Jamey Heary fra Cisco: Organisationer, der arbejder med følsomme oplysninger, bruger krypteret WiFi, VPN og krypterede apps
Den 18. oktober(October 18th) blev vi inviteret til Cisco Connect 2017 . Ved denne begivenhed mødtes vi med sikkerhedsekspert Jamey Heary . Han er en Distinguished Systems Engineer hos Cisco Systems , hvor han leder Global Security Architecture Team . Jamey er en pålidelig sikkerhedsrådgiver og arkitekt for mange af Ciscos(Cisco) største kunder. Han er også bogforfatter og tidligere Network World- blogger. Vi talte med ham om sikkerhed i den moderne virksomhed, de væsentlige sikkerhedsproblemer, der påvirker virksomheder og organisationer, og de seneste sårbarheder, der påvirker alle trådløse netværk og klienter (KRACK ). Her er hvad han havde at sige:
Vores publikum består af både slutbrugere og forretningsbrugere. For at komme i gang og præsentere dig selv lidt, hvordan vil du beskrive dit job hos Cisco på en ikke-virksomhedsmæssig måde?
Min passion er tryghed. Det, jeg stræber efter at gøre hver dag, er at lære mine kunder og slutbrugere om arkitektur. For eksempel taler jeg om et sikkerhedsprodukt, og hvordan det integreres med andre produkter (vores egne eller fra tredjeparter). Derfor beskæftiger jeg mig med systemarkitektur ud fra et sikkerhedsperspektiv.
I din erfaring som sikkerhedsekspert, hvad er de væsentligste sikkerhedstrusler mod den moderne virksomhed?
De store er social engineering og ransomware. Det sidste laver ødelæggelser i så mange virksomheder, og det bliver værre, fordi der er så mange penge i det. Det er nok den mest lukrative ting, som malware-skabere fandt ud af, hvordan man gør.
Vi har set, at "de onde"s fokus er på slutbrugeren. Han eller hun er det svageste led lige nu. Vi har forsøgt som branche at uddanne folk, medierne har gjort et godt stykke arbejde med at få budskabet ud om, hvordan man bedre kan beskytte sig selv, men alligevel er det ret trivielt at sende nogen en målrettet e-mail og få dem til at tage imod en handling, du ønsker: Klik på et link, åbn en vedhæftet fil, hvad end det er, du ønsker.
Den anden trussel er onlinebetalinger. Vi vil fortsat se forbedringer i den måde, virksomheder tager betalinger på online, men indtil industrien implementerer mere sikre måder at tage betalinger online på, vil dette område være en enorm risikofaktor.
Når det kommer til sikkerhed, er mennesker det svageste led og også det primære fokus for angreb. Hvordan kunne vi håndtere dette problem, eftersom social engineering er en af de førende sikkerhedstrusler?
Der er en masse teknologi, som vi kan anvende. Der er kun så meget, du kan gøre for en person, især i en branche, hvor nogle mennesker har tendens til at være mere hjælpsomme end andre. For eksempel i sundhedssektoren vil folk bare gerne hjælpe andre. Så du sender dem en ondsindet e-mail, og de er mere tilbøjelige til at klikke på det, du sender dem, end folk i andre brancher, som en politiafdeling.
Så vi har dette problem, men vi kan bruge teknologi. En af de ting, vi kan gøre, er segmentering, som drastisk kan reducere den angrebsflade, der er tilgængelig for enhver slutbruger. Vi kalder dette "nul tillid": Når en bruger opretter forbindelse til virksomhedens netværk, forstår netværket, hvem brugeren er, hvad hans eller hendes rolle er i organisationen, hvilke applikationer brugeren skal have adgang til, det vil forstå brugerens maskine og hvad er maskinens sikkerhedsstilling, til et meget detaljeret niveau. For eksempel kan den endda fortælle ting som udbredelsen af en applikation, som brugeren har. Prævalens(Prevalence) er noget, vi fandt effektivt, og det betyder, hvor mange andre mennesker i verden, der bruger denne applikation, og hvor mange i en given organisation. Hos Cisco, vi laver denne analyse gennem hashing: vi tager en hash af en applikation, og vi har millioner af slutpunkter, og de vil vende tilbage og sige: "prævalensen på denne app er 0,0001%". Prævalens(Prevalence) beregner, hvor meget en app bruges i verden og derefter i din organisation. Begge disse tiltag kan være rigtig gode til at finde ud af, om noget er meget mistænkeligt, og om det fortjener at se nærmere på det.
