CSO Said Cisco Security Growing

John Stewart nemluví jako váš typický manažer. Řekl, že jeho společnost Cisco Systems byla šťastná, pokud jde o bezpečnost a že marketingová kampaň společnosti Self-Defending Network namalovala na svých produktech "velké býčí oči".

Ale Stewart má ještě více důležité věci, na které se nemusíte bát. Jako hlavní bezpečnostní důstojník je odpovědným za řízení postupů zabezpečení firemních a obchodních jednotek společnosti Cisco. To znamená, že dostává hovor vždy, když v produktech společnosti Cisco nastane důležitá bezpečnostní chyba nebo hackeři narazí na web Cisco.com. Jak to dává, je jeho úkolem pomáhat uzamknout produkty společnosti Cisco předtím, než je nucen vypořádat se s tím, co nazývá "hořící platformou" - vážnou chybou nebo útokem na nejrozšířenější směrovače na internetu. Cisco potřebuje někoho, jako je Stewart, aby se vyhnul chybám, které učinily další významné technologické společnosti v oblasti bezpečnosti. Vezměte například společnost Microsoft. Společnost Microsoft nejprve přijala nepřátelský postoj k výzkumným pracovníkům a kritikům v oblasti bezpečnosti, avšak tento problém zpomalil a pomohl vyvolat dojem, že společnost ignorovala bezpečnostní chyby, než aby je pokoušela opravit. Microsoft nakonec změnil svůj směr, ale až do chvíle, kdy jeho pověst vzbudila vážný zásah.

[Více čtení: Nejlepší krabice NAS pro streaming a zálohování médií]

V menší míře se Cisco podobně obrátil. V roce 2005 firma hnědli hackery tím, že žalovala vědeckého pracovníka Mika Lynna poté, co ukázal, jak je možné spustit neoprávněný software pro skořepiny na směrovači Cisco.

Ale namísto odhalení nové éry hackingu společnosti Cisco byla epizoda Mike Lynn více aberace. Výzkum společnosti Cisco byl v příštích několika letech tichý.

Stewart řekl, že Cisco má "trochu štěstí" tím, že nemá velké bezpečnostní vzplanutí, ale nic neberou za samozřejmost. Pozval IDG News Service do své kanceláře v San Jose, Kalifornie, aby hovořil o terénu ohrožení společnosti Cisco. Dále je upravený přepis rozhovoru

IDG News Service: Společnost Cisco získala spoustu pozornosti na Black Hat 2005. Co se týče věcí, o tři roky později?

John Stewart: Část příčiny veškeré pozornosti byl namalován na nás v Black Hat před třemi lety, protože jsme vytvořili bouřku, upřímně řečeno nejrůznější komplikované problémy, které cítili, že Cisco potlačuje komunikaci a výzkum.

Myslím, že bychom pravděpodobně udělali nějaké hloupé věci, dát džinovi zpět do láhve, což nemůžeš dělat. Snažili jsme se to udělat z dobrých důvodů: ochranu duševního vlastnictví a našich zákazníků. Ale jak to vyšlo úplně, šlo stranou.

A v mnoha ohledech jsme to dělali anonymně. Byl to "mluvčí společnosti Cisco". Jsme poněkud schováni za kontext anonymity, který myslím, že to všechno opravdu vypadlo.

Proto jsem od té doby osobně sponzoroval Black Hat na platinové úrovni. Protože si myslím, že jsme měli nějaké usmíření, abychom to udělali a jeli: "Podívej, to je špatné, to nebylo způsob, jak to udělat."

IDGNS: Proč myslíš, že výzkum Cisco vypadl takhle? Stewart: Existuje několik důvodů. První z nich je, že mnoho z toho není vzdálené vykořisťování a spousta toho, o čem je výzkum v každé komunitě, je: "Jak to děláte vzdáleně?" Výzkum společnosti IRM [Information Risk Management], výzkum Sebastian [Muniz, výzkumný pracovník s technologií Core Security Technologies] a do jisté míry i výzkum od Michaela Lynna, i když měl malou vzdálenou variantu, není stabilní vzdálený. A to je skutečná hra.

Musíte zjistit způsob, jak se dostat dovnitř, aniž byste byli na konzole. A to je to, o čem je většina vývoje: jak to děláte na konzoli - přinejmenším pro Cisco.

A druhou věcí je, chcete, aby to fungovalo. Nepokoušíte se to vyřadit, protože potřebujete síť, abyste se dostali do koncového bodu. Takže si myslím, že dostaneme průchod, protože nikdo nechce opice s infrastrukturou, kterou používají. Je to, jako byste šel dálnici, zatímco se snažíte jít do jiného města. To je trochu špatná věc.

IDGNS: Společnost Microsoft byla velmi veřejná o tom, jak společnost změnila, aby se bezpečnost stala prioritou. Jaký je příběh společnosti Cisco? Jak se stavěl bezpečnostní program?

Stewart: Byli jsme pravděpodobně ve stejném prostoru. Mnoho společností, včetně nás vlastních, začalo nejdříve s budováním věcí, které vyřešily problémy s komunikací a následně přemýšlely o bezpečnosti komunikací.

Před pěti lety jsme bojovali s firmou, mým týmem. Většinou se jedná o podnikání v oblasti bezpečnosti informací. Byli jsme "ne" organizací, slonovinová věž. To je nebezpečné místo, protože můj závazek je, že bychom měli být konzultační naplňující rameno, nikoli soudce.

Tak jsme to hodně změnili a začali jsme injektovat věci, jako " "Nebudeme ani uprostřed, takže můžete investovat odborné znalosti pro to, co potřebujete, a nebudeme vás držet nebo vás přivedou do pomalejší pozice."

Druhá věc - - které nelze podceňovat - jsme se připravovali v roce 2002 na to, abychom zahájili sebeobranné sítě, které - stejně jako to nenávidíme jako slogan - jsou na našem čele efektivně velkým býkovým okem

IDGNS: Stejně jako nerozbitný systém Oracle?

Stewart: Ve skutečnosti Mary Ann Davidsonová v Oracle mě upozornil a řekla: "Děkuji vám za to, že jste přišli s heslem, který vyvíjí tlak na to, co jsme udělali." [směje se], jako bych měl něco s vyhlášením.

A pak třetí, opravdu jsme měli stopu. Zvykli jsme si na více a více míst a upřímně řečeno si myslíme, že jsme si nikdy nepředstavovali, že bychom byli zvyklí. Přecházíme na komunikaci v oblasti zdravotní péče, přecházíme na komunikaci mezi jednotlivými místy pro armádu. Děláme všechny tyto divoké věci, které před 20 lety jsme tehdy nepomysleli.

IDGNS: Takže jste udělali něco jako život bezpečné vývojové životní cykly nebo změnu způsobu, jakým jste postavili produkty?

Stewart: V tomhle nejsme zralí. Jsme ve strašlivé dospívající fázi. Testujeme na konci procesu vývoje a z těchto údajů zjišťujeme, jak se vrátíte zpět do procesu definice. Nyní se určitá definice stane. Takže například existují základní požadavky na každý produkt, který jsme vytvořili. Nicméně stále říkám, že je toho hodně naučen. Když si myslíte, že to máš v pořádku a stavíš to a ty to zkoušíš, učení z testu by mělo mít prospěch z další věc, kterou vytvoříš.

Zatím jsme nepřijali bezpečný vývojový cyklus, jako je Microsoft. Stejně jsme na všech výrobkových řadách nepřiléhali velmi důsledně metodicky měřitelným způsobem, a proto říkám, že jsme v té nepříjemné dospívající fázi.