18. lokakuuta^{(October 18th)} meidät kutsuttiin Cisco Connect 2017 -tapahtumaan^{(Cisco Connect 2017)} . Tapasimme tässä tapahtumassa tietoturvaasiantuntija Jamey Hearyn^{(Jamey Heary)} . Hän on arvostettu järjestelmäinsinööri Cisco ^{(Systems Engineer)}Systemsissä ^(Cisco) ,^(Systems) jossa hän johtaa Global Security Architecture Teamia^{(Global Security Architecture Team)} . Jamey on luotettava tietoturvaneuvoja ja arkkitehti monille Ciscon^(Cisco) suurimmista asiakkaista. Hän on myös kirjailija ja entinen Network World -bloggaaja. Keskustelimme hänen kanssaan turvallisuudesta nykyaikaisessa yrityksessä, merkittävistä tietoturvaongelmista, jotka vaikuttavat yrityksiin ja organisaatioihin, sekä uusimmista haavoittuvuuksista, jotka vaikuttavat kaikkiin langattomiin verkkoihin ja asiakkaisiin (KRACK ). Tässä on mitä hänen oli sanottava:

Yleisömme koostuu sekä loppukäyttäjistä että yrityskäyttäjistä. Aloitaksesi ja esittele itsesi hieman, miten kuvailisit työtäsi Ciscossa^(Cisco) , ei-yrityksen tasolla?

Intohimoni on turvallisuus. Pyrin joka päivä opettamaan asiakkailleni ja loppukäyttäjilleni arkkitehtuurista. Puhun esimerkiksi tietoturvatuotteesta ja sen integroinnista muihin tuotteisiin (omiin tai kolmansien osapuolten tuotteisiin). Siksi käsittelen järjestelmäarkkitehtuuria turvallisuusnäkökulmasta.

Jamey Heary, Cisco

Mitkä ovat tietoturva-asiantuntijan kokemuksesi mukaan nykyaikaisen yrityksen merkittävimmät tietoturvauhat?

Suurimmat niistä ovat sosiaalinen manipulointi ja lunnasohjelmat. Jälkimmäinen aiheuttaa tuhoa niin monissa yrityksissä, ja se pahenee, koska siinä on niin paljon rahaa. Se on luultavasti tuottoisin asia, jonka haittaohjelmien tekijät keksivät.

Olemme nähneet, että "pahisten" painopiste on loppukäyttäjässä. Hän on heikoin lenkki tällä hetkellä. Olemme yrittäneet toimia alana kouluttaa ihmisiä, media on tehnyt hyvää työtä saadakseen sanaa julki, kuinka voisit suojautua paremmin, mutta silti on melko triviaalia lähettää jollekin kohdennettua sähköpostia ja saada hänet ottamaan vastaan. haluamasi toiminto: napsauta linkkiä, avaa liite, mitä tahansa haluat.

Toinen uhka on verkkomaksut. Tulemme näkemään jatkossakin parannuksia tavoissa, joilla yritykset ottavat maksuja verkossa, mutta ennen kuin ala ottaa käyttöön turvallisempia tapoja vastaanottaa maksuja verkossa, tämä alue tulee olemaan valtava riskitekijä.

Turvallisuudesta puhuttaessa ihmiset ovat heikoin lenkki ja myös hyökkäysten ensisijainen kohde. Kuinka voisimme selviytyä tästä ongelmasta, koska sosiaalinen suunnittelu on yksi johtavista turvallisuusuhkista?

Meillä on paljon tekniikkaa, jota voimme soveltaa. Voit tehdä ihmisen hyväksi vain niin paljon, varsinkin alalla, jossa toiset ihmiset ovat yleensä avuliaimpia kuin toiset. Esimerkiksi terveydenhuoltoalalla ihmiset haluavat vain auttaa muita. Joten lähetät heille haitallisen sähköpostin, ja he todennäköisemmin napsauttavat lähettämääsi viestiä kuin muiden alojen ihmiset, kuten poliisi.

