Jamey Heary från Cisco: Organisationer som arbetar med känslig information, använder krypterad WiFi, VPN och krypterade appar

Den 18(October 18th) oktober bjöds vi in ​​till Cisco Connect 2017 . Vid det här evenemanget träffade vi säkerhetsexperten Jamey Heary . Han är en Distinguished Systems EngineerCisco Systems där han leder Global Security Architecture Team . Jamey är en pålitlig säkerhetsrådgivare och arkitekt för många av Ciscos(Cisco) största kunder. Han är också bokförfattare och tidigare Network World- bloggare. Vi pratade med honom om säkerheten i det moderna företaget, de betydande säkerhetsproblemen som påverkar företag och organisationer, och de senaste sårbarheterna som påverkar alla trådlösa nätverk och klienter (KRACK ). Här är vad han hade att säga:

Vår publik består av både slutanvändare och företagsanvändare. För att komma igång och presentera dig själv lite, hur skulle du beskriva ditt jobb på Cisco på ett icke-företagsmässigt sätt?

Min passion är säkerhet. Det jag strävar efter att göra varje dag är att lära mina kunder och slutanvändare om arkitektur. Till exempel pratar jag om en säkerhetsprodukt och hur den integreras med andra produkter (våra egna eller från tredje part). Därför sysslar jag med systemarkitektur ur ett säkerhetsperspektiv.

Jamey Heary, Cisco

Enligt din erfarenhet som säkerhetsexpert, vilka är de viktigaste säkerhetshoten mot det moderna företaget?

De stora är social engineering och ransomware. Det sistnämnda skapar förödelse i så många företag, och det kommer att bli värre eftersom det finns så mycket pengar i det. Det är förmodligen det mest lukrativa som skapare av skadlig programvara har kommit på hur man gör.

Vi har sett att fokus för "de onda" ligger på slutanvändaren. Han eller hon är den svagaste länken just nu. Vi har försökt som bransch att utbilda människor, media har gjort ett bra jobb med att få ut ordet om hur du kan skydda dig själv bättre, men ändå är det ganska trivialt att skicka någon ett riktat e-postmeddelande och få dem att ta en åtgärd du vill ha: klicka på en länk, öppna en bilaga, vad du än vill.

Det andra hotet är onlinebetalningar. Vi kommer att fortsätta att se förbättringar i hur företag tar betalningar online, men tills branschen implementerar säkrare sätt att ta betalningar online kommer detta område att vara en enorm riskfaktor.

När det kommer till säkerhet är människor den svagaste länken och även det primära fokus för attacker. Hur skulle vi kunna hantera denna fråga, eftersom social ingenjörskonst är ett av de ledande säkerhetshoten?

Det finns mycket teknik som vi kan tillämpa. Det finns bara så mycket du kan göra för en person, speciellt i en bransch där vissa människor tenderar att vara mer hjälpsamma än andra. Till exempel inom sjukvården vill människor bara hjälpa andra. Så du skickar dem ett skadligt e-postmeddelande, och de är mer benägna att klicka på det du skickar till dem än människor i andra branscher, som en polisavdelning.

Så vi har det här problemet, men vi kan använda teknik. En av de saker vi kan göra är segmentering, vilket drastiskt kan minska attackytan som är tillgänglig för alla slutanvändare. Vi kallar detta "noll förtroende": när en användare ansluter till företagets nätverk förstår nätverket vem användaren är, vad hans eller hennes roll är i organisationen, vilka applikationer användaren behöver komma åt, det kommer att förstå användarens maskin och vad är maskinens säkerhetsställning, till en mycket detaljerad nivå. Till exempel kan den till och med berätta saker som förekomsten av en applikation som användaren har. Prevalens(Prevalence) är något vi fann effektivt, och det betyder hur många andra människor i världen som använder den här applikationen och hur många i en given organisation. Hos Cisco, vi gör den här analysen genom hash: vi tar en hash av en applikation, och vi har miljontals slutpunkter, och de kommer tillbaka och säger: "prevalensen på den här appen är 0,0001 %". Prevalens(Prevalence) beräknar hur mycket en app används i världen och sedan i din organisation. Båda dessa åtgärder kan vara väldigt bra för att ta reda på om något är väldigt misstänkt, och om det förtjänar att titta närmare på det.

Du har en intressant serie artiklar i Network World om MDM - system ( Mobile Device Management ). Emellertid tycks detta ämne diskuteras mindre på senare år. Bromsar branschens intresse för sådana system? Vad händer ur ditt perspektiv?

Få saker har hänt, varav en är att MDM- system har blivit ganska mättade på marknaden. Nästan(Almost) alla mina större kunder har ett sådant system på plats. Det andra som har hänt är att integritetsbestämmelserna och användarnas integritetstänk har förändrats så att många människor inte längre ger sin personliga enhet (smarttelefon, surfplatta, etc.) till sin organisation och låter en MDM -programvara installeras. Så vi har den här konkurrensen: företaget vill ha full tillgång till de enheter som används av deras anställda så att de kan säkra sig själva och de anställda har blivit mycket motståndskraftiga mot detta tillvägagångssätt. Det finns en ständig strid mellan de två sidorna. Vi har sett att förekomsten av MDMsystemen varierar från företag till företag, beroende på företagskultur och värderingar, och hur varje organisation vill behandla sina anställda.

