18 października zostaliśmy zaproszeni na Cisco Connect 2017. Podczas tego spotkania spotkaliśmy się z ekspertem ds. Bezpieczeństwa, Jameyem Heary. Jest wybitnym inżynierem systemów w Cisco Systems, gdzie kieruje zespołem Global Security Architecture Team. Jamey jest zaufanym doradcą ds. Bezpieczeństwa i architektem dla wielu największych klientów Cisco. Jest także autorem książek i byłym blogerem Network World. Rozmawialiśmy z nim o bezpieczeństwie w nowoczesnym przedsiębiorstwie, istotnych problemach bezpieczeństwa, które mają wpływ na firmy i organizacje, oraz o najnowszych lukach, które dotyczą wszystkich sieci bezprzewodowych i klientów (KRACK). Oto, co miał do powiedzenia:
Nasza publiczność składa się zarówno z użytkowników końcowych, jak i użytkowników biznesowych. Na początek, i przedstaw się nieco, jak opisałbyś swoją pracę w Cisco, w sposób niekorporacyjny?
Moją pasją jest bezpieczeństwo. Co staram się robić każdego dnia, uczę moich klientów i użytkowników końcowych o architekturze. Na przykład mówię o produkcie zabezpieczającym i jego integracji z innymi produktami (własnymi lub od stron trzecich). Dlatego zajmuję się architekturą systemu z perspektywy bezpieczeństwa.
W swoim doświadczeniu jako ekspert bezpieczeństwa, jakie są najważniejsze zagrożenia dla bezpieczeństwa nowoczesnego przedsiębiorstwa?
Te największe to inżynieria społeczna i oprogramowanie ransomware. Ten ostatni powoduje dewastację w tak wielu firmach, a będzie gorzej, ponieważ jest w nim tyle pieniędzy. Jest to prawdopodobnie najbardziej lukratywna rzecz, którą twórcy szkodliwego oprogramowania wymyślili, jak to zrobić.
Widzieliśmy, że "źli ludzie" koncentrują się na użytkowniku końcowym. On jest teraz najsłabszym ogniwem. Jako branża staraliśmy się szkolić ludzi, media wykonały dobrą robotę, aby dowiedzieć się, w jaki sposób można lepiej chronić się, ale mimo to dość banalnie jest wysłać komuś adresowany e-mail i nakłonić go do podjęcia Akcja, którą chcesz: kliknij link, otwórz załącznik, cokolwiek chcesz.
Drugim zagrożeniem są płatności online. Będziemy nadal widzieli ulepszenia w sposobie, w jaki firmy dokonują płatności online, ale dopóki przemysł nie wdroży bezpieczniejszych sposobów płatności online, ten obszar będzie ogromnym czynnikiem ryzyka.
Jeśli chodzi o bezpieczeństwo, ludzie są najsłabszym ogniwem, a także głównym celem ataków. Jak poradzić sobie z tym problemem, skoro inżynieria społeczna jest jednym z wiodących zagrożeń dla bezpieczeństwa?
Istnieje wiele technologii, które możemy zastosować. Jest tylko tyle, ile możesz zrobić dla osoby, szczególnie w branży, w której niektórzy ludzie są bardziej pomocni niż inni. Na przykład w branży medycznej ludzie po prostu chcą pomagać innym. Wysyłasz im złośliwą wiadomość e-mail i częściej klikają to, co wysyłasz, niż osoby z innych branż, jako departament policji.
Mamy więc ten problem, ale możemy użyć technologii. Jedną z rzeczy, które możemy zrobić, to segmentacja, która może drastycznie zmniejszyć powierzchnię ataku, która jest dostępna dla każdego użytkownika końcowego. Nazywamy to "zerowym zaufaniem": kiedy użytkownik łączy się z siecią firmy, sieć rozumie, kim jest użytkownik, jaka jest jej rola w organizacji, jakie aplikacje musi uzyskać użytkownik, zrozumie maszynę użytkownika i jaka jest postawa bezpieczeństwa maszyny, na bardzo szczegółowym poziomie. Na przykład może nawet powiedzieć takie rzeczy jak rozpowszechnienie aplikacji, którą posiada użytkownik. Rozpowszechnienie jest czymś, co uznaliśmy za skuteczne, a to oznacza, ile osób na świecie korzysta z tej aplikacji, a ile w danej organizacji. W Cisco wykonujemy tę analizę za pomocą skrótu: pobieramy hasz aplikacji i mamy miliony punktów końcowych, a oni wrócą i powiedzą: "rozpowszechnienie w tej aplikacji wynosi 0, 0001%". Prewalencja oblicza, ile aplikacja jest używana na świecie, a następnie w organizacji. Oba te środki mogą być bardzo dobre w ustaleniu, czy coś jest podejrzane i czy warto się z nim przyjrzeć.