Meillä on siis tämä ongelma, mutta voimme käyttää tekniikkaa. Yksi asia, jonka voimme tehdä, on segmentointi, joka voi vähentää dramaattisesti kenen tahansa loppukäyttäjän käytettävissä olevaa hyökkäyspintaa. Kutsumme tätä "nollaluottamukseksi": kun käyttäjä muodostaa yhteyden yrityksen verkkoon, verkko ymmärtää kuka käyttäjä on, mikä hänen roolinsa on organisaatiossa, mitä sovelluksia käyttäjän on käytettävä, se ymmärtää käyttäjän koneen ja mikä on koneen turva-asento, erittäin yksityiskohtaisesti. Se voi esimerkiksi kertoa esimerkiksi käyttäjän sovelluksen yleisyyden. Levinneisyys^(Prevalence) on mielestämme tehokas, ja se tarkoittaa, kuinka moni muu ihminen maailmassa käyttää tätä sovellusta ja kuinka moni tietyssä organisaatiossa. Ciscossa _^(Cisco), teemme tämän analyysin hajautusten avulla: otamme sovelluksen tiivisteen, ja meillä on miljoonia päätepisteitä, ja ne tulevat takaisin ja sanovat: "tässä sovelluksessa esiintyvyys on 0,0001 %". Yleisyys^(Prevalence) laskee, kuinka paljon sovellusta käytetään maailmassa ja sitten organisaatiossasi. Molemmat näistä toimenpiteistä voivat olla erittäin hyviä selvittämään, jos jokin on erittäin epäilyttävää, ja kannattaako sitä tarkastella lähemmin.

Verkkomaailmassa^{(Network World)} on mielenkiintoinen artikkelisarja mobiililaitteiden hallintajärjestelmistä^{(Mobile Device Management)} ( MDM ). Viime vuosina tästä aiheesta näyttää kuitenkin puhuttavan vähemmän. Onko alan kiinnostus tällaisia järjestelmiä kohtaan hiipumassa? Mitä tapahtuu sinun näkökulmastasi?

Harvoja asioita on tapahtunut, joista yksi on se, että MDM -järjestelmät ovat tulleet markkinoilla melko kyllästyneiksi. Melkein^(Almost) kaikilla suuremmilla asiakkaillani on yksi tällainen järjestelmä. Toinen asia, mitä on tapahtunut, on se, että tietosuojasäännökset ja käyttäjien tietosuoja-ajattelu ovat muuttuneet niin, että monet ihmiset eivät enää anna henkilökohtaista laitettaan (älypuhelin, tabletti jne.) organisaatiolleen ja salli MDM - ohjelmiston asentamisen. Meillä on siis tämä kilpailu: yritys haluaa saada täyden pääsyn työntekijöidensä käyttämiin laitteisiin, jotta se voi turvata itsensä ja työntekijöistä on tullut erittäin vastustuskykyisiä tälle lähestymistavalle. Osapuolten välillä käydään jatkuvaa taistelua. Olemme nähneet, että MDM : n esiintyvyys^(MDM)järjestelmät vaihtelevat yhtiöittäin riippuen yrityksen kulttuurista ja arvoista sekä siitä, miten kukin organisaatio haluaa kohdella työntekijöitään.

Vaikuttaako tämä ohjelmien, kuten Bring Your Own Device ( BYOD ) käyttöönottoon?

Kyllä, se tekee täysin. Suurimmaksi osaksi tapahtuu sitä, että ihmiset, jotka käyttävät omia laitteitaan yritysverkossa, käyttävät niitä hyvin valvotulla alueella. Jälleen^(Again) segmentointi tulee peliin. Jos tuon oman laitteeni yritysverkkoon, niin ehkä pääsen Internetiin, johonkin yrityksen sisäiseen verkkopalvelimeen, mutta en missään nimessä pääse käsiksi tietokantapalvelimiin, yritykseni kriittisiin sovelluksiin tai sen kriittistä dataa kyseiseltä laitteelta. Teemme sen ohjelmallisesti Ciscossa^(Cisco) , jotta käyttäjä pääsee henkilökohtaiselta laitteelta sinne, minne hän tarvitsee yrityksen verkossa, mutta ei sinne, missä yritys ei halua käyttäjän menevän.

Kaikkien tutkan kuumin tietoturvaongelma on " KRACK " ( Key Reinstallation AttaCK ), joka vaikuttaa kaikkiin ^{(Key Reinstallation AttaCK)}WPA2 - salausjärjestelmää käyttäviin verkon asiakkaisiin ja laitteisiin . Mitä Cisco tekee auttaakseen asiakkaitaan tämän ongelman kanssa?

On valtava yllätys, että yksi asioista, joihin luotimme vuosia, on nyt murrettavissa. Se muistuttaa meitä ongelmista SSL :n ja SSH :n kanssa ja kaikista asioista, joihin pohjimmiltaan uskomme. Kaikista niistä on tullut luottamuksemme "ei arvoisia".

