Jamey Heary de la Cisco: organizații care lucrează cu informații sensibile, folosesc WiFi criptat, VPN și aplicații criptate

Pe 18 octombrie, am fost invitați la Cisco Connect 2017. La acest eveniment, ne-am întâlnit cu expertul în securitate Jamey Heary. Este un Distinguished Systems Engineer la Cisco Systems, unde conduce echipa Global Security Architecture. Jamey este un consilier de securitate și un arhitect de încredere pentru mulți dintre cei mai mari clienți Cisco. El este, de asemenea, un autor de cărți și un fost blogger Network World. Am vorbit cu el despre securitatea în întreprinderea modernă, problemele semnificative de securitate care afectează afacerile și organizațiile și cele mai recente vulnerabilități care afectează toate rețelele și clienții wireless (KRACK). Iată ce a avut de spus:

Cuprins

1. Publicul nostru este compus atât din utilizatori finali, cât și din utilizatori de afaceri. Pentru a începe și a vă prezenta puțin, cum ați descrie jobul dvs. la Cisco, într-un mod necorporativ?
2. Din experiența dumneavoastră ca expert în securitate, care sunt cele mai semnificative amenințări de securitate la adresa întreprinderii moderne?
3. Când vine vorba de securitate, oamenii sunt veriga cea mai slabă și, de asemenea, punctul principal al atacurilor. Cum am putea face față acestei probleme, deoarece ingineria socială este una dintre principalele amenințări de securitate?
4. Aveți o serie interesantă de articole în Network World despre sistemele Mobile Device Management (MDM). Cu toate acestea, în ultimii ani, acest subiect pare să fie mai puțin discutat. Interesul industriei pentru astfel de sisteme încetinește? Ce se întâmplă, din perspectiva ta?
5. Afectează acest lucru adoptarea de programe precum Bring Your Own Device (BYOD) să funcționeze?
6. Cea mai tare problemă de securitate de pe radarul tuturor este „KRACK” (Key Reinstallation AttaCK), care afectează toți clienții și echipamentele de rețea care utilizează schema de criptare WPA2. Ce face Cisco pentru a-și ajuta clienții cu această problemă?
7. Până când totul va fi remediat, ce le-ați recomanda clienților să facă pentru a se proteja?
8. Pe piața de consum, unii furnizori de securitate includ VPN-ul cu suitele lor antivirus și de securitate totală. De asemenea, încep să educe consumatorii că nu mai este suficient să ai un firewall și un antivirus, ai nevoie și de un VPN. Care este abordarea Cisco în ceea ce privește securitatea pentru întreprindere? De asemenea, promovați în mod activ VPN-ul ca strat de protecție necesar?
9. În prezentarea dumneavoastră la Cisco Connect, ați menționat automatizarea ca fiind foarte importantă în securitate. Care este abordarea dumneavoastră recomandată pentru automatizarea în securitate?
10. Cum folosește Cisco automatizarea în portofoliul său de produse de securitate?
11. Utilizarea atacurilor DDOS încetinește?
12. Oamenii își aduc în organizațiile lor nu doar propriile dispozitive, ci și propriile sisteme cloud (OneDrive, Google Drive, Dropbox etc.) Acest lucru reprezintă un alt risc de securitate pentru organizații. Cum se confruntă un sistem precum Cisco Cloudlock cu această problemă?

Publicul nostru este compus atât din utilizatori finali, cât și din utilizatori de afaceri. Pentru a începe și a vă prezenta puțin, cum ați descrie jobul dvs. la Cisco, într-un mod necorporativ?

Pasiunea mea este securitatea. Ceea ce mă străduiesc să fac în fiecare zi este să-mi învăț clienții și utilizatorii finali despre arhitectură. De exemplu, vorbesc despre un produs de securitate și despre modul în care acesta se integrează cu alte produse (proprii sau de la terți). Prin urmare, mă ocup de arhitectura sistemului din perspectivă de securitate.

Jamey Heary, Cisco

Din experiența dumneavoastră ca expert în securitate, care sunt cele mai semnificative amenințări de securitate la adresa întreprinderii moderne?

Cele mai mari sunt ingineria socială și ransomware. Acesta din urmă provoacă devastări în atât de multe companii și se va înrăutăți pentru că sunt atât de mulți bani în el. Este probabil cel mai profitabil lucru pe care creatorii de programe malware și-au dat seama cum să-l facă.

