Jamey Heary van Cisco: organisaties die met gevoelige informatie werken, gebruiken versleutelde wifi, VPN en versleutelde apps

Op 18 oktober(October 18th) waren we uitgenodigd voor Cisco Connect 2017 . Tijdens dit evenement ontmoetten we beveiligingsexpert Jamey Heary . Hij is een Distinguished Systems Engineer bij Cisco Systems waar hij leiding geeft aan het Global Security Architecture Team . Jamey is een vertrouwde beveiligingsadviseur en architect voor veel van de grootste klanten van Cisco . Hij is ook een boekschrijver en een voormalig Network World- blogger. We spraken met hem over beveiliging in de moderne onderneming, de belangrijke beveiligingsproblemen waarmee bedrijven en organisaties te maken hebben, en de nieuwste kwetsbaarheden die van invloed zijn op alle draadloze netwerken en clients (KRAK(KRACK) ). Dit is wat hij te zeggen had:

Ons publiek bestaat uit zowel eindgebruikers als zakelijke gebruikers. Om te beginnen en uzelf een beetje voor te stellen, hoe zou u uw baan bij Cisco op een niet-zakelijke manier omschrijven?

Mijn passie is veiligheid. Wat ik elke dag probeer te doen, is mijn klanten en eindgebruikers leren over architectuur. Ik heb het bijvoorbeeld over een beveiligingsproduct en hoe het integreert met andere producten (van onszelf of van derden). Daarom behandel ik systeemarchitectuur vanuit een beveiligingsperspectief.

James Heary, Cisco

Wat zijn in uw ervaring als beveiligingsexpert de belangrijkste beveiligingsbedreigingen voor de moderne onderneming?

De groten zijn social engineering en ransomware. Dat laatste veroorzaakt verwoesting in zoveel bedrijven, en het zal nog erger worden omdat er zoveel geld in zit. Het is waarschijnlijk het meest lucratieve dat de makers van malware hebben bedacht.

We hebben gezien dat de focus van de "slechteriken" op de eindgebruiker ligt. Hij of zij is op dit moment de zwakste schakel. We hebben als industrie geprobeerd mensen op te leiden, de media hebben goed hun best gedaan om duidelijk te maken hoe je jezelf beter kunt beschermen, maar toch is het vrij triviaal om iemand een gerichte e-mail te sturen en ze een actie die u wilt: klik op een link, open een bijlage, wat u maar wilt.

De andere bedreiging zijn online betalingen. We zullen verbeteringen blijven zien in de manier waarop bedrijven online betalingen doen, maar totdat de industrie veiligere manieren implementeert om online betalingen te doen, zal dit een enorme risicofactor zijn.

Als het om beveiliging gaat, zijn de mensen de zwakste schakel en ook de primaire focus van aanvallen. Hoe kunnen we dit probleem het hoofd bieden, aangezien social engineering een van de grootste veiligheidsbedreigingen is?

Er is veel technologie die we kunnen toepassen. Er is maar zoveel dat je voor een persoon kunt doen, vooral in een branche waar sommige mensen meer behulpzaam zijn dan anderen. In de zorgsector willen mensen bijvoorbeeld gewoon anderen helpen. Dus je stuurt ze een kwaadaardige e-mail, en ze zullen eerder klikken op wat je ze stuurt dan mensen in andere sectoren, zoals een politie-afdeling.

Dus we hebben dit probleem, maar we kunnen technologie gebruiken. Een van de dingen die we kunnen doen is segmentatie, wat het aanvalsoppervlak dat voor elke eindgebruiker beschikbaar is drastisch kan verkleinen. We noemen dit "zero trust": wanneer een gebruiker verbinding maakt met het bedrijfsnetwerk, begrijpt het netwerk wie de gebruiker is, wat zijn of haar rol is in de organisatie, tot welke applicaties de gebruiker toegang moet hebben, begrijpt het de machine van de gebruiker en wat is de beveiligingshouding van de machine, tot op een zeer gedetailleerd niveau. Het kan bijvoorbeeld zelfs dingen vertellen als de prevalentie van een applicatie die de gebruiker heeft. Prevalentie(Prevalence) is iets dat we effectief vonden, en het betekent hoeveel andere mensen in de wereld deze applicatie gebruiken, en hoeveel in een bepaalde organisatie. bij Cisco, doen we deze analyse door middel van hashing: we nemen een hash van een applicatie, en we hebben miljoenen eindpunten, en ze zullen terugkomen en zeggen: "de prevalentie op deze app is 0,0001%". Prevalentie(Prevalence) berekent hoeveel een app in de wereld en vervolgens in uw organisatie wordt gebruikt. Beide maatregelen kunnen heel goed zijn om erachter te komen of iets erg verdacht is en of het het waard is om nader te bekijken.

