Annen

Jamey Heary fra Cisco: Organisasjoner som jobber med sensitiv informasjon, bruker kryptert WiFi, VPN og krypterte apper

Den 18. oktober ble vi invitert til Cisco Connect 2017. På dette arrangementet møtte vi sikkerhetsekspert Jamey Heary. Han er en Distinguished Systems Engineer på Cisco Systems, hvor han leder Global Security Architecture Team. Jamey er en pålitelig sikkerhetsrådgiver og arkitekt for mange av Ciscos største kunder. Han er også en bokforfatter og en tidligere Network World blogger. Vi snakket med ham om sikkerhet i den moderne virksomheten, de betydelige sikkerhetsproblemene som påvirker bedrifter og organisasjoner, og de siste sårbarhetene som påvirker alle trådløse nettverk og klienter (KRACK). Her er hva han måtte si:

Publikum våre består av både sluttbrukere og bedriftsbrukere. For å komme i gang, og presentere deg litt, hvordan ville du beskrive jobben din på Cisco, på en ikke-bedriftsmessig måte?

Min lidenskap er sikkerhet. Det jeg prøver å gjøre hver dag, er å lære kundene og sluttbrukerne om arkitekturen. For eksempel snakker jeg om et sikkerhetsprodukt og hvordan det integreres med andre produkter (vår egen eller fra tredjepart). Derfor behandler jeg systemarkitektur fra et sikkerhetsperspektiv.

I din erfaring som sikkerhetsekspert, hva er de viktigste sikkerhetstruslene mot den moderne bedriften?

De store er sosialteknikk og ransomware. Sistnevnte ødelegger så mange selskaper, og det blir verre fordi det er så mye penger i det. Det er trolig den mest lukrative tingen som malware-skapere fant ut hvordan de skulle gjøre.

Vi har sett at fokuset på de "onde gutta" er på sluttbrukeren. Han eller hun er den svakeste koblingen akkurat nå. Vi har forsøkt som en industri å trene folk, media har gjort en god jobb for å få ordet ut på hvordan du kan beskytte deg bedre, men det er fortsatt ganske trivielt å sende noen en målrettet e-post og få dem til å ta en handling du vil ha: klikk på en lenke, åpne et vedlegg, uansett hva du vil.

Den andre trusselen er online betalinger. Vi skal fortsette å se forbedringer på måter selskapene tar betalinger på, men til industrien implementerer sikrere måter å ta betalinger på, vil dette området være en stor risikofaktor.

Når det gjelder sikkerhet, er folk den svakeste koblingen og også hovedfokuset på angrep. Hvordan kan vi takle dette problemet, siden sosialteknikk er et av de ledende sikkerhetstruslene?

Det er mye teknologi vi kan søke på. Det er bare så mye du kan gjøre for en person, spesielt i en bransje hvor noen mennesker pleier å være mer hjelpsomme enn andre. For eksempel, i helsevesenet, vil folk bare hjelpe andre. Så du sender dem en ondsinnet e-post, og de er mer sannsynlig å klikke på hva du sender dem enn personer i andre næringer, som en politimyndighet.

Så vi har dette problemet, men vi kan bruke teknologi. En av tingene vi kan gjøre er segmentering, noe som kan redusere angrepsoverflaten som er tilgjengelig for enhver sluttbruker. Vi kaller dette "null tillit": Når en bruker kobler seg til bedriftsnettverket, forstår nettverket hvem brukeren er, hva hans eller hennes rolle er i organisasjonen, hvilke applikasjoner brukeren trenger å få tilgang til, den vil forstå brukerens maskin og Hva er sikkerhetsstilling av maskinen, til et meget detaljert nivå. For eksempel kan det til og med fortelle ting som utbredelsen av et program brukeren har. Prevalens er noe vi fant effektive, og det betyr at mange andre mennesker i verden bruker dette programmet, og hvor mange i en gitt organisasjon. På Cisco gjør vi denne analysen gjennom hashing: vi tar en hash av et program, og vi har millioner av sluttpoeng, og de kommer tilbake og sier: "Utbredelsen på denne appen er 0.0001%". Prevalens beregner hvor mye en app brukes i verden og deretter i organisasjonen din. Begge disse tiltakene kan være veldig gode til å finne ut om noe er veldig mistenkt, og om det fortjener å se nærmere på.

Du har en interessant serie artikler i Network World om Mobile Device Management (MDM) -systemer. Men de siste årene synes dette emnet å bli diskutert mindre. Er bransjens interesse for slike systemer bremse? Hva skjer, fra ditt perspektiv?

