Jamey Heary iz Cisca: Organizacije koje rade s osjetljivim informacijama, koriste šifrirani WiFi, VPN i šifrirane aplikacije

18. listopada(October 18th) pozvani smo na Cisco Connect 2017 . Na ovom događaju susreli smo se sa stručnjakom za sigurnost Jameyjem Hearyjem(Jamey Heary) . Istaknuti je sistemski inženjer(Systems Engineer) u Cisco Systemsu(Systems) gdje vodi tim za globalnu sigurnosnu arhitekturu(Global Security Architecture Team) . Jamey je pouzdani savjetnik za sigurnost i arhitekt za mnoge najveće Ciscove(Cisco) klijente. Također je autor knjige i bivši bloger Network World . S njim smo razgovarali o sigurnosti u modernom poduzeću, značajnim sigurnosnim problemima koji utječu na tvrtke i organizacije, te najnovijim ranjivostima koje utječu na sve bežične mreže i klijente (KRACK ). Evo što je imao za reći:

Našu publiku čine i krajnji i poslovni korisnici. Za početak i malo se predstavite, kako biste opisali svoj posao u Ciscu(Cisco) , na nekorporativni način?

Moja strast je sigurnost. Ono čemu svakodnevno nastojim podučavati svoje kupce i krajnje korisnike o arhitekturi. Na primjer, govorim o sigurnosnom proizvodu i kako se integrira s drugim proizvodima (našim ili trećim stranama). Stoga se bavim arhitekturom sustava iz sigurnosne perspektive.

Jamey Heary, Cisco

Prema vašem iskustvu stručnjaka za sigurnost, koje su najvažnije sigurnosne prijetnje modernom poduzeću?

Najveći su društveni inženjering i ransomware. Potonje razara tolike tvrtke, a bit će sve gore jer u njemu ima toliko novca. To je vjerojatno najunosnija stvar koju su kreatori zlonamjernog softvera shvatili kako učiniti.

Vidjeli smo da je fokus "loših momaka" na krajnjem korisniku. On ili ona je trenutno najslabija karika. Pokušali smo kao industrija obučiti ljude, mediji su napravili dobar posao u objavljivanju riječi o tome kako se možete bolje zaštititi, ali ipak je prilično trivijalno poslati nekome ciljani e-mail i natjerati ga da preuzme radnju koju želite: kliknite vezu, otvorite privitak, što god želite.

Druga prijetnja su online plaćanja. Nastavit ćemo vidjeti poboljšanja u načinima na koje tvrtke poduzimaju plaćanja putem interneta, ali sve dok industrija ne uvede sigurnije načine preuzimanja plaćanja putem interneta, ovo će područje biti veliki čimbenik rizika.

Kada je riječ o sigurnosti, ljudi su najslabija karika i ujedno primarni fokus napada. Kako bismo se mogli nositi s tim problemom, budući da je društveni inženjering jedna od vodećih sigurnosnih prijetnji?

Postoji mnogo tehnologija koje možemo primijeniti. Postoji samo toliko toga što možete učiniti za osobu, posebno u industriji u kojoj su neki ljudi skloniji pomoći od drugih. Na primjer, u zdravstvenoj industriji ljudi samo žele pomoći drugima. Dakle, pošaljete im zlonamjernu e-poštu i vjerojatnije je da će kliknuti na ono što im pošaljete nego ljudi u drugim djelatnostima, kao policijska uprava.

Dakle, imamo ovaj problem, ali možemo koristiti tehnologiju. Jedna od stvari koje možemo učiniti je segmentacija, koja može drastično smanjiti površinu napada koja je dostupna svakom krajnjem korisniku. To nazivamo "nultim povjerenjem": kada se korisnik spoji na mrežu tvrtke, mreža razumije tko je korisnik, koja je njegova ili njezina uloga u organizaciji, kojim aplikacijama korisnik treba pristupiti, razumjet će korisnikov stroj i kakvo je sigurnosno držanje stroja, do vrlo detaljne razine. Na primjer, može čak reći stvari poput prevalencije aplikacije koju korisnik ima. Prevalencija(Prevalence) je nešto što smo smatrali učinkovitim, a znači koliko drugih ljudi u svijetu koristi ovu aplikaciju, a koliko u određenoj organizaciji. U Ciscu(Cisco), ovu analizu radimo kroz raspršivanje: uzimamo hash aplikacije i imamo milijune krajnjih točaka, a oni će se vratiti i reći: "prevalencija na ovoj aplikaciji je 0,0001%". Prevalencija(Prevalence) izračunava koliko se aplikacija koristi u svijetu, a zatim u vašoj organizaciji. Obje ove mjere mogu biti vrlo dobre u otkrivanju je li nešto vrlo sumnjivo i zaslužuje li se pobliže pogledati.