U heeft een interessante serie artikelen in de Network World over Mobile Device Management ( MDM ) systemen. De laatste jaren lijkt dit onderwerp echter minder aan de orde te komen. Vertraagt ​​de belangstelling van de industrie voor dergelijke systemen? Wat gebeurt er vanuit jouw perspectief?

Er is weinig gebeurd, waaronder dat MDM -systemen behoorlijk verzadigd zijn geraakt in de markt. Bijna(Almost) al mijn grotere klanten hebben zo'n systeem. Het andere dat is gebeurd, is dat de privacyregelgeving en de privacy-mindset van gebruikers zodanig zijn veranderd dat veel mensen hun persoonlijke apparaat (smartphone, tablet, etc.) niet langer aan hun organisatie geven en MDM -software laten installeren. Dus we hebben deze concurrentie: de onderneming wil volledige toegang hebben tot de apparaten die door hun werknemers worden gebruikt, zodat het zichzelf kan beveiligen en de werknemers zijn erg resistent geworden tegen deze aanpak. Er is een constante strijd tussen de twee partijen. We hebben gezien dat de prevalentie van MDMsystemen variëren van bedrijf tot bedrijf, afhankelijk van de bedrijfscultuur en -waarden, en hoe elke organisatie haar werknemers wil behandelen.

Heeft dit invloed op de acceptatie van programma's als Bring Your Own Device ( BYOD ) aan het werk?

Ja, dat doet het helemaal. Wat er voor het grootste deel gebeurt, is dat mensen die hun eigen apparaten op het bedrijfsnetwerk gebruiken, deze in een zeer gecontroleerde omgeving gebruiken. Nogmaals(Again) , segmentatie komt in het spel. Als ik mijn eigen apparaat naar het bedrijfsnetwerk breng, heb ik misschien toegang tot internet, een interne bedrijfswebserver, maar in geen geval krijg ik toegang tot de databaseservers, de kritieke apps van mijn bedrijf of zijn kritieke gegevens, van dat apparaat. Dat is iets dat we programmatisch doen bij Cisco , zodat de gebruiker kan gaan waar hij moet in het bedrijfsnetwerk, maar niet waar het bedrijf niet wil dat de gebruiker gaat, vanaf een persoonlijk apparaat.

Het grootste beveiligingsprobleem op ieders radar is " KRACK " ( Key Reinstallation AttaCK ), die van invloed is op alle netwerkclients en apparatuur die het WPA2 - coderingsschema gebruiken. Wat doet Cisco om hun klanten te helpen met dit probleem?

Het is een enorme verrassing dat een van de dingen waar we jarenlang op vertrouwden nu kraakbaar is. Het herinnert ons aan de problemen met SSL , SSH en alle dingen waar we fundamenteel in geloven. Ze zijn allemaal ons vertrouwen "niet waard" geworden.

Voor dit probleem hebben we tien kwetsbaarheden geïdentificeerd. Van die tien zijn er negen klantgebaseerd, dus we moeten de klant repareren. Een daarvan is netwerkgerelateerd. Daarvoor gaat Cisco patches uitbrengen. De problemen zijn exclusief voor het toegangspunt en we hoeven geen routers en switches te repareren.

Ik was verheugd om te zien dat Apple hun fixes in bètacode heeft gekregen, zodat hun clientapparaten binnenkort volledig zullen worden gepatcht. Windows heeft al een patch klaar, enz. Voor Cisco is de weg eenvoudig: één kwetsbaarheid op onze toegangspunten en we gaan patches en fixes vrijgeven.

Wat zou u uw klanten aanraden te doen om zichzelf te beschermen totdat alles is opgelost?