Am văzut că concentrarea „băieților răi” este pe utilizatorul final. El sau ea este cea mai slabă verigă în acest moment. Am încercat, ca industrie, să instruim oameni, mass-media a făcut o treabă bună în a ști cum vă puteți proteja mai bine, dar totuși, este destul de banal să trimiteți cuiva un e-mail țintit și să-i convingeți să accepte o acțiune pe care o doriți: faceți clic pe un link, deschideți un atașament, orice doriți.

Cealaltă amenințare sunt plățile online. Vom continua să vedem îmbunătățiri în modul în care companiile efectuează plăți online, dar, până când industria va implementa modalități mai sigure de a efectua plăți online, acest domeniu va fi un factor de risc uriaș.

Când vine vorba de securitate, oamenii sunt veriga cea mai slabă și, de asemenea, punctul principal al atacurilor. Cum am putea face față acestei probleme, deoarece ingineria socială este una dintre principalele amenințări de securitate?

Există o mulțime de tehnologie pe care o putem aplica. Există doar atâtea lucruri pe care le poți face pentru o persoană, mai ales într-o industrie în care unii oameni tind să fie mai de ajutor decât alții. De exemplu, în industria sănătății, oamenii vor doar să-i ajute pe alții. Deci le trimiteți un e-mail rău intenționat și este mai probabil să facă clic pe ceea ce le trimiteți decât oamenii din alte industrii, ca departament de poliție.

Deci avem această problemă, dar putem folosi tehnologia. Unul dintre lucrurile pe care le putem face este segmentarea, care poate reduce drastic suprafața de atac disponibilă oricărui utilizator final. Numim aceasta „încredere zero”: atunci când un utilizator se conectează la rețeaua companiei, rețeaua înțelege cine este utilizatorul, care este rolul lui în organizație, ce aplicații trebuie să acceseze utilizatorul, va înțelege mașina utilizatorului și care este postura de securitate a mașinii, la un nivel foarte detaliat. De exemplu, poate spune chiar lucruri precum prevalența unei aplicații pe care o are utilizatorul. Prevalența este ceva ce am considerat eficient și înseamnă câți alți oameni din lume folosesc această aplicație și câți dintr-o anumită organizație. La Cisco, facem această analiză prin hashing: luăm un hash al unei aplicații, și avem milioane de puncte finale, iar ei vor reveni și vor spune: „prevalența pe această aplicație este de 0,0001%. Prevalența calculează cât de mult este folosită o aplicație în lume și apoi în organizația ta. Ambele măsuri pot fi foarte bune pentru a afla dacă ceva este foarte suspect și dacă merită să aruncăm o privire mai atentă.

Aveți o serie interesantă de articole în Network World despre sistemele Mobile Device Management (MDM). Cu toate acestea, în ultimii ani, acest subiect pare să fie mai puțin discutat. Interesul industriei pentru astfel de sisteme încetinește? Ce se întâmplă, din perspectiva ta?

S-au întâmplat puține lucruri, dintre care unul este că sistemele MDM au devenit destul de saturate pe piață. Aproape toți clienții mei mai mari au un astfel de sistem. Celălalt lucru care s-a întâmplat este că reglementările privind confidențialitatea și mentalitatea privind confidențialitatea utilizatorilor s-au schimbat astfel încât mulți oameni nu mai oferă dispozitivul lor personal (smartphone, tabletă etc.) organizației lor și nu permit instalarea unui software MDM. Deci avem această competiție: întreprinderea dorește să aibă acces deplin la dispozitivele pe care le folosesc angajații lor, astfel încât să se poată asigura, iar angajații au devenit foarte rezistenți la această abordare. Există această luptă constantă între cele două părți. Am văzut că prevalența sistemelor MDM variază de la companie la companie, în funcție de cultura și valorile companiei,

Afectează acest lucru adoptarea de programe precum Bring Your Own Device (BYOD) să funcționeze?

Da, chiar da. Ceea ce se întâmplă, în cea mai mare parte, este că oamenii care își folosesc propriile dispozitive în rețeaua corporativă le folosesc într-o zonă foarte controlată. Din nou, segmentarea intră în joc. Dacă îmi aduc propriul dispozitiv în rețeaua corporativă, atunci poate că pot accesa internetul, un server web intern corporativ, dar în niciun caz, voi putea accesa serverele de baze de date, aplicațiile critice ale companiei mele sau ale acesteia. date critice, de pe acel dispozitiv. Este ceva pe care îl facem în mod programatic la Cisco, astfel încât utilizatorul să ajungă acolo unde trebuie în rețeaua companiei, dar nu acolo unde compania nu dorește ca utilizatorul să meargă, de pe un dispozitiv personal.

