Den 18 oktober blev vi inbjudna till Cisco Connect 2017. Vid den här händelsen träffade vi säkerhetsexpert Jamey Heary. Han är en Distinguished Systems Engineer hos Cisco Systems där han leder det globala säkerhetsarkitekturlaget. Jamey är en pålitlig säkerhetsrådgivare och arkitekt för många av Ciscos största kunder. Han är också en bokförfattare och en tidigare Network World blogger. Vi pratade med honom om säkerhet i det moderna företaget, de betydande säkerhetsproblemen som påverkar företag och organisationer och de senaste sårbarheter som påverkar alla trådlösa nätverk och klienter (KRACK). Här är vad han hade att säga:
Vår publik består av både slutanvändare och företagsanvändare. För att komma igång och presentera dig lite, hur skulle du beskriva ditt jobb hos Cisco, på ett icke-företagande sätt?
Min passion är säkerhet. Vad jag strävar efter att göra varje dag är att lära mina kunder och slutanvändare om arkitektur. Jag talar till exempel om en säkerhetsprodukt och hur den integreras med andra produkter (vår egen eller från tredje part). Därför behandlar jag systemarkitektur ur ett säkerhetsperspektiv.
Vilka är de viktigaste säkerhetshoten mot det moderna företaget i din erfarenhet som säkerhetsexpert?
De stora är socialteknik och ransomware. Den senare väcker förödelse i så många företag, och det kommer att bli värre eftersom det finns så mycket pengar i det. Det är förmodligen den mest lukrativa sak som malware skapare tänkte ut hur man gör.
Vi har sett att fokusen på de "dåliga killarna" är på slutanvändaren. Han eller hon är den svagaste länken just nu. Vi har försökt som en bransch för att utbilda människor, media har gjort ett bra jobb för att få ordet ut på hur du kan skydda dig bättre, men det är fortfarande ganska trivialt att skicka någon riktad e-post och få dem att ta en åtgärd du vill ha: klicka på en länk, öppna en bilaga, vad som helst det du vill ha.
Det andra hotet är onlinebetalningar. Vi kommer att fortsätta se förbättringar på hur företagen tar betalningar online, men tills industrin implementerar säkrare sätt att betala online, kommer detta område att bli en stor riskfaktor.
När det gäller säkerhet är folk den svagaste länken och också den primära fokuseringen på attacker. Hur kunde vi hantera denna fråga, eftersom socialteknik är ett av de ledande säkerhetshoten?
Det finns mycket teknik som vi kan ansöka om. Det finns bara så mycket du kan göra för en person, särskilt i en bransch där vissa människor tenderar att vara mer användbara än andra. Till exempel, i vårdindustrin vill människor bara hjälpa andra. Så du skickar dem ett skadligt e-postmeddelande, och de är mer benägna att klicka på vad du skickar dem än personer i andra branscher, som polisavdelning.
Så vi har detta problem, men vi kan använda teknik. En av de saker vi kan göra är segmentering, vilket kan drastiskt reducera attackytan som är tillgänglig för alla slutanvändare. Vi kallar detta "nollförtroende": när en användare ansluter till företagsnätet, förstår nätverket vem användaren är, vad hans eller hennes roll är i organisationen, vilka applikationer användaren behöver komma åt, det kommer att förstå användarens maskin och Vad är maskinens säkerhetsställning, till en mycket detaljerad nivå. Till exempel kan det till och med berätta om saker som förekomsten av en applikation användaren har. Prevalens är något som vi har funnit effektivt, och det betyder hur många andra människor i världen använder denna ansökan, och hur många i en viss organisation. På Cisco gör vi analysen genom hash: vi tar en hash av en ansökan, och vi har miljontals slutpunkter, och de kommer tillbaka och säger: "Förekomsten på denna app är 0.0001%". Prevalens beräknar hur mycket en app används i världen och sedan i din organisation. Båda dessa åtgärder kan vara mycket bra att ta reda på om något är mycket misstänkt, och om det förtjänar att ta en närmare titt på.
Du har en intressant serie artiklar i nätverksvärlden om system för mobilenhetshantering (MDM). Men under de senaste åren verkar detta ämne diskuteras mindre. Är branschens intresse för sådana system saktar? Vad händer, ur ditt perspektiv?
