Jamey Heary di Cisco: organizzazioni che lavorano con informazioni riservate, utilizzano Wi-Fi crittografato, VPN e app crittografate

Il 18 ottobre siamo stati invitati a Cisco Connect 2017. A questo evento, abbiamo incontrato l'esperto di sicurezza Jamey Heary. È un Distinguished Systems Engineer presso Cisco Systems, dove dirige il Global Security Architecture Team. Jamey è un fidato consulente per la sicurezza e architetto per molti dei maggiori clienti di Cisco. È anche autore di libri ed ex blogger di Network World. Abbiamo parlato con lui della sicurezza nelle aziende moderne, dei problemi di sicurezza significativi che stanno avendo un impatto su aziende e organizzazioni e delle ultime vulnerabilità che interessano tutte le reti e i client wireless (KRACK). Ecco che cosa aveva da dire:

Contenuti

1. Il nostro pubblico è composto sia da utenti finali che da utenti aziendali. Per iniziare e presentarti un po', come descriveresti il ​​tuo lavoro in Cisco, in modo non aziendale?
2. In base alla tua esperienza di esperto di sicurezza, quali sono le minacce alla sicurezza più significative per l'impresa moderna?
3. Quando si tratta di sicurezza, le persone sono l'anello più debole e anche l'obiettivo principale degli attacchi. Come potremmo affrontare questo problema, dal momento che l'ingegneria sociale è una delle principali minacce alla sicurezza?
4. Hai un'interessante serie di articoli in Network World sui sistemi di gestione dei dispositivi mobili (MDM). Tuttavia, negli ultimi anni, questo argomento sembra essere discusso meno. L'interesse del settore per tali sistemi sta rallentando? Cosa sta succedendo, dal tuo punto di vista?
5. Ciò influisce sull'adozione di programmi come Bring Your Own Device (BYOD) per funzionare?
6. Il problema di sicurezza più caldo sul radar di tutti è "KRACK" (Key Reinstallation AttaCK), che colpisce tutti i client di rete e le apparecchiature che utilizzano lo schema di crittografia WPA2. Cosa sta facendo Cisco per aiutare i propri clienti con questo problema?
7. Fino a quando tutto non sarà risolto, cosa consiglieresti di fare ai tuoi clienti per proteggersi?
8. Sul mercato consumer, alcuni fornitori di sicurezza stanno raggruppando VPN con le loro suite antivirus e di sicurezza totale. Stanno anche iniziando a educare i consumatori che non è più sufficiente avere un firewall e un antivirus, è necessaria anche una VPN. Qual è l'approccio di Cisco in materia di sicurezza per l'azienda? Promuovi attivamente anche la VPN come livello di protezione necessario?
9. Nella tua presentazione a Cisco Connect, hai menzionato l'automazione come molto importante per la sicurezza. Qual è il tuo approccio consigliato per l'automazione nella sicurezza?
10. In che modo Cisco utilizza l'automazione nel suo portafoglio di prodotti per la sicurezza?
11. L'uso degli attacchi DDOS sta rallentando?
12. Le persone portano nelle loro organizzazioni non solo i propri dispositivi, ma anche i propri sistemi cloud (OneDrive, Google Drive, Dropbox, ecc.). Questo rappresenta un altro rischio per la sicurezza delle organizzazioni. In che modo un sistema come Cisco Cloudlock affronta questo problema?

Il nostro pubblico è composto sia da utenti finali che da utenti aziendali. Per iniziare e presentarti un po', come descriveresti il ​​tuo lavoro in Cisco, in modo non aziendale?

La mia passione è la sicurezza. Quello che mi sforzo di fare ogni giorno è insegnare l'architettura ai miei clienti e agli utenti finali. Ad esempio, parlo di un prodotto di sicurezza e di come si integra con altri prodotti (nostri o di terze parti). Pertanto mi occupo dell'architettura del sistema dal punto di vista della sicurezza.

Jamey Heary, Cisco

In base alla tua esperienza di esperto di sicurezza, quali sono le minacce alla sicurezza più significative per l'impresa moderna?

I più grandi sono l'ingegneria sociale e il ransomware. Quest'ultimo provoca devastazione in così tante aziende e peggiorerà perché ci sono così tanti soldi in esso. È probabilmente la cosa più redditizia che i creatori di malware hanno capito come fare.

