Jamey Heary от Cisco: Организации, които работят с чувствителна информация, използват криптиран WiFi, VPN и криптирани приложения

На 18 октомври(October 18th) бяхме поканени на Cisco Connect 2017 . На това събитие се срещнахме с експерта по сигурността Джейми Хъри(Jamey Heary) . Той е изтъкнат системен инженер(Systems Engineer) в Cisco Systems , където ръководи екипа по глобална архитектура за сигурност(Global Security Architecture Team) . Джейми(Jamey) е доверен съветник по сигурността и архитект за много от най-големите клиенти на Cisco . Той също така е автор на книги и бивш блогър на Network World . Говорихме с него за сигурността в модерното предприятие, значимите проблеми със сигурността, които засягат бизнеса и организациите, и най-новите уязвимости, които засягат всички безжични мрежи и клиенти (КРАК(KRACK) ). Ето какво трябваше да каже:

Нашата аудитория се състои както от крайни потребители, така и от бизнес потребители. За да започнете и се представите малко, как бихте описали работата си в Cisco по некорпоративен начин?

Моята страст е сигурността. Това, което се стремя да правя всеки ден, е да уча клиентите и крайните потребители на архитектурата. Например, говоря за продукт за сигурност и как той се интегрира с други продукти (наши собствени или от трети страни). Затова се занимавам със системната архитектура от гледна точка на сигурността.

Джейми Хъри, Cisco

Според вашия опит като експерт по сигурността, кои са най-значимите заплахи за сигурността на съвременното предприятие?

Големите са социалното инженерство и ransomware. Последното предизвиква опустошение в толкова много компании и ще се влоши, защото има толкова много пари в него. Това е може би най-доходоносното нещо, което създателите на зловреден софтуер са измислили как да направят.

Видяхме, че фокусът на „лошите момчета“ е върху крайния потребител. Той или тя е най-слабото звено в момента. Ние се опитахме като индустрия да обучаваме хора, медиите свършиха добра работа, за да разгласят как можете да се защитите по-добре, но все пак е доста тривиално да изпратите на някого целеви имейл и да го накарате да приеме действие, което искате: щракнете върху връзка, отворете прикачен файл, каквото искате.

Другата заплаха са онлайн плащанията. Ще продължим да виждаме подобрения в начините, по които компаниите извършват плащания онлайн, но докато индустрията не въведе по-сигурни начини за извършване на плащания онлайн, тази област ще бъде огромен рисков фактор.

Когато става въпрос за сигурност, хората са най-слабото звено, а също и основният фокус на атаките. Как бихме могли да се справим с този проблем, след като социалното инженерство е една от водещите заплахи за сигурността?

Има много технологии, които можем да приложим. Можете да направите толкова много за даден човек, особено в индустрия, където някои хора са склонни да бъдат по-полезни от други. Например в здравната индустрия хората просто искат да помагат на другите. Така че вие ​​им изпращате злонамерен имейл и е по-вероятно да щракнат върху това, което им изпращате, отколкото хората в други индустрии, като полицейско управление.

Така че имаме този проблем, но можем да използваме технологията. Едно от нещата, които можем да направим, е сегментирането, което може драстично да намали повърхността на атака, която е достъпна за всеки краен потребител. Ние наричаме това „нулево доверие“: когато потребителят се свърже с фирмената мрежа, мрежата разбира кой е потребителят, каква е неговата или нейната роля в организацията, до какви приложения потребителят трябва да има достъп, тя ще разбере машината на потребителя и каква е позицията за сигурност на машината, на много подробно ниво. Например, може дори да каже неща като разпространението на приложение, което потребителят има. Разпространението(Prevalence) е нещо, което намерихме за ефективно и означава колко други хора по света използват това приложение и колко в дадена организация. В Cisco, ние правим този анализ чрез хеширане: вземаме хеш на приложение и имаме милиони крайни точки и те ще се върнат и ще кажат: „разпространеността на това приложение е 0,0001%“. Разпространението(Prevalence) изчислява колко приложение се използва в света и след това във вашата организация. И двете от тези мерки могат да бъдат много добри при установяване дали нещо е много подозрително и дали заслужава да се разгледа по-отблизо.

Имате интересна поредица от статии в Network World за системите за управление на мобилни устройства(Mobile Device Management) ( MDM ). Въпреки това през последните години тази тема изглежда все по-малко се обсъжда. Забавя ли се интересът на индустрията към подобни системи? Какво се случва, от твоя гледна точка?

