Jamey Heary z Cisco: Organizacje, które pracują z poufnymi informacjami, korzystają z zaszyfrowanego Wi-Fi, VPN i zaszyfrowanych aplikacji
18 października(October 18th) zostaliśmy zaproszeni na Cisco Connect 2017 . Podczas tego wydarzenia spotkaliśmy się z ekspertem ds. bezpieczeństwa Jamey Heary . Jest Distinguished Systems Engineer w Cisco Systems , gdzie kieruje zespołem Global Security Architecture(Global Security Architecture Team) . Jamey jest zaufanym doradcą ds. bezpieczeństwa i architektem dla wielu największych klientów Cisco . Jest także autorem książek i byłym blogerem Network World . Rozmawialiśmy z nim o bezpieczeństwie we współczesnym przedsiębiorstwie, istotnych kwestiach bezpieczeństwa, które mają wpływ na firmy i organizacje oraz o najnowszych lukach, które mają wpływ na wszystkie sieci bezprzewodowe i klientów (KRACK ). Oto, co miał do powiedzenia:
Nasza publiczność składa się zarówno z użytkowników końcowych, jak i użytkowników biznesowych. Na początek i trochę się przedstaw, jak opisałbyś swoją pracę w Cisco w sposób niekorporacyjny?
Moją pasją jest bezpieczeństwo. Na co dzień staram się uczyć architektury moich klientów i użytkowników końcowych. Na przykład mówię o produkcie zabezpieczającym i o tym, jak integruje się z innymi produktami (własnymi lub pochodzącymi od stron trzecich). Dlatego zajmuję się architekturą systemu z punktu widzenia bezpieczeństwa.
Jakie są najważniejsze zagrożenia bezpieczeństwa współczesnego przedsiębiorstwa z Twojego doświadczenia jako eksperta ds. bezpieczeństwa?
Największe z nich to socjotechnika i oprogramowanie ransomware. Ten ostatni sieje spustoszenie w tak wielu firmach, a będzie jeszcze gorzej, bo jest w nim tyle pieniędzy. Jest to prawdopodobnie najbardziej dochodowa rzecz, jaką twórcy złośliwego oprogramowania wymyślili, jak to zrobić.
Widzieliśmy, że „złe osoby” skupiają się na użytkowniku końcowym. On lub ona jest teraz najsłabszym ogniwem. Jako branża staraliśmy się szkolić ludzi, media wykonały dobrą robotę w rozpowszechnianiu informacji o tym, jak można lepiej chronić się, ale nadal jest to dość trywialne, aby wysłać komuś ukierunkowany e-mail i nakłonić go do odebrania żądane działanie: kliknij łącze, otwórz załącznik, cokolwiek chcesz.
Drugim zagrożeniem są płatności online. Będziemy nadal widzieć ulepszenia w sposobach, w jakie firmy przyjmują płatności online, ale dopóki branża nie wdroży bezpieczniejszych sposobów przyjmowania płatności online, ten obszar będzie ogromnym czynnikiem ryzyka.
Jeśli chodzi o bezpieczeństwo, ludzie są najsłabszym ogniwem, a także głównym celem ataków. Jak poradzić sobie z tym problemem, skoro socjotechnika jest jednym z głównych zagrożeń bezpieczeństwa?
Istnieje wiele technologii, które możemy zastosować. Niewiele możesz zrobić dla osoby, zwłaszcza w branży, w której niektórzy ludzie są bardziej pomocni niż inni. Na przykład w branży opieki zdrowotnej ludzie chcą po prostu pomagać innym. Więc wysyłasz im złośliwą wiadomość e-mail, a oni są bardziej skłonni kliknąć to, co im wyślesz, niż ludzie z innych branż, jak policja.