Få ting har skjedd, hvorav en er at MDM-systemer har blitt ganske mettet i markedet. Nesten alle mine større kunder har et slikt system på plass. Den andre tingen som har skjedd, er at personvernreglene og personvernsinnsatsen til brukerne har endret seg slik at mange ikke lenger gir sin personlige enhet (smarttelefon, nettbrett, etc.) til organisasjonen og lar en MDM-programvare bli installert. Så vi har denne konkurransen: Bedriften vil ha full tilgang til de enhetene som brukes av sine ansatte slik at det kan sikre seg selv og ansatte har blitt svært motstandsdyktige mot denne tilnærmingen. Det er denne konstante kampen mellom de to sidene. Vi har sett at utbredelsen av MDM-systemer varierer fra bedrift til selskap, avhengig av bedriftskultur og verdier, og hvordan hver organisasjon ønsker å behandle sine ansatte.

Påvirker dette innføringen av programmer som Bring Your Own Device (BYOD) til å fungere?

Ja, det gjør det helt. Det som skjer skjer for det meste at folk som bruker sine egne enheter på bedriftsnettverket, bruker dem i et veldig kontrollert område. Igjen, segmentering kommer inn i spill. Hvis jeg tar med min egen enhet til bedriftsnettverket, kan jeg kanskje få tilgang til internett, noen intern bedriftens webserver, men jeg vil ikke kunne få tilgang til databaseserverne, de kritiske appene i firmaet eller dets kritiske data, fra den enheten. Det er noe vi programmerer på Cisco, slik at brukeren kommer til å gå der den trenger i selskapsnettverket, men ikke hvor selskapet ikke vil at brukeren skal gå fra en personlig enhet.

Det hotteste sikkerhetsproblemet på alles radar er "KRACK" (Key Reinstallation AttaCK), som påvirker alle nettverksklienter og utstyr ved hjelp av WPA2-krypteringsordningen. Hva gjør Cisco for å hjelpe kundene med dette problemet?

Det er en stor overraskelse at en av tingene vi stolte på i årevis, er nå sprekkbar. Det minner oss om problemene med SSL, SSH og alle de tingene vi fundamentalt tror på. Alle av dem har blitt "ikke verdige" av vår tillit.

I dette problemet identifiserte vi ti sårbarheter. Av de ti er ni av dem klientbaserte, så vi må fikse klienten. En av dem er nettverksrelatert. For den ene kommer Cisco til å frigjøre oppdateringer. Problemene er eksklusive til tilgangspunktet, og vi trenger ikke å fikse rutere og brytere.

Jeg var glad for å se at Apple fikk sine reparasjoner i beta-koden slik at deres klientenheter snart vil bli fullstendig patched. Windows har allerede en oppdateringspakke, etc. For Cisco er veien enkel: en sårbarhet på våre tilgangspunkter, og vi skal slippe oppdateringer og reparasjoner.

Inntil alt blir løst, hva vil du anbefale kundene dine å gjøre for å beskytte seg selv?

I noen tilfeller trenger du ikke å gjøre noe, fordi noen ganger kryptering brukes i kryptering. Hvis jeg for eksempel går til bankens nettside, bruker den TLS eller SSL for kommunikasjonssikkerhet, som ikke påvirkes av dette problemet. Så, selv om jeg går gjennom en widescreen WiFi, som den på Starbucks, spiller det ingen rolle så mye. Hvor dette problemet med WPA2 kommer mer inn i spill, er på personvernssiden. For eksempel, hvis jeg går til et nettsted og jeg ikke vil at andre skal vite det, nå kommer de til å vite fordi WPA2 ikke er effektiv lenger.

En ting du kan gjøre for å sikre deg selv, er satt opp VPN-tilkoblinger. Du kan koble til trådløst, men det neste du må gjøre er å slå på VPN-en. VPN er bare bra fordi det skaper en kryptert tunnel som går gjennom WiFi. Det vil fungere til VPN-kryptering blir hacket, og du må finne ut en ny løsning. :)

På forbrukermarkedet binder noen sikkerhetsleverandører VPN med sine antivirus- og totale sikkerhetssuiter. De begynner også å utdanne forbrukerne at det ikke lenger er nok å ha en brannmur, og et antivirus, du trenger også en VPN. Hva er Ciscos tilnærming til sikkerhet for bedriften? Fremmer du også aktivt VPN som et nødvendig beskyttelseslag?

VPN er en del av våre pakker for bedriften. Under normale omstendigheter snakker vi ikke om VPN i en kryptert tunnel, og WPA2 er en kryptert tunnel. Vanligvis fordi det er overkill og det er overhead som må skje på klientsiden for å få det til å fungere bra. For det meste er det ikke verdt det. Hvis kanalen allerede er kryptert, hvorfor kryptere den igjen?

I dette tilfellet, når du blir fanget med buksene dine fordi WPA2-sikkerhetsprotokollen er fundamentalt ødelagt, kan vi falle tilbake på VPN, til problemene blir løst med WPA2.

