Am 18. Oktober wurden wir zu Cisco Connect 2017 eingeladen. Bei dieser Veranstaltung trafen wir uns mit dem Sicherheitsexperten Jamey Heary. Er ist ein Distinguished Systems Engineer bei Cisco Systems, wo er das Global Security Architecture Team leitet. Jamey ist ein vertrauenswürdiger Sicherheitsberater und Architekt für viele der größten Kunden von Cisco. Er ist außerdem Buchautor und ehemaliger Network World Blogger. Wir haben mit ihm über Sicherheit im modernen Unternehmen, die bedeutenden Sicherheitsprobleme, die sich auf Unternehmen und Organisationen auswirken, und über die neuesten Schwachstellen, die alle drahtlosen Netzwerke und Clients (KRACK) betreffen, gesprochen. Hier ist was er zu sagen hatte:
Unsere Zielgruppe besteht aus Endnutzern und Geschäftsanwendern. Um zu beginnen und sich ein wenig vorzustellen, wie würden Sie Ihren Job bei Cisco auf nicht unternehmensbezogene Weise beschreiben?
Meine Leidenschaft ist Sicherheit. Was ich jeden Tag anstrebe, ist, meinen Kunden und Endanwendern etwas über Architektur beizubringen. Zum Beispiel spreche ich über ein Sicherheitsprodukt und darüber, wie es mit anderen Produkten (unseren eigenen oder von Dritten) integriert wird. Daher beschäftige ich mich aus Sicherheitssicht mit Systemarchitektur.
Welche Sicherheitsrisiken bestehen für Sie als Sicherheitsexperte in Ihrem Unternehmen?
Die großen sind Social Engineering und Ransomware. Letzteres führt in so vielen Unternehmen zu Verwüstungen, und es wird noch schlimmer werden, weil so viel Geld drin ist. Es ist wahrscheinlich das lukrativste, was Malware-Entwickler herausgefunden haben.
Wir haben gesehen, dass der Fokus der "bösen Jungs" auf dem Endnutzer liegt. Er oder sie ist derzeit das schwächste Glied. Wir haben versucht, als Branche Menschen auszubilden, die Medien haben gute Arbeit geleistet, um herauszufinden, wie man sich besser schützen kann, aber dennoch ist es ziemlich trivial, jemandem eine gezielte E-Mail zu senden und sie dazu zu bringen, sie zu nehmen eine Aktion, die Sie wollen: Klicken Sie auf einen Link, öffnen Sie einen Anhang, was auch immer Sie wollen.
Die andere Bedrohung ist Online-Zahlungen. Wir werden weiterhin Verbesserungen bei der Art und Weise sehen, wie Unternehmen Zahlungen online annehmen, aber bis die Branche sicherere Wege zur Online-Zahlung implementiert, wird dieser Bereich ein großer Risikofaktor sein.
Wenn es um Sicherheit geht, sind Menschen das schwächste Glied und auch der primäre Fokus von Angriffen. Wie können wir mit diesem Problem umgehen, da Social Engineering eine der größten Sicherheitsbedrohungen darstellt?
Es gibt eine Menge Technologie, die wir anwenden können. Es gibt nur so viel, was man für eine Person tun kann, besonders in einer Branche, in der manche Menschen hilfreicher sind als andere. In der Gesundheitsbranche wollen die Menschen einfach nur anderen helfen. Sie senden ihnen also eine bösartige E-Mail, und sie klicken mit größerer Wahrscheinlichkeit auf das, was Sie ihnen schicken, als in anderen Branchen, etwa als Polizeidienststelle.
Also haben wir dieses Problem, aber wir können Technologie verwenden. Eine Sache, die wir tun können, ist die Segmentierung, die die Angriffsfläche, die für jeden Endbenutzer verfügbar ist, drastisch reduzieren kann. Wir nennen dies "Zero Trust": Wenn ein Benutzer sich mit dem Firmennetzwerk verbindet, versteht das Netzwerk, wer der Benutzer ist, welche Rolle er in der Organisation spielt, auf welche Anwendungen der Benutzer zugreifen muss, er wird den Computer des Benutzers verstehen Wie sieht die Sicherheitslage der Maschine auf einer sehr detaillierten Ebene aus? Zum Beispiel kann es sogar Dinge wie die Verbreitung einer Anwendung, die der Benutzer hat. Prävalenz ist etwas, das wir als effektiv empfunden haben, und es bedeutet, wie viele andere Menschen auf der Welt diese Anwendung verwenden und wie viele in einer bestimmten Organisation. Bei Cisco führen wir diese Analyse durch Hashing durch: Wir nehmen ein Hash einer Anwendung und wir haben Millionen von Endpunkten. Sie kommen zurück und sagen: "Die Prävalenz dieser App beträgt 0, 0001%". Prävalenz berechnet, wie viel eine App in der Welt und dann in Ihrer Organisation verwendet wird. Beide Maßnahmen können sehr gut dazu beitragen, herauszufinden, ob etwas sehr verdächtig ist und ob es sich lohnt, es genauer zu betrachten.
