Jamey Heary Ciscosta: Organisaatiot, jotka käsittelevät arkaluonteisia tietoja, käyttävät salattua WiFi-yhteyttä, VPN:ää ja salattuja sovelluksia

18. lokakuuta(October 18th) meidät kutsuttiin Cisco Connect 2017 -tapahtumaan(Cisco Connect 2017) . Tapasimme tässä tapahtumassa tietoturvaasiantuntija Jamey Hearyn(Jamey Heary) . Hän on arvostettu järjestelmäinsinööri Cisco (Systems Engineer)Systemsissä (Cisco) ,(Systems) jossa hän johtaa Global Security Architecture Teamia(Global Security Architecture Team) . Jamey on luotettava tietoturvaneuvoja ja arkkitehti monille Ciscon(Cisco) suurimmista asiakkaista. Hän on myös kirjailija ja entinen Network World -bloggaaja. Keskustelimme hänen kanssaan turvallisuudesta nykyaikaisessa yrityksessä, merkittävistä tietoturvaongelmista, jotka vaikuttavat yrityksiin ja organisaatioihin, sekä uusimmista haavoittuvuuksista, jotka vaikuttavat kaikkiin langattomiin verkkoihin ja asiakkaisiin (KRACK ). Tässä on mitä hänen oli sanottava:

Yleisömme koostuu sekä loppukäyttäjistä että yrityskäyttäjistä. Aloitaksesi ja esittele itsesi hieman, miten kuvailisit työtäsi Ciscossa(Cisco) , ei-yrityksen tasolla?

Intohimoni on turvallisuus. Pyrin joka päivä opettamaan asiakkailleni ja loppukäyttäjilleni arkkitehtuurista. Puhun esimerkiksi tietoturvatuotteesta ja sen integroinnista muihin tuotteisiin (omiin tai kolmansien osapuolten tuotteisiin). Siksi käsittelen järjestelmäarkkitehtuuria turvallisuusnäkökulmasta.

Jamey Heary, Cisco

Mitkä ovat tietoturva-asiantuntijan kokemuksesi mukaan nykyaikaisen yrityksen merkittävimmät tietoturvauhat?

Suurimmat niistä ovat sosiaalinen manipulointi ja lunnasohjelmat. Jälkimmäinen aiheuttaa tuhoa niin monissa yrityksissä, ja se pahenee, koska siinä on niin paljon rahaa. Se on luultavasti tuottoisin asia, jonka haittaohjelmien tekijät keksivät.

Olemme nähneet, että "pahisten" painopiste on loppukäyttäjässä. Hän on heikoin lenkki tällä hetkellä. Olemme yrittäneet toimia alana kouluttaa ihmisiä, media on tehnyt hyvää työtä saadakseen sanaa julki, kuinka voisit suojautua paremmin, mutta silti on melko triviaalia lähettää jollekin kohdennettua sähköpostia ja saada hänet ottamaan vastaan. haluamasi toiminto: napsauta linkkiä, avaa liite, mitä tahansa haluat.

Toinen uhka on verkkomaksut. Tulemme näkemään jatkossakin parannuksia tavoissa, joilla yritykset ottavat maksuja verkossa, mutta ennen kuin ala ottaa käyttöön turvallisempia tapoja vastaanottaa maksuja verkossa, tämä alue tulee olemaan valtava riskitekijä.

Turvallisuudesta puhuttaessa ihmiset ovat heikoin lenkki ja myös hyökkäysten ensisijainen kohde. Kuinka voisimme selviytyä tästä ongelmasta, koska sosiaalinen suunnittelu on yksi johtavista turvallisuusuhkista?

Meillä on paljon tekniikkaa, jota voimme soveltaa. Voit tehdä ihmisen hyväksi vain niin paljon, varsinkin alalla, jossa toiset ihmiset ovat yleensä avuliaimpia kuin toiset. Esimerkiksi terveydenhuoltoalalla ihmiset haluavat vain auttaa muita. Joten lähetät heille haitallisen sähköpostin, ja he todennäköisemmin napsauttavat lähettämääsi viestiä kuin muiden alojen ihmiset, kuten poliisi.

