เมื่อวันที่ 18 ตุลาคมเราได้รับเชิญให้เข้าร่วม Cisco Connect 2017 ในงานนี้เราได้พบกับผู้เชี่ยวชาญด้านความปลอดภัย Jamey Heary เขาเป็นวิศวกรระบบที่โดดเด่นของซิสโก้ซิสเต็มส์ซึ่งเขาเป็นผู้นำทีมด้านความมั่นคงทั่วโลก Jamey เป็นที่ปรึกษาด้านความปลอดภัยและสถาปนิกที่น่าเชื่อถือสำหรับลูกค้ารายใหญ่ที่สุดของซิสโก้ เขายังเป็นนักเขียนหนังสือและอดีต Network World blogger เราได้พูดคุยกับเขาเกี่ยวกับความปลอดภัยในองค์กรสมัยใหม่ปัญหาด้านความปลอดภัยที่สำคัญซึ่งส่งผลกระทบต่อธุรกิจและองค์กรและช่องโหว่ล่าสุดที่ส่งผลต่อเครือข่ายไร้สายและลูกค้าทั้งหมด (KRACK) นี่คือสิ่งที่เขาต้องพูด:
ผู้ชมของเราประกอบด้วยทั้งผู้ใช้ปลายทางและผู้ใช้ทางธุรกิจ ในการเริ่มต้นใช้งานและแนะนำตัวคุณเองสักหน่อยคุณจะอธิบายงานของคุณที่ Cisco ได้อย่างไร
ความรักของฉันคือความปลอดภัย สิ่งที่ฉันมุ่งมั่นทำทุกวันคือการสอนลูกค้าและผู้ใช้ขั้นปลายเกี่ยวกับสถาปัตยกรรม ตัวอย่างเช่นฉันพูดถึงผลิตภัณฑ์รักษาความปลอดภัยและวิธีการทำงานร่วมกับผลิตภัณฑ์อื่น ๆ (ของเราเองหรือจากบุคคลที่สาม) ดังนั้นฉันจัดการกับสถาปัตยกรรมระบบจากมุมมองด้านความปลอดภัย
ในประสบการณ์ของคุณในฐานะผู้เชี่ยวชาญด้านความปลอดภัยภัยคุกคามด้านความปลอดภัยที่สำคัญที่สุดสำหรับองค์กรยุคใหม่คืออะไร?
คนใหญ่เป็นวิศวกรรมทางสังคมและ ransomware ความหายนะดังกล่าวก่อให้เกิดความหายนะใน บริษัท จำนวนมากและเป็นเรื่องที่แย่ลงเพราะมีเงินเป็นจำนวนมาก อาจเป็นสิ่งที่ร่ำรวยที่สุดที่ผู้สร้างมัลแวร์คิดว่าจะทำอย่างไร
เราได้เห็นว่าความสำคัญของ "คนร้าย" อยู่ที่ผู้ใช้ปลายทาง เขาหรือเธอเป็นจุดอ่อนที่สุดในขณะนี้ เราพยายามเป็นอุตสาหกรรมเพื่อฝึกฝนคนสื่อได้ทำงานที่ดีในการให้คำแนะนำว่าคุณจะสามารถป้องกันตัวเองได้ดีขึ้น แต่ก็ยังเป็นเรื่องเล็กน้อยที่จะส่งอีเมลเป้าหมายไปให้ผู้อื่น การกระทำที่คุณต้องการ: คลิกลิงก์เปิดสิ่งที่แนบสิ่งที่คุณต้องการ
ภัยคุกคามอื่น ๆ คือการชำระเงินออนไลน์ เราจะดำเนินการต่อเพื่อดูการปรับปรุงในรูปแบบที่ บริษัท ใช้การชำระเงินออนไลน์ แต่จนกว่าอุตสาหกรรมจะใช้วิธีการที่ปลอดภัยมากขึ้นในการชำระเงินออนไลน์พื้นที่นี้จะเป็นปัจจัยเสี่ยงอย่างมาก