Imate zanimljiv niz članaka u Mrežnom svijetu(Network World) o sustavima za upravljanje mobilnim uređajima(Mobile Device Management) ( MDM ). Međutim, čini se da se posljednjih godina o ovoj temi sve manje raspravlja. Usporava li se interes industrije za takve sustave? Što se događa, iz vaše perspektive?

Dogodilo se nekoliko stvari, od kojih je jedna da su MDM sustavi postali prilično zasićeni na tržištu. Gotovo(Almost) svi moji veći kupci imaju jedan takav sustav. Druga stvar koja se dogodila je da su se propisi o privatnosti i način razmišljanja korisnika o privatnosti promijenili tako da mnogi ljudi više ne daju svoj osobni uređaj (pametni telefon, tablet, itd.) svojoj organizaciji i dopuštaju instaliranje MDM softvera. Dakle, imamo ovu konkurenciju: poduzeće želi imati potpuni pristup uređajima koje koriste njihovi zaposlenici kako bi se moglo osigurati, a zaposlenici su postali vrlo otporni na takav pristup. Postoji ta stalna bitka između dvije strane. Vidjeli smo da je prevalencija MDM -a(MDM)sustavi se razlikuju od tvrtke do tvrtke, ovisno o kulturi i vrijednostima tvrtke te o tome kako se svaka organizacija želi odnositi prema svojim zaposlenicima.

Utječe li to na usvajanje programa poput Bring Your Own Device ( BYOD ) na rad?

Da, potpuno je tako. Ono što se događa uglavnom je da ljudi koji koriste vlastite uređaje na korporativnoj mreži, koriste ih u vrlo kontroliranom području. Opet(Again) , segmentacija dolazi u obzir. Ako svoj uređaj dovedem na poslovnu mrežu, onda možda mogu pristupiti internetu, nekom internom korporativnom web poslužitelju, ali nikako, neću moći pristupiti poslužiteljima baze podataka, kritičnim aplikacijama moje tvrtke ili njenim kritične podatke s tog uređaja. To je nešto što radimo programski u Ciscu(Cisco) tako da korisnik može ići kamo treba u mreži tvrtke, ali ne tamo gdje tvrtka ne želi da korisnik ide, s osobnog uređaja.

Najtopliji sigurnosni problem na svačijem radaru je " KRACK " ( Key Reinstallation AttaCK ), koji utječe na sve mrežne klijente i opremu koja koristi WPA2 shemu enkripcije. Što Cisco čini kako bi pomogao svojim klijentima s ovim problemom?

Veliko je iznenađenje da je jedna od stvari na koju smo se godinama oslanjali sada razbojna. Podsjeća nas na probleme sa SSL -om , SSH -om i svim stvarima u koje u osnovi vjerujemo. Sve su one postale "nevrijedne" našeg povjerenja.

Za ovo pitanje identificirali smo deset ranjivosti. Od tih deset, njih devet je na bazi klijenta, tako da moramo popraviti klijenta. Jedan od njih je povezan s mrežom. Za to će Cisco objaviti zakrpe. Problemi se odnose isključivo na pristupnu točku i ne moramo popravljati usmjerivače i prekidače.

Bio sam oduševljen kada sam vidio da je Apple dobio svoje popravke u beta kodu tako da će njihovi klijentski uređaji uskoro biti potpuno zakrpljeni. Windows već ima spremnu zakrpu itd. Za Cisco je put jednostavan: jedna ranjivost na našim pristupnim točkama i objavit ćemo zakrpe i popravke.

