Η CSO είπε ότι η ασφάλεια της Cisco αναπτύσσεται

Ο John Stewart δεν μιλάει σαν το τυπικό εταιρικό σου στέλεχος. Είπε ότι η εταιρεία του, η Cisco Systems, ήταν τυχερή σε ότι αφορά την ασφάλεια και ότι η ώθηση μάρκετινγκ του δικτύου της Self-Defending Network της εταιρείας έχει ζωγραφίσει "τα μεγάλα μάτια" στα προϊόντα της.

Αλλά και πάλι, ο Stewart έχει περισσότερα τα σημαντικά πράγματα που πρέπει να ανησυχούν. Ως επικεφαλής της Υπηρεσίας Ασφαλείας, είναι ο άνθρωπος που είναι υπεύθυνος για τη διοίκηση των πρακτικών ασφαλείας της εταιρικής και επιχειρηματικής μονάδας της Cisco. Αυτό σημαίνει ότι παίρνει την κλήση όποτε υπάρχει ένα σημαντικό σφάλμα ασφαλείας στα προϊόντα της Cisco ή αν οι hackers επρόκειτο να χτυπήσουν την τοποθεσία Web της Cisco.com. Με τον τρόπο που το θέτει, είναι δουλειά του να βοηθήσει να κλειδώσει τα προϊόντα της Cisco προτού αναγκαστεί να αντιμετωπίσει αυτό που ονομάζει "πλατφόρμα καύσης" - ένα σοβαρό ελάττωμα ή επίθεση κατά των πιο ευρέως χρησιμοποιούμενων δρομολογητών στο Διαδίκτυο. Η Cisco χρειάζεται κάποιον, όπως ο Stewart, για να αποφύγει τα λάθη που έκαναν άλλες σημαντικές εταιρείες τεχνολογίας στον τομέα της ασφάλειας. Πάρτε τη Microsoft, για παράδειγμα. Η Microsoft πήρε για πρώτη φορά μια εχθρική στάση απέναντι στους ερευνητές και τους επικριτές της ασφάλειας, αλλά ότι έσπασε και βοήθησε να δημιουργήσει την εντύπωση ότι η εταιρεία αγνοούσε τα σφάλματα ασφαλείας αντί να προσπαθεί να τα διορθώσει. Η Microsoft ανέτρεψε τελικά την πορεία της, αλλά όχι μέχρι που η φήμη της έλαβε σοβαρό χτύπημα.

Σε μικρότερη κλίμακα, η Cisco έκανε παρόμοια αντιστροφή. Η εταιρεία εξόργισε τους χάκερ το 2005, ασκώντας δίωξη στον ερευνητή Mike Lynn, αφού έδειξε πώς ήταν δυνατόν να τρέξει μη εξουσιοδοτημένο λογισμικό shellcode σε δρομολογητή της Cisco.

Αλλά αντί να ξεκινήσει μια νέα εποχή του hacking της Cisco, το επεισόδιο Mike Lynn ήταν περισσότερο από μια εκτροπή. Η έρευνα της Cisco ήταν ήσυχη για τα επόμενα χρόνια.

Ο Stewart είπε ότι η Cisco ήταν "λίγο τυχερή" στο γεγονός ότι δεν είχε σημαντικές αναταράξεις ασφαλείας, αλλά δεν θεωρεί δεδομένο. Προσκάλεσε την IDG News Service στο γραφείο του στο San Jose, Καλιφόρνια για να μιλήσει για το τοπίο απειλής της Cisco.

Η νέα υπηρεσία της IDG: Η Cisco έλαβε μεγάλη προσοχή στο Black Hat 2005. Τι παίρνετε για τα πράγματα, τρία χρόνια αργότερα;

John Stewart: Μέρος του λόγου για όλη την προσοχή ήταν ζωγραφισμένο σε εμάς στο Black Hat πριν από τρία χρόνια είναι επειδή δημιουργήσαμε μια πυρκαγιά, ειλικρινά κάθε είδους περίπλοκα ζητήματα, που ένιωθαν ότι η Cisco καταστέλλει την επικοινωνία και την έρευνα.