Masz interesującą serię artykułów w świecie sieci o systemach Mobile Device Management (MDM). Jednak w ostatnich latach temat ten wydaje się mniej dyskutowany. Czy zainteresowanie tego typu systemami spada? Co się dzieje z twojej perspektywy?
Niewiele się wydarzyło, a jednym z nich jest to, że systemy MDM stały się dość nasycone na rynku. Prawie wszyscy moi więksi klienci mają jeden taki system. Inną rzeczą, która się wydarzyła, jest to, że zasady prywatności i sposób myślenia użytkowników zmieniły się w taki sposób, że wiele osób nie przekazuje już swojego urządzenia osobistego (smartfona, tabletu itp.) Do swojej organizacji i umożliwia zainstalowanie oprogramowania MDM. Mamy więc tę konkurencję: przedsiębiorstwo chce mieć pełny dostęp do urządzeń używanych przez pracowników, aby mogło się zabezpieczyć, a pracownicy stali się bardzo odporni na takie podejście. Ta nieustanna walka trwa między dwiema stronami. Widzieliśmy, że rozpowszechnienie systemów MDM różni się w zależności od firmy, w zależności od kultury i wartości firmy oraz od tego, jak każda organizacja chce traktować swoich pracowników.
Czy wpływa to na działanie programów takich jak Bring Your Own Device (BYOD)?
Tak, całkowicie. W większości przypadków ludzie używają własnych urządzeń w sieci korporacyjnej i używają ich w bardzo kontrolowanym obszarze. Ponownie, w grę wchodzi segmentacja. Jeśli przyniosę własne urządzenie do sieci korporacyjnej, to może będę mógł uzyskać dostęp do Internetu, jakiegoś wewnętrznego korporacyjnego serwera sieciowego, ale w żadnym wypadku nie będę mógł uzyskać dostępu do serwerów baz danych, krytycznych aplikacji mojej firmy lub jej krytyczne dane z tego urządzenia. To jest coś, co robimy programowo w Cisco, aby użytkownik dostał się tam, gdzie musi, w sieci firmowej, ale nie tam, gdzie firma nie chce, aby użytkownik jechał, z osobistego urządzenia.
Najgorętszym problemem bezpieczeństwa na każdym radarze jest "KRACK" (Key Reinstallation AttaCK), który ma wpływ na wszystkich klientów sieci i sprzęt przy użyciu schematu szyfrowania WPA2. Co robi Cisco, aby pomóc swoim klientom w tym problemie?
To ogromne zaskoczenie, że jedna z rzeczy, na których polegaliśmy od lat, jest teraz łatwa do opanowania. Przypomina nam o problemach z SSL, SSH i wszystkim, w co w fundamentalny sposób wierzymy. Wszyscy oni stali się "niegodni" naszego zaufania.
W przypadku tego problemu zidentyfikowaliśmy dziesięć luk w zabezpieczeniach. Z tych dziesięciu dziewięciu z nich jest opartych na kliencie, więc musimy naprawić klienta. Jeden z nich jest związany z siecią. W tym przypadku Cisco zamierza wydać poprawki. Problemy dotyczą wyłącznie punktu dostępu i nie musimy naprawiać routerów ani przełączników.
Cieszyłem się, że Apple dostało poprawki w wersji beta, więc ich urządzenia klienckie wkrótce zostaną w pełni naprawione. Windows ma już gotową łatkę, itp. Dla Cisco droga jest prosta: jedna luka w naszych punktach dostępowych i zamierzamy wydać poprawki i poprawki.
Dopóki wszystko nie zostanie naprawione, co poleciłbyś swoim klientom, aby się zabezpieczyć?