Meillä on siis tämä ongelma, mutta voimme käyttää tekniikkaa. Yksi asia, jonka voimme tehdä, on segmentointi, joka voi vähentää dramaattisesti kenen tahansa loppukäyttäjän käytettävissä olevaa hyökkäyspintaa. Kutsumme tätä "nollaluottamukseksi": kun käyttäjä muodostaa yhteyden yrityksen verkkoon, verkko ymmärtää kuka käyttäjä on, mikä hänen roolinsa on organisaatiossa, mitä sovelluksia käyttäjän on käytettävä, se ymmärtää käyttäjän koneen ja mikä on koneen turva-asento, erittäin yksityiskohtaisesti. Se voi esimerkiksi kertoa esimerkiksi käyttäjän sovelluksen yleisyyden. Levinneisyys(Prevalence) on mielestämme tehokas, ja se tarkoittaa, kuinka moni muu ihminen maailmassa käyttää tätä sovellusta ja kuinka moni tietyssä organisaatiossa. Ciscossa _(Cisco), teemme tämän analyysin hajautusten avulla: otamme sovelluksen tiivisteen, ja meillä on miljoonia päätepisteitä, ja ne tulevat takaisin ja sanovat: "tässä sovelluksessa esiintyvyys on 0,0001 %". Yleisyys(Prevalence) laskee, kuinka paljon sovellusta käytetään maailmassa ja sitten organisaatiossasi. Molemmat näistä toimenpiteistä voivat olla erittäin hyviä selvittämään, jos jokin on erittäin epäilyttävää, ja kannattaako sitä tarkastella lähemmin.

Verkkomaailmassa(Network World) on mielenkiintoinen artikkelisarja mobiililaitteiden hallintajärjestelmistä(Mobile Device Management) ( MDM ). Viime vuosina tästä aiheesta näyttää kuitenkin puhuttavan vähemmän. Onko alan kiinnostus tällaisia ​​järjestelmiä kohtaan hiipumassa? Mitä tapahtuu sinun näkökulmastasi?

Harvoja asioita on tapahtunut, joista yksi on se, että MDM -järjestelmät ovat tulleet markkinoilla melko kyllästyneiksi. Melkein(Almost) kaikilla suuremmilla asiakkaillani on yksi tällainen järjestelmä. Toinen asia, mitä on tapahtunut, on se, että tietosuojasäännökset ja käyttäjien tietosuoja-ajattelu ovat muuttuneet niin, että monet ihmiset eivät enää anna henkilökohtaista laitettaan (älypuhelin, tabletti jne.) organisaatiolleen ja salli MDM - ohjelmiston asentamisen. Meillä on siis tämä kilpailu: yritys haluaa saada täyden pääsyn työntekijöidensä käyttämiin laitteisiin, jotta se voi turvata itsensä ja työntekijöistä on tullut erittäin vastustuskykyisiä tälle lähestymistavalle. Osapuolten välillä käydään jatkuvaa taistelua. Olemme nähneet, että MDM : n esiintyvyys(MDM)järjestelmät vaihtelevat yhtiöittäin riippuen yrityksen kulttuurista ja arvoista sekä siitä, miten kukin organisaatio haluaa kohdella työntekijöitään.

Vaikuttaako tämä ohjelmien, kuten Bring Your Own Device ( BYOD ) käyttöönottoon?

