Στις 18 Οκτωβρίου^{(October 18th)} , ήμασταν προσκεκλημένοι στο Cisco Connect 2017 . Σε αυτή την εκδήλωση, συναντηθήκαμε με τον ειδικό σε θέματα ασφάλειας Jamey Heary . Είναι διακεκριμένος μηχανικός συστημάτων^{(Systems Engineer)} στη Cisco Systems όπου ηγείται της Ομάδας Αρχιτεκτονικής Παγκόσμιας Ασφάλειας^{(Global Security Architecture Team)} . Ο Jamey^(Jamey) είναι ένας αξιόπιστος σύμβουλος ασφαλείας και αρχιτέκτονας για πολλούς από τους μεγαλύτερους πελάτες της Cisco . Είναι επίσης συγγραφέας βιβλίων και πρώην blogger του Network World^{(Network World)} . Μιλήσαμε μαζί του για την ασφάλεια στη σύγχρονη επιχείρηση, τα σημαντικά ζητήματα ασφάλειας που επηρεάζουν τις επιχειρήσεις και τους οργανισμούς και τις πιο πρόσφατες ευπάθειες που επηρεάζουν όλα τα ασύρματα δίκτυα και τους πελάτες (KRACK ). Να τι είχε να πει:

Το κοινό μας αποτελείται τόσο από τελικούς χρήστες όσο και από επαγγελματίες χρήστες. Για να ξεκινήσετε και να συστηθείτε λίγο, πώς θα περιγράφατε τη δουλειά σας στη Cisco , με μη εταιρικό τρόπο;

Το πάθος μου είναι η ασφάλεια. Αυτό που προσπαθώ να κάνω καθημερινά είναι να διδάξω στους πελάτες και στους τελικούς χρήστες μου την αρχιτεκτονική. Για παράδειγμα, μιλάω για ένα προϊόν ασφαλείας και πώς ενσωματώνεται με άλλα προϊόντα (δικά μας ή τρίτων). Ως εκ τούτου, ασχολούμαι με την αρχιτεκτονική του συστήματος από την άποψη της ασφάλειας.

Από την εμπειρία σας ως ειδικός σε θέματα ασφάλειας, ποιες είναι οι σημαντικότερες απειλές ασφαλείας για τη σύγχρονη επιχείρηση;

Τα μεγάλα είναι η κοινωνική μηχανική και το ransomware. Το τελευταίο προκαλεί καταστροφή σε τόσες πολλές εταιρείες και θα χειροτερέψει επειδή υπάρχουν τόσα πολλά χρήματα σε αυτό. Είναι ίσως το πιο προσοδοφόρο πράγμα που οι δημιουργοί κακόβουλου λογισμικού κατάλαβαν πώς να κάνουν.

Είδαμε ότι η εστίαση των «κακών» είναι στον τελικό χρήστη. Αυτός ή αυτή είναι ο πιο αδύναμος κρίκος αυτή τη στιγμή. Προσπαθήσαμε ως βιομηχανία να εκπαιδεύσουμε ανθρώπους, τα μέσα ενημέρωσης έχουν κάνει καλή δουλειά στο να γνωστοποιήσουν πώς θα μπορούσατε να προστατευτείτε καλύτερα, αλλά παρόλα αυτά, είναι αρκετά ασήμαντο να στείλετε σε κάποιον ένα στοχευμένο e-mail και να τον ζητήσετε να λάβει μια ενέργεια που θέλετε: κάντε κλικ σε έναν σύνδεσμο, ανοίξτε ένα συνημμένο, ό,τι θέλετε.

Η άλλη απειλή είναι οι διαδικτυακές πληρωμές. Θα συνεχίσουμε να βλέπουμε βελτιώσεις στους τρόπους με τους οποίους οι εταιρείες πραγματοποιούν πληρωμές μέσω Διαδικτύου, αλλά, έως ότου ο κλάδος εφαρμόσει πιο ασφαλείς τρόπους για την πραγματοποίηση πληρωμών στο διαδίκτυο, αυτός ο τομέας θα είναι ένας τεράστιος παράγοντας κινδύνου.

Όσον αφορά την ασφάλεια, οι άνθρωποι είναι ο πιο αδύναμος κρίκος και επίσης το κύριο επίκεντρο των επιθέσεων. Πώς θα μπορούσαμε να αντιμετωπίσουμε αυτό το ζήτημα, αφού η κοινωνική μηχανική είναι μία από τις κορυφαίες απειλές για την ασφάλεια;

Υπάρχει πολλή τεχνολογία που μπορούμε να εφαρμόσουμε. Υπάρχουν τόσα πολλά που μπορείτε να κάνετε για ένα άτομο, ειδικά σε έναν κλάδο όπου μερικοί άνθρωποι τείνουν να είναι πιο εξυπηρετικοί από άλλους. Για παράδειγμα, στον κλάδο της υγειονομικής περίθαλψης, οι άνθρωποι θέλουν απλώς να βοηθήσουν τους άλλους. Έτσι, τους στέλνετε ένα κακόβουλο e-mail και είναι πιο πιθανό να κάνουν κλικ σε αυτό που τους στέλνετε παρά άτομα σε άλλους κλάδους, ως αστυνομικό τμήμα.

