CCNA Security 2.0 - Skills Assessment Using ASA 5506-X - Form A
John Stewart pratar inte som din typiska företagsledare. Han sa att hans företag, Cisco Systems, har haft tur när det gäller säkerhet och att hans företags självförsörjande nätverksmarknadsföring har målat "ett stort tjurar" på sina produkter.
Men sedan har Stewart mer viktiga saker att oroa dig för. Som chef säkerhetsansvarig är han mannen ansvarig för att styra Cisco företags- och affärsenhetssäkerhetspraxis. Det betyder att han får samtalet när det finns en viktig säkerhetsbull i Ciscos produkter eller om hackare skulle träffa Cisco.com-webbplatsen. Det sätt han lägger på är att jobba för att låsa ner Ciscos produkter innan han tvingas hantera det han kallar "den brinnande plattformen" - en allvarlig fel eller attack mot de mest använda routrarna på Internet.
Kanske Cisco behöver någon som Stewart, för att undanröja de misstag som andra stora teknikföretag har gjort på säkerhet. Ta till exempel Microsoft. Microsoft tog först en fientlig inställning till säkerhetsforskare och kritiker, men det återupptog och hjälpte till att cementera intrycket att företaget ignorerade säkerhetsfel istället för att försöka fixa dem. Microsoft återvände i sin tur, men inte förrän dess rykte tog en allvarlig slump.
I mindre skala har Cisco gjort en liknande omkallning. Företaget ångrade hackare 2005 genom att stämma forskaren Mike Lynn efter att han visat hur det var möjligt att köra obehörig skriptprogramvara på en Cisco-router.
Men istället för att sparka bort en ny era med Cisco hacking var Mike Lynn-episoden mer av en avvikelse. Cisco-undersökningen var tyst de närmaste åren.
Stewart sa att Cisco har varit "lite lycklig", eftersom det inte har haft stora säkerhetsavbrott, men han tar inte något för givet. Han bjöd in IDG News Service till hans San Jose, Kalifornien kontor för att prata om Cisco hotland. Följande är ett redigerat transkript av intervjun.
IDG News Service: Cisco fick stor uppmärksamhet vid Black Hat 2005. Vad tar du på saker, tre år senare?
John Stewart: En del av anledningen till all uppmärksamhet var målade på oss på Black Hat för tre år sedan beror på att vi skapade en firestorm av, uppriktigt alla slags komplicerade problem, som kändes som att Cisco undertryckte kommunikation och forskning. Jag tror att vi kanske hade några dumma saker, som att försöka sätt genionen tillbaka i flaskan, som du inte kan göra. Vi försökte göra det av de rätta skälen: skydd av immateriella rättigheter och våra kunder. Men hur det kom ut gick helt helt åt sidan.
Och i många avseenden gjorde vi det anonymt. Det var "en Cisco-talesman". Vi har gömt sig bakom ett anonymitetskontext, som jag tror verkligen gissade allt.
Därför sponsrade jag personligen Black Hat på platinivå sedan dess. Eftersom jag tycker att vi hade lite försoning att göra och gå, "Se, vårt dåliga. Det var inte sättet att göra det."
IDGNS: Varför tror du att Cisco-undersökningen torkades upp som den gjorde?
Stewart: Det finns ett par skäl. Det första är, mycket av detta är inte fjärrutnyttjande, och mycket av vad forskningen handlar om i något samhälle är "hur gör du det på distans?" IRM: s [Information Risk Managements] -forskning, Sebastians forskning [Muniz, en forskare med Core Security Technologies] och i viss mån Michael Lynns forskning, även om den hade en liten fjärrvariant, är den inte stabil fjärrkontroll. Och det är här det riktiga spelet är.
Du måste få reda på hur du kan få det utan att vara på konsolen. Och det är vad det mesta av utvecklingen har funnits: hur gör du det på konsolen - åtminstone för Cisco, hur som helst.
Och det andra är att du vill att den ska fungera. Du försöker inte slå ut det eftersom du behöver nätverket så att du kan komma till slutpunkten. Så jag tror att vi får en övergång eftersom ingen vill apa med den infrastruktur som de använder. Det är som att skruva upp motorvägen medan du försöker gå till en annan stad. Det är typ av en goofy sak att göra.
IDGNS: Microsoft har varit mycket offentligt om hur de ändrade företaget för att säkerställa säkerhet en prioritet. Vad är historien på Cisco? Hur byggdes säkerhetsprogrammet?
Stewart: Vi var förmodligen i samma utrymme. Många företag, inklusive våra egna, började bygga saker först som löste kommunikationsproblem och sedan tänka på kommunikationssäkerheten efteråt.
