Cisco CSO: Enterprise Security and the Global Value Chain (CxOTalk #356)
جون ستيوارت لا يتحدث مثل المسؤول التنفيذي الخاص بك. وقال إن شركته ، سيسكو سيستمز ، كانت محظوظة عندما يتعلق الأمر بالأمن ، وأن دافع شركته للدفاع عن النفس على شبكة الإنترنت قد رسم "عين ثورية كبيرة" على منتجاتها.
ولكن مرة أخرى ، لدى ستيوارت المزيد أشياء مهمة للقلق. بصفته مسؤول الأمن الأول ، فهو الشخص المسؤول عن توجيه ممارسات أمن وحدة الأعمال والشركات لشركة Cisco. وهذا يعني أنه يحصل على المكالمة عندما يكون هناك خلل أمني مهم في منتجات Cisco أو إذا كان المتطفلين سيضربون موقع Cisco.com على الويب. بالطريقة التي يضعها ، فإن مهمته هي المساعدة في حماية منتجات سيسكو قبل أن يضطر للتعامل مع ما يسميه "المنصة المحترقة" - وهو عيب خطير أو هجوم ضد أجهزة التوجيه الأكثر استخدامًا على الإنترنت.
ربما تحتاج Cisco إلى شخص مثل Stewart ، للتخلص من الأخطاء التي ارتكبتها شركات التقنية الرئيسية الأخرى بشأن الأمان. خذ مايكروسوفت ، على سبيل المثال. واتخذت مايكروسوفت موقفاً عدائياً تجاه الباحثين والنقّاد الأمنيين ، لكن تلك النتيجة ارتجعت وساعدت في تعزيز الانطباع بأن الشركة تتجاهل الأخطاء الأمنية بدلاً من محاولة إصلاحها. في نهاية المطاف ، عكس Microsoft مسارها ، ولكن ليس حتى حصلت على سمعتها نجاحًا كبيرًا.
على نطاق أصغر ، حققت Cisco نوعًا مماثلاً من الانعكاس. أغضبت الشركة المتسللين في عام 2005 من خلال مقاضاة الباحث مايك لين بعد أن أظهر كيف كان من الممكن تشغيل برنامج shellcode غير مصرح به على جهاز توجيه سيسكو.
ولكن بدلاً من إطلاق عصر جديد من قرصنة Cisco ، كانت حلقة Mike Lynn أكثر من انحراف. كانت أبحاث سيسكو هادئة خلال السنوات القليلة القادمة.
قال ستيوارت إن شركة سيسكو "محظوظة بعض الشيء" من حيث أنها لم تشهد أي تفجر أمني كبير ، لكنه لا يأخذ أي شيء كأمر مسلم به. دعا IDG خدمة الأخبار إلى مكتبه في سان خوسيه ، كاليفورنيا للحديث عن المشهد تهديد سيسكو. فيما يلي نسخة منقحة للمقابلة.
IDG News Service: حصلت شركة Cisco على الكثير من الاهتمام في Black Hat 2005. ما هو رأيك في الأمور ، بعد ثلاث سنوات؟
جون ستيوارت: جزء من السبب في كل الاهتمام تم رسمها علينا في بلاك هات قبل ثلاث سنوات ، لأننا أنشأنا عاصفة نارية ، بصراحة ، كل أنواع القضايا المعقدة ، التي شعرت بأن شركة سيسكو تقوم بقمع الاتصالات والأبحاث.
أعتقد أنه يمكننا فعل بعض الأشياء السخيفة ، مثل محاولة ضع الجني في الزجاجة ، التي لا يمكنك فعلها. كنا نحاول القيام بذلك للأسباب الصحيحة: حماية الملكية الفكرية وعملائنا. ولكن كيف خرج الأمر ذهب بشكل كامل تمامًا.
وفي العديد من النواحي ، فعلنا ذلك بشكل مجهول. كان "المتحدث باسم سيسكو." اختبأنا نوعًا ما وراء سياق عدم الكشف عن الهوية ، والذي أعتقد أنه فعلًا كل شيء.
لهذا السبب أنا شخصياً رعت Black Hat على مستوى البلاتينيوم منذ ذلك الحين. لأنني أعتقد أن لدينا بعض الكفارة للقيام به والذهاب ، "انظروا ، سيئنا. لم تكن هذه هي الطريقة للقيام بذلك."
IDGNS: لماذا تعتقد أن أبحاث Cisco قد جفت كما فعلت؟
ستيوارت: هناك سببان. الأول ، الكثير من هذا ليس استغلالًا بعيدًا ، والكثير من ما يدور حوله البحث في أي مجتمع ، "كيف تفعل ذلك عن بُعد؟" إن بحث إدارة مخاطر المعلومات (IRM) ، وبحث سيباستيان [مونيز ، الباحث في تكنولوجيا الأمن الأساسية] ، وإلى حد ما ، بحث مايكل لين ، على الرغم من أنه كان لديه بديل بسيط عن بعد ، فإنه ليس بعيدًا عن المستقرة. وهنا تكمن اللعبة الحقيقية.