Έχουμε λοιπόν αυτό το πρόβλημα, αλλά μπορούμε να χρησιμοποιήσουμε την τεχνολογία. Ένα από τα πράγματα που μπορούμε να κάνουμε είναι η κατάτμηση, η οποία μπορεί να μειώσει δραστικά την επιφάνεια επίθεσης που είναι διαθέσιμη σε οποιονδήποτε τελικό χρήστη. Το ονομάζουμε "μηδενική εμπιστοσύνη": όταν ένας χρήστης συνδέεται στο δίκτυο της εταιρείας, το δίκτυο κατανοεί ποιος είναι ο χρήστης, ποιος είναι ο ρόλος του στον οργανισμό, σε ποιες εφαρμογές χρειάζεται να έχει πρόσβαση ο χρήστης, θα κατανοήσει τη μηχανή του χρήστη και ποια είναι η στάση ασφαλείας του μηχανήματος, σε πολύ λεπτομερές επίπεδο. Για παράδειγμα, μπορεί ακόμη και να πει πράγματα όπως η επικράτηση μιας εφαρμογής που έχει ο χρήστης. Η επικράτηση^(Prevalence) είναι κάτι που βρήκαμε αποτελεσματικό και σημαίνει πόσοι άλλοι άνθρωποι στον κόσμο χρησιμοποιούν αυτήν την εφαρμογή και πόσοι σε έναν δεδομένο οργανισμό. Στη Cisco, κάνουμε αυτήν την ανάλυση μέσω κατακερματισμού: παίρνουμε έναν κατακερματισμό μιας εφαρμογής και έχουμε εκατομμύρια τελικά σημεία και θα επιστρέψουν και θα πουν: "ο επιπολασμός σε αυτήν την εφαρμογή είναι 0,0001%". Η επικράτηση^(Prevalence) υπολογίζει πόσο χρησιμοποιείται μια εφαρμογή στον κόσμο και στη συνέχεια στον οργανισμό σας. Και τα δύο αυτά μέτρα μπορούν να είναι πολύ καλά στο να καταλάβουμε εάν κάτι είναι πολύ ύποπτο και αν αξίζει να ρίξουμε μια πιο προσεκτική ματιά.

Έχετε μια ενδιαφέρουσα σειρά άρθρων στον Κόσμο του Δικτύου^{(Network World)} σχετικά με τα συστήματα διαχείρισης φορητών συσκευών^{(Mobile Device Management)} ( MDM ). Ωστόσο, τα τελευταία χρόνια, αυτό το θέμα φαίνεται να συζητείται λιγότερο. Επιβραδύνεται το ενδιαφέρον του κλάδου για τέτοια συστήματα; Τι συμβαίνει, από τη δική σας οπτική;

Λίγα πράγματα έχουν συμβεί, ένα από τα οποία είναι ότι τα συστήματα MDM έχουν γίνει αρκετά κορεσμένα στην αγορά. Σχεδόν^(Almost) όλοι οι μεγαλύτεροι πελάτες μου διαθέτουν ένα τέτοιο σύστημα. Το άλλο πράγμα που συνέβη είναι ότι οι κανονισμοί περί απορρήτου και η νοοτροπία απορρήτου των χρηστών έχουν αλλάξει έτσι ώστε πολλοί άνθρωποι να μην δίνουν πλέον την προσωπική τους συσκευή (smartphone, tablet, κ.λπ.) στον οργανισμό τους και να επιτρέπουν την εγκατάσταση ενός λογισμικού MDM . Έχουμε λοιπόν αυτόν τον ανταγωνισμό: η επιχείρηση θέλει να έχει πλήρη πρόσβαση στις συσκευές που χρησιμοποιούνται από τους υπαλλήλους της, ώστε να μπορεί να ασφαλιστεί και οι εργαζόμενοι έχουν γίνει πολύ ανθεκτικοί σε αυτήν την προσέγγιση. Υπάρχει αυτή η συνεχής μάχη μεταξύ των δύο πλευρών. Έχουμε δει ότι ο επιπολασμός του ΜΔΜ^(MDM)Τα συστήματα διαφέρουν από εταιρεία σε εταιρεία, ανάλογα με την κουλτούρα και τις αξίες της εταιρείας και τον τρόπο με τον οποίο κάθε οργανισμός θέλει να συμπεριφέρεται στους υπαλλήλους του.