Dok se sve ne popravi, što biste preporučili svojim klijentima da učine kako bi se zaštitili?

U nekim slučajevima ne morate ništa učiniti, jer se ponekad enkripcija koristi unutar enkripcije. Na primjer, ako odem na web-stranicu svoje banke, ona koristi TLS ili SSL za sigurnost komunikacije, na koju ovaj problem ne utječe. Dakle, čak i ako prolazim kroz široko otvoreni WiFi , poput onog u Starbucksu(Starbucks) , to nije toliko važno. Taj problem s WPA2 više dolazi do izražaja na strani privatnosti. Na primjer, ako odem na web stranicu i ne želim da drugi to znaju, sada će znati jer WPA2 više nije učinkovit.

Jedna stvar koju možete učiniti da biste se osigurali je postavljanje VPN veza. Možete se povezati s bežičnom mrežom, ali sljedeće što morate učiniti je uključiti svoj VPN . VPN je sasvim u redu jer stvara šifrirani tunel koji prolazi kroz WiFi . Radit će sve dok VPN enkripcija također ne bude hakirana i morate smisliti novo rješenje. 🙂

Na potrošačkom tržištu, neki dobavljači sigurnosti povezuju VPN sa svojim antivirusnim i kompletnim sigurnosnim paketima. Također počinju educirati potrošače da više nije dovoljno imati vatrozid i antivirus, treba vam i VPN . Kakav je Ciscoov(Cisco) pristup u pogledu sigurnosti poduzeća? Također aktivno promovirate VPN kao neophodan zaštitni sloj?

VPN je dio naših paketa za poduzeća. U normalnim okolnostima ne govorimo o VPN -u unutar šifriranog tunela, a WPA2 je šifrirani tunel. Obično, jer je to pretjerano i postoje dodatni troškovi koji se moraju dogoditi na strani klijenta kako bi sve dobro funkcioniralo. Uglavnom se ne isplati. Ako je kanal već šifriran, zašto ga ponovno šifrirati?

U ovom slučaju, kada ste uhvaćeni sa spuštenim hlačama jer je sigurnosni protokol WPA2 u osnovi pokvaren, možemo se vratiti na VPN dok se problemi ne riješe s WPA2 .

No, rekavši to, u obavještajnom prostoru, sigurnosne organizacije poput organizacije tipa Ministarstva obrane (Defense),(Department) to rade godinama. Oslanjaju se na VPN , plus bežičnu enkripciju i puno puta su aplikacije u sredini njihovog VPN -a također šifrirane, tako da dobivate trosmjernu enkripciju, a sve koristeći različite vrste kriptografije. To čine jer su “paranoični” kakvi bi trebali biti. :))

U svom izlaganju na Cisco Connectu(Cisco Connect) spomenuli ste automatizaciju kao vrlo važnu u sigurnosti. Koji je vaš preporučeni pristup za automatizaciju u sigurnosti?

Automatizacija će brzo postati zahtjev jer se mi, kao ljudi, ne možemo kretati dovoljno brzo da zaustavimo sigurnosne povrede i prijetnje. Kupac je imao 10.000 strojeva šifriranih ransomwareom u 10 minuta. Ljudski ne postoji način na koji možete reagirati na to, pa vam je potrebna automatizacija.

Naš današnji pristup nije tako težak kao što bi mogao postati, ali, kada vidimo nešto sumnjivo, ponašanje koje se čini kao proboj, naši sigurnosni sustavi govore mreži da taj uređaj ili tog korisnika stavi u karantenu. Ovo nije čistilište; još uvijek možete učiniti neke stvari: još uvijek možete ići na internet ili dobiti podatke s poslužitelja za upravljanje zakrpama. Niste potpuno izolirani. U budućnosti ćemo možda morati promijeniti tu filozofiju i reći: nakon što ste u karanteni, nemate pristup jer ste previše opasni za svoju organizaciju.

Kako Cisco koristi automatizaciju u svom portfelju sigurnosnih proizvoda?