เมื่อพูดถึงเรื่องความมั่นคงแล้วผู้คนก็เป็นจุดเชื่อมโยงที่อ่อนแอที่สุดและยังเน้นจุดสำคัญของการโจมตีด้วย เราจะรับมือกับปัญหานี้ได้อย่างไรเนื่องจากวิศวกรรมทางสังคมเป็นหนึ่งในภัยคุกคามด้านความปลอดภัยชั้นนำ
มีเทคโนโลยีมากมายที่เราสามารถนำมาใช้ได้ มีเพียงเท่าที่คุณสามารถทำได้สำหรับคนโดยเฉพาะอย่างยิ่งในอุตสาหกรรมที่บางคนมีแนวโน้มที่จะเป็นประโยชน์มากกว่าคนอื่น ๆ ตัวอย่างเช่นในอุตสาหกรรมการดูแลสุขภาพคนเพียงต้องการที่จะช่วยเหลือผู้อื่น ดังนั้นคุณจึงส่งอีเมลที่เป็นอันตรายไปให้พวกเขาและพวกเขามีแนวโน้มที่จะคลิกที่สิ่งที่คุณส่งให้มากกว่าคนในอุตสาหกรรมอื่น ๆ ในฐานะแผนกตำรวจ
ดังนั้นเราจึงมีปัญหานี้ แต่เราสามารถใช้เทคโนโลยีได้ สิ่งหนึ่งที่เราสามารถทำได้คือการแบ่งส่วนซึ่งสามารถลดพื้นผิวการโจมตีที่มีให้กับผู้ใช้ปลายทางได้อย่างมาก เราเรียกว่า "ศูนย์ความไว้วางใจ": เมื่อผู้ใช้เชื่อมต่อกับเครือข่ายของ บริษัท เครือข่ายเข้าใจว่าใครคือผู้ใช้บทบาทของเขาอยู่ในองค์กรอะไรที่แอพพลิเคชันที่ผู้ใช้ต้องการเข้าถึงจะเข้าใจเครื่องของผู้ใช้และ ท่าทางการรักษาความปลอดภัยของเครื่องคืออะไรในระดับที่ละเอียดมาก ตัวอย่างเช่นมันยังสามารถบอกสิ่งที่ต้องการความชุกของโปรแกรมที่ผู้ใช้มี ความแพร่หลายเป็นสิ่งที่เราพบว่ามีประสิทธิภาพและนั่นหมายความว่าคนอื่น ๆ ในโลกจำนวนนี้ใช้แอปพลิเคชันนี้และมีผู้คนจำนวนเท่าใดในองค์กร ที่ Cisco เราทำการวิเคราะห์ผ่านทางแฮช: เราใช้แฮชของแอปพลิเคชันและเรามีจุดสิ้นสุดนับล้านและจะกลับมาพูดว่า "ความชุกของแอปนี้คือ 0.0001%" ความแพร่หลายจะคำนวณจำนวนแอปที่ใช้ในโลกและในองค์กรของคุณ ทั้งสองมาตรการเหล่านี้ดีมากในการหาว่ามีบางอย่างที่สงสัยหรือไม่และควรพิจารณาดูไหม
คุณมีชุดบทความที่น่าสนใจใน Network World เกี่ยวกับระบบการจัดการอุปกรณ์เคลื่อนที่ (MDM) อย่างไรก็ตามในช่วงไม่กี่ปีที่ผ่านมาเรื่องนี้ดูเหมือนจะพูดถึงน้อยลง ความสนใจของอุตสาหกรรมในระบบดังกล่าวชะลอตัวหรือไม่? สิ่งที่เกิดขึ้นจากมุมมองของคุณ?
