Den 18. oktober blev vi inviteret til Cisco Connect 2017. På dette arrangement mødte vi sikkerhedsekspert Jamey Heary. Han er en Distinguished Systems Engineer hos Cisco Systems, hvor han leder Global Security Architecture Team. Jamey er en betroet sikkerhedsrådgiver og arkitekt for mange af Ciscos største kunder. Han er også en bogforfatter og en tidligere Network World blogger. Vi talte med ham om sikkerhed i den moderne virksomhed, de betydelige sikkerhedsproblemer, der påvirker virksomheder og organisationer, og de seneste sårbarheder, der påvirker alle trådløse netværk og klienter (KRACK). Her er hvad han havde at sige:
Vores publikum er sammensat af både slutbrugere og erhvervsbrugere. For at komme i gang, og introducere dig selv lidt, hvordan ville du beskrive dit job hos Cisco på en ikke-corporate måde?
Min passion er sikkerhed. Det, jeg stræber efter at gøre hver dag, er at undervise mine kunder og slutbrugere om arkitekturen. Jeg taler for eksempel om et sikkerhedsprodukt og hvordan det integreres med andre produkter (vores egne eller fra tredjeparter). Derfor behandler jeg systemarkitektur fra et sikkerhedsperspektiv.
Hvad er de mest vigtige sikkerhedstrusler for den moderne virksomhed i din erfaring som sikkerhedsekspert?
De store er social engineering og ransomware. Sidstnævnte er ødelæggelse i så mange virksomheder, og det bliver værre, fordi der er så mange penge i det. Det er nok den mest lukrative ting, at malware skabere fundet ud af, hvordan man laver.
Vi har set, at fokuset på de "onde" er på slutbrugeren. Han eller hun er det svageste link lige nu. Vi har forsøgt som en industri til at uddanne folk, medierne har gjort et godt stykke arbejde for at få ordet ud på, hvordan du kan beskytte dig selv bedre, men det er stadig ret trivielt at sende nogen en målrettet e-mail og få dem til at tage en handling du ønsker: klik på et link, åben en vedhæftet fil, uanset hvad det er, du vil have.
Den anden trussel er online betalinger. Vi vil fortsætte med at se forbedringer på, hvordan virksomhederne betaler betalinger online, men indtil branchen gennemfører sikrere måder at foretage betalinger online, vil dette område være en stor risikofaktor.
Når det kommer til sikkerhed, er folk den svageste forbindelse og også det primære fokus for angreb. Hvordan kunne vi klare dette problem, da social engineering er en af de førende sikkerhedstrusler?
Der er en masse teknologi, som vi kan anvende. Der er kun så meget, du kan gøre for en person, især i en industri, hvor nogle mennesker har tendens til at være mere hjælpsomme end andre. For eksempel i sundhedssektoren, vil folk bare hjælpe andre. Så du sender dem en ondsindet e-mail, og de er mere tilbøjelige til at klikke på, hvad du sender dem end folk i andre industrier, som en politimyndighed.
Så vi har dette problem, men vi kan bruge teknologi. Et af de ting, vi kan gøre, er segmentering, hvilket kan reducere angrebsfladen, der er tilgængelig for enhver slutbruger, drastisk. Vi kalder denne "nul tillid": Når en bruger opretter forbindelse til virksomhedens netværk, forstår netværket, hvem brugeren er, hvad hans eller hendes rolle er i organisationen, hvilke applikationer brugeren skal have adgang til, det vil forstå brugerens maskine og Hvad er maskinens sikkerhedsstilling, til et meget detaljeret niveau. For eksempel kan det endda fortælle ting som udbredelsen af en applikation brugeren har. Prævalens er noget, vi fandt effektive, og det betyder, hvor mange andre mennesker i verden bruger denne ansøgning, og hvor mange i en given organisation. På Cisco udfører vi denne analyse gennem hash: vi har en hash af en ansøgning, og vi har millioner af endepunkter, og de kommer tilbage og siger: "Udbredelsen på denne app er 0.0001%". Prævalens beregner, hvor meget en app bruges i verden og derefter i din organisation. Begge disse foranstaltninger kan være meget gode til at finde ud af om noget er meget mistanke, og om det fortjener at se nærmere på.
Du har en interessant serie af artikler i Network World om mobile device management (MDM) systemer. Men i de senere år synes dette emne at blive diskuteret mindre. Er industriens interesse for sådanne systemer langsommere? Hvad sker der, fra dit perspektiv?