Tätä ongelmaa varten tunnistimme kymmenen haavoittuvuutta. Näistä kymmenestä yhdeksän on asiakaskohtaisia, joten meidän on korjattava asiakas. Yksi niistä liittyy verkkoon. Tätä varten Cisco aikoo julkaista korjaustiedostoja. Ongelmat koskevat vain tukiasemaa, eikä meidän tarvitse korjata reitittimiä ja kytkimiä.

Olin iloinen nähdessäni, että Apple sai korjauksensa beta-koodiin, joten heidän asiakaslaitteitaan korjataan pian kokonaan. Windowsilla^(Windows) on jo korjaustiedosto valmiina jne. Ciscolle^(Cisco) tie on suoraviivainen: yksi haavoittuvuus tukipisteissämme ja aiomme julkaista korjaustiedostoja ja korjauksia.

Ennen kuin kaikki on korjattu, mitä suosittelisit asiakkaillesi suojellakseen itseään?

Joissakin tapauksissa sinun ei tarvitse tehdä mitään, koska joskus salauksen sisällä käytetään salausta. Jos esimerkiksi menen pankkini verkkosivustolle, se käyttää TLS- tai SSL -suojausta viestintäsuojaukseen, johon tämä ongelma ei vaikuta. Joten vaikka käytänkin laajaa WiFi - yhteyttä, kuten Starbucksissa^(Starbucks) , sillä ei ole niin väliä. Tämä WPA2^(WPA2) - ongelma tulee enemmän esiin yksityisyyden puolella. Jos esimerkiksi menen verkkosivustolle, enkä halua muiden tietävän sitä, nyt he tietävät, koska WPA2 ei ole enää tehokas.

Yksi asia, jonka voit tehdä suojataksesi itsesi, on VPN - yhteyksien määrittäminen. Voit muodostaa yhteyden langattomaan verkkoon, mutta seuraava asia, joka sinun on tehtävä, on kytkeä VPN päälle . VPN on hieno, koska se luo salatun tunnelin, joka kulkee WiFin läpi^(WiFi) . Se toimii, kunnes myös VPN - salaus hakkeroidaan ja sinun on keksittävä uusi ratkaisu. 🙂

Kuluttajamarkkinoilla jotkin tietoturvatoimittajat yhdistävät VPN :n virustorjunta- ja kokonaisturvaohjelmistoineen. He alkavat myös valistaa kuluttajia siitä, että palomuuri ja virustorjunta ei enää riitä, tarvitaan myös VPN . Mikä on Ciscon^(Cisco) lähestymistapa yrityksen tietoturvaan? Mainostatko myös aktiivisesti VPN :ää välttämättömänä suojakerroksena?

VPN on osa pakettejamme yrityksille. Normaalioloissa emme puhu VPN :stä salatun tunnelin sisällä, ja WPA2 on salattu tunneli. Yleensä, koska se on ylityötä ja ylimääräisiä kustannuksia, joiden on tapahduttava asiakkaan puolella, jotta kaikki toimisi hyvin. Suurimmaksi osaksi se ei ole sen arvoista. Jos kanava on jo salattu, miksi salata se uudelleen?

Tässä tapauksessa, kun jäät kiinni housut alhaalla, koska WPA2 - suojausprotokolla on pohjimmiltaan rikki, voimme turvautua VPN :ään , kunnes ongelmat korjataan WPA2 :lla .

Mutta kun on sanottu, että tiedustelualueella turvallisuusorganisaatiot, kuten puolustusministeriön ^(Defense)tyyppiset^(Department) organisaatiot , ovat tehneet tätä vuosia. He luottavat VPN :ään ja langattomaan salaukseen, ja usein myös ^(VPN)VPN :n keskellä olevat sovellukset ovat salattuja, joten saat kolmisuuntaisen salauksen, kaikki käyttämällä erilaisia salaustyyppejä. He tekevät niin, koska he ovat "vainoharhaisia", kuten niiden pitäisikin olla. :))

Esityksessäsi Cisco Connectissa^{(Cisco Connect)} mainitsit automaation erittäin tärkeänä turvallisuuden kannalta. Mitä suosittelet tietoturvan automatisointiin?

Automaatiosta tulee nopeasti vaatimus, koska me ihmisinä emme voi toimia tarpeeksi nopeasti estääksemme tietoturvaloukkauksia ja uhkia. Asiakkaalla oli 10 000 konetta, jotka salasivat lunnasohjelmalla 10 minuutissa. Ei ole inhimillisesti mahdollista reagoida siihen, joten tarvitset automaatiota.

