CSO zegt: Cisco-beveiliging groeit

[Verdere lezing: de beste NAS-boxen voor mediastreaming en back-up]

Op een kleinere schaal heeft Cisco een soortgelijke omkering gemaakt. Het bedrijf maakte hackers boos in 2005 door onderzoeker Mike Lynn aan te klagen nadat hij liet zien hoe het mogelijk was om ongeoorloofde shellcode-software op een Cisco-router uit te voeren. Maar in plaats van een nieuw tijdperk van Cisco-hacking in gang te zetten, was de aflevering van Mike Lynn meer van een aberratie. Cisco-onderzoek was de komende jaren stil.

Stewart zei dat Cisco "een beetje geluk" heeft gehad omdat het geen grote veiligheidsaanvallen heeft gehad, maar dat hij niets als vanzelfsprekend beschouwt. Hij nodigde IDG News Service uit op zijn kantoor in San Jose, Californië om te praten over het Cisco-dreigingenlandschap. Hieronder volgt een bewerkte transcriptie van het interview.

IDG-nieuwsservice: Cisco kreeg veel aandacht bij Black Hat 2005. Wat is uw mening over de dingen, drie jaar later?

John Stewart: een deel van de reden alle aandacht werd ons drie jaar geleden op Black Hat geschilderd, omdat we een vuurgevecht hebben gemaakt van, eerlijk gezegd allerlei ingewikkelde kwesties, die aanvoelden dat Cisco de communicatie en het onderzoek onderdrukte. Ik denk dat we misschien wat gekke dingen hebben gedaan, zoals proberen plaats de geest terug in de fles, wat je niet kunt doen. We probeerden het om de juiste redenen te doen: bescherming van intellectueel eigendom en onze klanten. Maar hoe het uitkwam ging gewoon helemaal zijwaarts.

En in veel opzichten deden we het anoniem. Het was "een woordvoerder van Cisco." We verstopten ons achter een anonimiteitscontext, waarvan ik denk dat die echt alles heeft misnoegd. Daarom heb ik Black Hat sindsdien persoonlijk op het platinaniveau gesponsord. Omdat ik denk dat we enige verzoening hadden om te doen en te gaan, "Kijk, onze slechte. Dat was niet de manier om dat te doen." IDGNS: Waarom denk je dat het Cisco-onderzoek opgedroogd is zoals het deed?

Stewart: Er zijn een paar redenen. De eerste is dat veel hiervan geen externe exploitatie is en dat het in een gemeenschap waar het onderzoek over gaat, is: "Hoe doe je dat op afstand?" Onderzoek van IRM [Information Risk Management's], Sebastian's [Muniz, een onderzoeker met Core Security Technologies] onderzoek, en tot op zekere hoogte, het onderzoek van Michael Lynn, hoewel het een kleine externe variant had, het is geen stabiele afstandsbediening. En dat is waar het echte spel is.

Je moet een manier bedenken om het te krijgen zonder op de console te zijn. En dat is waar de meeste ontwikkeling rond is geweest: hoe doe je dat op de console - in elk geval voor Cisco.

En het tweede is dat je wilt dat het werkt. Je probeert het niet uit te schakelen, omdat je het netwerk nodig hebt, zodat je het eindpunt kunt bereiken. Dus ik denk dat we een soort van pass krijgen omdat niemand wil apen met de infrastructuur die ze gebruiken. Het is alsof je de snelweg verkloot terwijl je probeert naar een andere stad te gaan. Dat is nogal een gek ding om te doen.

IDGNS: Microsoft is zeer bekend over hoe zij het bedrijf hebben veranderd om beveiliging een prioriteit te maken. Wat is het verhaal bij Cisco? Hoe is het beveiligingsprogramma opgebouwd?

Stewart: We waren waarschijnlijk in dezelfde ruimte. Veel bedrijven, waaronder die van ons, begonnen eerst met het bouwen van dingen die communicatieproblemen oplosten en nadachten over de veiligheid van communicatie achteraf.

Ongeveer vijf jaar geleden vochten we tegen het bedrijf, mijn team. Meestal in de informatiebeveiliging. Wij waren de "nee" -organisatie, de ivoren toren. Dat is een gevaarlijke plek om te zijn, omdat ik van mening ben dat we een adviserende vervullingsafdeling moeten zijn, geen scheidsrechter. Dus we hebben er veel van veranderd en we begonnen dingen te injecteren, zoals "Je zult expertise in je team. We zullen niet eens in het midden zijn, dus op die manier kun je de expertise investeren in wat je nodig hebt en houden we je niet tegen of brengen we je in een langzamere positie. "

Het tweede ding - - dat kan niet worden onderschat - is dat we ons in 2002 aan het voorbereiden waren om zelfverdedigingsnetwerken te lanceren, die - net zoals het of het haten als een slogan - feitelijk een grote roos op ons voorhoofd is.

IDGNS: Net als de onbreekbare Linux-versie van Oracle?

Stewart: Mary Ann Davidson stuurde me bij Oracle een briefje en zei: "Heel erg bedankt voor het bedenken van een slogan die de druk wegneemt van wat we hebben gedaan" [lacht] alsof ik iets met de aankondiging te maken had.

En ten derde, we hebben echt een voetafdruk gekregen. We werden op steeds meer plaatsen gebruikt, en eerlijk gezegd omdat we nooit gedacht hadden dat we eraan gewend zouden zijn. We zijn communicatie in de gezondheidszorg aan het omzetten, we zijn de overgang van site-to-site communicatie voor het leger. We doen al deze wilde dingen waar we 20 jaar geleden nog niet aan hadden gedacht.

IDGNS: Dus heb je iets gedaan om een ​​veilige ontwikkelingslevenscyclus aan te nemen of de manier waarop je producten hebt gemaakt te veranderen?

Stewart: We zijn hier niet volwassen in. We zitten in de ongemakkelijke tienerfase. We testen aan het einde van het ontwikkelingsproces en we zoeken uit die gegevens hoe je achteruit gaat in het definitieproces. Nu gebeurt er toch een definitie. Dus er zijn bijvoorbeeld enkele basisvereisten voor elk product dat we hebben gebouwd. Ik zeg echter nog steeds dat er nog veel te leren valt. Als je denkt dat je het goed hebt en bouwt en test, moeten de resultaten van de test het volgende voordeel opleveren.

We hebben nog geen veilige ontwikkelingslevenscyclus zoals Microsoft aangenomen. We hebben niet op alle productlijnen even nauwkeurig vastgespijkerd op een zeer consistente methodisch meetbare manier, en dat is waarom ik zeg dat we ons in die ongemakkelijke tienerfase bevinden.