Du har en interessant serie af artikler i Network World om Mobile Device Management ( MDM ) systemer. Men i de senere år synes dette emne at blive diskuteret mindre. Er industriens interesse for sådanne systemer ved at blive langsommere? Hvad sker der fra dit perspektiv?
Der er sket få ting, en af dem er, at MDM- systemer er blevet nogenlunde mættede på markedet. Næsten(Almost) alle mine større kunder har et sådant system på plads. Den anden ting, der er sket, er, at reglerne om privatlivets fred og brugernes privatlivstankegang har ændret sig, så mange mennesker ikke længere giver deres personlige enhed (smartphone, tablet osv.) til deres organisation og tillader en MDM -software at blive installeret. Så vi har denne konkurrence: Virksomheden ønsker at have fuld adgang til de enheder, der bruges af deres medarbejdere, så den kan sikre sig selv, og medarbejderne er blevet meget modstandsdygtige over for denne tilgang. Der er denne konstante kamp mellem de to sider. Vi har set, at forekomsten af MDMsystemer varierer fra virksomhed til virksomhed, afhængigt af virksomhedens kultur og værdier, og hvordan den enkelte organisation ønsker at behandle sine medarbejdere.
Påvirker dette overtagelsen af programmer som Bring Your Own Device ( BYOD ) til at fungere?
Ja, det gør det fuldstændig. Det, der for det meste sker, er, at folk, der bruger deres egne enheder på virksomhedens netværk, bruger dem i et meget kontrolleret område. Igen(Again) spiller segmentering ind. Hvis jeg bringer min egen enhed til virksomhedens netværk, så kan jeg måske få adgang til internettet, en intern virksomhedswebserver, men på ingen måde vil jeg være i stand til at få adgang til databaseserverne, de kritiske apps i min virksomhed eller dens kritiske data fra den pågældende enhed. Det er noget, som vi gør programmatisk hos Cisco , så brugeren kommer til at gå, hvor den skal i virksomhedens netværk, men ikke der, hvor virksomheden ikke ønsker, at brugeren skal hen, fra en personlig enhed.
Det hotteste sikkerhedsproblem på alles radar er " KRACK " ( Key Reinstallation AttaCK ), der påvirker alle netværksklienter og udstyr, der bruger WPA2 - krypteringsskemaet. Hvad gør Cisco for at hjælpe deres kunder med dette problem?
Det er en kæmpe overraskelse, at en af de ting, som vi har stolet på i årevis, nu kan knækkes. Det minder os om problemerne med SSL , SSH og alle de ting, som vi grundlæggende tror på. De er alle blevet "ikke værdige" til vores tillid.
Til dette problem har vi identificeret ti sårbarheder. Af de ti er ni af dem klient-baserede, så vi er nødt til at ordne klienten. En af dem er netværksrelateret. Til den vil Cisco udgive patches. Problemerne er eksklusive for adgangspunktet, og vi behøver ikke at reparere routere og switches.
Jeg var glad for at se, at Apple fik deres rettelser i beta-kode, så deres klientenheder snart vil være fuldt patched. Windows har allerede en patch klar osv. For Cisco er vejen ligetil: en sårbarhed på vores adgangspunkter, og vi vil frigive patches og rettelser.
Indtil alt er rettet, hvad vil du så anbefale dine kunder at gøre for at beskytte sig selv?
I nogle tilfælde behøver du ikke at gøre noget, for nogle gange bruges kryptering inde i kryptering. Hvis jeg f.eks. går til min banks hjemmeside, bruger den TLS eller SSL til kommunikationssikkerhed, som ikke er berørt af dette problem. Så selvom jeg går gennem en vidåben WiFi , som den hos Starbucks , betyder det ikke så meget. Hvor dette problem med WPA2 kommer mere i spil, er på privatlivssiden. For eksempel, hvis jeg går ind på en hjemmeside, og jeg ikke vil have, at andre skal vide det, vil de nu vide det, fordi WPA2 ikke længere er effektiv.