Få saker har hänt, varav en är att MDM-system har blivit ganska mättade på marknaden. Nästan alla mina större kunder har ett sådant system på plats. Det andra som hänt är att sekretessreglerna och användarvänligheten för användare har förändrats så att många inte längre ger sin personliga enhet (smartphone, surfplatta etc.) till sin organisation och tillåter att en MDM-programvara installeras. Så vi har denna tävling: Företaget vill ha full tillgång till de enheter som används av sina anställda så att det kan säkra sig och medarbetarna har blivit mycket motståndskraftiga mot detta tillvägagångssätt. Det finns den här ständiga striden mellan de två sidorna. Vi har sett att förekomsten av MDM-system varierar från företag till företag beroende på företagskultur och värderingar och hur varje organisation vill behandla sina anställda.
Påverkar detta antagandet av program som Ta med din egen enhet (BYOD) till jobbet?
Ja, det gör det helt. Vad som händer är för det mesta att människor som använder egna enheter på företagsnätverket använder dem i ett mycket kontrollerat område. Återigen kommer segmentering till spel. Om jag tar med min egen enhet till företagsnätverket, kan jag kanske få tillgång till internet, en intern intern företagswebserver, men jag kommer inte att få tillgång till databasservrarna, de kritiska programmen i mitt företag eller dess kritisk data, från den enheten. Det är något vi gör programmässigt hos Cisco så att användaren får gå där den behöver i företagets nätverk men inte där företaget inte vill att användaren ska gå, från en personlig enhet.
Det hetaste säkerhetsproblemet på allas radar är "KRACK" (Key Reinstallation AttaCK), vilket påverkar alla nätverksklienter och utrustning med WPA2-krypteringssystemet. Vad gör Cisco för att hjälpa sina kunder med detta problem?
Det är en stor överraskning att en av de saker som vi åberopat i åratal nu är spräckbar. Det påminner oss om problemen med SSL, SSH och alla de saker som vi grundligt tror på. Alla har blivit "inte värdiga" för vårt förtroende.
I det här fallet identifierade vi tio sårbarheter. Av de tio är nio av dem klientbaserade, så vi måste fixa klienten. En av dem är nätverksrelaterad. För det här kommer Cisco att släppa patchar. Problemen är exklusiva till åtkomstpunkten, och vi behöver inte fixa routrar och växlar.
Jag var glad att se att Apple fick sina korrigeringar i beta-kod så att deras klientenheter snart kommer att bli fullständigt patchade. Windows har redan en patch redo, etc. För Cisco är vägen okomplicerad: en sårbarhet på våra åtkomstpunkter och vi kommer att släppa ut korrigeringar och korrigeringar.
Till dess att allt blir löst, vad vill du rekommendera dina kunder att skydda sig?
I vissa fall behöver du inte göra någonting, för ibland används kryptering inom kryptering. Om jag till exempel går till min banks hemsida använder den TLS eller SSL för kommunikationssäkerhet, vilket inte påverkas av det här problemet. Så även om jag går igenom en stor öppen WiFi, som den som är på Starbucks, spelar det ingen roll så mycket. Där det här problemet med WPA2 kommer mer in i spel finns på sekretessidan. Till exempel, om jag går till en webbplats och jag inte vill att andra ska veta det, nu kommer de att veta eftersom WPA2 inte längre fungerar.
En sak du kan göra för att säkra dig är att konfigurera VPN-anslutningar. Du kan ansluta till trådlöst, men nästa sak du måste göra är att aktivera din VPN. VPN är bara bra eftersom det skapar en krypterad tunnel som går igenom WiFi. Det kommer att fungera tills VPN-krypteringen blir hackad, och du måste räkna ut en ny lösning. :)
På konsumentmarknaden samlar vissa säkerhetsleverantörer VPN med sina antivirusprogram och totala säkerhetssatser. De börjar också utbilda konsumenterna att det inte längre är tillräckligt att ha en brandvägg, och ett antivirusprogram behöver du också en VPN. Vad är Ciscos inställning till säkerhet för företaget? Befordrar du också aktivt VPN som ett nödvändigt skyddskikt?
VPN är en del av våra paket för företaget. Under normala omständigheter talar vi inte om VPN inom en krypterad tunnel och WPA2 är en krypterad tunnel. Vanligtvis, eftersom det är overkill och det finns överhead som måste hända på klientsidan för att få allt att fungera bra. För det mesta är det inte värt det. Om kanalen redan är krypterad, varför kryptera den igen?
I det här fallet, när du fångas med dina byxor på grund av att WPA2-säkerhetsprotokollet är väsentligt brutet, kan vi komma tillbaka på VPN tills problemen löser sig med WPA2.