Nykyinen lähestymistapamme ei ole niin kovaääninen kuin sen pitäisi olla, mutta kun näemme jotain epäilyttävää, rikkomukselta näyttävää toimintaa, turvajärjestelmämme käskevät verkkoa laittamaan laitteen tai käyttäjän karanteeniin. Tämä ei ole kiirastuli; voit silti tehdä joitain asioita: voit silti mennä Internetiin tai saada tietoja korjaustiedostojen hallintapalvelimista. Et ole täysin eristetty. Jatkossa meidän on ehkä muutettava tätä filosofiaa ja sanottava: kun olet karanteenissa, sinulla ei ole pääsyä, koska olet liian vaarallinen organisaatiollesi.

Miten Cisco käyttää automaatiota tietoturvatuotteissaan?

Tietyillä alueilla käytämme paljon automaatiota. Esimerkiksi uhkatutkimusryhmämme Cisco Talosissa^{(Cisco Talos)} saamme telemetriatietoja kaikista tietoturvawidgeteistämme ja paljon muuta dataa muista lähteistä. Talos - ryhmä lajittelee miljoonia tietueita koneoppimisen ja tekoälyn avulla joka päivä. Jos tarkastellaan kaikkien tietoturvatuotteidemme tehokkuutta ajan mittaan, se on hämmästyttävää kaikissa kolmannen osapuolen tehokkuustesteissä.

Onko DDOS - hyökkäysten käyttö hidastunut?

Valitettavasti DDOS hyökkäysmenetelmänä elää ja voi hyvin, ja se pahenee. Olemme havainneet, että DDOS -hyökkäykset kohdistuvat yleensä tietyntyyppisiin yrityksiin. Tällaisia hyökkäyksiä käytetään sekä houkuttimina että ensisijaisena hyökkäysaseena. DDOS -hyökkäyksiä on myös kahdenlaisia : volyymi- ja sovelluspohjaisia. Volumetriikka on riistäytynyt hallinnasta, jos tarkastellaan viimeisimpiä lukuja siitä, kuinka paljon dataa ne voivat tuottaa jonkun alaspäin. Se on naurettavaa.

Yksi DDOS^(DDOS) -hyökkäysten kohteena olevien yritysten tyypit ovat vähittäiskaupan yritykset, yleensä lomakaudella ( musta perjantai^{(Black Friday)} on tulossa!). Muita DDOS^(DDOS) -hyökkäysten kohteena olevia yrityksiä ovat ne, jotka työskentelevät kiistanalaisilla aloilla, kuten öljy ja kaasu. Tässä tapauksessa olemme tekemisissä ihmisten kanssa, joilla on erityinen eettinen ja moraalinen syy, jotka päättävät DDOSoida^(DDOS) organisaation tai toisen, koska he eivät ole samaa mieltä tekemisistään. Sellaiset ihmiset tekevät tämän tarkoituksen, tarkoituksen vuoksi, eivätkä rahan vuoksi.

Ihmiset tuovat organisaatioihinsa omien laitteidensa lisäksi myös omat pilvijärjestelmänsä ( OneDrive , Google Drive , Dropbox jne.) Tämä on toinen turvallisuusriski organisaatioille. Miten Cisco Cloudlockin^{(Cisco Cloudlock)} kaltainen järjestelmä käsittelee tätä ongelmaa?

Cloudlock tekee kaksi perusasiaa: ensinnäkin se antaa sinulle tarkastuksen kaikista käytettävistä pilvipalveluista. Integroimme Cloudlockin verkkotuotteihimme, jotta ^(Cloudlock)Cloudlock voi lukea kaikki verkkolokit . Se kertoo, minne kaikki organisaatiossa ovat menossa. Joten tiedät, että monet ihmiset käyttävät esimerkiksi omaa Dropboxiaan .^(Dropbox)

Toinen asia, jonka Cloudlock tekee, on se, että se kaikki on tehty API :sta, joka kommunikoi pilvipalvelujen kanssa. Tällä tavalla, jos käyttäjä julkaisi yrityksen dokumentin Boxissa^(Box) , Box sanoo heti Cloudlockille^(Cloudlock) , että uusi dokumentti on saapunut ja sen pitäisi katsoa se. Joten katsomme asiakirjaa, luokittelemme sen, selvitämme asiakirjan riskiprofiilin sekä onko se jaettu muille vai ei. Tulosten perusteella järjestelmä joko lopettaa kyseisen asiakirjan jakamisen Boxin^(Box) kautta tai sallii sen.

