CSO אמר אבטחה סיסקו גדל

ג 'ון סטיוארט לא מדבר כמו מנהל החברה הרגילה שלך. הוא אמר כי החברה שלו, סיסקו סיסטמס, היה בר מזל כשמדובר אבטחה וכי הדאגה של החברה שלו להגן עצמית ברשת יש צבוע "שקר גדול עין" על מוצריה.

אבל אז שוב, סטיוארט יש יותר דברים חשובים לדאוג. כקצין הביטחון הראשי, הוא האחראי על הפניית נוהלי האבטחה של חברות ויחידות עסקיות של סיסקו. כלומר, הוא מקבל את השיחה בכל פעם שיש באג אבטחה חשוב במוצרי סיסקו או אם האקרים היו להכות את אתר האינטרנט של Cisco.com. כפי שהוא מכניס את זה, זה התפקיד שלו כדי לעזור לנעול את המוצרים של סיסקו לפני שהוא נאלץ להתמודד עם מה שהוא מכנה "פלטפורמת הבוער" - פגם רציני או התקפה נגד הנתבים הנפוצים ביותר באינטרנט. סיסקו זקוקה למישהו כמו סטיוארט, כדי להתרחק מהשגיאות שחברות טכנולוגיה גדולות אחרות ביצעו בתחום האבטחה. קח את מיקרוסופט, למשל. מיקרוסופט נקטה לראשונה עמדה עוינת כלפי חוקרי אבטחה ומבקרים, אבל זה עשה שימוש חוזר ועזר לקבע את הרושם שהחברה מתעלמת מחרקים ביטחוניים ולא מנסה לתקן אותם. בסופו של דבר מיקרוסופט הפכה את הקורס שלה, אבל לא עד שהמוניטין שלה נפגע קשה. [

[קריאה נוספת: תיבות NAS הטובות ביותר עבור זרימת מדיה וגיבוי]

בקנה מידה קטן יותר, סיסקו עשתה היפוך דומה. החברה הרתיעה את האקרים ב -2005 על ידי תובעת החוקר מייק לין לאחר שהראה כיצד ניתן להפעיל תוכנת קודקוד לא מורשית על נתב סיסקו. אבל במקום לבעוט בעידן חדש של פריצת סיסקו, הפרק של מייק לין היה יותר סטייה. המחקר של סיסקו היה שקט בשנים הקרובות.

סטיוארט אמר כי סיסקו "קצת מזל" בכך שאין לה התפרצויות אבטחה גדולות, אבל הוא לא לוקח שום דבר כמובן מאליו. הוא הזמין את IDG News Service למשרדו בסן חוזה, קליפורניה כדי לדבר על הנוף של איום הסיסקו. להלן תמליל ערוך של הראיון.

IDG News Service: סיסקו קיבלה תשומת לב רבה ב Black Hat 2005. מה את לוקחת על דברים, שלוש שנים מאוחר יותר?

ג'ון סטיוארט: חלק מהסיבה כל תשומת הלב צוייר עלינו ב"בלאק האט" לפני שלוש שנים, משום שיצרנו סופת אש של כל מיני סוגיות מסובכות, שהרגשתי כאילו סיסקו מדכאת תקשורת ומחקר. אני חושבת שעשינו כמה דברים מטופשים, כמו לנסות תחזיר את הג'יני לבקבוק, שאינך יכול לעשות. ניסינו לעשות זאת מהסיבות הנכונות: הגנה על קניין רוחני ועל לקוחותינו. אבל איך זה יצא לגמרי לגמרי הצדה. "ומבחינות רבות, עשינו זאת בעילום שם. זה היה "דובר של סיסקו". הסתתרנו מאחורי הקשר אנונימי, שלדעתי באמת טשטש הכל. לכן אני אישית החזרתי את Black Hat ברמת הפלטינה מאז. כי אני חושב שהיה לנו קצת כפרה לעשות וללכת, "תראי, הרע שלנו, זאת לא היתה הדרך לעשות את זה."

