John Stewart nie mówi jak typowy dyrektor korporacyjny. Powiedział, że jego firma, Cisco Systems, ma szczęście, jeśli chodzi o bezpieczeństwo, i że jego marketingowa kampania "Self-Defending Network" namalowała "duże oko byka" na swoich produktach.
Ale znowu, Stewart ma więcej ważne rzeczy, o które trzeba się martwić. Jako dyrektor ds. Bezpieczeństwa jest odpowiedzialny za kierowanie praktykami bezpieczeństwa korporacyjnego i jednostek biznesowych Cisco. Oznacza to, że otrzymuje połączenie, gdy wystąpi poważny błąd bezpieczeństwa w produktach Cisco lub jeśli hakerzy trafią na witrynę Cisco.com. Sposób, w jaki to ujął, to jego zadanie, aby pomóc zablokować produkty Cisco, zanim będzie musiał poradzić sobie z tym, co nazywa "płonącą platformą" - poważną wadą lub atakiem na najczęściej używane routery w Internecie.
Może Cisco potrzebuje kogoś takiego jak Stewart, aby uniknąć błędów, które inne duże firmy technologiczne popełniły na bezpieczeństwie. Weźmy na przykład Microsoft. Microsoft po raz pierwszy podjął wrogie nastawienie wobec badaczy i krytyków bezpieczeństwa, ale to odwróciło i pomogło w przekonaniu, że firma ignoruje błędy bezpieczeństwa, zamiast próbować je naprawić. Microsoft ostatecznie odwrócił swój kurs, ale dopiero wtedy, gdy jego reputacja odniosła poważny sukces.
W mniejszej skali Cisco dokonało podobnego zwrotu. Firma rozzłościła hakerów w 2005 r., Pozywając do pracy Mike'a Lynna, po tym jak pokazał, jak można uruchomić nieautoryzowane oprogramowanie powłoki na routerze Cisco.
Ale zamiast rozpoczynającej się nowej ery hakowania Cisco, odcinek Mike'a Lynna był bardziej aberracja. Badania Cisco były ciche przez następne kilka lat.
Stewart powiedział, że Cisco ma "małe szczęście", ponieważ nie doszło do poważnych zaostrzeń w bezpieczeństwie, ale nie bierze nic za pewnik. Zaprosił IDG News Service do swojego biura w San Jose w Kalifornii, aby porozmawiać o krajobrazie zagrożeń Cisco. Poniżej znajduje się edytowany zapis wywiadu
IDG News Service: Cisco przyciągnęło uwagę na Black Hat 2005. Jakie są twoje zainteresowania, trzy lata później?
John Stewart: Częściowo powód, dla którego cała uwaga namalowano nas w Black Hat trzy lata temu, ponieważ stworzyliśmy burzę, szczerze mówiąc, różne skomplikowane kwestie, które sprawiały wrażenie, że Cisco tłumi komunikację i badania.
Myślę, że prawdopodobnie zrobiliśmy pewne głupie rzeczy, na przykład próbując odstaw dżin z powrotem do butelki, czego nie możesz zrobić. Próbowaliśmy to zrobić z właściwych powodów: ochrony własności intelektualnej i naszych klientów. Ale to, jak wyszło, całkowicie zniknęło.
I pod wieloma względami zrobiliśmy to anonimowo. To był "rzecznik Cisco". W pewnym sensie ukryliśmy się za kontekstem anonimowości, który, jak sądzę, naprawdę zabił wszystko.
To dlatego osobiście sponsorowałem Black Hat na poziomie platynowym od tamtej pory. Ponieważ wydaje mi się, że mieliśmy pewne zadośćuczynienie i zrobiliśmy: "Słuchaj, nasz zły." Nie był to sposób na zrobienie tego.
IDGNS: Jak myślisz, dlaczego badania Cisco wyschły tak, jak wtedy?
Stewart: Jest kilka powodów. Po pierwsze, wiele z nich nie jest zdalną eksploatacją, a wiele badań dotyczących każdej społeczności brzmi: "W jaki sposób robisz to zdalnie?" Badanie IRM [Information Risk Management], badanie Sebastiana [Muniz, badacza z Core Security Technologies] i do pewnego stopnia badania Michaela Lynna, choć miało ono niewielki zdalny wariant, nie jest stabilne zdalnie. I tam właśnie jest prawdziwa gra.
Musisz wymyślić sposób, aby ją wprowadzić bez bycia na konsoli. I na tym właśnie polegała większość rozwoju: jak to zrobić na konsoli - przynajmniej w przypadku Cisco.