Случиха се малко неща, едно от които е, че MDM системите станаха доста наситени на пазара. Почти(Almost) всички мои по-големи клиенти имат една такава система. Другото нещо, което се случи, е, че правилата за поверителност и нагласата за поверителност на потребителите се промениха така, че много хора вече не дават личното си устройство (смартфон, таблет и т.н.) на организацията си и позволяват инсталиране на MDM софтуер. Така че имаме тази конкуренция: предприятието иска да има пълен достъп до устройствата, които се използват от техните служители, за да може да се подсигури и служителите са станали много устойчиви на този подход. Има тази постоянна битка между двете страни. Видяхме, че разпространението на MDMсистемите варират от компания до компания, в зависимост от фирмената култура и ценности и как всяка организация иска да се отнася към своите служители.

Това засяга ли приемането на програми като Bring Your Own Device ( BYOD ) за работа?

Да, напълно е така. Това, което се случва, в по-голямата си част е, че хората, които използват собствените си устройства в корпоративната мрежа, ги използват в много контролирана зона. Отново(Again) , сегментирането влиза в игра. Ако донеса собственото си устройство в корпоративната мрежа, тогава може би ще имам достъп до интернет, някакъв вътрешен корпоративен уеб сървър, но в никакъв случай няма да имам достъп до сървърите на бази данни, критичните приложения на моята компания или нейните критични данни от това устройство. Това е нещо, което ние правим програмно в Cisco , така че потребителят да може да отиде там, където трябва в мрежата на компанията, но не и там, където компанията не иска потребителят да отиде, от лично устройство.

Най-горещият проблем със сигурността на радара на всеки е „ KRACK “ ( Атака при преинсталиране на ключ(Key Reinstallation AttaCK) ), който засяга всички мрежови клиенти и оборудване, използващи схемата за криптиране WPA2 . Какво прави Cisco , за да помогне на клиентите си с този проблем?

Огромна изненада е, че едно от нещата, на които разчитахме години наред, сега е пробиваемо. Това ни напомня за проблемите със SSL , SSH и всички неща, в които основно вярваме. Всички те станаха "недостойни" за нашето доверие.

За този проблем идентифицирахме десет уязвимости. От тези десет, девет от тях са базирани на клиента, така че трябва да поправим клиента. Един от тях е свързан с мрежата. За това Cisco ще пусне пачове. Проблемите са изключително за точката за достъп и не е нужно да поправяме рутери и комутатори.

Бях щастлив да видя, че Apple получи своите корекции в бета код, така че техните клиентски устройства скоро ще бъдат напълно закърпени. Windows вече има готова корекция и т.н. За Cisco пътят е ясен: една уязвимост в точките ни за достъп и ние ще пуснем корекции и поправки.

Докато всичко не бъде оправено, какво бихте препоръчали на клиентите си, за да се защитят?

В някои случаи не е нужно да правите нищо, защото понякога криптирането се използва вътре в криптирането. Например, ако отида на уебсайта на моята банка, той използва TLS или SSL за комуникационна сигурност, което не се влияе от този проблем. Така че, дори да минавам през широко отворен WiFi , като този в Starbucks , това няма толкова голямо значение. Където този проблем с WPA2 влиза повече в игра, е от страна на поверителността. Например, ако отида на уебсайт и не искам другите да знаят това, сега те ще разберат, защото WPA2 вече не е ефективен.

Едно нещо, което можете да направите, за да се защитите, е да настроите VPN връзки. Можете да се свържете с безжична връзка, но следващото нещо, което трябва да направите, е да включите своя VPN . VPN е добре, защото създава криптиран тунел, преминаващ през WiFi . Ще работи, докато VPN криптирането също не бъде хакнато и трябва да намерите ново решение. 🙂

На потребителския пазар някои доставчици на сигурност обединяват VPN със своите антивирусни и цялостни пакети за сигурност. Те също така започват да образоват потребителите, че вече не е достатъчно да имате защитна стена и антивирусна, имате нужда и от VPN . Какъв е подходът на Cisco по отношение на сигурността за предприятието? Също така активно популяризирате ли VPN като необходим слой за защита?

VPN е част от нашите пакети за предприятието. При нормални обстоятелства не говорим за VPN в рамките на криптиран тунел, а WPA2 е криптиран тунел. Обикновено, защото е излишно и има излишни разходи, които трябва да се случат от страна на клиента, за да може всичко да работи добре. В по-голямата си част не си струва. Ако каналът вече е криптиран, защо да го шифровате отново?

В този случай, когато сте хванати със свалени гащи, тъй като протоколът за защита на WPA2 е фундаментално нарушен, можем да се върнем към VPN , докато проблемите не бъдат отстранени с WPA2 .