มีบางสิ่งเกิดขึ้นซึ่งหนึ่งในนั้นคือระบบ MDM ได้รับความอิ่มตัวอย่างเป็นธรรมในตลาด เกือบทั้งหมดของลูกค้าขนาดใหญ่ของฉันมีระบบดังกล่าวในสถานที่ สิ่งอื่นที่เกิดขึ้นคือกฎระเบียบความเป็นส่วนตัวและความคิดเกี่ยวกับความเป็นส่วนตัวของผู้ใช้มีการเปลี่ยนแปลงไปเช่นที่หลาย ๆ คนไม่ให้อุปกรณ์ส่วนบุคคล (สมาร์ทโฟนแท็บเล็ตและอื่น ๆ ) แก่องค์กรของตนและอนุญาตให้ติดตั้งซอฟต์แวร์ MDM ดังนั้นเราจึงมีการแข่งขันครั้งนี้: องค์กรต้องการเข้าถึงอุปกรณ์ที่พนักงานของตนใช้อย่างเต็มที่เพื่อให้สามารถรักษาความปลอดภัยตัวเองและพนักงานได้รับความต้านทานต่อวิธีนี้มาก มีการสู้รบอย่างต่อเนื่องระหว่างทั้งสองฝ่าย เราเห็นว่าความชุกของระบบ MDM แตกต่างกันไปในแต่ละ บริษัท ขึ้นอยู่กับวัฒนธรรมและคุณค่าของ บริษัท และวิธีการที่องค์กรแต่ละแห่งต้องการที่จะปฏิบัติต่อพนักงานของ บริษัท
การดำเนินการนี้มีผลต่อการนำโปรแกรมเช่นนำอุปกรณ์ของคุณมาใช้ (BYOD) หรือไม่?
ใช่มันทั้งหมดไม่ สิ่งที่เกิดขึ้นส่วนใหญ่คือคนที่ใช้อุปกรณ์ของตนเองในเครือข่ายขององค์กรใช้ในพื้นที่ที่มีการควบคุมอย่างมาก อีกครั้งการแบ่งส่วนเข้ามาในเล่น ถ้าฉันนำอุปกรณ์ของตัวเองไปใช้กับเครือข่ายขององค์กรแล้วบางทีฉันสามารถเข้าถึงอินเทอร์เน็ตบางเว็บเซิร์ฟเวอร์ของ บริษัท ภายในได้ แต่ไม่ได้หมายความว่าฉันจะสามารถเข้าถึงเซิร์ฟเวอร์ฐานข้อมูลแอพพลิเคชันที่สำคัญของ บริษัท หรือ บริษัท ของฉันได้ ข้อมูลสำคัญจากอุปกรณ์นั้น นั่นคือสิ่งที่เราทำโดยทางโปรแกรมที่ซิสโก้เพื่อให้ผู้ใช้สามารถเข้าถึงได้จากที่ใดในเครือข่ายของ บริษัท แต่ไม่ได้อยู่ที่ บริษัท ไม่ต้องการให้ผู้ใช้ไปจากอุปกรณ์ส่วนตัว
ปัญหาด้านความปลอดภัยที่ร้อนแรงที่สุดในเรดาร์ของทุกคนคือ "KRACK" (การติดตั้งคีย์ใหม่ AttaCK) ส่งผลต่อลูกค้าและอุปกรณ์เครือข่ายทั้งหมดที่ใช้รูปแบบการเข้ารหัส WPA2 Cisco ทำอะไรเพื่อช่วยลูกค้าของพวกเขาที่มีปัญหานี้?
เป็นเรื่องน่าประหลาดใจอย่างมากที่หนึ่งในสิ่งที่เราพึ่งพามาหลายปีแล้วคือตอนนี้แตก มันทำให้เรานึกถึงปัญหาที่เกิดขึ้นกับ SSL, SSH และทุกสิ่งที่เราเชื่อในตัวเองทุกคนได้กลายเป็น "ความไม่ไว้วางใจ" ของเรา
สำหรับปัญหานี้เราระบุช่องโหว่สิบช่อง ในสิบเก้าคนนั้นเป็นลูกค้าดังนั้นเราต้องแก้ไขลูกค้า หนึ่งในนั้นคือเครือข่ายที่เกี่ยวข้อง สำหรับที่หนึ่งซิสโก้จะปล่อยแพทช์ ประเด็นคือเฉพาะสำหรับจุดเข้าใช้งานและเราไม่ต้องแก้ไขเราเตอร์และสวิทช์
ฉันรู้สึกยินดีเป็นอย่างยิ่งที่เห็นว่าแอปเปิ้ลได้รับการแก้ไขในโค้ดเบต้าเพื่อให้อุปกรณ์ไคลเอ็นต์ของพวกเขาเร็ว ๆ นี้จะได้รับการติดตั้งอย่างเต็มที่ Windows มีแพทช์พร้อมแล้วเป็นต้นสำหรับ Cisco ถนนเป็นเรื่องง่าย: มีช่องโหว่เพียงจุดเดียวในจุดเชื่อมต่อของเราและเราจะปล่อยแพทช์และการแก้ไข
จนกว่าทุกอย่างจะได้รับการแก้ไขสิ่งที่คุณจะแนะนำให้ลูกค้าของคุณทำเพื่อปกป้องตัวเอง?