Abbiamo visto che il focus dei "cattivi" è sull'utente finale. Lui o lei è l'anello più debole in questo momento. Abbiamo cercato come industria di formare le persone, i media hanno fatto un buon lavoro nel spargere la voce su come proteggersi meglio, ma è comunque abbastanza banale inviare a qualcuno un'e-mail mirata e convincerli a prendere un'azione che desideri: fare clic su un collegamento, aprire un allegato, qualunque cosa tu voglia.

L'altra minaccia sono i pagamenti online. Continueremo a vedere miglioramenti nei modi in cui le aziende accettano i pagamenti online ma, fino a quando il settore non implementerà metodi più sicuri per effettuare pagamenti online, quest'area sarà un enorme fattore di rischio.

Quando si tratta di sicurezza, le persone sono l'anello più debole e anche l'obiettivo principale degli attacchi. Come potremmo affrontare questo problema, dal momento che l'ingegneria sociale è una delle principali minacce alla sicurezza?

C'è molta tecnologia che possiamo applicare. C'è solo così tanto che puoi fare per una persona, specialmente in un settore in cui alcune persone tendono a essere più utili di altre. Ad esempio, nel settore sanitario, le persone vogliono solo aiutare gli altri. Quindi invii loro un'e-mail dannosa ed è più probabile che facciano clic su ciò che gli invii rispetto a persone in altri settori, come dipartimento di polizia.

Quindi abbiamo questo problema, ma possiamo usare la tecnologia. Una delle cose che possiamo fare è la segmentazione, che può ridurre drasticamente la superficie di attacco disponibile per qualsiasi utente finale. Lo chiamiamo "zero trust": quando un utente si connette alla rete aziendale, la rete comprende chi è l'utente, qual è il suo ruolo nell'organizzazione, a quali applicazioni deve accedere l'utente, capirà la macchina dell'utente e qual è la posizione di sicurezza della macchina, a un livello molto dettagliato. Ad esempio, può anche dire cose come la prevalenza di un'applicazione dell'utente. La prevalenza è qualcosa che abbiamo trovato efficace e significa quante altre persone nel mondo usano questa applicazione e quante in una determinata organizzazione. In Cisco, eseguiamo questa analisi tramite l'hashing: prendiamo un hash di un'applicazione, e abbiamo milioni di punti finali, e loro torneranno e diranno: "la prevalenza su questa app è dello 0,0001%". La prevalenza calcola quanto viene utilizzata un'app nel mondo e poi nella tua organizzazione. Entrambe queste misure possono essere molto utili per capire se qualcosa è molto sospetto e se merita di dare un'occhiata più da vicino.

Hai un'interessante serie di articoli in Network World sui sistemi di gestione dei dispositivi mobili (MDM). Tuttavia, negli ultimi anni, questo argomento sembra essere discusso meno. L'interesse del settore per tali sistemi sta rallentando? Cosa sta succedendo, dal tuo punto di vista?

Sono successe poche cose, una delle quali è che i sistemi MDM sono diventati abbastanza saturi nel mercato. Quasi tutti i miei clienti più grandi hanno uno di questi sistemi in atto. L'altra cosa che è successa è che le normative sulla privacy e la mentalità sulla privacy degli utenti sono cambiate in modo tale che molte persone non danno più il proprio dispositivo personale (smartphone, tablet, ecc.) alla propria organizzazione e consentono l'installazione di un software MDM. Quindi abbiamo questa concorrenza: l'azienda vuole avere pieno accesso ai dispositivi utilizzati dai propri dipendenti in modo che possa proteggersi e i dipendenti sono diventati molto resistenti a questo approccio. C'è questa battaglia costante tra le due parti. Abbiamo visto che la prevalenza dei sistemi MDM varia da azienda ad azienda, a seconda della cultura e dei valori aziendali,

Ciò influisce sull'adozione di programmi come Bring Your Own Device (BYOD) per funzionare?

Sì, lo fa totalmente. Ciò che sta accadendo, per la maggior parte, è che le persone che utilizzano i propri dispositivi sulla rete aziendale, li utilizzano in un'area molto controllata. Anche in questo caso, entra in gioco la segmentazione. Se porto il mio dispositivo alla rete aziendale, allora forse posso accedere a Internet, a qualche server Web aziendale interno, ma in nessun modo sarò in grado di accedere ai server di database, alle app critiche della mia azienda o alla sua dati critici, da quel dispositivo. Questo è qualcosa che facciamo in modo programmatico in Cisco in modo che l'utente possa andare dove deve nella rete aziendale ma non dove l'azienda non vuole che l'utente vada, da un dispositivo personale.