Но след като казаха, че в разузнавателното пространство организациите за сигурност като организация от типа на Министерството(Department) на отбраната(Defense) , те правят това от години. Те разчитат на VPN плюс безжично криптиране и много пъти приложенията в средата на тяхната VPN също са криптирани, така че получавате тристранно криптиране, като всички използват различни видове криптография. Те правят това, защото са "параноични", каквито трябва да бъдат. :))

Във вашата презентация в Cisco Connect споменахте автоматизацията като много важна за сигурността. Какъв е вашият препоръчителен подход за автоматизация в сигурността?

Автоматизацията бързо ще се превърне в изискване, защото ние, като хора, не можем да се движим достатъчно бързо, за да спрем пробивите и заплахите в сигурността. Един клиент имаше 10 000 машини, криптирани от ransomware за 10 минути. Няма начин човешки възможен да реагирате на това, така че имате нужда от автоматизация.

Нашият подход днес не е толкова тежък, колкото може би трябва да стане, но когато видим нещо подозрително, поведение, което изглежда като пробив, нашите системи за сигурност казват на мрежата да постави това устройство или този потребител в карантина. Това не е чистилище; все още можете да правите някои неща: все още можете да отидете в интернет или да получите данни от сървърите за управление на пачове. Вие не сте напълно изолирани. В бъдеще може да се наложи да променим тази философия и да кажем: след като сте под карантина, нямате никакъв достъп, защото сте твърде опасни за вашата организация.

Как Cisco използва автоматизацията в своето портфолио от продукти за сигурност?

В определени области използваме много автоматизация. Например в Cisco Talos , нашата група за изследване на заплахите, получаваме телеметрични данни от всички наши приспособления за сигурност и много други данни от други източници. Групата Talos използва машинно обучение и изкуствен интелект, за да сортира милиони записи всеки ден. Ако погледнете ефикасността във времето във всички наши продукти за сигурност, тя е невероятна във всички тестове за ефикасност на трети страни.

Забавя ли се използването на DDOS атаки?

За съжаление, DDOS като метод за атака е жив и здрав и се влошава. Открихме, че DDOS атаките обикновено са насочени към определени видове корпорации. Такива атаки се използват както като примамка, така и като основно оръжие за атака. Има и два вида DDOS атаки: обемни и базирани на приложения. Обемът е излязъл извън контрол, ако погледнете последните цифри за това колко данни могат да генерират, за да свалят някого. Това е нелепо.

Един тип корпорации, които са обект на DDOS атаки, са тези в търговията на дребно, обикновено по време на празничния сезон ( Черен петък(Black Friday) идва!). Другият вид компании, които са обект на DDOS атаки, са тези, които работят в противоречиви области, като петрол и газ. В този случай имаме работа с хора, които имат определена етична и морална кауза, които решават да DDOS организация или друга, защото не са съгласни с това, което правят. Такива хора правят това с кауза, с цел, а не за съответните пари.

Хората въвеждат в организациите си не само собствените си устройства, но и собствените си облачни системи ( OneDrive , Google Drive , Dropbox и др.) Това представлява друг риск за сигурността на организациите. Как система като Cisco Cloudlock се справя с този проблем?

Cloudlock прави две основни неща: първо, ви дава одит на всички облачни услуги, които се използват. Ние интегрираме Cloudlock с нашите уеб продукти, така че всички уеб регистрационни файлове да могат да бъдат прочетени от Cloudlock . Това ще ви каже накъде отиват всички в организацията. Така че знаете, че много хора използват собствения си Dropbox , например.

Второто нещо, което Cloudlock прави, е, че всичко е направено от API , които комуникират с облачни услуги. По този начин, ако потребител публикува фирмен документ в Box , Box незабавно казва на Cloudlock , че е пристигнал нов документ и трябва да го разгледа. Така че ще разгледаме документа, ще го категоризираме, ще разберем рисковия профил на документа, както и споделен ли е с други хора или не. Въз основа на резултатите системата или ще спре споделянето на този документ чрез Box , или ще го разреши.

С Cloudlock можете да задавате правила като: "това никога не трябва да се споделя с никого извън компанията. Ако е, изключете споделянето." Можете също да направите криптиране при поискване, въз основа на критичността на всеки документ. Следователно, ако крайният потребител не е криптовал критичен бизнес документ, когато го публикува в Box , Cloudlock ще принуди автоматично криптирането на този документ.

 

Бихме искали да благодарим на Jamey Heary за това интервю и неговите откровени отговори. Ако искате да се свържете, можете да го намерите в Twitter(on Twitter) .

В края на тази статия споделете вашето мнение относно темите, които обсъждахме, като използвате опциите за коментиране, налични по-долу.



About the author

Аз съм компютърен програмист и съм от над 15 години. Уменията ми са в разработването и поддържането на софтуерни приложения, както и в предоставянето на техническа поддръжка за тези приложения. Също така съм преподавал компютърно програмиране на гимназисти и в момента съм професионален инструктор.



Related posts