Kyllä, se tekee täysin. Suurimmaksi osaksi tapahtuu sitä, että ihmiset, jotka käyttävät omia laitteitaan yritysverkossa, käyttävät niitä hyvin valvotulla alueella. Jälleen(Again) segmentointi tulee peliin. Jos tuon oman laitteeni yritysverkkoon, niin ehkä pääsen Internetiin, johonkin yrityksen sisäiseen verkkopalvelimeen, mutta en missään nimessä pääse käsiksi tietokantapalvelimiin, yritykseni kriittisiin sovelluksiin tai sen kriittistä dataa kyseiseltä laitteelta. Teemme sen ohjelmallisesti Ciscossa(Cisco) , jotta käyttäjä pääsee henkilökohtaiselta laitteelta sinne, minne hän tarvitsee yrityksen verkossa, mutta ei sinne, missä yritys ei halua käyttäjän menevän.

Kaikkien tutkan kuumin tietoturvaongelma on " KRACK " ( Key Reinstallation AttaCK ), joka vaikuttaa kaikkiin (Key Reinstallation AttaCK)WPA2 - salausjärjestelmää käyttäviin verkon asiakkaisiin ja laitteisiin . Mitä Cisco tekee auttaakseen asiakkaitaan tämän ongelman kanssa?

On valtava yllätys, että yksi asioista, joihin luotimme vuosia, on nyt murrettavissa. Se muistuttaa meitä ongelmista SSL :n ja SSH :n kanssa ja kaikista asioista, joihin pohjimmiltaan uskomme. Kaikista niistä on tullut luottamuksemme "ei arvoisia".

Tätä ongelmaa varten tunnistimme kymmenen haavoittuvuutta. Näistä kymmenestä yhdeksän on asiakaskohtaisia, joten meidän on korjattava asiakas. Yksi niistä liittyy verkkoon. Tätä varten Cisco aikoo julkaista korjaustiedostoja. Ongelmat koskevat vain tukiasemaa, eikä meidän tarvitse korjata reitittimiä ja kytkimiä.

Olin iloinen nähdessäni, että Apple sai korjauksensa beta-koodiin, joten heidän asiakaslaitteitaan korjataan pian kokonaan. Windowsilla(Windows) on jo korjaustiedosto valmiina jne. Ciscolle(Cisco) tie on suoraviivainen: yksi haavoittuvuus tukipisteissämme ja aiomme julkaista korjaustiedostoja ja korjauksia.

Ennen kuin kaikki on korjattu, mitä suosittelisit asiakkaillesi suojellakseen itseään?

Joissakin tapauksissa sinun ei tarvitse tehdä mitään, koska joskus salauksen sisällä käytetään salausta. Jos esimerkiksi menen pankkini verkkosivustolle, se käyttää TLS- tai SSL -suojausta viestintäsuojaukseen, johon tämä ongelma ei vaikuta. Joten vaikka käytänkin laajaa WiFi - yhteyttä, kuten Starbucksissa(Starbucks) , sillä ei ole niin väliä. Tämä WPA2(WPA2) - ongelma tulee enemmän esiin yksityisyyden puolella. Jos esimerkiksi menen verkkosivustolle, enkä halua muiden tietävän sitä, nyt he tietävät, koska WPA2 ei ole enää tehokas.

Yksi asia, jonka voit tehdä suojataksesi itsesi, on VPN - yhteyksien määrittäminen. Voit muodostaa yhteyden langattomaan verkkoon, mutta seuraava asia, joka sinun on tehtävä, on kytkeä VPN päälle . VPN on hieno, koska se luo salatun tunnelin, joka kulkee WiFin läpi(WiFi) . Se toimii, kunnes myös VPN - salaus hakkeroidaan ja sinun on keksittävä uusi ratkaisu. 🙂

Kuluttajamarkkinoilla jotkin tietoturvatoimittajat yhdistävät VPN :n virustorjunta- ja kokonaisturvaohjelmistoineen. He alkavat myös valistaa kuluttajia siitä, että palomuuri ja virustorjunta ei enää riitä, tarvitaan myös VPN . Mikä on Ciscon(Cisco) lähestymistapa yrityksen tietoturvaan? Mainostatko myös aktiivisesti VPN :ää välttämättömänä suojakerroksena?