Il problema di sicurezza più caldo sul radar di tutti è "KRACK" (Key Reinstallation AttaCK), che colpisce tutti i client di rete e le apparecchiature che utilizzano lo schema di crittografia WPA2. Cosa sta facendo Cisco per aiutare i propri clienti con questo problema?

È una grande sorpresa che una delle cose su cui abbiamo fatto affidamento per anni ora sia crackabile. Ci ricorda i problemi con SSL, SSH e tutte le cose in cui crediamo fondamentalmente. Tutti sono diventati "non degni" della nostra fiducia.

Per questo problema, abbiamo identificato dieci vulnerabilità. Di questi dieci, nove sono basati sul client, quindi dobbiamo aggiustare il client. Uno di questi è relativo alla rete. Per quello, Cisco rilascerà le patch. I problemi sono esclusivi del punto di accesso e non dobbiamo riparare router e switch.

Sono stato felice di vedere che Apple ha ottenuto le correzioni in codice beta, quindi i dispositivi client saranno presto completamente patchati. Windows ha già una patch pronta, ecc. Per Cisco, la strada è semplice: una vulnerabilità sui nostri punti di accesso e rilasceremo patch e correzioni.

Fino a quando tutto non sarà risolto, cosa consiglieresti di fare ai tuoi clienti per proteggersi?

In alcuni casi, non è necessario fare nulla, perché a volte la crittografia viene utilizzata all'interno della crittografia. Ad esempio, se visito il sito Web della mia banca, utilizza TLS o SSL per la sicurezza delle comunicazioni, che non è interessata da questo problema. Quindi, anche se sto attraversando un WiFi completamente aperto, come quello di Starbucks, non ha molta importanza. Dove questo problema con WPA2 entra in gioco maggiormente è sul lato della privacy. Ad esempio, se vado su un sito Web e non voglio che gli altri lo sappiano, ora lo sapranno perché WPA2 non è più efficace.

Una cosa che puoi fare per proteggerti è configurare connessioni VPN. Puoi connetterti al wireless, ma la prossima cosa che devi fare è attivare la tua VPN. La VPN va bene perché crea un tunnel crittografato che passa attraverso il WiFi. Funzionerà fino a quando anche la crittografia VPN non verrà violata e dovrai trovare una nuova soluzione. 🙂

Sul mercato consumer, alcuni fornitori di sicurezza stanno raggruppando VPN con le loro suite antivirus e di sicurezza totale. Stanno anche iniziando a educare i consumatori che non è più sufficiente avere un firewall e un antivirus, è necessaria anche una VPN. Qual è l'approccio di Cisco in materia di sicurezza per l'azienda? Promuovi attivamente anche la VPN come livello di protezione necessario?

La VPN fa parte dei nostri pacchetti per l'azienda. In circostanze normali, non si parla di VPN all'interno di un tunnel crittografato e WPA2 è un tunnel crittografato. Di solito, perché è eccessivo e c'è un sovraccarico che deve accadere sul lato client per far funzionare tutto bene. Per la maggior parte, non ne vale la pena. Se il canale è già crittografato, perché crittografarlo di nuovo?

In questo caso, quando vieni sorpreso con i pantaloni abbassati perché il protocollo di sicurezza WPA2 è fondamentalmente rotto, possiamo ricorrere alla VPN, fino a quando i problemi non vengono risolti con WPA2.

Ma detto questo, nello spazio dell'intelligence, le organizzazioni di sicurezza come un'organizzazione del tipo del Dipartimento della Difesa, lo fanno da anni. Si basano su VPN, oltre alla crittografia wireless e, molte volte anche le applicazioni nel mezzo della loro VPN sono crittografate, quindi ottieni una crittografia a tre vie, tutte utilizzando diversi tipi di crittografia. Lo fanno perché sono "paranoici" come dovrebbero. :))

Nella tua presentazione a Cisco Connect, hai menzionato l'automazione come molto importante per la sicurezza. Qual è il tuo approccio consigliato per l'automazione nella sicurezza?

L'automazione diventerà rapidamente un requisito perché noi, come esseri umani, non possiamo muoverci abbastanza velocemente per fermare le violazioni e le minacce alla sicurezza. Un cliente aveva 10.000 macchine crittografate da ransomware in 10 minuti. Non è umanamente possibile che tu possa reagire a questo, quindi hai bisogno dell'automazione.

