghentikan perkongsian dokumen itu melalui Box atau membenarkannya.

Dengan Cloudlock anda boleh menetapkan peraturan seperti: "ini tidak sepatutnya dikongsi dengan sesiapa di luar syarikat. Jika ya, matikan perkongsian." Anda juga boleh melakukan penyulitan atas permintaan, berdasarkan kritikal setiap dokumen. Oleh itu, jika pengguna akhir tidak menyulitkan dokumen perniagaan kritikal, apabila menyiarkannya pada Box, Cloudlock akan memaksa penyulitan dokumen tersebut secara automatik.

Kami ingin mengucapkan terima kasih kepada Jamey Heary untuk wawancara ini dan jawapannya yang jujur. Jika anda ingin berhubung, anda boleh mencarinya di Twitter .

Pada akhir artikel ini, kongsi pendapat anda tentang subjek yang kami bincangkan, menggunakan pilihan mengulas yang tersedia di bawah.