Επηρεάζει αυτό την υιοθέτηση προγραμμάτων όπως το Bring Your Own Device ( BYOD ) σε λειτουργία;

Ναι, το κάνει απολύτως. Αυτό που συμβαίνει, ως επί το πλείστον, είναι ότι οι άνθρωποι που χρησιμοποιούν τις δικές τους συσκευές στο εταιρικό δίκτυο, τις χρησιμοποιούν σε μια πολύ ελεγχόμενη περιοχή. Και πάλι^(Again) , η τμηματοποίηση μπαίνει στο παιχνίδι. Εάν φέρω τη δική μου συσκευή στο εταιρικό δίκτυο, τότε ίσως μπορώ να έχω πρόσβαση στο διαδίκτυο, σε κάποιον εσωτερικό εταιρικό διακομιστή ιστού, αλλά σε καμία περίπτωση, δεν θα μπορώ να έχω πρόσβαση στους διακομιστές της βάσης δεδομένων, στις κρίσιμες εφαρμογές της εταιρείας μου ή της κρίσιμα δεδομένα από αυτήν τη συσκευή. Αυτό είναι κάτι που κάνουμε μέσω προγραμματισμού στη Cisco , έτσι ώστε ο χρήστης να μπορεί να πηγαίνει όπου χρειάζεται στο εταιρικό δίκτυο, αλλά όχι εκεί που η εταιρεία δεν θέλει να πάει ο χρήστης, από μια προσωπική συσκευή.

Το πιο καυτό ζήτημα ασφαλείας στο ραντάρ όλων είναι το " KRACK " ( Key Reinstallation AttaCK ), που επηρεάζει όλους τους πελάτες δικτύου και τον εξοπλισμό που χρησιμοποιούν το σχήμα κρυπτογράφησης WPA2 . Τι κάνει η Cisco για να βοηθήσει τους πελάτες της με αυτό το πρόβλημα;

Είναι τεράστια έκπληξη το γεγονός ότι ένα από τα πράγματα στα οποία βασιζόμασταν για χρόνια είναι τώρα σπαστό. Μας υπενθυμίζει τα προβλήματα με το SSL , το SSH και όλα τα πράγματα στα οποία πιστεύουμε θεμελιωδώς. Όλα έχουν γίνει "μη άξια" της εμπιστοσύνης μας.

Για αυτό το ζήτημα, εντοπίσαμε δέκα τρωτά σημεία. Από αυτά τα δέκα, τα εννέα από αυτά βασίζονται σε πελάτες, επομένως πρέπει να διορθώσουμε τον πελάτη. Ένα από αυτά σχετίζεται με το δίκτυο. Για αυτό, η Cisco πρόκειται να κυκλοφορήσει ενημερώσεις κώδικα. Τα προβλήματα αφορούν αποκλειστικά το σημείο πρόσβασης και δεν χρειάζεται να διορθώσουμε δρομολογητές και διακόπτες.

Χάρηκα που είδα ότι η Apple έλαβε τις επιδιορθώσεις της σε κώδικα beta, έτσι ώστε οι συσκευές-πελάτες της σύντομα να διορθωθούν πλήρως. Τα Windows^(Windows) έχουν ήδη μια ενημερωμένη έκδοση κώδικα, κ.λπ. Για τη Cisco , ο δρόμος είναι απλός: μια ευπάθεια στα σημεία πρόσβασης και θα κυκλοφορήσουμε ενημερώσεις κώδικα και διορθώσεις.

Μέχρι να διορθωθούν όλα, τι θα συνιστούσατε στους πελάτες σας να κάνουν για να προστατευτούν;

Σε ορισμένες περιπτώσεις, δεν χρειάζεται να κάνετε τίποτα, επειδή μερικές φορές η κρυπτογράφηση χρησιμοποιείται μέσα στην κρυπτογράφηση. Για παράδειγμα, αν πάω στον ιστότοπο της τράπεζάς μου, χρησιμοποιεί TLS ή SSL για την ασφάλεια των επικοινωνιών, κάτι που δεν επηρεάζεται από αυτό το ζήτημα. Έτσι, ακόμα κι αν περνάω από ένα ανοιχτό WiFi , όπως αυτό στα Starbucks , δεν έχει τόση σημασία. Όπου αυτό το ζήτημα με το WPA2 εμφανίζεται περισσότερο είναι στην πλευρά του απορρήτου. Για παράδειγμα, αν πάω σε έναν ιστότοπο και δεν θέλω να το γνωρίζουν οι άλλοι, τώρα θα το μάθουν επειδή το WPA2 δεν είναι πλέον αποτελεσματικό.