Omkring fem år sedan kämpade vi med företaget, mitt team. För det mesta i informationssäkerhetsbranschen. Vi var "nej" -organisationen, elfenbenstornet. Det är en farlig plats att vara för att jag ska vara en rådgivande uppföljningsarm, inte en domare.
Så vi bytte mycket av det och vi började injicera saker som "Du kommer att ha expertis i din team. Vi kommer inte att vara ens i mitten, så att du kan investera kompetensen för vad du behöver och vi håller inte på dig eller tar dig till en långsammare position. "
Den andra saken - - som inte kan underskattas - blir vi redo i 2002 för att starta självförsörjande nätverk, som - som det eller hatar det som en slogan - effektivt är ett stort tjuröga på pannan.
IDGNS: Som Oracles oförstörbara Linux?
Stewart: Faktum är att Mary Ann Davidson över på Oracle släppte mig en anteckning och sa, "tack så mycket för att du kommer fram med en slogan som tar trycket på det vi har gjort" [skrattar] som om jag hade något att göra med tillkännagivandet.
Och sedan har vi verkligen fått ett fotavtryck att växa. Vi har använt oss på fler och fler platser, och uppriktigt sagt tror vi att vi aldrig föreställde oss att vi skulle bli vana vid. Vi övergår hälsovårdskommunikation, vi övergår från webbplats till plats för militären. Vi gör alla dessa vilda saker som vi för 20 år sedan inte tänkte på då.
IDGNS: Så gjorde du något som att anta en säker utvecklingslivscykel eller ändra hur du byggde produkter?
Stewart: Vi är inte mogna i detta. Vi är i den besvärliga tonårsfasen. Vi testar i slutet av utvecklingsprocessen och vi utreder från de uppgifterna hur går du bakåt i definitionprocessen. Nu händer någon definition ändå. Så till exempel finns det några grundläggande krav för varje produkt vi byggt. Men jag säger fortfarande att det finns mycket att lära sig. När du tror att du har rätt och bygger det och testar det, borde lärorna från testet gynna nästa sak du bygger.
Vi har inte antagit en säker utvecklingslivscykel som Microsoft än. Vi har inte spikat lika på alla produktlinjer på ett mycket konsekvent metodiskt mätbart sätt, och det är därför jag säger att vi befinner oss i den besvärliga tonårsfasen.
Misstänksama telefonsamtal på Skype skulle kunna riktas för att tappa som en del av en pan-europeisk nedbrytning av vilka lagmyndigheter anser att det är ett massivt tekniskt smuthull i gällande lagstiftningsregler som tillåter brottslingar att kommunicera utan rädsla för att bli överhettad av polisen. > Den europeiska utredningen skulle också kunna hjälpa amerikanska brottsbekämpande myndigheter att få tillgång till Internet-samtal. National Security Agency (NSA) är förstådd att tro att misstän
Medan polisen kan få en domstolsbeslut att trycka på en misstänkts landlinje och mobiltelefon, är det för närvarande omöjligt att få en liknande order för Internet-samtal på båda sidor om Atlanten.
En stam av den rogue AV, som för närvarande heter Total Security 2009 , kommer nu att blockera åtkomst till någonting på din dator tills du betalar för ett serienummer för rogue-programmet. Försök att öppna något kommer istället att dyka upp ett meddelande som hävdar att filen är infekterad och att du ska "aktivera din antivirusprogramvara". Om du betalar $ 79,95 för ett serienummer och aktiverar programmet kan du använda din dator en gång till, enligt ett inlägg från antivirusprogramv
Ransomware som rymmer filer som gisslan har funnits i åratal, men det har varit en relativt liten nisch på den svarta marknaden online. Men där tidigare utpressningsförsök var uppenbara, till och med klumpiga, använder den här nya vridningen ännu ett lager av socialteknik för att dölja lösenbehovet som en antagen säkerhetsåtgärd.
Skulle det inte vara trevligt om din bil kunde betjänas själv? Det är rätt att tänka på att köra upp till ett hotell eller restaurang, gå ut ur din bil och trycka på en knapp. Din bil skulle rulla upp sina fönster och köra av för att hitta en tillgänglig parkeringsplats och parkera sig själv. Sedan när du behövde din bil igen kunde du bara trycka på en annan knapp och det skulle lämna sin parkeringsplats och köra till var du befinner dig.
Bilhandlare arbetar redan med denna typ av mindre intensiv automatiserad körning. Audi's proof-of-concept bil är inte riktigt Googles självkörande fordon. Det finns ingen LIDAR-laser på taket, och det kan inte köra hundratusentals mil utan mänsklig interaktion (ännu). Men den här bilen kan driva sig in i en parkeringsplats, parkera sig själv och köra tillbaka för att möta dig med en smartphone-knapps press.