W niektórych przypadkach nie musisz nic robić, ponieważ czasami szyfrowanie jest używane w szyfrowaniu. Na przykład, jeśli odwiedzę stronę mojego banku, używa protokołu TLS lub SSL do zabezpieczenia komunikacji, na które ten problem nie ma wpływu. Tak więc, nawet jeśli przechodzę przez szeroko otwarte WiFi, takie jak w Starbucks, nie ma to większego znaczenia. Tam, gdzie ten problem z WPA2 bardziej wchodzi w grę, jest po stronie prywatności. Na przykład, jeśli wchodzę na stronę internetową i nie chcę, aby inni o tym wiedzieli, teraz dowiedzą się, ponieważ WPA2 nie jest już skuteczna.
Jedną rzeczą, którą możesz zrobić, aby się zabezpieczyć, są połączenia VPN. Możesz połączyć się z siecią bezprzewodową, ale następną rzeczą, którą musisz zrobić, to włączyć VPN. VPN jest w porządku, ponieważ tworzy zaszyfrowany tunel przechodzący przez Wi-Fi. Będzie działać, dopóki szyfrowanie VPN nie zostanie zhackowane i musisz znaleźć nowe rozwiązanie. :)
Na rynku konsumenckim niektórzy dostawcy zabezpieczeń łączą VPN z ich programami antywirusowymi i totalnymi. Zaczynają też edukować konsumentów, że nie wystarczy już zapora ogniowa, a program antywirusowy - także VPN. Jakie jest podejście Cisco w zakresie bezpieczeństwa dla przedsiębiorstwa? Czy aktywnie promujesz VPN jako niezbędną warstwę ochronną?
VPN jest częścią naszych pakietów dla przedsiębiorstwa. W normalnych okolicznościach nie mówimy o VPN w zaszyfrowanym tunelu, a WPA2 to zaszyfrowany tunel. Zwykle, ponieważ jest to przesada i nie ma kosztów ogólnych, które muszą się zdarzyć po stronie klienta, aby wszystko działało dobrze. W przeważającej części nie jest to tego warte. Jeśli kanał jest już zaszyfrowany, po co go ponownie szyfrować?
W takim przypadku, gdy zostaniesz złapany z opuszczonymi spodniami, ponieważ protokół bezpieczeństwa WPA2 jest zasadniczo uszkodzony, możemy powrócić do VPN, dopóki problemy nie zostaną naprawione za pomocą WPA2.
Ale powiedziawszy to, w przestrzeni wywiadowczej organizacje bezpieczeństwa, takie jak organizacja typu Departament Obrony, robią to od lat. Opierają się na VPN, a także szyfrowaniu bezprzewodowym i wiele razy aplikacje w środku sieci VPN są również szyfrowane, więc otrzymujesz szyfrowanie w trzech kierunkach, wszystkie wykorzystujące różne rodzaje kryptografii. Robią to, ponieważ są "paranoiści", tak jak powinni. :))
W swojej prezentacji na Cisco Connect wymieniłeś automatyzację jako bardzo ważną w bezpieczeństwie. Jakie jest Twoje zalecane podejście do automatyzacji w zakresie bezpieczeństwa?
Automatyzacja szybko stanie się wymaganiem, ponieważ my, jako ludzie, nie możemy poruszać się wystarczająco szybko, aby zatrzymać naruszenia bezpieczeństwa i zagrożenia. Klient miał 10 000 maszyn zaszyfrowanych przez oprogramowanie ransomware w 10 minut. Nie ma żadnej ludzkiej możliwości, abyś mógł na to zareagować, więc potrzebujesz automatyzacji.
Nasze dzisiejsze podejście nie jest tak ciężkie, jak mogłoby się stać, ale gdy widzimy coś podejrzanego, zachowanie, które wydaje się być naruszeniem, nasze systemy bezpieczeństwa nakazują sieci, aby poddały to urządzenie lub tego użytkownika kwarantannie. To nie jest czyściec; nadal możesz zrobić kilka rzeczy: nadal możesz przejść do Internetu lub pobrać dane z serwerów zarządzania poprawkami. Nie jesteś całkowicie odizolowany. W przyszłości możemy zmienić tę filozofię i powiedzieć: po przejściu na kwarantannę nie masz dostępu, ponieważ jesteś zbyt niebezpieczny dla swojej organizacji.