Ένα πράγμα που μπορείτε να κάνετε για να ασφαλίσετε τον εαυτό σας είναι να ρυθμίσετε τις συνδέσεις VPN . Μπορείτε να συνδεθείτε σε ασύρματο, αλλά το επόμενο πράγμα που πρέπει να κάνετε είναι να ενεργοποιήσετε το VPN σας . Το VPN είναι μια χαρά γιατί δημιουργεί μια κρυπτογραφημένη σήραγγα που διέρχεται από το WiFi . Θα λειτουργεί μέχρι να παραβιαστεί και η κρυπτογράφηση VPN και πρέπει να βρείτε μια νέα λύση. ^(VPN)🙂

Στην καταναλωτική αγορά, ορισμένοι προμηθευτές ασφάλειας συνδυάζουν VPN με τις σουίτες προστασίας από ιούς και την πλήρη ασφάλεια. Αρχίζουν επίσης να εκπαιδεύουν τους καταναλωτές ότι δεν αρκεί πλέον να έχετε ένα τείχος προστασίας και ένα πρόγραμμα προστασίας από ιούς, χρειάζεστε επίσης ένα VPN . Ποια είναι η προσέγγιση της Cisco όσον αφορά την ασφάλεια για την επιχείρηση; Προωθείτε επίσης ενεργά το VPN ως απαραίτητο επίπεδο προστασίας;

Το VPN^(VPN) είναι μέρος των πακέτων μας για την επιχείρηση. Σε κανονικές συνθήκες, δεν μιλάμε για VPN σε κρυπτογραφημένη σήραγγα και το WPA2 είναι μια κρυπτογραφημένη σήραγγα. Συνήθως, επειδή είναι υπερβολικό και υπάρχουν γενικά έξοδα που πρέπει να συμβούν από την πλευρά του πελάτη για να λειτουργήσουν όλα καλά. Ως επί το πλείστον, δεν αξίζει τον κόπο. Εάν το κανάλι είναι ήδη κρυπτογραφημένο, γιατί να το κρυπτογραφήσετε ξανά;

Σε αυτήν την περίπτωση, όταν σας πιάσουν με κατεβασμένα τα παντελόνια επειδή το πρωτόκολλο ασφαλείας WPA2 είναι ριζικά κατεστραμμένο, μπορούμε να επιστρέψουμε στο VPN , μέχρι να επιλυθούν τα προβλήματα με το WPA2 .

Αλλά έχοντας πει ότι, στον χώρο των πληροφοριών, οι οργανισμοί ασφαλείας όπως ένας οργανισμός τύπου Υπουργείου^(Department) Άμυνας ,^(Defense) το κάνουν αυτό εδώ και χρόνια. Βασίζονται στο VPN , καθώς και στην ασύρματη κρυπτογράφηση και, πολλές φορές, οι εφαρμογές στη μέση του VPN τους είναι επίσης κρυπτογραφημένες, έτσι ώστε να έχετε μια κρυπτογράφηση τριών κατευθύνσεων, όλες χρησιμοποιώντας διαφορετικούς τύπους κρυπτογράφησης. Το κάνουν γιατί είναι «παρανοϊκοί» όπως θα έπρεπε. :))

Στην παρουσίασή σας στο Cisco Connect , αναφέρατε ότι η αυτοματοποίηση είναι πολύ σημαντική για την ασφάλεια. Ποια είναι η προτεινόμενη προσέγγισή σας για την αυτοματοποίηση στην ασφάλεια;

Ο αυτοματισμός θα γίνει γρήγορα απαίτηση, επειδή εμείς, ως άνθρωποι, δεν μπορούμε να κινηθούμε αρκετά γρήγορα για να σταματήσουμε τις παραβιάσεις και τις απειλές ασφαλείας. Ένας πελάτης είχε 10.000 μηχανήματα κρυπτογραφημένα από ransomware σε 10 λεπτά. Δεν υπάρχει ανθρωπίνως δυνατός τρόπος να αντιδράσετε σε αυτό, επομένως χρειάζεστε αυτοματισμό.

Η προσέγγισή μας σήμερα δεν είναι τόσο βαριά όσο θα έπρεπε να γίνει, αλλά, όταν βλέπουμε κάτι ύποπτο, συμπεριφορά που φαίνεται σαν παραβίαση, τα συστήματα ασφαλείας μας λένε στο δίκτυο να βάλει τη συσκευή ή τον συγκεκριμένο χρήστη σε καραντίνα. Αυτό δεν είναι καθαρτήριο. μπορείτε ακόμα να κάνετε κάποια πράγματα: μπορείτε ακόμα να μεταβείτε στο διαδίκτυο ή να λάβετε δεδομένα από τους διακομιστές διαχείρισης ενημερώσεων κώδικα. Δεν είσαι τελείως απομονωμένος. Στο μέλλον, ίσως χρειαστεί να αλλάξουμε αυτή τη φιλοσοφία και να πούμε: μόλις μπείτε σε καραντίνα, δεν έχετε πρόσβαση γιατί είστε πολύ επικίνδυνοι για τον οργανισμό σας.