Il nostro approccio oggi non è così pesante come dovrebbe diventare ma, quando vediamo qualcosa di sospetto, un comportamento che sembra una violazione, i nostri sistemi di sicurezza dicono alla rete di mettere quel dispositivo o quell'utente in quarantena. Questo non è purgatorio; puoi ancora fare alcune cose: puoi ancora andare su Internet o ottenere dati dai server di gestione delle patch. Non sei del tutto isolato. In futuro, potremmo dover cambiare questa filosofia e dire: una volta messo in quarantena, non hai alcun accesso perché sei troppo pericoloso per la tua organizzazione.

In che modo Cisco utilizza l'automazione nel suo portafoglio di prodotti per la sicurezza?

In alcune aree, utilizziamo molta automazione. Ad esempio, in Cisco Talos , il nostro gruppo di ricerca sulle minacce, otteniamo dati di telemetria da tutti i nostri widget di sicurezza e un sacco di altri dati da altre fonti. Il gruppo Talos utilizza l'apprendimento automatico e l'intelligenza artificiale per ordinare milioni di record ogni singolo giorno. Se guardi all'efficacia nel tempo in tutti i nostri prodotti di sicurezza, è sorprendente, in tutti i test di efficacia di terze parti.

L'uso degli attacchi DDOS sta rallentando?

Sfortunatamente, DDOS come metodo di attacco è vivo e vegeto e sta peggiorando. Abbiamo scoperto che gli attacchi DDOS tendono a essere mirati verso determinati tipi di società. Tali attacchi sono usati sia come esca che come arma di attacco principale. Esistono anche due tipi di attacchi DDOS: volumetrici e basati su app. Il volumetrico è fuori controllo se guardi gli ultimi numeri di quanti dati possono generare per abbattere qualcuno. È ridicolo.

Un tipo di società che sono prese di mira dagli attacchi DDOS sono quelle della vendita al dettaglio, di solito durante le festività natalizie (il Black Friday sta arrivando!). L'altro tipo di società che vengono prese di mira dagli attacchi DDOS sono quelle che lavorano in aree controverse, come petrolio e gas. In questo caso si tratta di persone che hanno una particolare causa etica e morale, che decidono di DDOS un'organizzazione o un'altra perché non sono d'accordo con quello che stanno facendo. Queste persone lo fanno per una causa, per uno scopo e non per i soldi coinvolti.

Le persone portano nelle loro organizzazioni non solo i propri dispositivi, ma anche i propri sistemi cloud (OneDrive, Google Drive, Dropbox, ecc.). Questo rappresenta un altro rischio per la sicurezza delle organizzazioni. In che modo un sistema come Cisco Cloudlock affronta questo problema?

Cloudlock fa due cose fondamentali: in primo luogo, ti fornisce un controllo di tutti i servizi cloud che vengono utilizzati. Integriamo Cloudlock con i nostri prodotti web in modo che tutti i log web possano essere letti da Cloudlock. Questo ti dirà dove stanno andando tutti nell'organizzazione. Quindi sai che molte persone usano il proprio Dropbox, ad esempio.

La seconda cosa che fa Cloudlock è che è tutto fatto di API che comunicano con i servizi cloud. In questo modo, se un utente ha pubblicato un documento aziendale su Box, Box dice immediatamente a Cloudlock che è arrivato un nuovo documento e dovrebbe dargli un'occhiata. Quindi esamineremo il documento, lo classificheremo, capiremo il profilo di rischio del documento, così come è stato condiviso con altri o meno. In base ai risultati, il sistema interromperà la condivisione di quel documento tramite Box o lo consentirà.

Con Cloudlock puoi impostare regole come: "questo non dovrebbe mai essere condiviso con nessuno al di fuori dell'azienda. Se lo è, disattiva la condivisione". Puoi anche eseguire la crittografia su richiesta, in base alla criticità di ciascun documento. Pertanto, se l'utente finale non ha crittografato un documento aziendale critico, quando lo pubblica su Box, Cloudlock forzerà la crittografia di quel documento automaticamente.

Vorremmo ringraziare Jamey Heary per questa intervista e le sue sincere risposte. Se vuoi metterti in contatto, puoi trovarlo su Twitter .

Alla fine di questo articolo, condividi la tua opinione sugli argomenti di cui abbiamo discusso, utilizzando le opzioni di commento disponibili di seguito.