На 18 октомври^{(October 18th)} бяхме поканени на Cisco Connect 2017 . На това събитие се срещнахме с експерта по сигурността Джейми Хъри^{(Jamey Heary)} . Той е изтъкнат системен инженер^{(Systems Engineer)} в Cisco Systems , където ръководи екипа по глобална архитектура за сигурност^{(Global Security Architecture Team)} . Джейми^(Jamey) е доверен съветник по сигурността и архитект за много от най-големите клиенти на Cisco . Той също така е автор на книги и бивш блогър на Network World . Говорихме с него за сигурността в модерното предприятие, значимите проблеми със сигурността, които засягат бизнеса и организациите, и най-новите уязвимости, които засягат всички безжични мрежи и клиенти (КРАК^(KRACK) ). Ето какво трябваше да каже:

Нашата аудитория се състои както от крайни потребители, така и от бизнес потребители. За да започнете и се представите малко, как бихте описали работата си в Cisco по некорпоративен начин?

Моята страст е сигурността. Това, което се стремя да правя всеки ден, е да уча клиентите и крайните потребители на архитектурата. Например, говоря за продукт за сигурност и как той се интегрира с други продукти (наши собствени или от трети страни). Затова се занимавам със системната архитектура от гледна точка на сигурността.

Според вашия опит като експерт по сигурността, кои са най-значимите заплахи за сигурността на съвременното предприятие?

Големите са социалното инженерство и ransomware. Последното предизвиква опустошение в толкова много компании и ще се влоши, защото има толкова много пари в него. Това е може би най-доходоносното нещо, което създателите на зловреден софтуер са измислили как да направят.

Видяхме, че фокусът на „лошите момчета“ е върху крайния потребител. Той или тя е най-слабото звено в момента. Ние се опитахме като индустрия да обучаваме хора, медиите свършиха добра работа, за да разгласят как можете да се защитите по-добре, но все пак е доста тривиално да изпратите на някого целеви имейл и да го накарате да приеме действие, което искате: щракнете върху връзка, отворете прикачен файл, каквото искате.

Другата заплаха са онлайн плащанията. Ще продължим да виждаме подобрения в начините, по които компаниите извършват плащания онлайн, но докато индустрията не въведе по-сигурни начини за извършване на плащания онлайн, тази област ще бъде огромен рисков фактор.

Когато става въпрос за сигурност, хората са най-слабото звено, а също и основният фокус на атаките. Как бихме могли да се справим с този проблем, след като социалното инженерство е една от водещите заплахи за сигурността?

Има много технологии, които можем да приложим. Можете да направите толкова много за даден човек, особено в индустрия, където някои хора са склонни да бъдат по-полезни от други. Например в здравната индустрия хората просто искат да помагат на другите. Така че вие ​​им изпращате злонамерен имейл и е по-вероятно да щракнат върху това, което им изпращате, отколкото хората в други индустрии, като полицейско управление.

Така че имаме този проблем, но можем да използваме технологията. Едно от нещата, които можем да направим, е сегментирането, което може драстично да намали повърхността на атака, която е достъпна за всеки краен потребител. Ние наричаме това „нулево доверие“: когато потребителят се свърже с фирмената мрежа, мрежата разбира кой е потребителят, каква е неговата или нейната роля в организацията, до какви приложения потребителят трябва да има достъп, тя ще разбере машината на потребителя и каква е позицията за сигурност на машината, на много подробно ниво. Например, може дори да каже неща като разпространението на приложение, което потребителят има. Разпространението^(Prevalence) е нещо, което намерихме за ефективно и означава колко други хора по света използват това приложение и колко в дадена организация. В Cisco, ние правим този анализ чрез хеширане: вземаме хеш на приложение и имаме милиони крайни точки и те ще се върнат и ще кажат: „разпространеността на това приложение е 0,0001%“. Разпространението^(Prevalence) изчислява колко приложение се използва в света и след това във вашата организация. И двете от тези мерки могат да бъдат много добри при установяване дали нещо е много подозрително и дали заслужава да се разгледа по-отблизо.

Имате интересна поредица от статии в Network World за системите за управление на мобилни устройства^{(Mobile Device Management)} ( MDM ). Въпреки това през последните години тази тема изглежда все по-малко се обсъжда. Забавя ли се интересът на индустрията към подобни системи? Какво се случва, от твоя гледна точка?