Cloudlockilla voit^(Cloudlock) asettaa sääntöjä, kuten: "Tätä ei saa koskaan jakaa kenellekään yrityksen ulkopuoliselle. Jos on, poista jakaminen käytöstä." Voit myös tehdä salauksen pyynnöstä kunkin asiakirjan kriittisyyden perusteella. Siksi, jos loppukäyttäjä ei salannut kriittistä yritysasiakirjaa , Cloudlock pakottaa asiakirjan salaamisen automaattisesti lähettäessään sen Boxille .^(Box)

Haluamme kiittää Jamey Hearya^{(Jamey Heary)} tästä haastattelusta ja hänen rehellisistä vastauksistaan. Jos haluat ottaa yhteyttä, löydät hänet Twitteristä^{(on Twitter)} .

Kerro tämän artikkelin lopussa mielipiteesi aiheista, joista keskustelimme, käyttämällä alla olevia kommentointivaihtoehtoja.

Jamey Heary from Cisco: Organizations that work with sensitive information, use encrypted WiFi, VPN, and encrypted apps

On October 18th, we were invited to Cisco Connect 2017. At this event, we met with security expert Jamey Heary. He iѕ a Distinguished Systems Engineer at Cisco Systems where he leads the Global Seсurity Architecture Team. Jamey is a trusted security advisor and archіtect for many of Ciѕco's largеst customers. He is also a book author and a former Network World blogger. We talked wіth him about security in the modern enterpriѕe, the significant security issυes that are impacting businesses and organizations, and the latest vulnerabilities that affect all wirelеss networks and clients (KRACK). Here is what he had to say:

Our audience is composed both of end-users and business users. To get started, and introduce yourself a bit, how would you describe your job at Cisco, in a non-corporate way?

My passion is security. What I strive to do every day is teach my customers and end-users about architecture. For example, I talk about a security product and how it integrates with other products (our own or from third parties). Therefore I deal with system architecture from a security perspective.

Jamey Heary, Cisco

In your experience as a security expert, what are the most significant security threats to the modern enterprise?

The big ones are social engineering and ransomware. The latter wreaks devastation in so many companies, and it is going to get worse because there is so much money in it. It is probably the most lucrative thing that malware creators figured out how to do.

We've seen that the focus of the "bad guys" is on the end-user. He or she is the weakest link right now. We have tried as an industry to train people, the media has done a good job at getting the word out on how you could protect yourself better, but still, it is fairly trivial to send somebody a targeted e-mail and get them to take an action you want: click a link, open an attachment, whatever it is that you want.

The other threat is online payments. We are going to continue to see enhancements in the ways companies take payments online but, until the industry implements more secure ways to take payments online, this area is going to be a huge risk factor.

When it comes to security, people are the weakest link and also the primary focus of attacks. How could we cope with this issue, since social engineering is one of the leading security threats?

There is a lot of technology that we can apply. There is only so much you can do for a person, especially in an industry where some people tend to be more helpful than others. For example, in the healthcare industry, people just want to help others. So you send them a malicious e-mail, and they are more likely to click on what you send them than people in other industries, as a police department.

So we have this problem, but we can use technology. One of the things we can do is segmentation, which can drastically reduce the attack surface that is available to any end-user. We call this "zero trust": when a user connects to the company network, the network understands who the user is, what his or her role is in the organization, what applications the user needs to access, it will understand the user's machine and what is the security posture of the machine, to a very detailed level. For example, it can even tell things like the prevalence of an application the user has. Prevalence is something we found effective, and it means how many other people in the world use this application, and how many in a given organization. At Cisco, we do this analysis through hashing: we take a hash of an application, and we have millions of end-points, and they will come back and say: "the prevalence on this app is 0.0001%". Prevalence calculates how much an app is used in the world and then in your organization. Both of these measures can be very good at figuring out if something is very suspect, and whether it deserves to take a closer look at.

You have an interesting series of articles in the Network World about Mobile Device Management (MDM) systems. However, in recent years, this subject seems to be discussed less. Is the industry's interest in such systems slowing down? What is happening, from your perspective?

Few things have happened, one of which is that MDM systems have become fairly saturated in the market. Almost all of my larger customers have one such system in place. The other thing that has happened is that the privacy regulations and the privacy mindset of users have changed such that many people no longer give their personal device (smartphone, tablet, etc.) to their organization and allow an MDM software to get installed. So we have this competition: the enterprise wants to have full access to the devices that are used by their employees so that it can secure itself and the employees have become very resistant to this approach. There is this constant battle between the two sides. We have seen that the prevalence of MDM systems varies from company to company, depending on the company culture and values, and how each organization wants to treat its employees.

Does this affect the adoption of programs like Bring Your Own Device (BYOD) to work?