Påverkar detta antagandet av program som Bring Your Own Device ( BYOD ) för att fungera?

Ja, det gör det absolut. Det som för det mesta händer är att människor som använder sina egna enheter i företagets nätverk använder dem i ett mycket kontrollerat område. Återigen(Again) spelar segmentering in. Om jag tar med min egen enhet till företagsnätverket kanske jag kan komma åt internet, någon intern företagswebbserver, men jag kommer inte på något sätt att kunna komma åt databasservrarna, de kritiska apparna i mitt företag eller dess kritiska data från den enheten. Det är något som vi gör programmatiskt på Cisco så att användaren kan gå dit den behöver i företagets nätverk men inte dit företaget inte vill att användaren ska gå, från en personlig enhet.

Det hetaste säkerhetsproblemet på allas radar är " KRACK " ( Key Reinstallation AttaCK ), som påverkar alla nätverksklienter och utrustning som använder WPA2- krypteringsschemat. Vad gör Cisco för att hjälpa sina kunder med detta problem?

Det är en stor överraskning att en av de saker som vi förlitat oss på i flera år nu är knäckbar. Det påminner oss om problemen med SSL , SSH och alla de saker som vi i grunden tror på. Alla av dem har blivit "inte värda" vårt förtroende.

För det här problemet identifierade vi tio sårbarheter. Av dessa tio är nio av dem kundbaserade, så vi måste fixa kunden. En av dem är nätverksrelaterad. För den kommer Cisco att släppa patchar. Problemen är exklusiva för åtkomstpunkten och vi behöver inte fixa routrar och switchar.

Jag blev glad över att se att Apple fick sina korrigeringar i beta-kod så att deras klientenheter snart kommer att vara helt patchade. Windows har redan en patch redo, etc. För Cisco är vägen enkel: en sårbarhet på våra åtkomstpunkter och vi kommer att släppa patchar och fixar.

Vad skulle du rekommendera dina kunder att göra för att skydda sig tills allt är fixat?

I vissa fall behöver du inte göra någonting, för ibland används kryptering inuti kryptering. Om jag till exempel går till min banks webbplats använder den TLS eller SSL för kommunikationssäkerhet, vilket inte påverkas av det här problemet. Så även om jag går igenom en vidöppen WiFi , som den på Starbucks , spelar det inte så stor roll. Där detta problem med WPA2 kommer mer in i bilden är på integritetssidan. Till exempel, om jag går till en webbplats och jag inte vill att andra ska veta det, nu kommer de att veta eftersom WPA2 inte är effektivt längre.

En sak du kan göra för att säkra dig själv är att ställa in VPN- anslutningar. Du kan ansluta till trådlöst, men nästa sak du behöver göra är att slå på din VPN . VPN är(VPN) bara bra eftersom det skapar en krypterad tunnel som går genom WiFi . Det kommer att fungera tills VPN- krypteringen också blir hackad och du måste hitta en ny lösning. 🙂

På konsumentmarknaden kombinerar vissa säkerhetsleverantörer VPN med sina antivirus- och totalsäkerhetssviter. De börjar också utbilda konsumenterna att det inte längre räcker att ha en brandvägg, och ett antivirus, du behöver också en VPN . Vad är Ciscos(Cisco) inställning till säkerhet för företaget? Marknadsför du också aktivt VPN som ett nödvändigt skyddslager?

VPN är en del av våra paket för företaget. Under normala omständigheter pratar vi inte om VPN i en krypterad tunnel och WPA2 är en krypterad tunnel. Vanligtvis för att det är overkill och det är overhead som måste hända på klientsidan för att allt ska fungera bra. För det mesta är det inte värt det. Om kanalen redan är krypterad, varför kryptera den igen?

I det här fallet, när du ertappas med byxorna nere eftersom WPA2- säkerhetsprotokollet är brutet i grunden, kan vi falla tillbaka på VPN , tills problemen åtgärdas med WPA2 .

Men med det sagt, inom underrättelseområdet, säkerhetsorganisationer som en organisation av försvarsdepartement(Defense) , de(Department) har gjort detta i flera år. De förlitar sig på VPN , plus trådlös kryptering och många gånger är applikationerna i mitten av deras VPN också krypterade, så du får en trevägskryptering, alla med olika typer av kryptografi. Det gör de för att de är "paranoida" som de borde vara. :))

I din presentation på Cisco Connect nämnde du automatisering som mycket viktigt inom säkerhet. Vad är ditt rekommenderade tillvägagångssätt för automatisering inom säkerhet?