VPN on osa pakettejamme yrityksille. Normaalioloissa emme puhu VPN :stä salatun tunnelin sisällä, ja WPA2 on salattu tunneli. Yleensä, koska se on ylityötä ja ylimääräisiä kustannuksia, joiden on tapahduttava asiakkaan puolella, jotta kaikki toimisi hyvin. Suurimmaksi osaksi se ei ole sen arvoista. Jos kanava on jo salattu, miksi salata se uudelleen?

Tässä tapauksessa, kun jäät kiinni housut alhaalla, koska WPA2 - suojausprotokolla on pohjimmiltaan rikki, voimme turvautua VPN :ään , kunnes ongelmat korjataan WPA2 :lla .

Mutta kun on sanottu, että tiedustelualueella turvallisuusorganisaatiot, kuten puolustusministeriön (Defense)tyyppiset(Department) organisaatiot , ovat tehneet tätä vuosia. He luottavat VPN :ään ja langattomaan salaukseen, ja usein myös (VPN)VPN :n keskellä olevat sovellukset ovat salattuja, joten saat kolmisuuntaisen salauksen, kaikki käyttämällä erilaisia ​​salaustyyppejä. He tekevät niin, koska he ovat "vainoharhaisia", kuten niiden pitäisikin olla. :))

Esityksessäsi Cisco Connectissa(Cisco Connect) mainitsit automaation erittäin tärkeänä turvallisuuden kannalta. Mitä suosittelet tietoturvan automatisointiin?

Automaatiosta tulee nopeasti vaatimus, koska me ihmisinä emme voi toimia tarpeeksi nopeasti estääksemme tietoturvaloukkauksia ja uhkia. Asiakkaalla oli 10 000 konetta, jotka salasivat lunnasohjelmalla 10 minuutissa. Ei ole inhimillisesti mahdollista reagoida siihen, joten tarvitset automaatiota.

Nykyinen lähestymistapamme ei ole niin kovaääninen kuin sen pitäisi olla, mutta kun näemme jotain epäilyttävää, rikkomukselta näyttävää toimintaa, turvajärjestelmämme käskevät verkkoa laittamaan laitteen tai käyttäjän karanteeniin. Tämä ei ole kiirastuli; voit silti tehdä joitain asioita: voit silti mennä Internetiin tai saada tietoja korjaustiedostojen hallintapalvelimista. Et ole täysin eristetty. Jatkossa meidän on ehkä muutettava tätä filosofiaa ja sanottava: kun olet karanteenissa, sinulla ei ole pääsyä, koska olet liian vaarallinen organisaatiollesi.

Miten Cisco käyttää automaatiota tietoturvatuotteissaan?

Tietyillä alueilla käytämme paljon automaatiota. Esimerkiksi uhkatutkimusryhmämme Cisco Talosissa(Cisco Talos) saamme telemetriatietoja kaikista tietoturvawidgeteistämme ja paljon muuta dataa muista lähteistä. Talos - ryhmä lajittelee miljoonia tietueita koneoppimisen ja tekoälyn avulla joka päivä. Jos tarkastellaan kaikkien tietoturvatuotteidemme tehokkuutta ajan mittaan, se on hämmästyttävää kaikissa kolmannen osapuolen tehokkuustesteissä.

Onko DDOS - hyökkäysten käyttö hidastunut?

Valitettavasti DDOS hyökkäysmenetelmänä elää ja voi hyvin, ja se pahenee. Olemme havainneet, että DDOS -hyökkäykset kohdistuvat yleensä tietyntyyppisiin yrityksiin. Tällaisia ​​hyökkäyksiä käytetään sekä houkuttimina että ensisijaisena hyökkäysaseena. DDOS -hyökkäyksiä on myös kahdenlaisia : volyymi- ja sovelluspohjaisia. Volumetriikka on riistäytynyt hallinnasta, jos tarkastellaan viimeisimpiä lukuja siitä, kuinka paljon dataa ne voivat tuottaa jonkun alaspäin. Se on naurettavaa.