U određenim područjima koristimo dosta automatizacije. Na primjer, u Cisco Talosu(Cisco Talos) , našoj skupini za istraživanje prijetnji, dobivamo podatke telemetrije iz svih naših sigurnosnih widgeta i gomilu drugih podataka iz drugih izvora. Talos grupa koristi strojno učenje i umjetnu inteligenciju kako bi razvrstala milijune zapisa svaki dan. Ako pogledate učinkovitost tijekom vremena u svim našim sigurnosnim proizvodima, to je nevjerojatno, u svim testovima učinkovitosti treće strane.

Usporava li se upotreba DDOS napada?(DDOS)

Nažalost, DDOS kao metoda napada je živ i zdrav i sve je gori. Otkrili smo da su DDOS napadi obično usmjereni na određene vrste korporacija. Takvi se napadi koriste i kao mamac i kao primarno oružje za napad. Također postoje dvije vrste DDOS napada: volumetrijski i bazirani na aplikaciji. Volumetrijski je izmakao kontroli ako pogledate najnovije brojke o tome koliko podataka mogu generirati da bi nekoga srušili. To je smiješno.

Jedna vrsta korporacija koje su na meti DDOS napada su one u maloprodaji, obično tijekom blagdanske sezone ( Crni petak(Black Friday) dolazi!). Druga vrsta tvrtki koje su na meti DDOS napada su one koje rade u kontroverznim područjima, poput nafte i plina. U ovom slučaju imamo posla s ljudima koji imaju određeni etički i moralni cilj, koji se odlučuju na DDOS neku ili drugu organizaciju jer se ne slažu s onim što rade. Takvi ljudi to rade s ciljem, sa svrhom, a ne zbog novca.

Ljudi u svoje organizacije unose ne samo svoje uređaje već i vlastite sustave u oblaku ( OneDrive , Google Drive , Dropbox , itd.) To predstavlja još jedan sigurnosni rizik za organizacije. Kako se sustav poput Cisco Cloudlock nosi(Cisco Cloudlock) s ovim problemom?

Cloudlock radi dvije temeljne stvari: prvo, daje vam reviziju svih usluga u oblaku koje se koriste. Integriramo Cloudlock s našim web proizvodima tako da (Cloudlock)Cloudlock može čitati sve web zapise . To će vam reći kamo svi u organizaciji idu. Dakle, znate da puno ljudi, na primjer, koristi vlastiti Dropbox .

Druga stvar koju Cloudlock radi je da je sav napravljen od API -ja koji komuniciraju s uslugama u oblaku. Na ovaj način, ako je korisnik objavio dokument tvrtke na Boxu(Box) , Box odmah kaže Cloudlocku(Cloudlock) da je stigao novi dokument i da ga treba pogledati. Stoga ćemo pogledati dokument, kategorizirati ga, shvatiti profil rizika dokumenta, kao i je li podijeljen s drugima ili ne. Na temelju rezultata, sustav će ili zaustaviti dijeljenje tog dokumenta putem Boxa(Box) ili ga dopustiti.

Uz Cloudlock možete postaviti pravila poput: "ovo se nikada ne smije dijeliti ni s kim izvan tvrtke. Ako jest, isključite dijeljenje." Također možete izvršiti šifriranje na zahtjev, na temelju kritičnosti svakog dokumenta. Stoga, ako krajnji korisnik nije šifrirao kritični poslovni dokument, prilikom objavljivanja na Boxu(Box) , Cloudlock će automatski prisiliti šifriranje tog dokumenta.

 

Željeli bismo zahvaliti Jameyju Hearyju(Jamey Heary) na ovom intervjuu i njegovim iskrenim odgovorima. Ako želite stupiti u kontakt, možete ga pronaći na Twitteru(on Twitter) .

Na kraju ovog članka podijelite svoje mišljenje o temama o kojima smo raspravljali, koristeći opcije komentiranja dostupne u nastavku.



About the author

Ja sam profesionalni recenzent i pojačivač produktivnosti. Volim provoditi vrijeme online igrajući video igrice, istražujući nove stvari i pomažući ljudima u njihovim tehnološkim potrebama. Imam neko iskustvo s Xboxom i pomažem korisnicima da očuvaju svoje sustave sigurnima od 2009.



Related posts