Случиха се малко неща, едно от които е, че MDM системите станаха доста наситени на пазара. Почти^(Almost) всички мои по-големи клиенти имат една такава система. Другото нещо, което се случи, е, че правилата за поверителност и нагласата за поверителност на потребителите се промениха така, че много хора вече не дават личното си устройство (смартфон, таблет и т.н.) на организацията си и позволяват инсталиране на MDM софтуер. Така че имаме тази конкуренция: предприятието иска да има пълен достъп до устройствата, които се използват от техните служители, за да може да се подсигури и служителите са станали много устойчиви на този подход. Има тази постоянна битка между двете страни. Видяхме, че разпространението на MDMсистемите варират от компания до компания, в зависимост от фирмената култура и ценности и как всяка организация иска да се отнася към своите служители.

Това засяга ли приемането на програми като Bring Your Own Device ( BYOD ) за работа?

Да, напълно е така. Това, което се случва, в по-голямата си част е, че хората, които използват собствените си устройства в корпоративната мрежа, ги използват в много контролирана зона. Отново^(Again) , сегментирането влиза в игра. Ако донеса собственото си устройство в корпоративната мрежа, тогава може би ще имам достъп до интернет, някакъв вътрешен корпоративен уеб сървър, но в никакъв случай няма да имам достъп до сървърите на бази данни, критичните приложения на моята компания или нейните критични данни от това устройство. Това е нещо, което ние правим програмно в Cisco , така че потребителят да може да отиде там, където трябва в мрежата на компанията, но не и там, където компанията не иска потребителят да отиде, от лично устройство.

Най-горещият проблем със сигурността на радара на всеки е „ KRACK “ ( Атака при преинсталиране на ключ^{(Key Reinstallation AttaCK)} ), който засяга всички мрежови клиенти и оборудване, използващи схемата за криптиране WPA2 . Какво прави Cisco , за да помогне на клиентите си с този проблем?

Огромна изненада е, че едно от нещата, на които разчитахме години наред, сега е пробиваемо. Това ни напомня за проблемите със SSL , SSH и всички неща, в които основно вярваме. Всички те станаха "недостойни" за нашето доверие.

За този проблем идентифицирахме десет уязвимости. От тези десет, девет от тях са базирани на клиента, така че трябва да поправим клиента. Един от тях е свързан с мрежата. За това Cisco ще пусне пачове. Проблемите са изключително за точката за достъп и не е нужно да поправяме рутери и комутатори.

Бях щастлив да видя, че Apple получи своите корекции в бета код, така че техните клиентски устройства скоро ще бъдат напълно закърпени. Windows вече има готова корекция и т.н. За Cisco пътят е ясен: една уязвимост в точките ни за достъп и ние ще пуснем корекции и поправки.

Докато всичко не бъде оправено, какво бихте препоръчали на клиентите си, за да се защитят?

В някои случаи не е нужно да правите нищо, защото понякога криптирането се използва вътре в криптирането. Например, ако отида на уебсайта на моята банка, той използва TLS или SSL за комуникационна сигурност, което не се влияе от този проблем. Така че, дори да минавам през широко отворен WiFi , като този в Starbucks , това няма толкова голямо значение. Където този проблем с WPA2 влиза повече в игра, е от страна на поверителността. Например, ако отида на уебсайт и не искам другите да знаят това, сега те ще разберат, защото WPA2 вече не е ефективен.

Едно нещо, което можете да направите, за да се защитите, е да настроите VPN връзки. Можете да се свържете с безжична връзка, но следващото нещо, което трябва да направите, е да включите своя VPN . VPN е добре, защото създава криптиран тунел, преминаващ през WiFi . Ще работи, докато VPN криптирането също не бъде хакнато и трябва да намерите ново решение. 🙂

На потребителския пазар някои доставчици на сигурност обединяват VPN със своите антивирусни и цялостни пакети за сигурност. Те също така започват да образоват потребителите, че вече не е достатъчно да имате защитна стена и антивирусна, имате нужда и от VPN . Какъв е подходът на Cisco по отношение на сигурността за предприятието? Също така активно популяризирате ли VPN като необходим слой за защита?