Πώς χρησιμοποιεί η Cisco την αυτοματοποίηση στο χαρτοφυλάκιο προϊόντων ασφαλείας της;

Σε ορισμένους τομείς, χρησιμοποιούμε πολύ αυτοματισμό. Για παράδειγμα, στο Cisco Talos , την ομάδα έρευνας απειλών, λαμβάνουμε δεδομένα τηλεμετρίας από όλα τα γραφικά στοιχεία ασφαλείας μας και έναν τόνο άλλων δεδομένων από άλλες πηγές. Η ομάδα Talos χρησιμοποιεί μηχανική μάθηση και τεχνητή νοημοσύνη για να ταξινομεί εκατομμύρια αρχεία κάθε μέρα. Αν κοιτάξετε την αποτελεσματικότητα με την πάροδο του χρόνου σε όλα τα προϊόντα ασφαλείας μας, είναι καταπληκτική, σε όλες τις δοκιμές αποτελεσματικότητας τρίτων.

Επιβραδύνεται η χρήση επιθέσεων DDOS ;

Δυστυχώς, το DDOS ως μέθοδος επίθεσης είναι ζωντανό και ολοένα και χειροτερεύει. Διαπιστώσαμε ότι οι επιθέσεις DDOS τείνουν να στοχεύουν ορισμένους τύπους εταιρειών. Τέτοιες επιθέσεις χρησιμοποιούνται τόσο ως δόλωμα όσο και ως κύριο όπλο επίθεσης. Υπάρχουν επίσης δύο τύποι επιθέσεων DDOS : ογκομετρικές και βασισμένες σε εφαρμογές. Το ογκομετρικό έχει ξεφύγει από τον έλεγχο, αν κοιτάξετε τους πιο πρόσφατους αριθμούς για το πόσα δεδομένα μπορούν να δημιουργήσουν για να καταστρέψουν κάποιον. Είναι γελοίο.

Ένας τύπος εταιρειών που στοχοποιούνται από επιθέσεις DDOS είναι αυτές του λιανικού εμπορίου, συνήθως κατά την περίοδο των εορτών (η Black Friday έρχεται!). Το άλλο είδος εταιρειών που γίνονται στόχος επιθέσεων DDOS είναι αυτές που εργάζονται σε αμφιλεγόμενους τομείς, όπως το πετρέλαιο και το φυσικό αέριο. Σε αυτή την περίπτωση, έχουμε να κάνουμε με άτομα που έχουν μια συγκεκριμένη ηθική και ηθική αιτία, που αποφασίζουν να κάνουν DDOS έναν οργανισμό ή άλλο επειδή δεν συμφωνούν με αυτό που κάνουν. Αυτοί οι άνθρωποι το κάνουν αυτό για έναν σκοπό, για έναν σκοπό και όχι για τα χρήματα που εμπλέκονται.

Οι άνθρωποι φέρνουν στους οργανισμούς τους όχι μόνο τις δικές τους συσκευές αλλά και τα δικά τους συστήματα cloud ( OneDrive , Google Drive , Dropbox κ.λπ.) Αυτό αντιπροσωπεύει έναν άλλο κίνδυνο ασφάλειας για τους οργανισμούς. Πώς αντιμετωπίζει αυτό το ζήτημα ένα σύστημα όπως το Cisco Cloudlock ;

Το Cloudlock^(Cloudlock) κάνει δύο βασικά πράγματα: πρώτον, σας δίνει έναν έλεγχο όλων των υπηρεσιών cloud που χρησιμοποιούνται. Ενσωματώνουμε το Cloudlock με τα προϊόντα Ιστού μας, έτσι ώστε όλα τα αρχεία καταγραφής Ιστού να μπορούν να διαβαστούν από το Cloudlock . Αυτό θα σας πει πού πηγαίνουν όλοι στην οργάνωση. Ξέρετε λοιπόν ότι πολλοί άνθρωποι χρησιμοποιούν το δικό τους Dropbox , για παράδειγμα.

Το δεύτερο πράγμα που κάνει το Cloudlock είναι ότι όλα είναι κατασκευασμένα από API που επικοινωνούν με υπηρεσίες cloud. Με αυτόν τον τρόπο, εάν ένας χρήστης δημοσίευσε ένα εταιρικό έγγραφο στο Box , το Box λέει αμέσως στο Cloudlock ότι έχει φτάσει ένα νέο έγγραφο και θα πρέπει να το ρίξει μια ματιά. Έτσι, θα εξετάσουμε το έγγραφο, θα το κατηγοριοποιήσουμε, θα καταλάβουμε το προφίλ κινδύνου του εγγράφου, καθώς και αν έχει κοινοποιηθεί σε άλλους ή όχι. Με βάση τα αποτελέσματα, το σύστημα είτε θα σταματήσει την κοινή χρήση αυτού του εγγράφου μέσω του Box είτε θα το επιτρέψει.