Cea mai tare problemă de securitate de pe radarul tuturor este „KRACK” (Key Reinstallation AttaCK), care afectează toți clienții și echipamentele de rețea care utilizează schema de criptare WPA2. Ce face Cisco pentru a-și ajuta clienții cu această problemă?

Este o mare surpriză că unul dintre lucrurile pe care ne-am bazat ani de zile este acum crackable. Ne amintește de problemele cu SSL, SSH și de toate lucrurile în care credem fundamental. Toate au devenit „nu merită” încrederea noastră.

Pentru această problemă, am identificat zece vulnerabilități. Dintre cele zece, nouă sunt bazate pe client, așa că trebuie să reparăm clientul. Una dintre ele este legată de rețea. Pentru acesta, Cisco va lansa patch-uri. Problemele sunt exclusiv punctului de acces și nu trebuie să reparăm routerele și comutatoarele.

Am fost încântat să văd că Apple a primit corecțiile în codul beta, astfel încât dispozitivele lor client vor fi în curând corectate complet. Windows are deja un patch pregătit etc. Pentru Cisco, drumul este simplu: o vulnerabilitate la punctele noastre de acces și vom lansa patch-uri și remedieri.

Până când totul va fi remediat, ce le-ați recomanda clienților să facă pentru a se proteja?

În unele cazuri, nu trebuie să faceți nimic, deoarece uneori criptarea este folosită în interiorul criptării. De exemplu, dacă accesez site-ul web al băncii mele, aceasta utilizează TLS sau SSL pentru securitatea comunicațiilor, care nu este afectată de această problemă. Deci, chiar dacă trec printr-un WiFi larg deschis, ca cel de la Starbucks, nu contează la fel de mult. Acolo unde această problemă cu WPA2 intră mai mult în joc este din partea confidențialității. De exemplu, dacă intru pe un site web și nu vreau ca alții să știe asta, acum vor ști pentru că WPA2 nu mai este eficient.

Un lucru pe care îl puteți face pentru a vă asigura este configurarea conexiunilor VPN. Vă puteți conecta la wireless, dar următorul lucru pe care trebuie să-l faceți este să porniți VPN-ul. VPN-ul este bine, deoarece creează un tunel criptat care trece prin WiFi. Va funcționa până când criptarea VPN va fi piratată și trebuie să găsiți o nouă soluție. 🙂

Pe piața de consum, unii furnizori de securitate includ VPN-ul cu suitele lor antivirus și de securitate totală. De asemenea, încep să educe consumatorii că nu mai este suficient să ai un firewall și un antivirus, ai nevoie și de un VPN. Care este abordarea Cisco în ceea ce privește securitatea pentru întreprindere? De asemenea, promovați în mod activ VPN-ul ca strat de protecție necesar?

VPN face parte din pachetele noastre pentru întreprinderi. În circumstanțe normale, nu vorbim despre VPN într-un tunel criptat, iar WPA2 este un tunel criptat. De obicei, pentru că este exagerat și există cheltuieli generale care trebuie să se întâmple din partea clientului pentru ca totul să funcționeze bine. În cea mai mare parte, nu merită. Dacă canalul este deja criptat, de ce să-l criptați din nou?

În acest caz, atunci când sunteți prins cu pantalonii jos, deoarece protocolul de securitate WPA2 este în mod fundamental rupt, putem recurge la VPN, până când problemele sunt rezolvate cu WPA2.

Dar spunând că, în spațiul de informații, organizațiile de securitate, cum ar fi un tip de organizație al Departamentului de Apărare, fac asta de ani de zile. Ei se bazează pe VPN, plus criptarea wireless și, de multe ori, aplicațiile din mijlocul VPN-ului lor sunt, de asemenea, criptate, astfel încât obțineți o criptare în trei căi, toate folosind diferite tipuri de criptografie. Ei fac asta pentru că sunt „paranoici” așa cum ar trebui să fie. :))

În prezentarea dumneavoastră la Cisco Connect, ați menționat automatizarea ca fiind foarte importantă în securitate. Care este abordarea dumneavoastră recomandată pentru automatizarea în securitate?

Automatizarea va deveni rapid o cerință, deoarece noi, ca oameni, nu ne putem mișca suficient de repede pentru a opri breșele și amenințările de securitate. Un client a avut 10.000 de mașini criptate de ransomware în 10 minute. Nu există nicio modalitate umană posibilă să reacționați la asta, așa că aveți nevoie de automatizare.