VPN е част от нашите пакети за предприятието. При нормални обстоятелства не говорим за VPN в рамките на криптиран тунел, а WPA2 е криптиран тунел. Обикновено, защото е излишно и има излишни разходи, които трябва да се случат от страна на клиента, за да може всичко да работи добре. В по-голямата си част не си струва. Ако каналът вече е криптиран, защо да го шифровате отново?

В този случай, когато сте хванати със свалени гащи, тъй като протоколът за защита на WPA2 е фундаментално нарушен, можем да се върнем към VPN , докато проблемите не бъдат отстранени с WPA2 .

Но след като казаха, че в разузнавателното пространство организациите за сигурност като организация от типа на Министерството^(Department) на отбраната^(Defense) , те правят това от години. Те разчитат на VPN плюс безжично криптиране и много пъти приложенията в средата на тяхната VPN също са криптирани, така че получавате тристранно криптиране, като всички използват различни видове криптография. Те правят това, защото са "параноични", каквито трябва да бъдат. :))

Във вашата презентация в Cisco Connect споменахте автоматизацията като много важна за сигурността. Какъв е вашият препоръчителен подход за автоматизация в сигурността?

Автоматизацията бързо ще се превърне в изискване, защото ние, като хора, не можем да се движим достатъчно бързо, за да спрем пробивите и заплахите в сигурността. Един клиент имаше 10 000 машини, криптирани от ransomware за 10 минути. Няма начин човешки възможен да реагирате на това, така че имате нужда от автоматизация.

Нашият подход днес не е толкова тежък, колкото може би трябва да стане, но когато видим нещо подозрително, поведение, което изглежда като пробив, нашите системи за сигурност казват на мрежата да постави това устройство или този потребител в карантина. Това не е чистилище; все още можете да правите някои неща: все още можете да отидете в интернет или да получите данни от сървърите за управление на пачове. Вие не сте напълно изолирани. В бъдеще може да се наложи да променим тази философия и да кажем: след като сте под карантина, нямате никакъв достъп, защото сте твърде опасни за вашата организация.

Как Cisco използва автоматизацията в своето портфолио от продукти за сигурност?

В определени области използваме много автоматизация. Например в Cisco Talos , нашата група за изследване на заплахите, получаваме телеметрични данни от всички наши приспособления за сигурност и много други данни от други източници. Групата Talos използва машинно обучение и изкуствен интелект, за да сортира милиони записи всеки ден. Ако погледнете ефикасността във времето във всички наши продукти за сигурност, тя е невероятна във всички тестове за ефикасност на трети страни.

Забавя ли се използването на DDOS атаки?

За съжаление, DDOS като метод за атака е жив и здрав и се влошава. Открихме, че DDOS атаките обикновено са насочени към определени видове корпорации. Такива атаки се използват както като примамка, така и като основно оръжие за атака. Има и два вида DDOS атаки: обемни и базирани на приложения. Обемът е излязъл извън контрол, ако погледнете последните цифри за това колко данни могат да генерират, за да свалят някого. Това е нелепо.

Един тип корпорации, които са обект на DDOS атаки, са тези в търговията на дребно, обикновено по време на празничния сезон ( Черен петък^{(Black Friday)} идва!). Другият вид компании, които са обект на DDOS атаки, са тези, които работят в противоречиви области, като петрол и газ. В този случай имаме работа с хора, които имат определена етична и морална кауза, които решават да DDOS организация или друга, защото не са съгласни с това, което правят. Такива хора правят това с кауза, с цел, а не за съответните пари.

Хората въвеждат в организациите си не само собствените си устройства, но и собствените си облачни системи ( OneDrive , Google Drive , Dropbox и др.) Това представлява друг риск за сигурността на организациите. Как система като Cisco Cloudlock се справя с този проблем?

Cloudlock прави две основни неща: първо, ви дава одит на всички облачни услуги, които се използват. Ние интегрираме Cloudlock с нашите уеб продукти, така че всички уеб регистрационни файлове да могат да бъдат прочетени от Cloudlock . Това ще ви каже накъде отиват всички в организацията. Така че знаете, че много хора използват собствения си Dropbox , например.