En ting du kan gøre for at sikre dig selv er at oprette VPN- forbindelser. Du kan oprette forbindelse til trådløst, men den næste ting du skal gøre er at tænde for din VPN . VPN er helt fint, fordi det skaber en krypteret tunnel, der går gennem WiFi . Det fungerer, indtil VPN- krypteringen også bliver hacket, og du skal finde ud af en ny løsning. 🙂
På forbrugermarkedet samler nogle sikkerhedsleverandører VPN med deres antivirus- og totale sikkerhedspakker. De er også begyndt at oplyse forbrugerne om, at det ikke længere er nok at have en firewall, og et antivirus, du har også brug for en VPN . Hvad er Ciscos(Cisco) tilgang til sikkerhed for virksomheden? Promoverer du også aktivt VPN som et nødvendigt beskyttelseslag?
VPN er en del af vores pakker til virksomheden. Under normale omstændigheder taler vi ikke om VPN i en krypteret tunnel, og WPA2 er en krypteret tunnel. Normalt fordi det er overkill, og der er overhead, der skal ske på klientsiden for at få det hele til at fungere godt. For det meste er det ikke det værd. Hvis kanalen allerede er krypteret, hvorfor kryptere den så igen?
I dette tilfælde, når du bliver fanget med bukserne nede, fordi WPA2 -sikkerhedsprotokollen er fundamentalt brudt, kan vi falde tilbage på VPN , indtil problemerne bliver løst med WPA2 .
Men når det er sagt, inden for efterretningsområdet, så har sikkerhedsorganisationer som en organisation af et forsvarsministerium(Department) gjort dette i årevis . (Defense)De er afhængige af VPN plus trådløs kryptering, og mange gange er applikationerne i midten af deres VPN også krypteret, så du får en tre-vejs kryptering, alle ved hjælp af forskellige typer kryptografi. Det gør de, fordi de er "paranoide", som de burde være. :))
I din præsentation på Cisco Connect nævnte du automatisering som værende meget vigtig i sikkerhed. Hvad er din anbefalede tilgang til automatisering i sikkerhed?
Automatisering bliver hurtigt et krav, fordi vi som mennesker ikke kan bevæge os hurtigt nok til at stoppe sikkerhedsbrud og trusler. En kunde fik 10.000 maskiner krypteret med ransomware på 10 minutter. Det er på ingen måde menneskeligt muligt, at du kan reagere på det, så du har brug for automatisering.
Vores tilgang i dag er ikke så hårdhændet, som den måske skulle blive, men når vi ser noget mistænkeligt, adfærd, der virker som et brud, fortæller vores sikkerhedssystemer netværket om at sætte den enhed eller den pågældende bruger i karantæne. Dette er ikke skærsilden; du kan stadig gøre nogle ting: du kan stadig gå til internettet eller hente data fra patch-administrationsserverne. Du er ikke fuldstændig isoleret. I fremtiden bliver vi måske nødt til at ændre den filosofi og sige: når du først er i karantæne, har du ingen adgang, fordi du er for farlig for din organisation.
Hvordan bruger Cisco automatisering i sin portefølje af sikkerhedsprodukter?
På visse områder bruger vi meget automatisering. For eksempel får vi i Cisco Talos , vores trusselsforskningsgruppe, telemetridata fra alle vores sikkerhedswidgets og et væld af andre data fra andre kilder. Talos - gruppen bruger maskinlæring og kunstig intelligens til at sortere millioner af poster hver eneste dag. Hvis du ser på effektiviteten over tid i alle vores sikkerhedsprodukter, er den fantastisk i alle tredjeparts effektivitetstests.
Bliver brugen af DDOS- angreb langsommere?
Desværre lever DDOS som angrebsmetode i bedste velgående, og det bliver værre. Vi har fundet ud af, at DDOS- angreb har tendens til at være rettet mod visse typer virksomheder. Sådanne angreb bruges både som lokkemiddel og som det primære angrebsvåben. Der er også to typer DDOS -angreb: volumetrisk og app-baseret. Det volumetriske er kommet ud af kontrol, hvis du ser på de seneste tal for, hvor meget data de kan generere for at tage nogen ned. Det er latterligt.