Więc mamy ten problem, ale możemy wykorzystać technologię. Jedną z rzeczy, które możemy zrobić, jest segmentacja, która może drastycznie zmniejszyć powierzchnię ataku dostępną dla każdego użytkownika końcowego. Nazywamy to „zerowym zaufaniem”: kiedy użytkownik łączy się z siecią firmową, sieć rozumie, kim jest użytkownik, jaka jest jego rola w organizacji, do jakich aplikacji użytkownik musi mieć dostęp, zrozumie maszynę użytkownika i jaki jest stan bezpieczeństwa maszyny, na bardzo szczegółowym poziomie. Na przykład może nawet powiedzieć takie rzeczy, jak powszechność aplikacji, którą posiada użytkownik. Rozpowszechnienie(Prevalence) to coś, co uznaliśmy za skuteczne, a to oznacza, ile innych osób na świecie korzysta z tej aplikacji, a ile w danej organizacji. W Cisco, przeprowadzamy tę analizę poprzez hashowanie: bierzemy hash aplikacji i mamy miliony punktów końcowych, które wracają i mówią: „powszechność w tej aplikacji wynosi 0,0001%”. Rozpowszechnienie(Prevalence) oblicza, jak często aplikacja jest używana na świecie, a następnie w Twojej organizacji. Oba te środki mogą być bardzo dobre w ustaleniu, czy coś jest bardzo podejrzane i czy zasługuje na bliższe przyjrzenie się.
Masz interesującą serię artykułów w Network World na temat systemów zarządzania urządzeniami(Mobile Device Management) mobilnymi ( MDM ). Jednak w ostatnich latach temat ten wydaje się być mniej dyskutowany. Czy zainteresowanie branży takimi systemami spada? Co się dzieje z Twojej perspektywy?
Niewiele się wydarzyło, a jedną z nich jest to, że systemy MDM stały się dość nasycone na rynku. Prawie(Almost) wszyscy moi więksi klienci mają jeden taki system. Inną rzeczą, która się wydarzyła, jest to, że przepisy dotyczące prywatności i sposób myślenia użytkowników o prywatności zmieniły się w taki sposób, że wiele osób nie przekazuje już swojego urządzenia osobistego (smartfona, tabletu itp.) swojej organizacji i pozwala na zainstalowanie oprogramowania MDM . Mamy więc tę konkurencję: przedsiębiorstwo chce mieć pełny dostęp do urządzeń, z których korzystają jego pracownicy, aby się zabezpieczyć, a pracownicy stali się na to bardzo odporni. Między obiema stronami toczy się nieustanna walka. Widzieliśmy, że rozpowszechnienie MDMsystemy różnią się w zależności od firmy, w zależności od kultury i wartości firmy oraz tego, jak każda organizacja chce traktować swoich pracowników.
Czy ma to wpływ na przyjęcie programów takich jak Bring Your Own Device ( BYOD ) do pracy?
Tak, całkowicie. W większości przypadków ludzie korzystający z własnych urządzeń w sieci firmowej używają ich w bardzo kontrolowanym obszarze. Ponownie(Again) w grę wchodzi segmentacja. Jeśli przyniosę własne urządzenie do sieci firmowej, być może będę mógł uzyskać dostęp do Internetu, jakiegoś wewnętrznego firmowego serwera WWW, ale w żadnym wypadku nie będę mógł uzyskać dostępu do serwerów baz danych, krytycznych aplikacji mojej firmy lub jej krytyczne dane z tego urządzenia. To jest coś, co robimy programistycznie w Cisco , aby użytkownik mógł dotrzeć tam, gdzie potrzebuje w sieci firmowej, ale nie tam, gdzie firma nie chce, aby użytkownik udał się z urządzenia osobistego.
Najgorętszym problemem bezpieczeństwa na radarze wszystkich jest " KRACK " ( Key Reinstallation AttaCK ), który dotyczy wszystkich klientów sieci i sprzętu korzystającego ze schematu szyfrowania WPA2 . Co robi firma Cisco , aby pomóc swoim klientom w rozwiązaniu tego problemu?