Второто нещо, което Cloudlock прави, е, че всичко е направено от API , които комуникират с облачни услуги. По този начин, ако потребител публикува фирмен документ в Box , Box незабавно казва на Cloudlock , че е пристигнал нов документ и трябва да го разгледа. Така че ще разгледаме документа, ще го категоризираме, ще разберем рисковия профил на документа, както и споделен ли е с други хора или не. Въз основа на резултатите системата или ще спре споделянето на този документ чрез Box , или ще го разреши.

С Cloudlock можете да задавате правила като: "това никога не трябва да се споделя с никого извън компанията. Ако е, изключете споделянето." Можете също да направите криптиране при поискване, въз основа на критичността на всеки документ. Следователно, ако крайният потребител не е криптовал критичен бизнес документ, когато го публикува в Box , Cloudlock ще принуди автоматично криптирането на този документ.

Бихме искали да благодарим на Jamey Heary за това интервю и неговите откровени отговори. Ако искате да се свържете, можете да го намерите в Twitter^{(on Twitter)} .

В края на тази статия споделете вашето мнение относно темите, които обсъждахме, като използвате опциите за коментиране, налични по-долу.

Jamey Heary from Cisco: Organizations that work with sensitive information, use encrypted WiFi, VPN, and encrypted apps

On October 18th, we were invited to Cisco Connect 2017. At this eνent, we met with security еxpert Jamey Hearу. He iѕ a Distinguished Systems Engineer at Сisco Systems where he leads the Global Security Architecturе Team. Jamey is a trusted security adviѕor аnd architect for many of Cisco's largeѕt customerѕ. He is alsо a book author and a former Nеtwork World blogger. We tаlked with him about security in the modern enterprise, the significant security issues that are impаcting businesses and organizations, and the latest vυlnerabilities thаt affеct all wireless networks and clients (KRACK). Here is what he had to say:

Our audience is composed both of end-users and business users. To get started, and introduce yourself a bit, how would you describe your job at Cisco, in a non-corporate way?

My passion is security. What I strive to do every day is teach my customers and end-users about architecture. For example, I talk about a security product and how it integrates with other products (our own or from third parties). Therefore I deal with system architecture from a security perspective.

In your experience as a security expert, what are the most significant security threats to the modern enterprise?

The big ones are social engineering and ransomware. The latter wreaks devastation in so many companies, and it is going to get worse because there is so much money in it. It is probably the most lucrative thing that malware creators figured out how to do.

We've seen that the focus of the "bad guys" is on the end-user. He or she is the weakest link right now. We have tried as an industry to train people, the media has done a good job at getting the word out on how you could protect yourself better, but still, it is fairly trivial to send somebody a targeted e-mail and get them to take an action you want: click a link, open an attachment, whatever it is that you want.

The other threat is online payments. We are going to continue to see enhancements in the ways companies take payments online but, until the industry implements more secure ways to take payments online, this area is going to be a huge risk factor.

When it comes to security, people are the weakest link and also the primary focus of attacks. How could we cope with this issue, since social engineering is one of the leading security threats?

There is a lot of technology that we can apply. There is only so much you can do for a person, especially in an industry where some people tend to be more helpful than others. For example, in the healthcare industry, people just want to help others. So you send them a malicious e-mail, and they are more likely to click on what you send them than people in other industries, as a police department.

So we have this problem, but we can use technology. One of the things we can do is segmentation, which can drastically reduce the attack surface that is available to any end-user. We call this "zero trust": when a user connects to the company network, the network understands who the user is, what his or her role is in the organization, what applications the user needs to access, it will understand the user's machine and what is the security posture of the machine, to a very detailed level. For example, it can even tell things like the prevalence of an application the user has. Prevalence is something we found effective, and it means how many other people in the world use this application, and how many in a given organization. At Cisco, we do this analysis through hashing: we take a hash of an application, and we have millions of end-points, and they will come back and say: "the prevalence on this app is 0.0001%". Prevalence calculates how much an app is used in the world and then in your organization. Both of these measures can be very good at figuring out if something is very suspect, and whether it deserves to take a closer look at.

You have an interesting series of articles in the Network World about Mobile Device Management (MDM) systems. However, in recent years, this subject seems to be discussed less. Is the industry's interest in such systems slowing down? What is happening, from your perspective?