ในบางกรณีคุณไม่จำเป็นต้องทำอะไรเพราะบางครั้งการเข้ารหัสใช้ภายในการเข้ารหัส ตัวอย่างเช่นถ้าฉันไปที่เว็บไซต์ของธนาคารจะใช้ TLS หรือ SSL เพื่อความปลอดภัยในการติดต่อสื่อสารซึ่งไม่ได้รับผลกระทบจากปัญหานี้ ดังนั้นแม้ว่าฉันจะผ่าน WiFi แบบเปิดกว้างเช่นเดียวกับ Starbucks แต่ก็ไม่สำคัญเท่าไหร่ ในกรณีที่ปัญหานี้มี WPA2 เกิดขึ้นอย่างมากในด้านความเป็นส่วนตัว ตัวอย่างเช่นถ้าฉันไปที่เว็บไซต์และฉันไม่ต้องการให้คนอื่นรู้ว่าตอนนี้พวกเขาจะรู้เพราะ WPA2 ไม่มีประสิทธิภาพอีกต่อไป
สิ่งหนึ่งที่คุณสามารถทำได้เพื่อรักษาความปลอดภัยคือการตั้งค่าการเชื่อมต่อ VPN คุณสามารถเชื่อมต่อกับระบบไร้สายได้ แต่สิ่งที่คุณต้องทำก็คือเปิด VPN ของคุณ VPN ทำได้ดีเพราะสร้างอุโมงค์ที่เข้ารหัสผ่าน WiFi จะใช้งานได้จนกว่าการเข้ารหัสลับ VPN จะถูกแฮ็กด้วยและคุณต้องหาแนวทางใหม่ :)
ในตลาดผู้บริโภคผู้ขายความปลอดภัยบางรายรวมกลุ่ม VPN กับโปรแกรมป้องกันไวรัสและชุดรักษาความปลอดภัยทั้งหมด พวกเขายังเริ่มให้ความรู้แก่ผู้บริโภคว่าไม่มีไฟร์วอลล์และโปรแกรมป้องกันไวรัสอีกต่อไปแล้วคุณยังต้องมี VPN แนวทางของซิสโก้เกี่ยวกับการรักษาความปลอดภัยสำหรับองค์กรคืออะไร? คุณยังกระตือรือร้นส่งเสริม VPN เป็นเลเยอร์การป้องกันที่จำเป็นหรือไม่?
VPN เป็นส่วนหนึ่งของชุดผลิตภัณฑ์ของเราสำหรับองค์กร ในสถานการณ์ปกติเราไม่ได้พูดคุยเกี่ยวกับ VPN ภายในอุโมงค์ที่เข้ารหัสและ WPA2 เป็นอุโมงค์ที่เข้ารหัส โดยปกติเพราะมันเป็น overkill และมีค่าใช้จ่ายที่จะเกิดขึ้นในฝั่งไคลเอ็นต์เพื่อให้ทุกอย่างทำงานได้ดี ส่วนใหญ่จะไม่คุ้มค่า หากแชแนลได้รับการเข้ารหัสแล้วจะเข้ารหัสอีกครั้งทำไม?
ในกรณีนี้เมื่อคุณถูกจับด้วยกางเกงของคุณเนื่องจากโปรโตคอลการรักษาความปลอดภัย WPA2 มีปัญหาเราสามารถย้อนกลับ VPN ได้จนกว่าปัญหาจะได้รับการแก้ไขด้วย WPA2
แต่เมื่อกล่าวว่าในหน่วยสืบราชการลับหน่วยงานรักษาความปลอดภัยเช่นกระทรวงกลาโหมประเภทขององค์กรพวกเขาได้ทำเช่นนี้มาหลายปีแล้ว พวกเขาพึ่งพา VPN พร้อมกับการเข้ารหัสแบบไร้สายและหลายครั้งที่แอพพลิเคชันที่อยู่ตรงกลางของ VPN ของพวกเขาได้รับการเข้ารหัสด้วยดังนั้นคุณจึงได้รับการเข้ารหัสสามทางโดยใช้การเข้ารหัสแบบต่างๆ พวกเขาทำอย่างนั้นเพราะพวกเขาเป็น "หวาดระแวง" อย่างที่ควรจะเป็น :))
ในงานนำเสนอของคุณที่ Cisco Connect คุณกล่าวถึงระบบอัตโนมัติว่ามีความสำคัญอย่างยิ่งต่อความปลอดภัย แนวทางที่แนะนำสำหรับระบบรักษาความปลอดภัยอัตโนมัติคืออะไร?