Ogromną niespodzianką jest to, że jedna z rzeczy, na których polegaliśmy przez lata, jest teraz możliwa do złamania. Przypomina nam to problemy z SSL , SSH i wszystkimi rzeczami, w które zasadniczo wierzymy. Wszystkie stały się „niegodne” naszego zaufania.
W przypadku tego problemu zidentyfikowaliśmy dziesięć luk w zabezpieczeniach. Z tych dziesięciu, dziewięć z nich jest opartych na kliencie, więc musimy naprawić klienta. Jeden z nich jest związany z siecią. W tym przypadku Cisco zamierza wydać łatki. Problemy dotyczą wyłącznie punktu dostępowego i nie musimy naprawiać routerów i przełączników.
Byłem zachwycony, widząc, że Apple otrzymało swoje poprawki w kodzie beta, więc ich urządzenia klienckie zostaną wkrótce w pełni zaktualizowane. Windows ma już gotową łatkę itp. W przypadku Cisco droga jest prosta: jedna luka w naszych punktach dostępowych i zamierzamy wydać łatki i poprawki.
Dopóki wszystko nie zostanie naprawione, co poleciłbyś swoim klientom zrobić, aby się chronić?
W niektórych przypadkach nie musisz nic robić, ponieważ czasami szyfrowanie jest używane wewnątrz szyfrowania. Na przykład, jeśli wejdę na stronę mojego banku, używa on protokołu TLS(TLS) lub SSL do zabezpieczenia komunikacji, na które ten problem nie ma wpływu. Tak więc, nawet jeśli przechodzę przez szeroko otwarte Wi(WiFi) -Fi , takie jak ta w Starbucks , nie ma to aż takiego znaczenia. Tam, gdzie ten problem z WPA2 wchodzi w grę, jest bardziej po stronie prywatności. Na przykład, jeśli wejdę na stronę internetową i nie chcę, aby inni o tym wiedzieli, teraz będą wiedzieć, ponieważ WPA2 nie jest już skuteczne.
Jedną z rzeczy, które możesz zrobić, aby się zabezpieczyć, jest skonfigurowanie połączeń VPN . Możesz połączyć się z siecią bezprzewodową, ale następną rzeczą, którą musisz zrobić, jest włączenie VPN . VPN jest w porządku, ponieważ tworzy zaszyfrowany tunel przechodzący przez Wi(WiFi) -Fi . Będzie działać, dopóki szyfrowanie VPN również nie zostanie zhakowane i będziesz musiał wymyślić nowe rozwiązanie.
Na rynku konsumenckim niektórzy dostawcy zabezpieczeń łączą VPN ze swoimi pakietami antywirusowymi i całkowitymi zabezpieczeniami. Zaczynają również edukować konsumentów, że nie wystarczy już zapora i program antywirusowy, ale potrzebujesz również VPN . Jakie jest podejście firmy Cisco(Cisco) do bezpieczeństwa w przedsiębiorstwie? Czy aktywnie promujesz VPN jako niezbędną warstwę ochronną?
VPN jest częścią naszych pakietów dla przedsiębiorstw. W normalnych okolicznościach nie mówimy o VPN w zaszyfrowanym tunelu, a WPA2 to zaszyfrowany tunel. Zwykle dlatego, że jest to przesada i jest narzut, który musi wystąpić po stronie klienta, aby wszystko działało dobrze. W większości nie warto. Jeśli kanał jest już zaszyfrowany, po co go ponownie szyfrować?
W takim przypadku, gdy zostaniesz złapany ze spuszczonymi spodniami, ponieważ protokół bezpieczeństwa WPA2 jest zasadniczo zepsuty, możemy skorzystać z VPN , dopóki problemy nie zostaną rozwiązane za pomocą WPA2 .