In sommige gevallen hoeft u niets te doen, omdat soms codering wordt gebruikt binnen codering. Als ik bijvoorbeeld naar de website van mijn bank ga, gebruikt deze TLS of SSL voor communicatiebeveiliging, wat niet wordt beïnvloed door dit probleem. Dus zelfs als ik door een wijd open wifi ga , zoals die bij Starbucks , maakt het niet zoveel uit. Waar dit probleem met WPA2 meer in het spel komt, is aan de privacykant. Als ik bijvoorbeeld naar een website ga en ik wil niet dat anderen dat weten, dan weten ze dat nu omdat WPA2 niet meer werkt.

Een ding dat u kunt doen om uzelf te beveiligen, is het opzetten van VPN- verbindingen. U kunt draadloos verbinding maken, maar het volgende dat u hoeft te doen, is uw VPN inschakelen . De VPN is prima omdat het een versleutelde tunnel creëert die door de wifi gaat . Het werkt totdat de VPN- codering ook wordt gehackt en u een nieuwe oplossing moet bedenken.

Op de consumentenmarkt bundelen sommige beveiligingsleveranciers VPN met hun antivirus- en totale beveiligingssuites. Ze beginnen consumenten ook voor te lichten dat het niet langer voldoende is om een ​​firewall te hebben, en een antivirusprogramma, je hebt ook een VPN nodig . Wat is de benadering van Cisco met betrekking tot beveiliging voor de onderneming? Promoot jij VPN ook actief als noodzakelijke beschermingslaag?

VPN maakt deel uit van onze pakketten voor de onderneming. In normale omstandigheden praten we niet over VPN binnen een versleutelde tunnel en WPA2 is een versleutelde tunnel. Meestal omdat het overkill is en er overhead aan de kant van de klant moet gebeuren om het allemaal goed te laten werken. Voor het grootste deel is het het niet waard. Als het kanaal al gecodeerd is, waarom zou u het dan opnieuw coderen?

In dit geval, wanneer u wordt betrapt met uw broek naar beneden omdat het WPA2 -beveiligingsprotocol fundamenteel is verbroken, kunnen we terugvallen op VPN , totdat de problemen zijn opgelost met WPA2 .

Maar dat gezegd hebbende, op het gebied van inlichtingen, doen veiligheidsorganisaties, zoals een soort organisatie van het ministerie(Department) van Defensie(Defense) , dit al jaren. Ze vertrouwen op VPN , plus draadloze codering en vaak zijn de applicaties in het midden van hun VPN ook gecodeerd, dus u krijgt een driewegcodering, allemaal met behulp van verschillende soorten cryptografie. Ze doen dat omdat ze "paranoïde" zijn zoals ze zouden moeten zijn. :))

In uw presentatie bij Cisco Connect noemde u automatisering als zeer belangrijk voor beveiliging. Wat is uw aanbevolen aanpak voor automatisering in beveiliging?

Automatisering zal snel een vereiste worden omdat wij, als mensen, niet snel genoeg kunnen handelen om inbreuken op de beveiliging en bedreigingen te stoppen. Een klant had in 10 minuten 10.000 machines versleuteld door ransomware. Het is menselijk onmogelijk dat je daarop kunt reageren, dus je hebt automatisering nodig.

Onze aanpak van vandaag is niet zo hardhandig als het zou moeten worden, maar wanneer we iets verdachts zien, gedrag dat lijkt op een inbreuk, vertellen onze beveiligingssystemen het netwerk om dat apparaat of die gebruiker in quarantaine te plaatsen. Dit is geen vagevuur; je kunt nog steeds wat dingen doen: je kunt nog steeds naar het internet gaan of gegevens ophalen van de patchbeheerservers. Je bent niet helemaal geïsoleerd. In de toekomst moeten we misschien die filosofie veranderen en zeggen: als je eenmaal in quarantaine bent, heb je geen toegang omdat je te gevaarlijk bent voor je organisatie.

Hoe gebruikt Cisco automatisering in zijn portfolio van beveiligingsproducten?

Op bepaalde vlakken maken we veel gebruik van automatisering. In Cisco Talos , onze onderzoeksgroep voor bedreigingen, krijgen we bijvoorbeeld telemetriegegevens van al onze beveiligingswidgets en een heleboel andere gegevens uit andere bronnen. De Talos -groep gebruikt machine learning en kunstmatige intelligentie om elke dag miljoenen records te doorzoeken. Als je kijkt naar de werkzaamheid in de loop van de tijd in al onze beveiligingsproducten, is het verbazingwekkend, in alle werkzaamheidstests van derden.