Få ting er sket, hvoraf den ene er, at MDM-systemer er blevet ret mættede på markedet. Næsten alle mine større kunder har et sådant system på plads. Det andet, der er sket, er, at privatlivets regler og privatlivets tankegang er ændret, så mange mennesker ikke længere giver deres personlige enhed (smartphone, tablet osv.) Til deres organisation og tillader en MDM-software at blive installeret. Så vi har denne konkurrence: Virksomheden vil have fuld adgang til de enheder, som deres medarbejdere bruger, så det kan sikre sig selv, og medarbejderne er blevet meget modstandsdygtige overfor denne tilgang. Der er denne konstante kamp mellem de to sider. Vi har set, at udbredelsen af MDM-systemer varierer fra virksomhed til virksomhed, afhængigt af virksomhedskulturen og værdierne, og hvordan hver organisation ønsker at behandle sine medarbejdere.
Påvirker dette indførelsen af programmer som Bring Your Own Device (BYOD) til at virke?
Ja, det gør det helt. Hvad der sker, er for det meste, at folk, der bruger deres egne enheder på virksomhedens netværk, bruger dem i et meget kontrolleret område. Igen kommer segmentering i spil. Hvis jeg bringer min egen enhed til virksomhedens netværk, så kan jeg måske få adgang til internettet, en intern internetserver, men på ingen måde vil jeg kunne få adgang til databaseserverne, de kritiske apps i mit firma eller dets kritiske data fra den pågældende enhed. Det er noget, vi gør programmatisk på Cisco, så brugeren kommer til at gå, hvor den skal i virksomhedens netværk, men ikke hvor virksomheden ikke ønsker at brugeren skal gå fra en personlig enhed.
Det hotteste sikkerhedsproblem på alles radar er "KRACK" (Key Reinstallation AttaCK), der påvirker alle netværksklienter og udstyr ved hjælp af WPA2-krypteringsordningen. Hvad laver Cisco for at hjælpe deres kunder med dette problem?
Det er en stor overraskelse, at en af de ting, vi har stolt på i årevis, nu er crackbar. Det minder os om problemerne med SSL, SSH og alle de ting, vi grundlæggende tror på. Alle er blevet "ikke værdige" af vores tillid.
I dette problem identificerede vi 10 sårbarheder. Af de ti er ni af dem klientbaserede, så vi skal klare klienten. En af dem er netværksrelateret. Til den ene vil Cisco frigive patches. Problemerne er eksklusive til adgangspunktet, og vi behøver ikke at rette routere og switches.
Jeg var glad for at se, at Apple fik deres rettelser i beta-kode, så deres klientenheder snart bliver fuldstændigt patched. Windows har allerede en patch klar osv. For Cisco er vejen let: en sårbarhed på vores adgangspunkter, og vi vil frigive patches og rettelser.
Indtil alt bliver rettet, hvad vil du anbefale dine kunder at gøre for at beskytte sig selv?
I nogle tilfælde behøver du ikke at gøre noget, for nogle gange er kryptering brugt inden for kryptering. Hvis jeg f.eks. Går til min banks hjemmeside, bruger den TLS eller SSL til kommunikationssikkerhed, som ikke påvirkes af dette problem. Så selvom jeg går igennem en bred åben WiFi, ligesom den hos Starbucks, er det ligegyldigt. Hvor dette problem med WPA2 kommer mere i spil er på privatlivssiden. For eksempel, hvis jeg går på et websted, og jeg ikke vil have andre til at vide det, nu vil de vide, fordi WPA2 ikke længere er effektiv.
En ting du kan gøre for at sikre dig selv, er oprettet VPN-forbindelser. Du kan oprette forbindelse til trådløs, men den næste ting du skal gøre er at tænde din VPN. VPN er bare fint, fordi det skaber en krypteret tunnel, der går gennem WiFi. Det virker, indtil VPN krypteringen også bliver hacket, og du skal finde ud af en ny løsning. :)
På forbrugermarkedet binder nogle sikkerhedsleverandører VPN sammen med deres antivirus og samlede sikkerhedssuiter. De begynder også at uddanne forbrugerne, at det ikke længere er nok at have en firewall, og et antivirus, du har også brug for en VPN. Hvad er Cisco's tilgang til sikkerhed for virksomheden? Fremmer du også aktivt VPN som et nødvendigt beskyttelseslag?
VPN er en del af vores pakker til virksomheden. Under normale omstændigheder taler vi ikke om VPN inden for en krypteret tunnel, og WPA2 er en krypteret tunnel. Normalt, fordi det er overkill og der er overhead, der skal ske på klientsiden for at få det hele til at fungere godt. For det meste er det ikke det værd. Hvis kanalen allerede er krypteret, hvorfor kryptere den igen?
I dette tilfælde, når du er fanget med dine bukser, fordi WPA2-sikkerhedsprotokollen er fundamentalt brudt, kan vi falde tilbage på VPN, indtil problemerne løses med WPA2.