Νομίζω ότι κάναμε κάποια ανόητα πράγματα, βάλτε το τζίνι πίσω στη φιάλη, κάτι που δεν μπορείτε να το κάνετε. Προσπαθήσαμε να το κάνουμε για τους σωστούς λόγους: προστασία της πνευματικής ιδιοκτησίας και των πελατών μας. Αλλά πώς βγήκε τελείωσε τελείως.

Και από πολλές απόψεις το κάναμε ανώνυμα. Ήταν "ένας εκπρόσωπος της Cisco". Είμαστε κάπως κρύβονται πίσω από ένα πλαίσιο ανωνυμίας, το οποίο νομίζω ότι πραγματικά πήγε όλα.

Αυτός είναι ο λόγος για τον οποίο υποστήριξα προσωπικά τον Black Hat σε επίπεδο πλατίνας από τότε. Επειδή νομίζω ότι είχαμε κάποια εξιλέωση για να κάνουμε και να πάμε, "Κοιτάξτε, κακό μας δεν ήταν αυτός ο τρόπος να το κάνουμε αυτό."

IDGNS: Γιατί πιστεύετε ότι η έρευνα της Cisco στεκόταν σαν να ήταν; Stewart: Υπάρχουν μερικοί λόγοι. Το πρώτο είναι ότι πολλά από αυτά δεν είναι απομακρυσμένη εκμετάλλευση και πολλά από αυτά που κάνει η έρευνα σε οποιαδήποτε κοινότητα είναι: "Πώς το κάνεις από μακριά;" Η έρευνα της IRM σχετικά με τη διαχείριση του κινδύνου πληροφόρησης, η έρευνα του Sebastian [Muniz, ερευνητής με τεχνολογίες Core Security Technologies] και, σε κάποιο βαθμό, η έρευνα του Michael Lynn, αν και είχε μια ελαφριά απομακρυσμένη παραλλαγή, δεν είναι σταθερή απομακρυσμένη. Και εκεί είναι το πραγματικό παιχνίδι.

Έχεις να βρεις έναν τρόπο να το πάρεις χωρίς να είσαι στην κονσόλα. Και αυτό είναι που το μεγαλύτερο μέρος της ανάπτυξης ήταν γύρω: πώς το κάνετε στην κονσόλα - τουλάχιστον για τη Cisco, ούτως ή άλλως. Και το δεύτερο είναι ότι θέλετε να λειτουργήσει. Δεν προσπαθείτε να το χτυπήσετε γιατί χρειάζεστε το δίκτυο για να φτάσετε στο τελικό σημείο. Νομίζω λοιπόν ότι παίρνουμε ένα πέρασμα γιατί κανείς δεν θέλει να πιει με την υποδομή που χρησιμοποιούν. Είναι σαν να βιδώνετε τον αυτοκινητόδρομο, ενώ προσπαθείτε να πάτε σε μια διαφορετική πόλη. Αυτό είναι κάτι που μπορεί να κάνει κανείς.

IDGNS: Η Microsoft ήταν πολύ δημοφιλής για το πώς άλλαξε την εταιρεία για να καταστήσει την ασφάλεια προτεραιότητα. Ποια είναι η ιστορία της Cisco; Πώς κατασκευάστηκε το πρόγραμμα ασφαλείας;

Stewart: Ήμασταν πιθανώς στον ίδιο χώρο. Πολλές εταιρείες, συμπεριλαμβανομένων και των δικών μας, ξεκίνησαν πρώτα με την οικοδόμηση ενός υλικού που πρώτα λύνουν τα προβλήματα των επικοινωνιών και στη συνέχεια σκεφτόταν την ασφάλεια των επικοινωνιών μετά.