IDNNS: מדוע לדעתך המחקר סיסקו התייבש כמו שזה עשה? סטיוארט: יש כמה סיבות. הראשון הוא, הרבה זה לא ניצול מרחוק, והרבה מה המחקר הוא על כל קהילה היא, "איך אתה עושה את זה מרחוק?" מחקר של אירם [ניהול סיכוני מידע], מחקר של סאבאסטיאן [מוניז, חוקר בחברת Core Security Technologies] ובמחקר מסוים, ובמידה מסוימת, המחקר של מייקל לין, למרות שהיה לו גרסה קלה, הוא לא מרוחק. וזה המקום שבו המשחק האמיתי הוא. <>>> אתה צריך למצוא דרך להכניס אותו בלי להיות על המסוף. וזה מה שרוב הפיתוח היה בסביבה: איך אתה עושה את זה על קונסולת - לפחות עבור סיסקו, בכל מקרה.

ואת הדבר השני הוא, אתה רוצה שזה יעבוד. אתה לא מנסה לדפוק את זה כי אתה צריך את הרשת למעלה, כך שתוכל להגיע לנקודת הסיום. אז אני חושב שאנחנו מקבלים קצת לעבור כי אף אחד לא רוצה קוף עם התשתית כי הם משתמשים. זה כמו לדפוק את הכביש המהיר בזמן שאתה מנסה ללכת לעיר אחרת. זה די מטומטםIDGNS: מיקרוסופט הייתה מאוד ציבורית על איך הם שינו את החברה כדי להפוך את האבטחה עדיפות. מה הסיפור בסיסקו? איך נבנתה תוכנית הביטחון?

סטיוארט: כנראה היינו באותו חלל. חברות רבות, כולל שלנו, התחילו בבניית דברים ראשונים שפתרו בעיות תקשורת ולאחר מכן חשבו על הבטיחות של התקשורת לאחר מכן.

לפני כחמש שנים נאבקנו בחברה, הצוות שלי. בעיקר בעסקי אבטחת המידע. היינו ארגון "לא", מגדל השנהב. זה מקום מסוכן להיות, כי אני צריך להיות זרוע הגשמה מייעצת, לא שופטת. "אז השתנינו הרבה והתחלנו להזריק דברים כמו" אתה הולך להיות בעל מומחיות שלך אנחנו לא הולכים להיות אפילו באמצע, ככה שאתה יכול להשקיע את המומחיות עבור מה שאתה צריך ואנחנו לא מחזיק אותך או להביא אותך למצב איטי יותר. "

הדבר השני - - זה לא יכול להיות לזלזל - הוא התכוננו בשנת 2002 להשיק רשתות הגנה עצמית, אשר - כמו זה או שונא את זה כסיסמא - ביעילות היא עין גדולה של השור על המצח שלנו. IDGNS: כמו לינוקס הבלתי מעורערת של אורקל?

סטיוארט: למעשה מרי אן דייווידסון על אורקל הורידה לי פתק ואמר, "תודה רבה על שאתה מגיע עם סיסמא כי לוקח את הלחץ מה שעשינו" [צוחק] כאילו היה לי משהו עם ההכרזה. ואז, שלישית, באמת יש לנו טביעת רגל. התרגלנו יותר ויותר מקומות, ולמען האמת חשבנו שמעולם לא שיערנו שנוכל להשתמש בה. אנחנו מעבירים תקשורת בתחום הבריאות, אנחנו מעבירים את התקשורת בין האתר לצבא. אנחנו עושים את כל הדברים הפראיים האלה שלפני 20 שנה לא חשבנו על זה אז.

IDGNS: אז האם עשית משהו כמו לאמץ מחזורי פיתוח מאובטח או לשנות את הדרך שבה אתה בנוי מוצרים?

סטיוארט: אנחנו לא בוגרת בזה. אנחנו בשלב העשרה המביך. אנחנו בודקים בסוף תהליך הפיתוח ואנחנו מבינים מתוך הנתונים איך אתה הולך אחורה לתוך תהליך ההגדרה. עכשיו הגדרה כלשהי מתרחשת בכל מקרה. כך למשל יש כמה דרישות בסיסיות של כל מוצר שבנינו. עם זאת, אני עדיין אומר שיש הרבה מה ללמוד. כאשר אתה חושב שיש לך את זה נכון ואתה בונה אותו ואתה בודק את זה, את הלמידה מן המבחן צריך להועיל הדבר הבא שאתה בונה.

אנחנו לא אימצו מחזור חיים פיתוח מאובטח כמו מיקרוסופט עדיין. אנחנו לא מסומר באותה מידה על כל קווי המוצרים בצורה עקבית מאוד למדידה שיטתית, ובגלל זה אני אומר שאנחנו באותו שלב בגיל העשרה מביך.