CSO Said Cisco Security Is Growing up

John Stewart ay hindi makipag-usap tulad ng iyong karaniwang corporate executive. Sinabi niya na ang kanyang kumpanya, Cisco Systems, ay naging masuwerteng pagdating sa seguridad at na ang pagpindot sa pagmemerkado sa Self-Defending Network ng kanyang kumpanya ay pininturahan ang "malaking bull's-eye" sa mga produkto nito.

Ngunit pagkatapos ay muli, Stewart ay may higit pa mahalagang mga bagay na dapat mag-alala. Bilang punong opisyal ng seguridad, siya ang taong responsable sa pamamahala sa Cisco corporate at business unit security practices. Nangangahulugan iyon na nakakakuha siya ng tawag tuwing mayroong isang mahalagang bug sa seguridad sa mga produkto ng Cisco o kung ang mga hacker ay dapat pindutin ang Web site ng Cisco.com. Ang paraan na inilalagay niya ito, ito ang kanyang trabaho upang matulungan ang pag-lock ng mga produkto ng Cisco bago siya mapilit na harapin ang tinatawag niyang "burning platform" - isang malubhang depekto o pag-atake laban sa pinakalawak na ginagamit na mga router sa Internet.

Siguro Kailangan ng Cisco ang isang tao tulad ni Stewart, upang maiwasan ang mga pagkakamali na ginawa ng iba pang mga pangunahing kumpanya ng teknolohiya sa seguridad. Kunin ang Microsoft, halimbawa. Unang kinuha ng Microsoft ang isang saloobin laban sa mga mananaliksik sa seguridad at kritiko, ngunit ang backfired at nakatulong semento ang impresyon na ang kumpanya ay hindi papansin ang mga bug sa seguridad sa halip na sinusubukan na ayusin ang mga ito. Sa huli ay binabaligtad ng Microsoft ang kurso nito, ngunit hindi hanggang sa ang kanyang reputasyon ay may seryosong hit.

[Karagdagang pagbabasa: Pinakamahusay na mga kahon ng NAS para sa streaming ng media at backup]

Sa isang mas maliit na antas, ang Cisco ay gumawa ng katulad na uri ng pagbaliktad. Ang kumpanya ay nagalit ang mga hacker noong 2005 sa pamamagitan ng pagsuot ng mananaliksik na si Mike Lynn matapos niyang ipakita kung paano posible na magpatakbo ng hindi awtorisadong software sa shellcode sa isang router ng Cisco.

Ngunit sa halip na kicked off ng isang bagong panahon ng Cisco hacking, ang Mike Lynn episode ay higit pa sa isang pagkaligaw. Ang pananaliksik sa Cisco ay tahimik sa susunod na mga taon.

Sinabi ni Stewart na ang Cisco ay "isang maliit na masuwerte" dahil hindi ito nagkaroon ng malalaking seguridad na pagsisiyasat, ngunit wala siyang anumang ipinagkaloob. Inanyayahan niya ang IDG News Service sa opisina ng kanyang San Jose, California upang pag-usapan ang landscape ng Cisco.

IDG News Service: Nakatanggap ang Cisco ng maraming atensyon sa Black Hat 2005. Ano ang iyong ginagawa sa mga bagay, tatlong taon na ang lumipas?

John Stewart: Bahagi ng dahilan ang lahat ng pansin ay ipininta sa amin sa Black Hat tatlong taon na ang nakakaraan ay dahil lumikha kami ng isang firestorm ng, deretsahan lahat ng uri ng mga kumplikadong mga isyu, na nadama tulad ng Cisco ay hadlang ng komunikasyon at pananaliksik.

Sa tingin ko arguably ginawa namin ang ilang mga nakakatawa mga bagay, tulad ng sinusubukan ilagay ang genie pabalik sa bote, na hindi mo magagawa. Sinisikap naming gawin ito para sa mga tamang dahilan: proteksyon ng intelektwal na ari-arian at sa aming mga customer. Ngunit kung paano ito lumabas ay ganap na nagpunta patagilid.

At, sa maraming aspeto, ginawa namin ito nang hindi nagpapakilala. Ito ay "tagapagsalita ng Cisco." Kami ay nagtatago sa likod ng isang konteksto ng pagkawala ng lagda, na kung saan sa tingin ko talagang goofed lahat ng bagay.

Ito ang dahilan kung bakit ako personal na naka-sponsor na Black Hat sa platinum antas mula pa noon. Dahil sa tingin ko may pagbabayad-sala na gawin at pumunta, "Narito, ang aming masama. Hindi iyan ang paraan upang gawin iyon."

IDGNS: Bakit sa tingin mo ang pananaliksik ng Cisco ay tila tulad nito? Stewart: Mayroong ilang mga kadahilanan. Ang una ay, marami sa mga ito ay hindi remote na pagsasamantala, at marami sa kung ano ang pananaliksik ay tungkol sa anumang komunidad ay, "Paano mo gawin ito nang malayuan?" Pananaliksik ng [Impormasyon sa Pamamahala ng Impormasyon ng IRM], pananaliksik ni Sebastian [Muniz, isang mananaliksik na may Core Security Technologies], at sa isang tiyak na antas, ang pananaliksik ni Michael Lynn, bagama't ito ay may kaunting remote na variant, hindi ito matatag na remote. At iyon kung saan ang tunay na laro ay.