Sie haben eine interessante Artikelserie in der Network World über Mobile Device Management (MDM) -Systeme. In den letzten Jahren scheint dieses Thema jedoch weniger diskutiert zu werden. Wird das Interesse der Branche an solchen Systemen gebremst? Was passiert aus Ihrer Perspektive?
Wenige Dinge sind passiert, eines davon ist, dass MDM-Systeme auf dem Markt ziemlich gesättigt sind. Fast alle meine größeren Kunden haben ein solches System an Ort und Stelle. Die andere Sache, die passiert ist, ist, dass sich die Datenschutzbestimmungen und die Privatsphäre-Einstellung der Benutzer dahingehend geändert haben, dass viele Menschen ihr persönliches Gerät (Smartphone, Tablet, etc.) nicht mehr ihrer Organisation geben und eine MDM-Software installieren lassen. Wir haben also diesen Wettbewerb: Das Unternehmen möchte vollen Zugang zu den Geräten haben, die von seinen Mitarbeitern benutzt werden, um sich selbst zu sichern, und die Mitarbeiter sind sehr resistent gegenüber diesem Ansatz geworden. Es gibt diesen ständigen Kampf zwischen den beiden Seiten. Wir haben gesehen, dass die Prävalenz von MDM-Systemen von Unternehmen zu Unternehmen variiert, abhängig von der Unternehmenskultur und -werten und davon, wie jede Organisation ihre Mitarbeiter behandeln möchte.
Beeinflusst dies die Einführung von Programmen wie Bring Your Own Device (BYOD)?
Ja, das tut es völlig. Zum größten Teil handelt es sich darum, dass Personen, die ihre eigenen Geräte im Unternehmensnetzwerk verwenden, diese in einem sehr kontrollierten Bereich verwenden. Auch hier kommt die Segmentierung ins Spiel. Wenn ich mein eigenes Gerät ins Firmennetzwerk bringe, dann kann ich vielleicht auf das Internet, einen internen Firmenwebserver zugreifen, aber auf keinen Fall werde ich auf die Datenbankserver, die kritischen Apps meines Unternehmens oder dessen zugreifen können kritische Daten von diesem Gerät. Das ist etwas, was wir programmatisch bei Cisco tun, damit der Benutzer dorthin gelangt, wo er im Unternehmensnetzwerk benötigt wird, aber nicht dort, wo das Unternehmen den Benutzer nicht von einem persönlichen Gerät aus verlassen möchte.
Das heisseste Sicherheitsproblem auf allen Radarschirmen ist "KRACK" (Key Reinstallation AttaCK), das alle Netzwerk-Clients und Geräte mit dem WPA2-Verschlüsselungsschema betrifft. Was unternimmt Cisco, um seinen Kunden bei diesem Problem zu helfen?
Es ist eine große Überraschung, dass eines der Dinge, auf die wir uns seit Jahren verlassen haben, jetzt knackbar ist. Es erinnert uns an die Probleme mit SSL, SSH und all den Dingen, an die wir grundsätzlich glauben. Sie alle sind unseres Vertrauens "nicht würdig" geworden.
Für dieses Problem haben wir zehn Schwachstellen identifiziert. Von diesen zehn sind neun Clients, also müssen wir den Client reparieren. Einer von ihnen ist netzwerkbezogen. Für diesen Fall wird Cisco Patches veröffentlichen. Die Probleme treten ausschließlich beim Access Point auf und Router und Switches müssen nicht repariert werden.
Ich war erfreut zu sehen, dass Apple ihre Korrekturen im Beta-Code bekommen hat, damit ihre Client-Geräte bald vollständig gepatcht werden. Windows hat bereits einen Patch bereit, usw. Für Cisco ist der Weg einfach: eine Schwachstelle an unseren Access Points und wir werden Patches und Fixes veröffentlichen.
Bis alles repariert ist, was würden Sie Ihren Kunden empfehlen, um sich zu schützen?