Yksi DDOS(DDOS) -hyökkäysten kohteena olevien yritysten tyypit ovat vähittäiskaupan yritykset, yleensä lomakaudella ( musta perjantai(Black Friday) on tulossa!). Muita DDOS(DDOS) -hyökkäysten kohteena olevia yrityksiä ovat ne, jotka työskentelevät kiistanalaisilla aloilla, kuten öljy ja kaasu. Tässä tapauksessa olemme tekemisissä ihmisten kanssa, joilla on erityinen eettinen ja moraalinen syy, jotka päättävät DDOSoida(DDOS) organisaation tai toisen, koska he eivät ole samaa mieltä tekemisistään. Sellaiset ihmiset tekevät tämän tarkoituksen, tarkoituksen vuoksi, eivätkä rahan vuoksi.

Ihmiset tuovat organisaatioihinsa omien laitteidensa lisäksi myös omat pilvijärjestelmänsä ( OneDrive , Google Drive , Dropbox jne.) Tämä on toinen turvallisuusriski organisaatioille. Miten Cisco Cloudlockin(Cisco Cloudlock) kaltainen järjestelmä käsittelee tätä ongelmaa?

Cloudlock tekee kaksi perusasiaa: ensinnäkin se antaa sinulle tarkastuksen kaikista käytettävistä pilvipalveluista. Integroimme Cloudlockin verkkotuotteihimme, jotta (Cloudlock)Cloudlock voi lukea kaikki verkkolokit . Se kertoo, minne kaikki organisaatiossa ovat menossa. Joten tiedät, että monet ihmiset käyttävät esimerkiksi omaa Dropboxiaan .(Dropbox)

Toinen asia, jonka Cloudlock tekee, on se, että se kaikki on tehty API :sta, joka kommunikoi pilvipalvelujen kanssa. Tällä tavalla, jos käyttäjä julkaisi yrityksen dokumentin Boxissa(Box) , Box sanoo heti Cloudlockille(Cloudlock) , että uusi dokumentti on saapunut ja sen pitäisi katsoa se. Joten katsomme asiakirjaa, luokittelemme sen, selvitämme asiakirjan riskiprofiilin sekä onko se jaettu muille vai ei. Tulosten perusteella järjestelmä joko lopettaa kyseisen asiakirjan jakamisen Boxin(Box) kautta tai sallii sen.

Cloudlockilla voit(Cloudlock) asettaa sääntöjä, kuten: "Tätä ei saa koskaan jakaa kenellekään yrityksen ulkopuoliselle. Jos on, poista jakaminen käytöstä." Voit myös tehdä salauksen pyynnöstä kunkin asiakirjan kriittisyyden perusteella. Siksi, jos loppukäyttäjä ei salannut kriittistä yritysasiakirjaa , Cloudlock pakottaa asiakirjan salaamisen automaattisesti lähettäessään sen Boxille .(Box)

 

Haluamme kiittää Jamey Hearya(Jamey Heary) tästä haastattelusta ja hänen rehellisistä vastauksistaan. Jos haluat ottaa yhteyttä, löydät hänet Twitteristä(on Twitter) .

Kerro tämän artikkelin lopussa mielipiteesi aiheista, joista keskustelimme, käyttämällä alla olevia kommentointivaihtoehtoja.



About the author

Hei! Nimeni on ja olen laitteistohakkeri. Minulla on yli 10 vuoden kokemus tietokoneiden korjaamisesta ja muokkaamisesta. Voin korjata melkein mitä tahansa kannettavista tietokoneista tabletteihin ja älytelevisioihin. Taitojeni avulla pystyn auttamaan asiakkaita ratkaisemaan ongelmansa nopeasti ja tehokkaasti. Blogini on omistettu auttamaan ihmisiä korjaamaan tietokoneita ja laitteitaan oikeilla työkaluilla. Ja Facebook-sivullani jaan vinkkejä, temppuja ja oivalluksia kaikesta tietokoneeseen liittyvästä!



Related posts