Yes, it totally does. What is happening, for the most part, is that people that are using their own devices on the corporate network, use them in a very controlled area. Again, segmentation comes into play. If I bring my own device to the corporate network, then maybe I can access the internet, some internal corporate web server, but by no means, I am going to be able to access the database servers, the critical apps of my company or its critical data, from that device. That's something that we do programmatically at Cisco so that the user gets to go where it needs to in the company network but not where the company doesn't want the user to go, from a personal device.

The hottest security issue on everyone's radar is "KRACK" (Key Reinstallation AttaCK), affecting all network clients and equipment using the WPA2 encryption scheme. What is Cisco doing to help their customers with this problem?

It is a huge surprise that one of the things that we relied on for years is now crackable. It reminds us of the issues with SSL, SSH and all the things that we fundamentally believe in. All of them have become "not worthy" of our trust.

For this issue, we identified ten vulnerabilities. Of those ten, nine of them are client-based, so we have to fix the client. One of them is network related. For that one, Cisco is going to release patches. The issues are exclusive to the access point, and we don't have to fix routers and switches.

I was delighted to see that Apple got their fixes in beta code so their client devices will soon be fully patched. Windows already has a patch ready, etc. For Cisco, the road is straightforward: one vulnerability on our access points and we are going to release patches and fixes.

Until everything gets fixed, what would you recommend your customers do to protect themselves?

In some cases, you don't need to do anything, because sometimes encryption is used inside encryption. For example, if I go to my bank's website, it uses TLS or SSL for communications security, which isn't affected by this issue. So, even if I am going through a wide-open WiFi, like the one at Starbucks, it doesn't matter as much. Where this issue with WPA2 comes more into play is on the privacy side. For example, if I go to a website and I don't want others to know that, now they are going to know because WPA2 is not effective anymore.

One thing you can do to secure yourself is set up VPN connections. You can connect to wireless, but the next thing you have to do is turn on your VPN. The VPN is just fine because it creates an encrypted tunnel going through the WiFi. It will work until the VPN encryption gets hacked too and you need to figure out a new solution. 🙂

On the consumer market, some security vendors are bundling VPN with their antivirus and total security suites. They are also starting to educate consumers that it is no longer enough to have a firewall, and an antivirus, you also need a VPN. What is Cisco's approach regarding security for the enterprise? Do you also actively promote VPN as a necessary protection layer?

VPN is part of our packages for the enterprise. In normal circumstances, we don't talk about VPN within an encrypted tunnel and WPA2 is an encrypted tunnel. Usually, because it is overkill and there is overhead that has to happen on the client side to make it all work well. For the most part, it is not worth it. If the channel is already encrypted, why encrypt it again?

In this case, when you are caught with your pants down because the WPA2 security protocol is fundamentally broken, we can fall back on VPN, until the issues get fixed with WPA2.

But having said that, in the intelligence space, security organizations like a Department of Defense type of organization, they've been doing this for years. They rely on VPN, plus wireless encryption and, a lot of times the applications in the middle of their VPN are also encrypted, so you get a three-way encryption, all using different types of cryptography. They do that because they are "paranoid" as they should be. :))

In your presentation at Cisco Connect, you mentioned automation as being very important in security. What is your recommended approach for automation in security?

Automation will become a requirement quickly because we, as humans, we can't move fast enough to stop security breaches and threats. A customer had 10.000 machines encrypted by ransomware in 10 minutes. There is no way humanly possible that you can react to that, so you need automation.

Our approach today is not as heavy-handed as it might have to become but, when we see something suspicious, behavior that seems like a breach, our security systems tell the network to put that device or that user into quarantine. This isn't purgatory; you can still do some stuff: you can still go to the internet or get data from the patch management servers. You are not totally isolated. In the future, we might have to change that philosophy and say: once you are quarantined, you don't have any access because you are too dangerous for your organization.

How is Cisco using automation in its portfolio of security products?

In certain areas, we use a lot of automation. For example, in Cisco Talos, our threat research group, we get telemetry data from all our security widgets and a ton of other data from other sources. The Talos group uses machine learning and artificial intelligence to sort through millions of records every single day. If you look at the efficacy over time in all of our security products, it is amazing, in all the third-party efficacy tests.

Is the use of DDOS attacks slowing down?

Unfortunately, DDOS as an attack method is alive and well, and it is getting worse. We have found that DDOS attacks tend to be targeted towards certain types of corporations. Such attacks are used both as a decoy and as the primary attack weapon. There are also two types of DDOS attacks: volumetric and app based. The volumetric has gotten out of control if you look at the latest numbers of how much data they can generate to take somebody down. It is ridiculous.