Po drugie, chcesz, żeby to działało. Nie próbujesz tego wybić, ponieważ potrzebujesz sieci, abyś mógł dojść do punktu końcowego. Więc myślę, że dostajemy przepustkę, ponieważ nikt nie chce ingerować w infrastrukturę, której używają. To tak, jakby szarpać autostradę, próbując wyjechać do innego miasta. To trochę głupia rzecz.
IDGNS: Microsoft bardzo publicznie o tym, jak zmienili firmę, aby bezpieczeństwo stało się priorytetem. Jaka jest historia w Cisco? Jak powstał program bezpieczeństwa?
Stewart: Prawdopodobnie byliśmy w tej samej przestrzeni. Wiele firm, w tym nasza, zaczęło od budowania rzeczy, które najpierw rozwiązały problemy komunikacyjne, a następnie rozmyślały o bezpieczeństwie komunikacji.
Około pięć lat temu walczyliśmy z firmą, z moim zespołem. Głównie w branży bezpieczeństwa informacji. Byliśmy organizacją "nie", wieżą z kości słoniowej. To niebezpieczne miejsce, ponieważ moim zdaniem powinniśmy być konsultantem, a nie arbitrem.
Więc zmieniliśmy wiele rzeczy i zaczęliśmy robić iniekcje, np. "Będziesz miał doświadczenie w swoim Nie zamierzamy być nawet w środku, więc możesz zainwestować swoją wiedzę w to, czego potrzebujesz, a my nie utrzymamy cię ani nie wprowadzimy cię w wolniejszą pozycję. "
Druga sprawa - - nie można tego nie docenić - czy przygotowywaliśmy się w 2002 r. do uruchomienia sieci samoobrony, która - jak to lub nienawidzieć jako slogan - skutecznie jest dużym bykiem na naszym czole.
IDGNS: Podobnie jak niezniszczalny Linux firmy Oracle?
Stewart: Faktycznie Mary Ann Davidson z firmy Oracle podała mi notatkę i powiedziała: "Bardzo dziękuję, że wymyśliliście hasło, które wywiera presję na tym, co zrobiliśmy". [śmiech], jak gdybym miał coś wspólnego z ogłoszeniem.
A po trzecie, naprawdę mieliśmy ślad wzrostu. Przyzwyczailiśmy się w coraz większej liczbie miejsc, a szczerze mówiąc, nie wyobrażaliśmy sobie, że będziemy przyzwyczajeni. Przenosimy komunikację w służbie zdrowia, przenosimy komunikację między witrynami dla wojska. Robimy wszystkie te dzikie rzeczy, o których 20 lat temu nie myśleliśmy w tym czasie.
IDGNS: Czy zrobiłeś coś w rodzaju adoptowania bezpiecznych cykli rozwojowych lub zmiany sposobu budowania produktów?
Stewart: Nie jesteśmy w tym dojrzali. Jesteśmy w niezręcznej fazie nastolatków. Testujemy pod koniec procesu programowania i zaczynamy się domyślać, w jaki sposób przechodzimy wstecz w proces definiowania. Teraz i tak dzieje się jakaś definicja. Na przykład istnieją pewne podstawowe wymagania każdego produktu, który stworzyliśmy. Nadal jednak twierdzę, że można się wiele nauczyć. Kiedy myślisz, że masz rację, a ty ją zbudujesz i przetestujesz to, nauki z testu powinny przynieść korzyść następnej rzeczy, którą budujesz.
Nie przyjęliśmy jeszcze bezpiecznego cyklu rozwoju oprogramowania, takiego jak Microsoft. Nie przybiliśmy równomiernie na wszystkich liniach produktowych w bardzo spójny metodycznie mierzalny sposób i dlatego mówię, że jesteśmy w niezręcznej fazie nastolatków.
Dostawca usług aplikacji innej firmy twierdzi, że rośnie w siłę
Firma Rimini Street utrzymuje stały wzrost w zakresie usług związanych z konserwacją aplikacji innych firm.
Google twierdzi, że nadzór rządowy ciągle rośnie
Przez ostatnie trzy lata Google publikował te raporty w ujęciu półrocznym, a za każdym razem, liczba wniosków Przekazanie danych osobowych wzrosło.
Ransomware ataki rośnie: oto jak zachować bezpieczeństwo
Niedawne badania przeprowadzone przez firmę Symantec ujawniły, że ataki ransomware wzrastają i żąda się okupu. Oto jak się chronić.