Automatisering kommer snabbt att bli ett krav eftersom vi som människor inte kan röra oss tillräckligt snabbt för att stoppa säkerhetsintrång och hot. En kund hade 10 000 maskiner krypterade med ransomware på 10 minuter. Det finns inget mänskligt sätt att du kan reagera på det, så du behöver automatisering.

Vårt tillvägagångssätt idag är inte så hårdhänt som det kanske måste bli, men när vi ser något misstänkt, beteende som verkar som ett intrång, säger våra säkerhetssystem till nätverket att sätta den enheten eller den användaren i karantän. Det här är inte skärselden; du kan fortfarande göra vissa saker: du kan fortfarande gå till internet eller hämta data från patchhanteringsservrarna. Du är inte helt isolerad. I framtiden kanske vi måste ändra den filosofin och säga: när du väl är i karantän har du ingen tillgång eftersom du är för farlig för din organisation.

Hur använder Cisco automation i sin portfölj av säkerhetsprodukter?

Inom vissa områden använder vi mycket automation. Till exempel, i Cisco Talos , vår hotforskningsgrupp, får vi telemetridata från alla våra säkerhetswidgetar och massor av annan data från andra källor. Talos -(Talos) gruppen använder maskininlärning och artificiell intelligens för att sortera igenom miljontals poster varje dag. Om du tittar på effektiviteten över tid i alla våra säkerhetsprodukter är den fantastisk, i alla effektivitetstester från tredje part.

Saknar användningen av DDOS- attacker ner?

Tyvärr lever DDOS(DDOS) som attackmetod i bästa fall, och det blir värre. Vi har funnit att DDOS- attacker tenderar att riktas mot vissa typer av företag. Sådana attacker används både som ett lockbete och som det primära attackvapen. Det finns också två typer av DDOS- attacker: volumetriska och appbaserade. Volymen har kommit utom kontroll om man tittar på de senaste siffrorna för hur mycket data de kan generera för att ta ner någon. Det är löjligt.

En typ av företag som är föremål för DDOS- attacker är de i detaljhandeln, vanligtvis under semesterperioden ( Black Friday kommer!). Den andra typen av företag som drabbas av DDOS- attacker är de som arbetar i kontroversiella områden, som olja och gas. I det här fallet har vi att göra med människor som har en speciell etisk och moralisk sak, som bestämmer sig för att DDOS en eller annan organisation för att de inte håller med om vad de gör. Sådana människor gör detta för en sak, för ett syfte och inte för pengarna det handlar om.

Människor tar in i sina organisationer inte bara sina egna enheter utan också sina egna molnsystem ( OneDrive , Google Drive , Dropbox , etc.) Detta utgör ytterligare en säkerhetsrisk för organisationer. Hur hanterar ett system som Cisco Cloudlock detta problem?

Cloudlock gör två grundläggande saker: för det första ger det dig en granskning av alla molntjänster som används. Vi integrerar Cloudlock med våra webbprodukter så att alla webbloggar kan läsas av Cloudlock . Det kommer att berätta vart alla i organisationen är på väg. Så du vet att många använder sin egen Dropbox , till exempel.

Det andra som Cloudlock gör är att allt är gjort av API :er som kommunicerar med molntjänster. På så sätt, om en användare publicerade ett företagsdokument på Box , säger Box omedelbart till Cloudlock att ett nytt dokument har anlänt och det borde ta en titt på det. Så vi kommer att titta på dokumentet, kategorisera det, ta reda på riskprofilen för dokumentet, samt har det delats med andra eller inte. Baserat på resultaten kommer systemet antingen att stoppa delning av dokumentet genom Box eller tillåta det.

Med Cloudlock kan du ställa in regler som: "det här ska aldrig delas med någon utanför företaget. Om det är det, stäng av delning." Du kan också göra kryptering på begäran, baserat på hur kritiskt varje dokument är. Därför, om slutanvändaren inte krypterade ett kritiskt affärsdokument, när det publicerades på Box , kommer Cloudlock att tvinga fram krypteringen av det dokumentet automatiskt.

 

Vi vill tacka Jamey Heary för den här intervjun och hans uppriktiga svar. Vill du komma i kontakt kan du hitta honom på Twitter(on Twitter) .

I slutet av den här artikeln, dela din åsikt om de ämnen som vi diskuterade, med hjälp av kommentarsalternativen nedan.



Martin Gustafsson

About the author

Jag är en webbutvecklare med över 10 års erfarenhet av att arbeta med webbläsarna Firefox och Google Docs. Jag är specialist på att skapa enkla men kraftfulla onlineapplikationer och har utvecklat webbaserade lösningar för både små företag och stora organisationer. Min kundbas inkluderar några av de största företagen, inklusive FedEx, Coca Cola och Macy's. Mina kunskaper som utvecklare gör mig till en idealisk kandidat för alla projekt som behöver slutföras snabbt och effektivt - från att utveckla anpassade webbplatser till att skapa robusta e-postmarknadsföringskampanjer.


Related posts