One type of corporations that are targeted by DDOS attacks is those in retail, usually during the holiday season (Black Friday is coming!). The other kind of companies that get targeted by DDOS attacks is those that work in controversial areas, like oil and gas. In this case, we are dealing with people who have a particular ethical and moral cause, who decide to DDOS an organization or another because they don't agree with what they are doing. Such people do this for a cause, for a purpose, and not for the money involved.

People bring into their organizations not only their own devices but also their own cloud systems (OneDrive, Google Drive, Dropbox, etc.) This represents another security risk for organizations. How is a system like Cisco Cloudlock dealing with this issue?

Cloudlock does two fundamental things: first, it is giving you an audit of all the cloud services that are being used. We integrate Cloudlock with our web products so that all the web logs can be read by Cloudlock. That will tell you where everybody in the organization is going. So you know that a lot of people are using their own Dropbox, for example.

The second thing that Cloudlock does is that it is all made of API's that communicate with cloud services. This way, if a user published a company document on Box, Box immediately says to Cloudlock that a new document has arrived and it should take a look at it. So we will look at the document, categorize it, figure out the risk profile of the document, as well as has it been shared with others or not. Based on the results, the system will either stop the sharing of that document through Box or allow it.

With Cloudlock you can set rules like: "this should never be shared with anyone outside the company. If it is, turn the sharing off." You can also do encryption on demand, based on the criticality of each document. Therefore, if the end user did not encrypt a critical business document, when posting it on Box, Cloudlock will force the encryption of that document automatically.

We would like to thank Jamey Heary for this interview and his candid answers. If you want to get in touch, you can find him on Twitter.

At the end of this article, share your opinion about the subjects that we discussed, using the commenting options available below.

Sari Mäkelä

About the author

Hei! Nimeni on ja olen laitteistohakkeri. Minulla on yli 10 vuoden kokemus tietokoneiden korjaamisesta ja muokkaamisesta. Voin korjata melkein mitä tahansa kannettavista tietokoneista tabletteihin ja älytelevisioihin. Taitojeni avulla pystyn auttamaan asiakkaita ratkaisemaan ongelmansa nopeasti ja tehokkaasti. Blogini on omistettu auttamaan ihmisiä korjaamaan tietokoneita ja laitteitaan oikeilla työkaluilla. Ja Facebook-sivullani jaan vinkkejä, temppuja ja oivalluksia kaikesta tietokoneeseen liittyvästä!

Jamey Heary Ciscosta: Organisaatiot, jotka käsittelevät arkaluonteisia tietoja, käyttävät salattua WiFi-yhteyttä, VPN:ää ja salattuja sovelluksia

Yleisömme koostuu sekä loppukäyttäjistä että yrityskäyttäjistä. Aloitaksesi ja esittele itsesi hieman, miten kuvailisit työtäsi Ciscossa(Cisco) , ei-yrityksen tasolla?

Mitkä ovat tietoturva-asiantuntijan kokemuksesi mukaan nykyaikaisen yrityksen merkittävimmät tietoturvauhat?

Turvallisuudesta puhuttaessa ihmiset ovat heikoin lenkki ja myös hyökkäysten ensisijainen kohde. Kuinka voisimme selviytyä tästä ongelmasta, koska sosiaalinen suunnittelu on yksi johtavista turvallisuusuhkista?

Vaikuttaako tämä ohjelmien, kuten Bring Your Own Device ( BYOD ) käyttöönottoon?

Kaikkien tutkan kuumin tietoturvaongelma on " KRACK " ( Key Reinstallation AttaCK ), joka vaikuttaa kaikkiin (Key Reinstallation AttaCK)WPA2 - salausjärjestelmää käyttäviin verkon asiakkaisiin ja laitteisiin . Mitä Cisco tekee auttaakseen asiakkaitaan tämän ongelman kanssa?

Ennen kuin kaikki on korjattu, mitä suosittelisit asiakkaillesi suojellakseen itseään?

Esityksessäsi Cisco Connectissa(Cisco Connect) mainitsit automaation erittäin tärkeänä turvallisuuden kannalta. Mitä suosittelet tietoturvan automatisointiin?

Miten Cisco käyttää automaatiota tietoturvatuotteissaan?

Onko DDOS - hyökkäysten käyttö hidastunut?

Ihmiset tuovat organisaatioihinsa omien laitteidensa lisäksi myös omat pilvijärjestelmänsä ( OneDrive , Google Drive , Dropbox jne.) Tämä on toinen turvallisuusriski organisaatioille. Miten Cisco Cloudlockin(Cisco Cloudlock) kaltainen järjestelmä käsittelee tätä ongelmaa?