Με το Cloudlock μπορείτε να ορίσετε κανόνες όπως: "αυτό δεν πρέπει ποτέ να κοινοποιείται σε κανέναν εκτός της εταιρείας. Εάν είναι, απενεργοποιήστε την κοινή χρήση." Μπορείτε επίσης να κάνετε κρυπτογράφηση κατά παραγγελία, με βάση την κρισιμότητα κάθε εγγράφου. Επομένως, εάν ο τελικός χρήστης δεν κρυπτογραφούσε ένα κρίσιμο επιχειρηματικό έγγραφο, κατά τη δημοσίευσή του στο Box , το Cloudlock^(Cloudlock) θα επιβάλει αυτόματα την κρυπτογράφηση αυτού του εγγράφου.

Θα θέλαμε να ευχαριστήσουμε τον Jamey Heary^{(Jamey Heary)} για αυτή τη συνέντευξη και τις ειλικρινείς απαντήσεις του. Αν θέλετε να έρθετε σε επαφή, μπορείτε να τον βρείτε στο Twitter^{(on Twitter)} .

Στο τέλος αυτού του άρθρου, μοιραστείτε τη γνώμη σας για τα θέματα που συζητήσαμε, χρησιμοποιώντας τις επιλογές σχολιασμού που είναι διαθέσιμες παρακάτω.

Jamey Heary from Cisco: Organizations that work with sensitive information, use encrypted WiFi, VPN, and encrypted apps

On October 18th, we were invited to Cisco Connect 2017. At this event, we met with security expert Jamey Heary. He is a Distinguished Systems Εngineer at Cisco Systems where he leads the Global Security Architеcture Team. Jamey is a trusted security advisor and architect for many of Ciscо's largest customеrs. He is also a book author and a former Network World blogger. We talked with him about security in the mоdern enterprise, the significant security issues thаt are impacting businesses and organizаtions, and the latest vulnerabilities that affect all wirelesѕ networks and clients (KRACK). Here is what he had to ѕay:

Our audience is composed both of end-users and business users. To get started, and introduce yourself a bit, how would you describe your job at Cisco, in a non-corporate way?

My passion is security. What I strive to do every day is teach my customers and end-users about architecture. For example, I talk about a security product and how it integrates with other products (our own or from third parties). Therefore I deal with system architecture from a security perspective.

In your experience as a security expert, what are the most significant security threats to the modern enterprise?

The big ones are social engineering and ransomware. The latter wreaks devastation in so many companies, and it is going to get worse because there is so much money in it. It is probably the most lucrative thing that malware creators figured out how to do.

We've seen that the focus of the "bad guys" is on the end-user. He or she is the weakest link right now. We have tried as an industry to train people, the media has done a good job at getting the word out on how you could protect yourself better, but still, it is fairly trivial to send somebody a targeted e-mail and get them to take an action you want: click a link, open an attachment, whatever it is that you want.

The other threat is online payments. We are going to continue to see enhancements in the ways companies take payments online but, until the industry implements more secure ways to take payments online, this area is going to be a huge risk factor.

When it comes to security, people are the weakest link and also the primary focus of attacks. How could we cope with this issue, since social engineering is one of the leading security threats?

There is a lot of technology that we can apply. There is only so much you can do for a person, especially in an industry where some people tend to be more helpful than others. For example, in the healthcare industry, people just want to help others. So you send them a malicious e-mail, and they are more likely to click on what you send them than people in other industries, as a police department.

So we have this problem, but we can use technology. One of the things we can do is segmentation, which can drastically reduce the attack surface that is available to any end-user. We call this "zero trust": when a user connects to the company network, the network understands who the user is, what his or her role is in the organization, what applications the user needs to access, it will understand the user's machine and what is the security posture of the machine, to a very detailed level. For example, it can even tell things like the prevalence of an application the user has. Prevalence is something we found effective, and it means how many other people in the world use this application, and how many in a given organization. At Cisco, we do this analysis through hashing: we take a hash of an application, and we have millions of end-points, and they will come back and say: "the prevalence on this app is 0.0001%". Prevalence calculates how much an app is used in the world and then in your organization. Both of these measures can be very good at figuring out if something is very suspect, and whether it deserves to take a closer look at.

You have an interesting series of articles in the Network World about Mobile Device Management (MDM) systems. However, in recent years, this subject seems to be discussed less. Is the industry's interest in such systems slowing down? What is happening, from your perspective?