การทำงานอัตโนมัติจะกลายเป็นความต้องการได้อย่างรวดเร็วเนื่องจากเราเป็นมนุษย์เราไม่สามารถเคลื่อนที่ได้เร็วพอที่จะหยุดการละเมิดด้านความปลอดภัยและภัยคุกคาม ลูกค้ามีเครื่อง 10.000 เครื่องที่เข้ารหัสโดย ransomware ภายใน 10 นาที ไม่มีทางเป็นไปได้ที่มนุษย์จะสามารถตอบสนองได้ดังนั้นคุณต้องใช้ระบบอัตโนมัติ
วิธีการของเราในวันนี้ไม่ได้เป็นหนักเท่าที่มันอาจจะต้องเป็น แต่เมื่อเราเห็นสิ่งที่น่าสงสัยพฤติกรรมที่ดูเหมือนว่าการละเมิดระบบรักษาความปลอดภัยของเราบอกเครือข่ายที่จะนำอุปกรณ์ที่หรือผู้ใช้ที่กักกัน นี่ไม่ใช่นรก; คุณยังสามารถทำสิ่งต่างๆได้: คุณยังสามารถไปที่อินเทอร์เน็ตหรือรับข้อมูลจากเซิร์ฟเวอร์การจัดการการแก้ไข คุณไม่ได้โดดเดี่ยวโดยสิ้นเชิง ในอนาคตเราอาจต้องเปลี่ยนปรัชญาดังกล่าวและกล่าวว่าเมื่อคุณถูกกักกันแล้วคุณจะไม่มีสิทธิ์เข้าถึงเพราะคุณเป็นอันตรายเกินไปสำหรับองค์กรของคุณ
Cisco ใช้ระบบอัตโนมัติในผลิตภัณฑ์รักษาความปลอดภัยของตนเองอย่างไร?
ในบางพื้นที่เราใช้ระบบอัตโนมัติเป็นจำนวนมาก ตัวอย่างเช่นใน Cisco Talos กลุ่มวิจัยภัยคุกคามของเราเราได้รับข้อมูลจากข้อมูล telemetry จากเครื่องมือรักษาความปลอดภัยทั้งหมดของเราและข้อมูลอื่น ๆ จากแหล่งข้อมูลอื่น ๆ กลุ่ม Talos ใช้การเรียนรู้ด้วยเครื่องและปัญญาประดิษฐ์เพื่อจัดเรียงข้อมูลนับล้าน ๆ รายการทุกวัน หากคุณดูประสิทธิภาพในช่วงเวลาต่างๆในผลิตภัณฑ์รักษาความปลอดภัยทั้งหมดของเราก็น่าทึ่งในการทดสอบประสิทธิภาพของบุคคลที่สามทั้งหมด
ใช้การโจมตี DDoS ช้าลงหรือไม่?