En type virksomheder, der er målrettet af DDOS - angreb, er dem i detailhandlen, normalt i feriesæsonen ( Black Friday kommer!). Den anden slags virksomheder, der bliver målrettet af DDOS- angreb, er dem, der arbejder i kontroversielle områder, som olie og gas. I dette tilfælde har vi at gøre med mennesker, der har en særlig etisk og moralsk sag, som beslutter at DDOS en eller anden organisation, fordi de ikke er enige i, hvad de gør. Sådanne mennesker gør dette for en sag, for et formål og ikke for de involverede penge.
Folk bringer ikke kun deres egne enheder ind i deres organisationer, men også deres egne cloud-systemer ( OneDrive , Google Drive , Dropbox osv.) Dette repræsenterer endnu en sikkerhedsrisiko for organisationer. Hvordan håndterer et system som Cisco Cloudlock dette problem?
Cloudlock gør to grundlæggende ting: For det første giver det dig en revision af alle de cloud-tjenester, der bliver brugt. Vi integrerer Cloudlock med vores webprodukter, så alle weblogs kan læses af Cloudlock . Det vil fortælle dig, hvor alle i organisationen skal hen. Så du ved, at mange mennesker f.eks. bruger deres egen Dropbox .
Den anden ting, som Cloudlock gør, er, at det hele er lavet af API'er(API) , der kommunikerer med cloud-tjenester. På denne måde, hvis en bruger udgav et firmadokument på Box , siger Box straks til Cloudlock , at der er ankommet et nyt dokument, og det bør tage et kig på det. Så vi vil se på dokumentet, kategorisere det, finde ud af dokumentets risikoprofil, samt om det er blevet delt med andre eller ej. Baseret på resultaterne vil systemet enten stoppe deling af det pågældende dokument gennem Box eller tillade det.
Med Cloudlock kan du sætte regler som: "dette bør aldrig deles med nogen uden for virksomheden. Hvis det er, slå delingen fra." Du kan også lave kryptering efter behov, baseret på kritikaliteten af hvert dokument. Derfor, hvis slutbrugeren ikke krypterede et kritisk forretningsdokument, vil Cloudlock automatisk tvinge krypteringen af det pågældende dokument, når det postede det på(Cloudlock) Box .(Box)
Vi vil gerne takke Jamey Heary for dette interview og hans ærlige svar. Hvis du vil i kontakt, kan du finde ham på Twitter(on Twitter) .
I slutningen af denne artikel, del din mening om de emner, vi diskuterede, ved at bruge de tilgængelige kommentarer nedenfor.
Related posts
8 trin for at maksimere sikkerheden for din ASUS-router eller ASUS Lyra mesh WiFi
Cybersikkerhed gennem uddannelse: Kaspersky Interactive Protection Simulation
PowerLinks-annoncer sætter millioner af læsere i fare, fra store publikationer som The Verge, Vice News og mere
Priser - Årets mest populære antivirusprodukt 2017
Hvad er nyt i Windows 10 November 2019 Update?
Hvad er fejlsikret tilstand? -
Nye funktioner kommer til Windows Defender i Windows 10 Creators Update
Priser - Årets bedste antivirusprodukt 2017
Sikkerhed for alle - Gennemgang af TorGuard VPN
Windows 11 stinker: 7 grunde til, hvorfor du måske ikke kan lide det -
Skal du købe en Antivirus, en Internet Security-pakke eller en Total Security-pakke?
Priser: Årets mest populære antivirusprodukt 2018
15+ grunde til, hvorfor du bør få Windows 10 Fall Creators Update
Windows 10 stinker! Her er 12 grunde til hvorfor!
Inden du installerer Windows 10 S, skal du overveje disse vigtige problemer
13 bedste ting ved Windows 10
12+ grunde til, hvorfor du bør få Windows 10 April 2018 Update
Top 5 irriterende praksis fra antivirus-leverandører
Priser: Årets bedste gratis antivirusprodukt 2018
Sikkerhed for alle - Gennemgang af F-Secure Freedome VPN