Kailangan mong malaman ang isang paraan upang makuha ito nang wala sa console. At iyan ang ginagawa ng karamihan sa pag-unlad: paano mo ito ginagawa sa console - kahit para sa Cisco, gayon pa man.

At ang pangalawang bagay ay, gusto mo itong magtrabaho. Hindi mo sinusubukan na itumba ito dahil kailangan mo ang network up upang makarating ka sa dulo ng punto. Kaya sa tingin ko namin ang uri ng makakuha ng isang pass dahil walang gustong unggoy sa imprastraktura na ginagamit nila. Ito ay tulad ng screwing up ng malawak na daanan habang sinusubukan mong pumunta sa isang iba't ibang mga lungsod. Iyan ay uri ng isang bagay na maloko na gawin.

IDGNS: Ang Microsoft ay naging napakalaking publiko tungkol sa kung paano nila binago ang kumpanya upang gawing prayoridad ang seguridad. Ano ang kuwento sa Cisco? Paano naitayo ang programa ng seguridad?

Stewart: Marahil kami ay nasa parehong espasyo. Maraming mga kumpanya, kabilang ang aming sariling, nagsimula sa pagbuo ng mga bagay-bagay unang na lutasin ang mga problema sa komunikasyon at pagkatapos ay iniisip tungkol sa kaligtasan ng mga komunikasyon pagkatapos.

Tungkol sa limang taon na ang nakaraan, kami ay labanan ang kumpanya, ang aking koponan. Kadalasan sa negosyo ng seguridad ng impormasyon. Kami ang "no" na organisasyon, ang ivory tower. Iyan ay isang mapanganib na lugar upang maging dahil ang aking pagkuha ay nararapat na maging isang konsultatibong katuparan katuparan, hindi isang adjudicator.

Kaya nagbago kami ng maraming ito at sinimulan namin ang pag-inject ng mga bagay, tulad ng "Magkakaroon ka ng kadalubhasaan sa iyong team hindi namin ay magiging kahit na sa gitna, upang ang paraan na maaari mong mamuhunan ang kadalubhasaan para sa kung ano ang kailangan mo at hindi namin hawak mo o nagdadala sa iyo sa isang mas mabagal na posisyon. "

Ang ikalawang bagay - - na hindi maaring bigyang-pansin - ay naghahanda na tayo noong 2002 upang mailunsad ang mga network ng self-defending, na kung saan - tulad nito o kinamumuhian ito bilang isang slogan - ang epektibong ay isang malaking bull's-eye sa aming noo.

IDGNS: Tulad ng hindi masusugal na Linux ng Oracle?

Stewart: Sa katunayan si Mary Ann Davidson sa Oracle ay bumaba sa akin ng isang tala at sinabing, "salamat sa pag-abot sa isang slogan na tumatagal sa presyon ng kung ano ang aming nagawa," [tumawa] na kung ako ay may anumang bagay na gawin sa mga anunsyo.

At pagkatapos ng ikatlong, talaga namin ay may isang bakas ng paa lumago. Nagamit na kami sa higit at higit na mga lugar, at deretsahan sa pag-iisip na hindi namin naisip na magagamit namin. Nagsusulong kami ng mga komunikasyon sa pangangalaga ng kalusugan, kami ay nagpapalit ng mga site-to-site na komunikasyon para sa militar. Ginagawa namin ang lahat ng mga ligaw na bagay na 20 taon na ang nakakaraan ay hindi namin iniisip ang tungkol sa oras.

IDGNS: Gawin mo ba ang isang bagay tulad ng magpatibay ng isang secure na lifecycle ng pag-unlad o baguhin ang paraan ng iyong binuo ng mga produkto?

Stewart: Hindi tayo matanda sa ganito. Kami ay nasa mahirap na yugto ng malabata. Sinusubok namin sa dulo ng proseso ng pag-unlad at pinag-uusapan namin mula sa data na iyon kung paano ka pumunta pabalik sa proseso ng kahulugan. Ngayon pa rin ang kahulugan ng ilang kahulugan. Kaya halimbawa, may mga kinakailangang baseline ng bawat produkto na aming binuo. Gayunpaman, sinasabi ko pa rin na marami ang dapat matutunan. Kapag sa tingin mo ay nakuha mo ito ng tama at itinatayo mo ito at sinubok mo ito, ang mga natutunan mula sa pagsubok ay dapat makinabang sa susunod na bagay na iyong itinayo.

Hindi pa namin pinagtibay ang isang secure na lifecycle ng pag-unlad tulad ng Microsoft. Hindi pa namin nakapagpalit ng pantay-pantay sa lahat ng mga linya ng produkto sa isang napaka-pare-parehong paraan na masusukat na paraan, at iyan ang dahilan kung bakit sinasabi ko na kami ay nasa mahirap na yugto ng malabata.