Men etter å ha sagt det, i etterretningsrommet, har sikkerhetsorganisasjoner som en avdeling for forsvar type organisasjon de gjort det i årevis. De stole på VPN, pluss trådløs kryptering, og mange ganger blir applikasjonene i VPN-en også kryptert, så du får en treveis kryptering, alle med ulike typer kryptering. De gjør det fordi de er "paranoide" som de burde være. :))

I presentasjonen din på Cisco Connect, nevnte du at automatisering var veldig viktig for sikkerheten. Hva er din anbefalte tilnærming til automatisering i sikkerhet?

Automatisering vil bli et krav raskt fordi vi som mennesker ikke kan bevege oss raskt nok til å stoppe sikkerhetsbrudd og trusler. En kunde hadde 10.000 maskiner kryptert av ransomware om 10 minutter. Det er ingen måte menneskelig mulig at du kan reagere på det, så du trenger automatisering.

Vår tilnærming i dag er ikke så tunghendt som det måtte bli, men når vi ser noe mistenkelig oppførsel som virker som et brudd, forteller våre sikkerhetssystemer nettverket om å sette den enheten eller brukeren i karantene. Dette er ikke purgatory; Du kan fortsatt gjøre noen ting: Du kan fortsatt gå til internett eller få data fra patch management-serverne. Du er ikke helt isolert. I fremtiden må vi kanskje endre den filosofien og si: Når du er karantene, har du ikke tilgang fordi du er for farlig for organisasjonen din.

Hvordan bruker Cisco automatisering i sin portefølje av sikkerhetsprodukter?

I enkelte områder bruker vi mye automatisering. For eksempel, i Cisco Talos, vår trusselegruppe, får vi telemetri data fra alle våre sikkerhets widgets og massevis av andre data fra andre kilder. Talos-gruppen bruker maskinlæring og kunstig intelligens for å sortere gjennom millioner av poster hver eneste dag. Hvis du ser på effekten over tid i alle våre sikkerhetsprodukter, er det utrolig, i alle tredjeparts effektivitetstester.

Er bruk av DDOS-angrep bremset?

Dessverre er DDOS som angrepsmetode levende og vel, og det blir verre. Vi har funnet ut at DDOS-angrep pleier å være rettet mot bestemte typer selskaper. Slike angrep brukes både som et deko og som det primære angrepsvåpen. Det finnes også to typer DDOS-angrep: volumetrisk og appbasert. Den volumetriske har ikke vært i orden hvis du ser på de siste tallene hvor mye data de kan generere for å ta noen ned. Det er latterlig.

En type selskaper som er målrettet mot DDOS-angrep, er de i detaljhandel, vanligvis i høytiden (Black Friday kommer!). Den andre typen selskaper som blir målrettet mot DDOS-angrep, er de som jobber i kontroversielle områder, som olje og gass. I dette tilfellet håndterer vi mennesker som har en bestemt etisk og moralsk årsak, som bestemmer seg for DDOS en organisasjon eller en annen fordi de ikke er enige med det de gjør. Slike mennesker gjør dette for en sak, til et formål, og ikke for de involverte pengene.

Folk bringer inn sine organisasjoner, ikke bare sine egne enheter, men også deres egne skyssystemer (OneDrive, Google Drive, Dropbox, etc.) Dette representerer en annen sikkerhetsrisiko for organisasjoner. Hvordan håndterer et system som Cisco Cloudlock dette problemet?

Cloudlock har to grunnleggende ting: først gir den deg en revisjon av alle skygtjenester som blir brukt. Vi integrerer Cloudlock med våre webprodukter, slik at alle webloggene kan leses av Cloudlock. Det vil fortelle deg hvor alle i organisasjonen går. Så du vet at mange mennesker bruker sin egen Dropbox, for eksempel.

Den andre tingen som Cloudlock gjør er at den er laget av API-er som kommuniserer med skygtjenester. På denne måten, hvis en bruker publiserte et bedriftsdokument på boksen, sier Box umiddelbart til Cloudlock at et nytt dokument er ankommet, og det bør ta en titt på det. Så vi vil se på dokumentet, kategorisere det, finne ut risikoprofilen til dokumentet, så vel som det har blitt delt med andre eller ikke. Basert på resultatene, vil systemet enten stoppe delingen av dokumentet via boksen eller tillate det.

Med Cloudlock kan du sette regler som: "Dette skal aldri deles med noen utenfor firmaet. Hvis det er, slår du av delingen." Du kan også gjøre kryptering på forespørsel, basert på kritikken av hvert dokument. Derfor, hvis sluttbrukeren ikke krypterte et kritisk forretningsdokument, vil det ved å legge det på boksen, skyve Cloudlock automatisk kryptering av dokumentet.

Vi vil gjerne takke Jamey Heary for dette intervjuet og hans oppriktige svar. Hvis du vil komme i kontakt, kan du finne ham på Twitter.

På slutten av denne artikkelen kan du dele din mening om emnene som vi diskuterte, ved hjelp av kommenteringsalternativene som er tilgjengelige nedenfor.