Men i det intelligenta rummet har säkerhetsorganisationer som en försvarsdepartement typ av organisation gjort det i flera år. De är beroende av VPN, plus trådlös kryptering och många gånger är applikationerna mitt i VPN krypterade, så du får en trevägs kryptering, alla med olika typer av kryptering. De gör det för att de är "paranoida" som de borde vara. :))
I din presentation hos Cisco Connect nämnde du att automation var mycket viktig för säkerheten. Vad är ditt rekommenderade tillvägagångssätt för automatisering i säkerhet?
Automatisering blir snabbt ett krav eftersom vi som människor inte kan röra sig tillräckligt snabbt för att stoppa säkerhetsbrott och hot. En kund hade 10.000 maskiner krypterade av ransomware om 10 minuter. Det finns inget sätt mänskligt möjligt att du kan reagera på det, så du behöver automatisering.
Vårt tillvägagångssätt idag är inte så tunghänt som det kan behöva bli men när vi ser något misstänkt beteende som verkar som ett brott, säger våra säkerhetssystem att nätverket ska sätta den enheten eller den användaren i karantän. Detta är inte purgatory; du kan fortfarande göra några saker: du kan fortfarande gå till internet eller få data från patch management-servrar. Du är inte helt isolerad. I framtiden kan vi behöva ändra den filosofin och säga: när du är karantän har du ingen åtkomst eftersom du är för farlig för din organisation.
Hur använder Cisco automation i sin portfölj av säkerhetsprodukter?
På vissa områden använder vi mycket automatisering. Till exempel, i Cisco Talos, vår hotforskningsgrupp, får vi telemetridata från alla våra säkerhets widgets och massor av annan data från andra källor. Talosgruppen använder maskininlärning och artificiell intelligens för att sortera igenom miljontals poster varje dag. Om du tittar på effektiviteten över tiden i alla våra säkerhetsprodukter är det fantastiskt, i alla tredjeparts effektivitetsprov.
Är användningen av DDOS-attacker långsammare?
Tyvärr är DDOS som en attackmetod levande och väl, och det blir värre. Vi har funnit att DDOS-attacker tenderar att riktas mot vissa typer av företag. Sådana attacker används både som en dekoja och som det primära attackvapnet. Det finns också två typer av DDOS-attacker: volymetrisk och appbaserad. Den volymetriska har blivit out of control om du tittar på de senaste siffrorna av hur mycket data de kan generera för att ta någon ner. Det är löjligt.
En typ av företag som riktas mot DDOS-attacker är de i detaljhandeln, vanligtvis under semesterperioden (Black Friday kommer!). Den andra typen företag som riktar sig mot DDOS-attacker är de som arbetar inom kontroversiella områden, som olja och gas. I det här fallet handlar vi om människor som har en särskild etisk och moralisk orsak, som bestämmer sig för DDOS för en organisation eller en annan för att de inte håller med vad de gör. Sådana människor gör det för en sak, för ett ändamål, och inte för de pengar som är inblandade.
Människor tar in sina organisationer, inte bara deras egna enheter utan även deras egna molnsystem (OneDrive, Google Drive, Dropbox, etc.). Detta representerar en annan säkerhetsrisk för organisationer. Hur hanterar ett system som Cisco Cloudlock problemet?
Cloudlock gör två grundläggande saker: För det första ger du en granskning av alla de molntjänster som används. Vi integrerar Cloudlock med våra webbprodukter så att alla webbloggar kan läsas av Cloudlock. Det kommer att berätta för varhelst alla i organisationen går. Så du vet att många människor använder sin egen Dropbox, till exempel.
Det andra som Cloudlock gör är att det är gjort av API: er som kommunicerar med molntjänster. På så sätt, om en användare publicerade ett företagsdokument i rutan, säger Box omedelbart till Cloudlock att ett nytt dokument har kommit fram och det borde ta en titt på det. Så vi ska titta på dokumentet, kategorisera det, räkna ut riskprofilen för dokumentet, liksom det har delats med andra eller inte. Baserat på resultaten kommer systemet antingen att stoppa delningen av det dokumentet via rutan eller tillåta det.
Med Cloudlock kan du ställa in regler som: "detta ska aldrig delas med någon utanför företaget. Om det är så stäng av delningen." Du kan också göra kryptering på begäran baserat på kritiken i varje dokument. Om slutanvändaren inte krypterade ett kritiskt företagsdokument, så kommer Cloudlock att tvinga kryptering av det dokumentet automatiskt när det läggs in i rutan.
Vi vill tacka Jamey Heary för denna intervju och hans uppriktiga svar. Om du vill komma i kontakt kan du hitta honom på Twitter.
I slutet av den här artikeln delar du din åsikt om de ämnen som vi diskuterade, med hjälp av kommenteringsalternativen nedan.