لديك لمعرفة طريقة للحصول عليها دون أن تكون على وحدة التحكم. وهذا هو ما كان يدور حول معظم التطورات: كيف تفعل ذلك على وحدة التحكم - على الأقل بالنسبة لشركة Cisco ، على أي حال.
والشيء الثاني هو ، هل تريد أن تعمل. أنت لا تحاول إخراجها لأنك تحتاج إلى الشبكة حتى تتمكن من الوصول إلى نقطة النهاية. لذا أعتقد أننا حصلنا على تصريح لأن لا أحد يرغب في القرد باستخدام البنية التحتية التي يستخدمها. انها مثل شد الطريق السريع بينما كنت تحاول الذهاب إلى مدينة مختلفة. هذا هو نوع من أبله القيام به.
IDGNS: لقد كانت شركة Microsoft شديدة العمومية حول كيفية تغيير الشركة لجعل الأمن أولوية. ما هي القصة في سيسكو؟ كيف تم بناء برنامج الحماية؟
ستيوارت: كنا على الأرجح في نفس المكان. بدأت العديد من الشركات ، بما فيها شركاتنا ، ببناء الأشياء أولاً لحل مشاكل الاتصالات ثم التفكير في سلامة الاتصالات بعد ذلك.
منذ حوالي خمس سنوات ، كنا نحارب الشركة ، فريقي. في الغالب في مجال أمن المعلومات. كنا منظمة "لا" ، برج العاج. هذا مكان خطير لأنني يجب أن تكون ذراعيًا استشاريًا ، وليس قاضيًا.
لذا فقد غيرنا الكثير من ذلك وبدأنا في حقن الأشياء ، مثل "ستكون لديك خبرة في لن نكون متواجدين في الوسط ، وبهذه الطريقة يمكنك استثمار الخبرة لما تحتاجه ونحن لا نحملك أو نضعك في موقف أبطأ. "
الشيء الثاني - - لا يمكن الاستهانة به - هل كنا نستعد في عام 2002 لإطلاق شبكات الدفاع عن النفس ، والتي - مثلها أو تكرهها كشعار - هي في الواقع ثورة كبيرة على جبهتنا.
IDGNS: مثل لينكس لينكس الغير قابل للكسر؟
ستيوارت: في الواقع أن ماري آن ديفيدسون في أوراكل أسقطتني ملاحظة وقلت: "شكرا جزيلا لك على الخروج بشعار يخفف الضغط عما قمنا به". [يضحك] كما لو كان لي أي شيء متعلق بالإعلان.
وثالثًا ، لدينا بالفعل بصمة تنمو. لقد اعتدنا على المزيد والمزيد من الأماكن ، وبصراحة أننا نعتقد أننا لم نكن نتصور أننا سنستخدم. نحن ننقل اتصالات الرعاية الصحية ، وننقل اتصالات الموقع إلى الموقع للجيش. نحن نفعل كل هذه الأشياء البرية التي لم نفكر بها منذ 20 عامًا.
IDGNS: هل فعلت شيئًا مثل تبني دورات حياة آمنة أو تغيير طريقة بناء المنتجات؟
ستيوارت: نحن لسنا ناضجة في هذا. نحن في مرحلة المراهقة المربكة. نحن نختبر في نهاية عملية التطوير ونستنتج من هذه البيانات كيف تعود إلى عملية التعريف. الآن بعض التعريف يحدث على أي حال. على سبيل المثال ، هناك بعض المتطلبات الأساسية لكل منتج قمنا ببنائه. ومع ذلك ، ما زلت أقول إن هناك الكثير الذي يمكن تعلمه. عندما تظن أنك قمت بذلك بشكل صحيح وقمت ببنائه واختباره ، يجب أن تستفيد الدروس المستفادة من الاختبار من الشيء التالي الذي تقوم ببنائه.
لم نعتمد دورة حياة تطوير آمنة مثل Microsoft بعد. لم نكن قد سمعنا بشكل متساوٍ على جميع خطوط الإنتاج بطريقةٍ منهجيةٍ متناسقةٍ قابلة للقياس ، وهذا هو السبب في أننا نقول إننا في تلك المرحلة المراهقة المربكة.
Messaging Aggregator Fuser is Growing Up
يمكن لتطبيق المراسلة المركزي الآن تجميع البريد الإلكتروني من 94 في المائة من جميع برامج البريد الإلكتروني ، بما في ذلك جميع التخصصات.
Cloudmark Security Suite Addressing Growing SMS Spam
نظرًا لأن مستخدمي الجوال أكثر عرضة للإزعاج بسبب الرسائل غير المرغوب فيها عبر الرسائل القصيرة SMS ، فإن أحد موردي الأجهزة الأمنية يطبق خبرته في إيقاف تشغيل البريد الإلكتروني. البريد المزعج لشبكات الهاتف النقال.
Twitter: A Growing Security Minefield
كما أصبح Twitter أكثر انتشارًا ، أصبحت خدمة المدونات الصغيرة أيضًا هدفًا أكبر للبرامج الضارة والحيل.