Jamey Heary from Cisco: Organizations that work with sensitive information, use encrypted WiFi, VPN, and encrypted apps

Our audience is composed both of end-users and business users. To get started, and introduce yourself a bit, how would you describe your job at Cisco, in a non-corporate way?

In your experience as a security expert, what are the most significant security threats to the modern enterprise?

When it comes to security, people are the weakest link and also the primary focus of attacks. How could we cope with this issue, since social engineering is one of the leading security threats?

You have an interesting series of articles in the Network World about Mobile Device Management (MDM) systems. However, in recent years, this subject seems to be discussed less. Is the industry's interest in such systems slowing down? What is happening, from your perspective?

Does this affect the adoption of programs like Bring Your Own Device (BYOD) to work?

The hottest security issue on everyone's radar is "KRACK" (Key Reinstallation AttaCK), affecting all network clients and equipment using the WPA2 encryption scheme. What is Cisco doing to help their customers with this problem?

Until everything gets fixed, what would you recommend your customers do to protect themselves?

In your presentation at Cisco Connect, you mentioned automation as being very important in security. What is your recommended approach for automation in security?

How is Cisco using automation in its portfolio of security products?

Is the use of DDOS attacks slowing down?

People bring into their organizations not only their own devices but also their own cloud systems (OneDrive, Google Drive, Dropbox, etc.) This represents another security risk for organizations. How is a system like Cisco Cloudlock dealing with this issue?

Sari Mäkelä

About the author

Related posts

8 askelta ASUS-reitittimesi tai ASUS Lyra mesh WiFi -turvallisuuden maksimoimiseksi

Kyberturvallisuus koulutuksen kautta: Kaspersky Interactive Protection Simulation

PowerLinks-mainokset vaarantavat miljoonia lukijoita suurista julkaisuista, kuten The Verge, Vice News ja monet muut.

Palkinnot - Vuoden 2017 suosituin virustorjuntatuote

Mitä uutta Windows 10:n marraskuun 2019 päivityksessä?

Suojaus kaikille – TunnelBear 3 VPN for Windows -tarkistus

Palkinnot - Vuoden 2017 paras virustorjuntatuote

Virustorjuntatoimittajien 5 ärsyttävintä käytäntöä

VPN-yhteyksien lisääminen, muuttaminen tai poistaminen Windows 8.1:ssä

Mikä on vikasietotila? -

Suojaus kaikille – TorGuard VPN:n tarkistaminen

Tietoturva kaikille – Kuinka arvioimme tietoturvatuotteita

Tietoja InPrivatesta ja Incognitosta. Mitä on yksityinen selaus? Mikä selain on paras?

VPN-yhteyden luominen, määrittäminen ja käyttäminen iPhonessa (tai iPadissa)

Palkinnot: Vuoden 2018 paras virustorjuntatuote

Mikä on Windows 10 Creators Update ja miksi se kannattaa asentaa?

Suojaus kaikille – F-Secure Freedome VPN:n tarkistaminen

9 tärkeää kriteeriä valittaessa virustorjuntaohjelmistoa

8 asiaa, joita voit tehdä ESET EndPoint Encryptionilla (DESlock+)

Mitä uutta Windows 10:n toukokuun 2019 päivityksessä? 13 uutta ominaisuutta!

Yleisömme koostuu sekä loppukäyttäjistä että yrityskäyttäjistä. Aloitaksesi ja esittele itsesi hieman, miten kuvailisit työtäsi Ciscossa^(Cisco) , ei-yrityksen tasolla?

Kaikkien tutkan kuumin tietoturvaongelma on " KRACK " ( Key Reinstallation AttaCK ), joka vaikuttaa kaikkiin ^{(Key Reinstallation AttaCK)}WPA2 - salausjärjestelmää käyttäviin verkon asiakkaisiin ja laitteisiin . Mitä Cisco tekee auttaakseen asiakkaitaan tämän ongelman kanssa?

Esityksessäsi Cisco Connectissa^{(Cisco Connect)} mainitsit automaation erittäin tärkeänä turvallisuuden kannalta. Mitä suosittelet tietoturvan automatisointiin?

Ihmiset tuovat organisaatioihinsa omien laitteidensa lisäksi myös omat pilvijärjestelmänsä ( OneDrive , Google Drive , Dropbox jne.) Tämä on toinen turvallisuusriski organisaatioille. Miten Cisco Cloudlockin^{(Cisco Cloudlock)} kaltainen järjestelmä käsittelee tätä ongelmaa?