Ale powiedziawszy, że w przestrzeni wywiadowczej organizacje bezpieczeństwa, takie jak organizacje typu Departament Obrony (Defense),(Department) robią to od lat. Opierają się na VPN oraz szyfrowaniu bezprzewodowym, a często aplikacje w środku ich VPN są również szyfrowane, więc otrzymujesz szyfrowanie trójstronne, wszystkie przy użyciu różnych rodzajów kryptografii. Robią to, ponieważ są „paranoiczni”, tak jak powinni. :))
W swojej prezentacji na Cisco Connect wspomniałeś, że automatyzacja jest bardzo ważna w bezpieczeństwie. Jakie jest Twoje zalecane podejście do automatyzacji w bezpieczeństwie?
Automatyzacja szybko stanie się wymogiem, ponieważ my, ludzie, nie możemy działać wystarczająco szybko, aby powstrzymać naruszenia bezpieczeństwa i zagrożenia. Klient miał 10 000 maszyn zaszyfrowanych przez oprogramowanie ransomware w ciągu 10 minut. Nie ma możliwości, żebyś mógł na to zareagować, więc potrzebujesz automatyzacji.
Nasze dzisiejsze podejście nie jest tak surowe, jak mogłoby się stać, ale gdy widzimy coś podejrzanego, zachowanie, które wydaje się być naruszeniem, nasze systemy bezpieczeństwa nakazują sieci, aby poddała to urządzenie lub tego użytkownika kwarantannie. To nie jest czyściec; nadal możesz robić pewne rzeczy: nadal możesz korzystać z Internetu lub pobierać dane z serwerów zarządzania poprawkami. Nie jesteś całkowicie odizolowany. W przyszłości być może będziemy musieli zmienić tę filozofię i powiedzieć: po poddaniu się kwarantannie nie masz żadnego dostępu, ponieważ jesteś zbyt niebezpieczny dla swojej organizacji.
W jaki sposób Cisco wykorzystuje automatyzację w swoim portfolio produktów zabezpieczających?
W niektórych obszarach stosujemy dużo automatyzacji. Na przykład w Cisco Talos , naszej grupie zajmującej się badaniem zagrożeń, uzyskujemy dane telemetryczne ze wszystkich naszych widżetów bezpieczeństwa oraz mnóstwo innych danych z innych źródeł. Grupa Talos wykorzystuje uczenie maszynowe i sztuczną inteligencję do sortowania milionów rekordów każdego dnia. Jeśli spojrzysz na skuteczność w czasie we wszystkich naszych produktach zabezpieczających, to jest to niesamowite, we wszystkich testach skuteczności innych firm.
Czy korzystanie z ataków DDOS spowalnia?
Niestety DDOS jako metoda ataku ma się dobrze i jest coraz gorzej. Odkryliśmy, że ataki DDOS są zwykle wymierzone w określone typy korporacji. Takie ataki są używane zarówno jako wabik, jak i jako podstawowa broń ataku. Istnieją również dwa rodzaje ataków DDOS : wolumetryczne i oparte na aplikacjach. Wolumetria wymknęła się spod kontroli, jeśli spojrzysz na ostatnie liczby dotyczące tego, ile danych mogą wygenerować, aby kogoś powalić. To jest niedorzeczne.
Jednym z rodzajów korporacji, które są celem ataków DDOS , są te w handlu detalicznym, zwykle w okresie świątecznym ( zbliża się Czarny piątek !). (Black Friday)Innym rodzajem firm, które są celem ataków DDOS , są te, które działają w kontrowersyjnych obszarach, takich jak ropa i gaz. W tym przypadku mamy do czynienia z ludźmi, którzy mają określoną przyczynę etyczną i moralną, którzy decydują się na DDOS jakiejś organizacji, ponieważ nie zgadzają się z tym, co robią. Tacy ludzie robią to z jakiegoś powodu, w jakimś celu, a nie dla pieniędzy.
Ludzie wprowadzają do swoich organizacji nie tylko własne urządzenia, ale także własne systemy chmurowe ( OneDrive , Google Drive , Dropbox itp.). Stanowi to kolejne zagrożenie bezpieczeństwa dla organizacji. Jak system taki jak Cisco Cloudlock radzi sobie z tym problemem?