Men efter at have sagt det, i intelligensrummet, er sikkerhedsorganisationer som et Department of Defense type organisation, de har gjort det i årevis. De er afhængige af VPN, plus trådløs kryptering, og mange gange er applikationerne i deres VPN også krypterede, så du får en tre-vejs kryptering, der alle bruger forskellige typer kryptografi. Det gør de fordi de er "paranoide" som de burde være. :))
I din præsentation på Cisco Connect nævnte du automation som meget vigtig for sikkerheden. Hvad er din anbefalede tilgang til automatisering i sikkerhed?
Automatisering bliver hurtigt et krav, fordi vi som mennesker ikke kan bevæge os hurtigt nok til at stoppe sikkerhedsbrud og trusler. En kunde havde 10.000 maskiner krypteret af ransomware om 10 minutter. Der er ingen mulighed for at reagere på det, så du har brug for automatisering.
Vores tilgang i dag er ikke så tunghændet, som det måtte blive, men når vi ser noget mistænkeligt, adfærd, der virker som et brud, fortæller vores sikkerhedssystemer netværket om at sætte den pågældende enhed eller den pågældende bruger i karantæne. Dette er ikke purgatory; Du kan stadig gøre nogle ting: Du kan stadig gå til internettet eller få data fra patch management serverne. Du er ikke helt isoleret. I fremtiden må vi måske ændre den filosofi og sige: Når du er karantæne, har du ikke adgang fordi du er for farlig for din organisation.
Hvordan bruger Cisco automation i sin portefølje af sikkerhedsprodukter?
I visse områder bruger vi en masse automatisering. For eksempel i Cisco Talos, vores trusselgruppe, får vi telemetri data fra alle vores sikkerheds widgets og masser af andre data fra andre kilder. Talos-gruppen bruger maskinindlæring og kunstig intelligens til at sortere gennem millioner af optegnelser hver eneste dag. Hvis du kigger på effekten over tid i alle vores sikkerhedsprodukter, er det forbløffende i alle tredjeparts effektivitetstest.
Er brugen af DDOS-angreb langsommere?
Desværre er DDOS som angrebsmetode levende og godt, og det bliver værre. Vi har konstateret, at DDOS-angreb tendens til at være rettet mod bestemte typer af virksomheder. Sådanne angreb anvendes både som et lokkende og som det primære angrebsvåben. Der er også to typer DDOS-angreb: volumetrisk og appbaseret. Det volumetriske er ude af kontrol, hvis man ser på de seneste numre af, hvor meget data de kan generere for at tage nogen ned. Det er latterligt.
En type af virksomheder, der er målrettet mod DDOS-angreb, er dem i detailhandel, normalt i feriesæsonen (Black Friday kommer!). Den anden slags virksomheder, der bliver målrettet mod DDOS-angreb, er dem, der arbejder i kontroversielle områder som olie og gas. I dette tilfælde beskæftiger vi os med mennesker, der har en særlig etisk og moralsk årsag, der beslutter at DDOS en organisation eller en anden, fordi de ikke er enige med det, de laver. Sådanne mennesker gør det for en årsag til et formål og ikke for de involverede penge.
Mennesker bringer ikke deres egne enheder ind i deres organisationer, men også deres egne cloudsystemer (OneDrive, Google Drive, Dropbox osv.) Dette repræsenterer en anden sikkerhedsrisiko for organisationer. Hvordan er et system som Cisco Cloudlock beskæftiger sig med dette problem?
Cloudlock gør to grundlæggende ting: for det første giver du en revision af alle de skyttjenester, der bliver brugt. Vi integrerer Cloudlock med vores webprodukter, så alle weblogs kan læses af Cloudlock. Det vil fortælle dig, hvor alle i organisationen går. Så du ved, at mange mennesker bruger deres egen Dropbox, for eksempel.
Den anden ting, Cloudlock gør, er, at det hele er lavet af API'er, der kommunikerer med cloud services. På denne måde, hvis en bruger offentliggjorde et virksomhedsdokument på boksen, siger Box umiddelbart til Cloudlock at et nyt dokument er ankommet, og det burde tage et kig på det. Så vi vil se på dokumentet, kategorisere det, finde ud af risikoprofilen for dokumentet, såvel som det er blevet delt med andre eller ej. Baseret på resultaterne vil systemet enten stoppe delingen af det pågældende dokument via boksen eller tillade det.
Med Cloudlock kan du indstille regler som: "Dette skal aldrig deles med nogen uden for virksomheden. Hvis det er, skal du slukke for delingen." Du kan også gøre kryptering på forespørgsel baseret på kritikken af hvert dokument. Hvis slutbrugeren ikke krypterede et kritisk forretningsdokument, vil Cloudlock derfor automatisk tvinge krypteringen af dette dokument, når det bogføres på boksen.
Vi vil gerne takke Jamey Heary for dette interview og hans ærlige svar. Hvis du vil komme i kontakt, kan du finde ham på Twitter.
I slutningen af denne artikel kan du dele din mening om emnerne, som vi diskuterede, ved hjælp af kommenteringsindstillingerne nedenfor.