Few things have happened, one of which is that MDM systems have become fairly saturated in the market. Almost all of my larger customers have one such system in place. The other thing that has happened is that the privacy regulations and the privacy mindset of users have changed such that many people no longer give their personal device (smartphone, tablet, etc.) to their organization and allow an MDM software to get installed. So we have this competition: the enterprise wants to have full access to the devices that are used by their employees so that it can secure itself and the employees have become very resistant to this approach. There is this constant battle between the two sides. We have seen that the prevalence of MDM systems varies from company to company, depending on the company culture and values, and how each organization wants to treat its employees.

Does this affect the adoption of programs like Bring Your Own Device (BYOD) to work?

Yes, it totally does. What is happening, for the most part, is that people that are using their own devices on the corporate network, use them in a very controlled area. Again, segmentation comes into play. If I bring my own device to the corporate network, then maybe I can access the internet, some internal corporate web server, but by no means, I am going to be able to access the database servers, the critical apps of my company or its critical data, from that device. That's something that we do programmatically at Cisco so that the user gets to go where it needs to in the company network but not where the company doesn't want the user to go, from a personal device.

The hottest security issue on everyone's radar is "KRACK" (Key Reinstallation AttaCK), affecting all network clients and equipment using the WPA2 encryption scheme. What is Cisco doing to help their customers with this problem?

It is a huge surprise that one of the things that we relied on for years is now crackable. It reminds us of the issues with SSL, SSH and all the things that we fundamentally believe in. All of them have become "not worthy" of our trust.

For this issue, we identified ten vulnerabilities. Of those ten, nine of them are client-based, so we have to fix the client. One of them is network related. For that one, Cisco is going to release patches. The issues are exclusive to the access point, and we don't have to fix routers and switches.

I was delighted to see that Apple got their fixes in beta code so their client devices will soon be fully patched. Windows already has a patch ready, etc. For Cisco, the road is straightforward: one vulnerability on our access points and we are going to release patches and fixes.

Until everything gets fixed, what would you recommend your customers do to protect themselves?

In some cases, you don't need to do anything, because sometimes encryption is used inside encryption. For example, if I go to my bank's website, it uses TLS or SSL for communications security, which isn't affected by this issue. So, even if I am going through a wide-open WiFi, like the one at Starbucks, it doesn't matter as much. Where this issue with WPA2 comes more into play is on the privacy side. For example, if I go to a website and I don't want others to know that, now they are going to know because WPA2 is not effective anymore.

One thing you can do to secure yourself is set up VPN connections. You can connect to wireless, but the next thing you have to do is turn on your VPN. The VPN is just fine because it creates an encrypted tunnel going through the WiFi. It will work until the VPN encryption gets hacked too and you need to figure out a new solution. 🙂

On the consumer market, some security vendors are bundling VPN with their antivirus and total security suites. They are also starting to educate consumers that it is no longer enough to have a firewall, and an antivirus, you also need a VPN. What is Cisco's approach regarding security for the enterprise? Do you also actively promote VPN as a necessary protection layer?

VPN is part of our packages for the enterprise. In normal circumstances, we don't talk about VPN within an encrypted tunnel and WPA2 is an encrypted tunnel. Usually, because it is overkill and there is overhead that has to happen on the client side to make it all work well. For the most part, it is not worth it. If the channel is already encrypted, why encrypt it again?

In this case, when you are caught with your pants down because the WPA2 security protocol is fundamentally broken, we can fall back on VPN, until the issues get fixed with WPA2.

But having said that, in the intelligence space, security organizations like a Department of Defense type of organization, they've been doing this for years. They rely on VPN, plus wireless encryption and, a lot of times the applications in the middle of their VPN are also encrypted, so you get a three-way encryption, all using different types of cryptography. They do that because they are "paranoid" as they should be. :))

In your presentation at Cisco Connect, you mentioned automation as being very important in security. What is your recommended approach for automation in security?

Automation will become a requirement quickly because we, as humans, we can't move fast enough to stop security breaches and threats. A customer had 10.000 machines encrypted by ransomware in 10 minutes. There is no way humanly possible that you can react to that, so you need automation.

Our approach today is not as heavy-handed as it might have to become but, when we see something suspicious, behavior that seems like a breach, our security systems tell the network to put that device or that user into quarantine. This isn't purgatory; you can still do some stuff: you can still go to the internet or get data from the patch management servers. You are not totally isolated. In the future, we might have to change that philosophy and say: once you are quarantined, you don't have any access because you are too dangerous for your organization.