Cloudlock robi dwie podstawowe rzeczy: po pierwsze, zapewnia audyt wszystkich używanych usług w chmurze. Integrujemy Cloudlock z naszymi produktami internetowymi, dzięki czemu wszystkie logi sieciowe mogą być odczytywane przez Cloudlock . Dzięki temu dowiesz się, dokąd zmierzają wszyscy w organizacji. Więc wiesz, że wiele osób korzysta na przykład z własnego Dropbox .
Drugą rzeczą, którą robi Cloudlock , jest to, że wszystko składa się z interfejsów API(API) , które komunikują się z usługami w chmurze. W ten sposób, jeśli użytkownik opublikował dokument firmowy na Box , Box natychmiast mówi do Cloudlocka(Cloudlock) , że pojawił się nowy dokument i powinien się z nim zapoznać. Więc przyjrzymy się dokumentowi, skategoryzujemy go, ustalimy profil ryzyka dokumentu, a także czy został udostępniony innym, czy nie. Na podstawie wyników system albo zatrzyma udostępnianie tego dokumentu za pośrednictwem usługi Box , albo na to zezwoli.
Dzięki Cloudlock możesz ustawić zasady, takie jak: „nigdy nie należy tego udostępniać nikomu spoza firmy. Jeśli tak, wyłącz udostępnianie”. Możesz także wykonać szyfrowanie na żądanie, w oparciu o krytyczność każdego dokumentu. Dlatego jeśli użytkownik końcowy nie zaszyfrował krytycznego dokumentu biznesowego, podczas publikowania go na Box , Cloudlock automatycznie wymusi szyfrowanie tego dokumentu.
Chcielibyśmy podziękować Jamey Heary za ten wywiad i jego szczere odpowiedzi. Jeśli chcesz się z nami skontaktować, możesz go znaleźć na Twitterze(on Twitter) .
Na końcu tego artykułu podziel się swoją opinią na temat poruszanych przez nas tematów, korzystając z dostępnych poniżej opcji komentowania.
Related posts
8 kroków, aby zmaksymalizować bezpieczeństwo routera ASUS lub sieci WiFi ASUS Lyra
Cyberbezpieczeństwo poprzez edukację: Kaspersky Interactive Protection Simulation
Reklamy PowerLinks narażają miliony czytelników na ryzyko z głównych publikacji, takich jak The Verge, Vice News i nie tylko
Nagrody - Najpopularniejszy produkt antywirusowy roku 2017
Co nowego w aktualizacji systemu Windows 10 z listopada 2019 r.?
Analiza: szybkie instalacje aplikacji na komputery rujnują wydajność komputera!
13 najlepszych rzeczy o Windows 10
9 ważnych kryteriów, którymi należy się kierować przy wyborze oprogramowania antywirusowego
Bezpieczeństwo dla każdego — recenzja KeepSolid VPN Unlimited
Skonfiguruj router TP-Link Wi-Fi 6 jako serwer VPN —
Jak usunąć połączenia VPN lub PPPOE w Windows 8 i Windows 8.1?
Nagrody - Najbardziej innowacyjny produkt antywirusowy 2017 roku
Windows 10 jest do bani! Oto 12 powodów, dlaczego!
Bezpieczeństwo dla wszystkich — recenzja TunnelBear 3 VPN dla systemu Windows
„Trzymaj się sklepu Google Play!” mówi uznany ekspert ds. bezpieczeństwa informacji w firmie ESET
Jak utworzyć, skonfigurować i używać połączenia VPN na iPhonie (lub iPadzie)
Aktualizacja systemu Windows 10 maja 2021: co nowego i co zostało usunięte? -
Informacje o InPrivate i Incognito. Co to jest przeglądanie prywatne? Która przeglądarka jest najlepsza?
Bezpieczeństwo dla wszystkich — recenzja F-Secure Freedome VPN
Porównanie: jaki jest najlepszy program antywirusowy dla urządzeń z systemem Windows w 2018 roku?