Περίπου πριν από πέντε χρόνια, αγωνιζόμασταν η εταιρεία, η ομάδα μου. Κυρίως στην επιχείρηση ασφάλειας πληροφοριών. Ήμασταν η "όχι" οργάνωση, ο πύργος ελεφαντόδοντου. Αυτό είναι ένα επικίνδυνο μέρος γιατί πρέπει να είμαι συμβουλευτικός βραχίονας εκπλήρωσης, όχι κριτής.

Γι 'αυτό αλλάξαμε πολλά και ξεκινήσαμε να κάνουμε ενέσεις, όπως "Θα έχετε εμπειρία στην δεν θα είμαστε ακόμα στη μέση, έτσι ώστε να μπορείτε να επενδύσετε την τεχνογνωσία για ό, τι χρειάζεστε και δεν σας συγκρατούμε ή σας φέρνουμε σε πιο αργή θέση. "

Το δεύτερο πράγμα - - που δεν μπορούμε να υποτιμήσουμε - ετοιμαζόμασταν το 2002 για να ξεκινήσουμε δίκτυα αυτοάμυνας, τα οποία -όπως το μίσος ή το μίσος ως σύνθημα- είναι αποτελεσματικά ένα μεγάλο μάτι του ταύρου στο μέτωπό μας.

IDGNS: Όπως και το άθραυστο Linux της Oracle;

Stewart: Στην πραγματικότητα η Mary Ann Davidson στην Oracle μου άφησε ένα σημείωμα και είπε: "Σας ευχαριστούμε πολύ που καταλήξατε σε ένα σύνθημα που παίρνει την πίεση από αυτό που κάναμε" [γέλια] σαν να είχα να κάνει με την ανακοίνωση.

Και στη συνέχεια τρίτο, έχουμε πραγματικά ένα αποτύπωμα μεγαλώσει. Συνηθίσαμε σε όλο και περισσότερους χώρους και ειλικρινά για τις σκέψεις δεν φανταζόμασταν ποτέ ότι θα είχαμε συνηθίσει. Μεταβαίνουμε τις επικοινωνίες για την υγειονομική περίθαλψη, μεταβαίνουμε τις επικοινωνίες μεταξύ ιστοτόπου για τους στρατιωτικούς. Κάνουμε όλα αυτά τα άγρια ​​πράγματα που πριν από 20 χρόνια δεν σκεφτόμασταν τότε

IDGNS: Έτσι κάνατε κάτι σαν να υιοθετήσετε έναν ασφαλή κύκλο ζωής ανάπτυξης ή να αλλάξετε τον τρόπο κατασκευής των προϊόντων σας;

Stewart: Δεν είμαστε ώριμοι σε αυτό. Βρισκόμαστε στην αμήχανη εφηβική φάση. Δοκιμάζουμε στο τέλος της διαδικασίας ανάπτυξης και καταλαβαίνουμε από αυτά τα δεδομένα πώς πηγαίνετε πίσω στη διαδικασία ορισμού. Τώρα κάποιος ορισμός συμβαίνει ούτως ή άλλως. Για παράδειγμα, υπάρχουν ορισμένες βασικές απαιτήσεις για κάθε προϊόν που κατασκευάσαμε. Ωστόσο, εξακολουθώ να λέω ότι υπάρχουν πολλά που πρέπει να μάθουμε. Όταν πιστεύετε ότι το έχετε κάνει σωστό και το δημιουργείτε και το δοκιμάζετε, τα μαθήματα από τη δοκιμή θα πρέπει να ωφελήσουν το επόμενο πράγμα που δημιουργείτε.

Δεν έχουμε υιοθετήσει ακόμα έναν ασφαλές κύκλο ανάπτυξης όπως η Microsoft. Δεν έχουμε προσκολληθεί εξίσου σε όλες τις σειρές προϊόντων με έναν πολύ συνεπή μετρικά μετρήσιμο τρόπο και γι 'αυτό λέω ότι βρισκόμαστε σε αυτή την αμήχανη εφηβική φάση.