แต่น่าเสียดายที่ DDoS เป็นวิธีการโจมตีที่มีชีวิตอยู่และดีและจะเลวร้ายลง เราพบว่าการโจมตี DDOS มีแนวโน้มที่จะมุ่งเน้นไปที่บางประเภทของ บริษัท การโจมตีดังกล่าวใช้เป็นทั้งล่อและเป็นอาวุธโจมตีหลัก นอกจากนี้ยังมีการโจมตี DDOS สองประเภท ได้แก่ ปริมาตรและ app ปริมาตรได้รับการออกจากการควบคุมถ้าคุณดูที่ตัวเลขล่าสุดของเท่าใดข้อมูลที่พวกเขาสามารถสร้างขึ้นเพื่อนำคนลง มันไร้สาระ
บริษัท ประเภทหนึ่งที่กำหนดเป้าหมายโดยการโจมตี DDOS คือธุรกิจค้าปลีกโดยปกติจะเป็นช่วงเทศกาลวันหยุด (Black Friday กำลังจะมาถึง!) ประเภทอื่น ๆ ของ บริษัท ที่ได้รับการกำหนดเป้าหมายโดยการโจมตี DDOS คือผู้ที่ทำงานในพื้นที่ที่มีการโต้เถียงเช่นน้ำมันและก๊าซ ในกรณีนี้เรากำลังติดต่อกับบุคคลที่มีสาเหตุทางด้านจริยธรรมและคุณธรรมโดยเฉพาะผู้ตัดสินใจเลือกใช้ DDoS องค์กรหรือองค์กรอื่นเพราะไม่เห็นด้วยกับสิ่งที่พวกเขากำลังทำอยู่ คนเหล่านี้ทำเช่นนี้เพื่อวัตถุประสงค์เพื่อวัตถุประสงค์และไม่เกี่ยวข้องกับเงิน
ผู้คนนำเข้ามาในองค์กรไม่เพียง แต่เป็นอุปกรณ์ของตนเอง แต่ยังมีระบบคลาวด์ของตนเอง (OneDrive, Google ไดรฟ์, Dropbox ฯลฯ ) นี่เป็นอีกหนึ่งความเสี่ยงด้านความปลอดภัยสำหรับองค์กร ระบบ Cisco Cloudlock มีความเกี่ยวกับปัญหานี้อย่างไร?
Cloudlock ทำสองสิ่งพื้นฐานประการแรกคือให้คุณตรวจสอบบริการ Cloud ทั้งหมดที่กำลังใช้อยู่ เรารวม Cloudlock เข้ากับผลิตภัณฑ์เว็บของเราเพื่อให้สามารถอ่าน Cloud Log ได้ทั้งหมด ที่จะบอกคุณได้ว่าทุกคนในองค์กรจะไปที่ไหน คุณรู้ไหมว่าผู้คนจำนวนมากใช้ Dropbox ของตนเองเช่น
สิ่งที่สองที่ Cloudlock ทำก็คือทั้งหมดนี้ทำมาจาก API ที่สื่อสารกับบริการคลาวด์ ด้วยวิธีนี้ถ้าผู้ใช้เผยแพร่เอกสารของ บริษัท ในกล่อง Box ทันทีจะบอกว่า Cloudlock มีเอกสารใหม่มาถึงแล้วและควรจะดูที่นี่ ดังนั้นเราจะดูที่เอกสารจัดหมวดหมู่คิดออกรายละเอียดความเสี่ยงของเอกสารรวมทั้งได้รับการแชร์กับคนอื่นหรือไม่ จากผลการค้นหาระบบจะหยุดการแชร์เอกสารนั้นผ่านกล่องหรืออนุญาตให้ใช้
ด้วย Cloudlock คุณสามารถตั้งกฎเช่น "ไม่ควรแบ่งปันกับบุคคลอื่นนอก บริษัท หากมีการปิดใช้งานร่วมกัน" นอกจากนี้คุณยังสามารถเข้ารหัสตามความต้องการโดยขึ้นอยู่กับความสำคัญของแต่ละเอกสาร ดังนั้นหากผู้ใช้ปลายทางไม่เข้ารหัสเอกสารทางธุรกิจที่สำคัญเมื่อโพสต์ข้อความลงในกล่อง Cloudlock จะบังคับให้มีการเข้ารหัสเอกสารนั้นโดยอัตโนมัติ
เราอยากจะขอบคุณ Jamey Heary สำหรับการสัมภาษณ์ครั้งนี้และคำตอบที่ตรงไปตรงมาของเขา ถ้าคุณต้องการติดต่อคุณสามารถหาเขาได้ที่ Twitter
ในตอนท้ายของบทความนี้แบ่งปันความคิดเห็นของคุณเกี่ยวกับหัวข้อที่เราพูดถึงโดยใช้ตัวเลือกการแสดงความคิดเห็นด้านล่างนี้