How is Cisco using automation in its portfolio of security products?

In certain areas, we use a lot of automation. For example, in Cisco Talos, our threat research group, we get telemetry data from all our security widgets and a ton of other data from other sources. The Talos group uses machine learning and artificial intelligence to sort through millions of records every single day. If you look at the efficacy over time in all of our security products, it is amazing, in all the third-party efficacy tests.

Is the use of DDOS attacks slowing down?

Unfortunately, DDOS as an attack method is alive and well, and it is getting worse. We have found that DDOS attacks tend to be targeted towards certain types of corporations. Such attacks are used both as a decoy and as the primary attack weapon. There are also two types of DDOS attacks: volumetric and app based. The volumetric has gotten out of control if you look at the latest numbers of how much data they can generate to take somebody down. It is ridiculous.

One type of corporations that are targeted by DDOS attacks is those in retail, usually during the holiday season (Black Friday is coming!). The other kind of companies that get targeted by DDOS attacks is those that work in controversial areas, like oil and gas. In this case, we are dealing with people who have a particular ethical and moral cause, who decide to DDOS an organization or another because they don't agree with what they are doing. Such people do this for a cause, for a purpose, and not for the money involved.

People bring into their organizations not only their own devices but also their own cloud systems (OneDrive, Google Drive, Dropbox, etc.) This represents another security risk for organizations. How is a system like Cisco Cloudlock dealing with this issue?

Cloudlock does two fundamental things: first, it is giving you an audit of all the cloud services that are being used. We integrate Cloudlock with our web products so that all the web logs can be read by Cloudlock. That will tell you where everybody in the organization is going. So you know that a lot of people are using their own Dropbox, for example.

The second thing that Cloudlock does is that it is all made of API's that communicate with cloud services. This way, if a user published a company document on Box, Box immediately says to Cloudlock that a new document has arrived and it should take a look at it. So we will look at the document, categorize it, figure out the risk profile of the document, as well as has it been shared with others or not. Based on the results, the system will either stop the sharing of that document through Box or allow it.

With Cloudlock you can set rules like: "this should never be shared with anyone outside the company. If it is, turn the sharing off." You can also do encryption on demand, based on the criticality of each document. Therefore, if the end user did not encrypt a critical business document, when posting it on Box, Cloudlock will force the encryption of that document automatically.

We would like to thank Jamey Heary for this interview and his candid answers. If you want to get in touch, you can find him on Twitter.

At the end of this article, share your opinion about the subjects that we discussed, using the commenting options available below.

Related posts

• 8 стъпки за максимална сигурност на вашия рутер ASUS или ASUS Lyra mesh WiFi

• Киберсигурност чрез образование: Kaspersky Interactive Protection Simulation

• Рекламите на PowerLinks излагат на риск милиони читатели от големи публикации като The Verge, Vice News и др.

• Награди - Най-популярният антивирусен продукт за 2017 г

• Какво е новото в актуализацията на Windows 10 ноември 2019 г.?

• 7 неща, които можете да правите с ESET Secure Authentication

• Как да изтриете VPN или PPPOE връзки в Windows 8 и Windows 8.1

• Награди - Най-иновативният антивирусен продукт за 2017 г

• Награди: Най-добрият антивирусен продукт за 2018 г

• Награди - Най-добрият антивирусен продукт за 2017 г

• „Придържайте се към магазина на Google Play!“ казва известният експерт по информационна сигурност в ESET

• Сигурност за всички - Преглед на KeepSolid VPN Unlimited

• Synology DiskStation Manager 7: налична бета версия, безплатна актуализация идва през 2021 г. -

• Актуализация на Windows 10 май 2021 г.: Какво е новото и премахнато? -

• 8 неща, които можете да правите с ESET EndPoint Encryption (DESlock+)

• 8 причини Cyberghost VPN да е един от най-добрите VPN на пазара

• Как да създадете, конфигурирате и използвате VPN връзка на iPhone (или iPad)

• 15+ причини, поради които трябва да получите Windows 10 Fall Creators Update

• Топ 5 досадни практики на доставчиците на антивирусни програми

• Преди да инсталирате Windows 10 S, помислете за тези важни въпроси