Vertraagt ​​het gebruik van DDOS- aanvallen?

Helaas is DDOS als aanvalsmethode springlevend en wordt het erger. We hebben ontdekt dat DDOS- aanvallen vaak gericht zijn op bepaalde soorten bedrijven. Dergelijke aanvallen worden zowel als lokmiddel als als primair aanvalswapen gebruikt. Er zijn ook twee soorten DDOS- aanvallen: volumetrisch en app-gebaseerd. Het volume is uit de hand gelopen als je kijkt naar de laatste cijfers over hoeveel gegevens ze kunnen genereren om iemand neer te halen. Het is belachelijk.

Een type bedrijven dat het doelwit is van DDOS- aanvallen, is die in de detailhandel, meestal tijdens de feestdagen ( Black Friday komt eraan!). Het andere soort bedrijven dat het doelwit wordt van DDOS- aanvallen, zijn bedrijven die in controversiële gebieden werken, zoals olie en gas. In dit geval hebben we te maken met mensen die een bepaalde ethische en morele reden hebben, die besluiten om een ​​of andere organisatie te DDOS omdat ze het niet eens zijn met wat ze doen. Zulke mensen doen dit voor een doel, voor een doel, en niet voor het geld dat ermee gemoeid is.

Mensen brengen niet alleen hun eigen apparaten mee in hun organisaties, maar ook hun eigen cloudsystemen ( OneDrive , Google Drive , Dropbox , enz.) Dit vormt een ander beveiligingsrisico voor organisaties. Hoe gaat een systeem als Cisco Cloudlock met dit probleem om?

Cloudlock doet twee fundamentele dingen: ten eerste geeft het u een audit van alle cloudservices die worden gebruikt. We integreren Cloudlock met onze webproducten zodat alle weblogs door Cloudlock kunnen worden gelezen . Dat zal u vertellen waar iedereen in de organisatie naartoe gaat. Je weet dus dat veel mensen bijvoorbeeld hun eigen Dropbox gebruiken.

Het tweede wat Cloudlock doet is dat het allemaal gemaakt is van API 's die communiceren met clouddiensten. Op deze manier, als een gebruiker een bedrijfsdocument op Box heeft gepubliceerd, zegt Box onmiddellijk tegen Cloudlock dat er een nieuw document is aangekomen en dat het ernaar moet kijken. Dus we zullen naar het document kijken, het categoriseren, het risicoprofiel van het document achterhalen en of het met anderen is gedeeld of niet. Op basis van de resultaten zal het systeem het delen van dat document via Box stoppen of toestaan.

Met Cloudlock kun je regels instellen zoals: "dit mag nooit worden gedeeld met iemand buiten het bedrijf. Als dat zo is, zet het delen dan uit." U kunt ook op aanvraag versleutelen, op basis van de kriticiteit van elk document. Daarom, als de eindgebruiker een kritisch zakelijk document niet heeft versleuteld , zal Cloudlock de versleuteling van dat document automatisch forceren wanneer het op Box wordt geplaatst.

 

We willen Jamey Heary bedanken voor dit interview en zijn openhartige antwoorden. Als je met hem in contact wilt komen, kun je hem vinden op Twitter(on Twitter) .

Deel aan het einde van dit artikel uw mening over de onderwerpen die we hebben besproken, met behulp van de onderstaande opmerkingen.



Jay Timmermans

About the author

Ik ben een softwareontwikkelaar met meer dan 10 jaar ervaring. Ik ben gespecialiseerd in Mac-programmering en heb duizenden regels code geschreven voor verschillende Mac-programma's, waaronder maar niet beperkt tot: TextEdit, GarageBand, iMovie en Inkscape. Ook heb ik ervaring met Linux en Windows ontwikkeling. Dankzij mijn vaardigheden als ontwikkelaar kan ik hoogwaardige, uitgebreide tutorials schrijven voor verschillende softwareontwikkelingsplatforms - van macOS tot Linux - waardoor mijn tutorials de perfecte keuze zijn voor diegenen die meer willen weten over de tools die ze gebruiken.


Related posts