W jaki sposób Cisco wykorzystuje automatyzację w swojej ofercie produktów zabezpieczających?
W niektórych obszarach używamy dużej automatyzacji. Na przykład w Cisco Talos, naszej grupie zajmującej się badaniem zagrożeń, otrzymujemy dane telemetryczne ze wszystkich naszych widgetów bezpieczeństwa i mnóstwo innych danych z innych źródeł. Grupa Talos używa uczenia maszynowego i sztucznej inteligencji, aby sortować miliony rekordów każdego dnia. Jeśli spojrzeć na skuteczność w czasie we wszystkich naszych produktach bezpieczeństwa, jest to niesamowite, we wszystkich testach skuteczności innych firm.
Czy spowalnia działanie ataków DDoS?
Niestety, DDOS jako metoda ataku jest żywa i ma się dobrze, a jest coraz gorzej. Odkryliśmy, że ataki DDoS są ukierunkowane na określone typy korporacji. Takie ataki są używane zarówno jako przynęta, jak i jako główna broń ataku. Istnieją również dwa typy ataków DDoS: wolumetryczne i oparte na aplikacji. Wolumetryczne wymknęło się spod kontroli, jeśli spojrzysz na najnowsze liczby danych, które mogą wygenerować, aby kogoś zabrać. To jest niedorzeczne.
Jednym z rodzajów korporacji, które są celem ataków DDoS, są przedsiębiorstwa handlu detalicznego, zazwyczaj w okresie świątecznym (nadchodzi Czarny piątek!). Innym rodzajem firm, które są atakowane przez ataki DDoS są te, które działają w kontrowersyjnych obszarach, takich jak ropa i gaz. W tym przypadku mamy do czynienia z ludźmi, którzy mają określoną przyczynę etyczną i moralną, którzy decydują się na DDOS jako organizacja lub inna, ponieważ nie zgadzają się z tym, co robią. Tacy ludzie robią to z jakiegoś powodu, w jakimś celu, a nie za pieniądze.
Ludzie przynoszą do swoich organizacji nie tylko własne urządzenia, ale także własne systemy chmury (OneDrive, Dysk Google, Dropbox itp.). To stanowi kolejne zagrożenie dla organizacji. W jaki sposób system taki jak Cisco Cloudlock radzi sobie z tym problemem?
Cloudlock ma dwie zasadnicze rzeczy: po pierwsze, daje kontrolę wszystkich usług w chmurze, które są używane. Zintegrujemy Cloudlock z naszymi produktami internetowymi, aby wszystkie dzienniki sieciowe mogły być czytane przez Cloudlock. Dzięki temu dowiesz się, dokąd zmierza każdy w organizacji. Więc wiesz, że wiele osób używa na przykład własnego Dropbox.
Drugą rzeczą, którą robi Cloudlock, jest to, że składa się ona z interfejsów API, które komunikują się z usługami w chmurze. W ten sposób, jeśli użytkownik opublikuje dokument firmowy w Boxie, Box od razu mówi do Cloudlock, że przybył nowy dokument i powinien go obejrzeć. Spojrzymy więc na dokument, zaklasyfikujemy go, określimy profil ryzyka dokumentu, a także udostępnimy go innym. Na podstawie uzyskanych wyników system zaprzestanie udostępniania tego dokumentu za pośrednictwem ramki lub zezwoli na to.
W usłudze Cloudlock możesz ustawić reguły takie jak: "nie powinno to być udostępniane nikomu spoza firmy. Jeśli tak, wyłącz udostępnianie". Możesz także wykonać szyfrowanie na żądanie, na podstawie krytyczności każdego dokumentu. Dlatego, jeśli użytkownik końcowy nie zaszyfrował krytycznego dokumentu biznesowego, po umieszczeniu go w polu, Cloudlock wymusi automatyczne szyfrowanie tego dokumentu.
Chcielibyśmy podziękować Jameyowi Heary'emu za ten wywiad i jego szczere odpowiedzi. Jeśli chcesz się skontaktować, możesz go znaleźć na Twitterze.
Na koniec tego artykułu podziel się swoją opinią na tematy, które omówiliśmy, korzystając z poniższych opcji komentowania.