In einigen Fällen müssen Sie nichts tun, da manchmal Verschlüsselung innerhalb der Verschlüsselung verwendet wird. Wenn ich zum Beispiel auf die Website meiner Bank gehe, verwendet sie TLS oder SSL für die Kommunikationssicherheit, die von diesem Problem nicht betroffen ist. Also, selbst wenn ich durch ein weit geöffnetes WiFi gehe, wie das bei Starbucks, spielt es keine Rolle. Wo dieses Problem mit WPA2 stärker ins Spiel kommt, ist die Privatsphäre. Zum Beispiel, wenn ich auf eine Website gehe und ich möchte nicht, dass andere das wissen, werden sie es jetzt wissen, weil WPA2 nicht mehr effektiv ist.
Eine Sache, die Sie tun können, um sich zu sichern, ist aufgebaute VPN-Verbindungen. Sie können sich mit dem WLAN verbinden, aber das nächste, was Sie tun müssen, ist Ihr VPN zu aktivieren. Das VPN ist in Ordnung, weil es einen verschlüsselten Tunnel durch das WiFi erstellt. Es wird funktionieren, bis auch die VPN-Verschlüsselung gehackt wird und Sie eine neue Lösung finden müssen. :)
Auf dem Verbrauchermarkt bündeln einige Sicherheitsanbieter VPN mit ihren Antivirus- und Total Security-Suites. Sie beginnen auch, die Verbraucher zu informieren, dass es nicht mehr ausreicht, eine Firewall zu haben, und ein Antivirenprogramm, Sie brauchen auch ein VPN. Welchen Ansatz verfolgt Cisco in Bezug auf die Sicherheit für das Unternehmen? Unterstützen Sie auch aktiv VPN als notwendige Schutzschicht?
VPN ist Teil unserer Pakete für das Unternehmen. Unter normalen Umständen sprechen wir nicht über VPN innerhalb eines verschlüsselten Tunnels und WPA2 ist ein verschlüsselter Tunnel. Normalerweise, weil es Overkill und Overhead ist, die auf der Client-Seite passieren muss, um alles gut funktionieren zu lassen. Zum größten Teil ist es das nicht wert. Wenn der Kanal bereits verschlüsselt ist, warum sollte er dann erneut verschlüsselt werden?
In diesem Fall, wenn Sie mit den Hosen runtergefallen sind, weil das WPA2-Sicherheitsprotokoll grundsätzlich gebrochen ist, können wir auf VPN zurückgreifen, bis die Probleme mit WPA2 behoben sind.
Aber im Sicherheitsbereich haben Sicherheitsorganisationen, wie eine Organisation des Verteidigungsministeriums, dies seit Jahren getan. Sie sind auf VPN angewiesen, plus drahtlose Verschlüsselung, und oft sind die Anwendungen in der Mitte ihres VPNs auch verschlüsselt, so dass Sie eine Drei-Wege-Verschlüsselung erhalten, die alle verschiedene Arten der Kryptographie verwenden. Sie tun das, weil sie "paranoid" sind, wie sie sein sollten. :))
In Ihrer Präsentation bei Cisco Connect haben Sie Automation als sehr wichtig für die Sicherheit genannt. Was ist Ihr empfohlener Ansatz für die Automatisierung in der Sicherheit?
Automatisierung wird schnell zu einer Anforderung, weil wir uns als Menschen nicht schnell genug bewegen können, um Sicherheitsverletzungen und Bedrohungen zu stoppen. Ein Kunde hatte 10.000 Computer, die in 10 Minuten durch Ransomware verschlüsselt wurden. Es ist unmöglich, dass Sie darauf reagieren können, also brauchen Sie Automatisierung.
Unser Ansatz ist heute nicht so umständlich wie er sein müsste, aber wenn wir etwas verdächtiges Verhalten sehen, das wie eine Verletzung erscheint, sagen unsere Sicherheitssysteme dem Netzwerk, dass dieses Gerät oder dieser Benutzer in Quarantäne gestellt werden soll. Dies ist kein Fegefeuer; Sie können immer noch etwas tun: Sie können immer noch ins Internet gehen oder Daten von den Patch-Management-Servern abrufen. Du bist nicht völlig isoliert. In Zukunft müssen wir diese Philosophie vielleicht ändern und sagen: Sobald Sie in Quarantäne sind, haben Sie keinen Zugang mehr, weil Sie für Ihre Organisation zu gefährlich sind.