Few things have happened, one of which is that MDM systems have become fairly saturated in the market. Almost all of my larger customers have one such system in place. The other thing that has happened is that the privacy regulations and the privacy mindset of users have changed such that many people no longer give their personal device (smartphone, tablet, etc.) to their organization and allow an MDM software to get installed. So we have this competition: the enterprise wants to have full access to the devices that are used by their employees so that it can secure itself and the employees have become very resistant to this approach. There is this constant battle between the two sides. We have seen that the prevalence of MDM systems varies from company to company, depending on the company culture and values, and how each organization wants to treat its employees.

Does this affect the adoption of programs like Bring Your Own Device (BYOD) to work?

Yes, it totally does. What is happening, for the most part, is that people that are using their own devices on the corporate network, use them in a very controlled area. Again, segmentation comes into play. If I bring my own device to the corporate network, then maybe I can access the internet, some internal corporate web server, but by no means, I am going to be able to access the database servers, the critical apps of my company or its critical data, from that device. That's something that we do programmatically at Cisco so that the user gets to go where it needs to in the company network but not where the company doesn't want the user to go, from a personal device.

The hottest security issue on everyone's radar is "KRACK" (Key Reinstallation AttaCK), affecting all network clients and equipment using the WPA2 encryption scheme. What is Cisco doing to help their customers with this problem?

It is a huge surprise that one of the things that we relied on for years is now crackable. It reminds us of the issues with SSL, SSH and all the things that we fundamentally believe in. All of them have become "not worthy" of our trust.

For this issue, we identified ten vulnerabilities. Of those ten, nine of them are client-based, so we have to fix the client. One of them is network related. For that one, Cisco is going to release patches. The issues are exclusive to the access point, and we don't have to fix routers and switches.

I was delighted to see that Apple got their fixes in beta code so their client devices will soon be fully patched. Windows already has a patch ready, etc. For Cisco, the road is straightforward: one vulnerability on our access points and we are going to release patches and fixes.

Until everything gets fixed, what would you recommend your customers do to protect themselves?

In some cases, you don't need to do anything, because sometimes encryption is used inside encryption. For example, if I go to my bank's website, it uses TLS or SSL for communications security, which isn't affected by this issue. So, even if I am going through a wide-open WiFi, like the one at Starbucks, it doesn't matter as much. Where this issue with WPA2 comes more into play is on the privacy side. For example, if I go to a website and I don't want others to know that, now they are going to know because WPA2 is not effective anymore.

One thing you can do to secure yourself is set up VPN connections. You can connect to wireless, but the next thing you have to do is turn on your VPN. The VPN is just fine because it creates an encrypted tunnel going through the WiFi. It will work until the VPN encryption gets hacked too and you need to figure out a new solution. 🙂

On the consumer market, some security vendors are bundling VPN with their antivirus and total security suites. They are also starting to educate consumers that it is no longer enough to have a firewall, and an antivirus, you also need a VPN. What is Cisco's approach regarding security for the enterprise? Do you also actively promote VPN as a necessary protection layer?

VPN is part of our packages for the enterprise. In normal circumstances, we don't talk about VPN within an encrypted tunnel and WPA2 is an encrypted tunnel. Usually, because it is overkill and there is overhead that has to happen on the client side to make it all work well. For the most part, it is not worth it. If the channel is already encrypted, why encrypt it again?

In this case, when you are caught with your pants down because the WPA2 security protocol is fundamentally broken, we can fall back on VPN, until the issues get fixed with WPA2.

But having said that, in the intelligence space, security organizations like a Department of Defense type of organization, they've been doing this for years. They rely on VPN, plus wireless encryption and, a lot of times the applications in the middle of their VPN are also encrypted, so you get a three-way encryption, all using different types of cryptography. They do that because they are "paranoid" as they should be. :))

In your presentation at Cisco Connect, you mentioned automation as being very important in security. What is your recommended approach for automation in security?

Automation will become a requirement quickly because we, as humans, we can't move fast enough to stop security breaches and threats. A customer had 10.000 machines encrypted by ransomware in 10 minutes. There is no way humanly possible that you can react to that, so you need automation.

Our approach today is not as heavy-handed as it might have to become but, when we see something suspicious, behavior that seems like a breach, our security systems tell the network to put that device or that user into quarantine. This isn't purgatory; you can still do some stuff: you can still go to the internet or get data from the patch management servers. You are not totally isolated. In the future, we might have to change that philosophy and say: once you are quarantined, you don't have any access because you are too dangerous for your organization.

How is Cisco using automation in its portfolio of security products?

In certain areas, we use a lot of automation. For example, in Cisco Talos, our threat research group, we get telemetry data from all our security widgets and a ton of other data from other sources. The Talos group uses machine learning and artificial intelligence to sort through millions of records every single day. If you look at the efficacy over time in all of our security products, it is amazing, in all the third-party efficacy tests.