Abordarea noastră de astăzi nu este atât de grea pe cât ar trebui să devină, dar, când vedem ceva suspect, un comportament care pare a fi o încălcare, sistemele noastre de securitate spun rețelei să pună acel dispozitiv sau acel utilizator în carantină. Acesta nu este purgatoriu; mai poți face ceva: poți să accesezi în continuare internet sau să obții date de la serverele de gestionare a corecțiilor. Nu ești total izolat. În viitor, ar putea fi nevoiți să schimbăm această filozofie și să spunem: odată ce sunteți în carantină, nu aveți acces, deoarece sunteți prea periculos pentru organizația dvs.

Cum folosește Cisco automatizarea în portofoliul său de produse de securitate?

În anumite zone, folosim multă automatizare. De exemplu, în Cisco Talos , grupul nostru de cercetare a amenințărilor, obținem date de telemetrie din toate widget-urile noastre de securitate și o mulțime de alte date din alte surse. Grupul Talos folosește învățarea automată și inteligența artificială pentru a sorta milioane de înregistrări în fiecare zi. Dacă te uiți la eficacitatea de-a lungul timpului a tuturor produselor noastre de securitate, este uimitor, în toate testele de eficacitate ale terților.

Utilizarea atacurilor DDOS încetinește?

Din păcate, DDOS ca metodă de atac este viu și bine și se înrăutățește. Am descoperit că atacurile DDOS tind să fie vizate de anumite tipuri de corporații. Astfel de atacuri sunt folosite atât ca momeală, cât și ca armă de atac principală. Există, de asemenea, două tipuri de atacuri DDOS: volumetrice și bazate pe aplicații. Volumetrica a scăpat de sub control dacă te uiți la cele mai recente cifre ale câte date pot genera pentru a distruge pe cineva. Asta e ridicol.

Un tip de corporații care sunt vizate de atacurile DDOS sunt cele din comerțul cu amănuntul, de obicei în perioada sărbătorilor (se apropie Black Friday!). Celălalt tip de companii care sunt vizate de atacurile DDOS sunt cele care lucrează în zone controversate, cum ar fi petrolul și gazele. În acest caz, avem de-a face cu oameni care au o anumită cauză etică și morală, care decid să DDOS o organizație sau alta pentru că nu sunt de acord cu ceea ce fac. Astfel de oameni fac asta pentru o cauză, pentru un scop și nu pentru banii implicați.

Oamenii își aduc în organizațiile lor nu doar propriile dispozitive, ci și propriile sisteme cloud (OneDrive, Google Drive, Dropbox etc.) Acest lucru reprezintă un alt risc de securitate pentru organizații. Cum se confruntă un sistem precum Cisco Cloudlock cu această problemă?

Cloudlock face două lucruri fundamentale: în primul rând, vă oferă un audit al tuturor serviciilor cloud care sunt utilizate. Noi integrăm Cloudlock cu produsele noastre web, astfel încât toate jurnalele web să poată fi citite de Cloudlock. Asta vă va spune unde se îndreaptă toți cei din organizație. Deci știți că mulți oameni își folosesc propriul Dropbox, de exemplu.

Al doilea lucru pe care îl face Cloudlock este că totul este făcut din API-uri care comunică cu serviciile cloud. În acest fel, dacă un utilizator a publicat un document al companiei pe Box, Box îi spune imediat lui Cloudlock că a sosit un document nou și ar trebui să-l arunce o privire. Așa că ne vom uita la document, îl vom clasifica, vom descoperi profilul de risc al documentului, precum și a fost partajat cu alții sau nu. Pe baza rezultatelor, sistemul fie va opri partajarea acelui document prin Box, fie o va permite.

Cu Cloudlock puteți seta reguli precum: „Acest lucru nu ar trebui să fie distribuit cu nimeni din afara companiei. Dacă este, dezactivați partajarea”. De asemenea, puteți face criptare la cerere, în funcție de criticitatea fiecărui document. Prin urmare, dacă utilizatorul final nu a criptat un document de afaceri critic, atunci când îl postează pe Box, Cloudlock va forța automat criptarea acelui document.

Am dori să-i mulțumim lui Jamey Heary pentru acest interviu și răspunsurile sale sincere. Dacă doriți să luați legătura, îl puteți găsi pe Twitter .

La sfârșitul acestui articol, împărtășește-ți părerea despre subiectele pe care le-am discutat, folosind opțiunile de comentare disponibile mai jos.