Wie nutzt Cisco sein Portfolio an Sicherheitsprodukten?
In bestimmten Bereichen verwenden wir viel Automatisierung. Zum Beispiel erhalten wir in unserer Forschungsgruppe für Bedrohungsforschung, Cisco Talos, Telemetriedaten von allen unseren Sicherheits-Widgets und eine Menge anderer Daten aus anderen Quellen. Die Talos-Gruppe nutzt maschinelles Lernen und künstliche Intelligenz, um jeden Tag Millionen von Datensätzen zu durchsuchen. Wenn Sie sich die Wirksamkeit im Laufe der Zeit in all unseren Sicherheitsprodukten ansehen, ist es bei allen Wirksamkeitstests von Drittanbietern erstaunlich.
Wird der Einsatz von DDOS-Angriffen verlangsamt?
Unglücklicherweise ist DDOS als Angriffsmethode am Leben und es wird immer schlimmer. Wir haben festgestellt, dass DDOS-Angriffe auf bestimmte Arten von Unternehmen ausgerichtet sind. Solche Angriffe werden sowohl als Lockvogel als auch als primäre Angriffswaffe eingesetzt. Es gibt auch zwei Arten von DDOS-Angriffen: volumetrisch und app-basiert. Das Volumen ist außer Kontrolle geraten, wenn man sich die neuesten Zahlen darüber ansieht, wie viele Daten man generieren kann, um jemanden auszuschalten. Es ist lächerlich.
Eine Art von Unternehmen, die von DDOS-Angriffen betroffen sind, sind diejenigen im Einzelhandel, in der Regel während der Ferienzeit (Black Friday kommt!). Die andere Art von Unternehmen, die Opfer von DDOS-Angriffen werden, sind diejenigen, die in umstrittenen Bereichen wie Öl und Gas arbeiten. In diesem Fall haben wir es mit Menschen zu tun, die eine bestimmte ethische und moralische Ursache haben, die sich dafür entscheiden, eine Organisation zu DDOS zu machen, weil sie mit dem, was sie tun, nicht einverstanden sind. Solche Leute tun dies aus einem Grund, für einen Zweck und nicht für das damit verbundene Geld.
Menschen bringen nicht nur ihre eigenen Geräte, sondern auch ihre eigenen Cloud-Systeme (OneDrive, Google Drive, Dropbox, etc.) in ihre Organisationen ein. Dies stellt ein weiteres Sicherheitsrisiko für Organisationen dar. Wie geht ein System wie Cisco Cloudlock mit diesem Problem um?
Cloudlock macht zwei grundlegende Dinge: Erstens gibt es Ihnen eine Prüfung aller Cloud-Dienste, die verwendet werden. Wir integrieren Cloudlock mit unseren Webprodukten, so dass alle Weblogs von Cloudlock gelesen werden können. Das wird dir sagen, wohin alle in der Organisation gehen. Sie wissen also, dass viele Leute zum Beispiel ihre eigene Dropbox verwenden.
Die zweite Sache, die Cloudlock macht, ist, dass alles aus APIs besteht, die mit Cloud-Diensten kommunizieren. Wenn ein Benutzer auf Box ein Unternehmensdokument veröffentlicht hat, sagt Box sofort zu Cloudlock, dass ein neues Dokument angekommen ist und es sich ansehen soll. Wir werden uns also das Dokument ansehen, es kategorisieren, das Risikoprofil des Dokuments herausfinden und es mit anderen teilen oder nicht. Basierend auf den Ergebnissen wird das System entweder das Teilen dieses Dokuments durch Box stoppen oder es zulassen.
Mit Cloudlock können Sie Regeln festlegen wie: "Dies sollte niemals mit Personen außerhalb des Unternehmens geteilt werden. Wenn dies der Fall ist, deaktivieren Sie die Freigabe." Sie können die Verschlüsselung auch bei Bedarf durchführen, basierend auf der Wichtigkeit jedes Dokuments. Wenn der Endbenutzer ein kritisches Geschäftsdokument nicht verschlüsselt hat, wird Cloudlock die Verschlüsselung dieses Dokuments automatisch erzwingen.
Wir möchten Jamey Heary für dieses Interview und seine offenen Antworten danken. Wenn Sie in Kontakt treten wollen, können Sie ihn auf Twitter finden.
Am Ende dieses Artikels teilen Sie Ihre Meinung zu den Themen, die wir besprochen haben, mit den unten stehenden Kommentarmöglichkeiten.