Is the use of DDOS attacks slowing down?

Unfortunately, DDOS as an attack method is alive and well, and it is getting worse. We have found that DDOS attacks tend to be targeted towards certain types of corporations. Such attacks are used both as a decoy and as the primary attack weapon. There are also two types of DDOS attacks: volumetric and app based. The volumetric has gotten out of control if you look at the latest numbers of how much data they can generate to take somebody down. It is ridiculous.

One type of corporations that are targeted by DDOS attacks is those in retail, usually during the holiday season (Black Friday is coming!). The other kind of companies that get targeted by DDOS attacks is those that work in controversial areas, like oil and gas. In this case, we are dealing with people who have a particular ethical and moral cause, who decide to DDOS an organization or another because they don't agree with what they are doing. Such people do this for a cause, for a purpose, and not for the money involved.

People bring into their organizations not only their own devices but also their own cloud systems (OneDrive, Google Drive, Dropbox, etc.) This represents another security risk for organizations. How is a system like Cisco Cloudlock dealing with this issue?

Cloudlock does two fundamental things: first, it is giving you an audit of all the cloud services that are being used. We integrate Cloudlock with our web products so that all the web logs can be read by Cloudlock. That will tell you where everybody in the organization is going. So you know that a lot of people are using their own Dropbox, for example.

The second thing that Cloudlock does is that it is all made of API's that communicate with cloud services. This way, if a user published a company document on Box, Box immediately says to Cloudlock that a new document has arrived and it should take a look at it. So we will look at the document, categorize it, figure out the risk profile of the document, as well as has it been shared with others or not. Based on the results, the system will either stop the sharing of that document through Box or allow it.

With Cloudlock you can set rules like: "this should never be shared with anyone outside the company. If it is, turn the sharing off." You can also do encryption on demand, based on the criticality of each document. Therefore, if the end user did not encrypt a critical business document, when posting it on Box, Cloudlock will force the encryption of that document automatically.

We would like to thank Jamey Heary for this interview and his candid answers. If you want to get in touch, you can find him on Twitter.

At the end of this article, share your opinion about the subjects that we discussed, using the commenting options available below.

Related posts

• 8 βήματα για να μεγιστοποιήσετε την ασφάλεια του δρομολογητή ASUS ή του ASUS Lyra mesh WiFi

• Κυβερνοασφάλεια μέσω της εκπαίδευσης: Kaspersky Interactive Protection Simulation

• Οι διαφημίσεις PowerLinks θέτουν σε κίνδυνο εκατομμύρια αναγνώστες, από μεγάλες εκδόσεις όπως το The Verge, το Vice News και άλλα

• Βραβεία - Το πιο δημοφιλές προϊόν προστασίας από ιούς της χρονιάς 2017

• Τι νέο υπάρχει στην ενημέρωση των Windows 10 Νοεμβρίου 2019;

• Πρέπει να αγοράσετε ένα πρόγραμμα προστασίας από ιούς, μια σουίτα Internet Security ή μια σουίτα Total Security;

• Synology DiskStation Manager 7: Διατίθεται Beta, δωρεάν ενημέρωση έρχεται το 2021 -

• 8 λόγοι για τους οποίους το Cyberghost VPN είναι ένα από τα καλύτερα VPN στην αγορά

• Ασφάλεια για όλους - Έλεγχος του F-Secure Freedome VPN

• Ρύθμιση του δρομολογητή TP-Link Wi-Fi 6 ως διακομιστή VPN -

• Ανάλυση: Οι γρήγορες εγκαταστάσεις εφαρμογών για επιτραπέζιους υπολογιστές καταστρέφουν την απόδοση του υπολογιστή!

• Ασφάλεια για όλους - Έλεγχος του KeepSolid VPN Unlimited

• Νέες δυνατότητες έρχονται στο Windows Defender στο Windows 10 Creators Update

• Πώς να προσθέσετε και να χρησιμοποιήσετε ένα VPN στα Windows 10 (όλα όσα πρέπει να γνωρίζετε) -

• 7 πράγματα που μπορείτε να κάνετε με τον Ασφαλή έλεγχο ταυτότητας ESET

• Τα καλύτερα χαρακτηριστικά των Windows 11: 8 υπέροχα πράγματα για αυτό -

• Πώς να προσθέσετε, να αλλάξετε ή να αφαιρέσετε συνδέσεις VPN στα Windows 8.1

• 3 λόγοι για τους οποίους η συμπερίληψη κωδικών QR στα BSOD των Windows 10 είναι κακή ιδέα

• Τι είναι το Windows 10 Creators Update και γιατί πρέπει να το εγκαταστήσετε;

• Λειτουργεί το ReadyBoost; Βελτιώνει την απόδοση για πιο αργούς υπολογιστές;