CSO, Cisco Güvenliğinin Büyüyor

John Stewart, tipik bir şirket yöneticiniz gibi konuşmuyor. Şirket, Cisco Systems'ın güvenlik söz konusu olduğunda şanslı olduğunu ve şirketin kendi Kendini Savunmasız Network pazarlama baskısının kendi ürünlerine "büyük bir boğa gözünü" boyadığını söyledi.

Ama sonra tekrar Stewart'ın endişelenecek önemli şeyler. Baş güvenlik görevlisi olarak, Cisco kurumsal ve iş birimi güvenlik uygulamalarını yönetmekten sorumlu olan o. Bu, Cisco'nun ürünlerinde önemli bir güvenlik hatası olduğunda veya bilgisayar korsanlarının Cisco.com Web sitesine girmesi gerektiğinde çağrıyı alması anlamına gelir. Bunu yapmasının yolu, “yanan platform” olarak adlandırdığı şeyle uğraşmaya zorlanmadan önce Cisco'nun ürünlerini kilitlemeye yardımcı olmak için yaptığı iştir - internetteki en yaygın kullanılan yönlendiricilere karşı ciddi bir kusur veya saldırı.

Belki Cisco'nun, diğer büyük teknoloji şirketlerinin güvenlik konusunda yaptığı hatalardan emin olmak için Stewart gibi birisine ihtiyacı var. Örneğin, Microsoft'u edinin. Microsoft, önce güvenlik araştırmacıları ve eleştirmenlere karşı düşmanca bir tavır aldı, ancak bu geri tepti ve şirketin onları düzeltmeye çalışmak yerine güvenlik hatalarını görmezden geldiği izlenimini destekledi. Microsoft nihayetinde kendi rotasını tersine çevirdi, ancak ününe ciddi bir darbe çıkana kadar.

[Daha fazla okuma: Medya akışı ve yedekleme için en iyi NAS kutuları]

Daha küçük ölçekte, Cisco benzer bir tersine dönüş yaptı. Şirket, 2005 yılında bir Cisco yönlendiricisinde yetkisiz bir barkod yazılımı çalıştırmanın nasıl mümkün olduğunu gösterdikten sonra araştırmacı Mike Lynn'e dava açarak hackerları kızdırdı.

Ama yeni bir Cisco hack çağını kovmak yerine, Mike Lynn bölümünün daha fazla bir sapma. Cisco'nun araştırması önümüzdeki birkaç yıl boyunca sessiz kaldı.

Stewart, Cisco'nun "biraz şanslı" olduğunu ve büyük bir güvenlik açığının yaşanmadığını, ancak verilen bir şeyi almadığını söyledi. Cisco tehdit manzarasını konuşmak için IDG Haber Hizmetini San Jose, California ofisine davet etti. Röportajın düzenlenmiş bir transkripti şöyledir:

IDG Haber Servisi: Cisco, Black Hat 2005'te çok dikkat çekti. Üç yıl sonra işlerinize neler oldu?

John Stewart: Sebeplerin tamamı dikkatin bir parçası. Black Hat'ta üç yıl önce bize boyandık çünkü Cisco'nun iletişim ve araştırmaları baskı altına aldığını hisseden, her türlü karmaşık meseleye karşı bir ateş fırtınası yarattık.

Sanırım tartışmalı bir şekilde bazı aptalca şeyler yaptık. Genie'yi yapamayacağın şişeye geri koy. Bunu doğru nedenlerle yapmaya çalışıyorduk: fikri mülkiyetin korunması ve müşterilerimiz. Ama nasıl ortaya çıktı ki tamamen yanlara doğru gitti.

Ve birçok açıdan anonim olarak yaptık. Bu bir "Cisco sözcüsü" idi. Herşeyi gerçekten zorladığımızı düşündüğüm bir anonimleştirme bağlamının arkasına saklandık.

Bu yüzden, o zamandan beri Black Hat'a platin seviyesinde sponsor oldum. Çünkü sanırım yapmamız gereken bazı kefaretler vardı, "Bakın, kötüyüm. Bunu yapmanın yolu bu değildi."

IDGNS: Neden Cisco araştırmasının neden yaptığı gibi kurudun?

Stewart: Bir kaç sebep var. Birincisi, bunun birçoğu uzaktan bir sömürü değildir ve herhangi bir toplumda araştırmanın neyle ilgili olduğu çok şey, "Bunu uzaktan nasıl yapıyorsunuz?" IRM'nin [Bilgi Riski Yönetimi] araştırması, Sebastian'ın [Çekirdek Güvenlik Teknolojileri araştırmacısı] araştırması olan Muniz ve belli bir dereceye kadar Michael Lynn'in araştırması, biraz uzak bir modele sahip olmasına rağmen, istikrarlı değil. Ve gerçek oyunun olduğu yer burası.

Konsolda olmaksızın onu almanın bir yolunu bulmalısın. Ve bu gelişimin çoğunun etrafta olduğu şey: konsolda bunu nasıl yapıyorsunuz - en azından Cisco için, her neyse.

Ve ikinci şey ise, onun çalışmasını istiyorsun. Bunu çalmaya çalışmıyorsun çünkü ağa ihtiyacın var, böylece son noktaya gelebilesin. Yani bir çeşit geçiş yaptık diye düşünüyorum çünkü kimse onların kullandığı altyapı ile maymun yapmak istemiyor. Başka bir şehre gitmeye çalışırken otobanı berbat etmek gibi. Böyle yapmak için aptalca bir şey.

IDGNS: Microsoft şirketi, güvenliği nasıl bir öncelik haline getirdiğini şirket hakkında nasıl değiştirdiler. Cisco'daki hikaye nedir? Güvenlik programı nasıl kuruldu?

Stewart: Muhtemelen aynı alandaydık. Kendi aramızda dahil olmak üzere birçok şirket, iletişim sorunlarının çözüldüğü ve daha sonra iletişimin güvenliğini düşündükten sonra, ilk önce bir şeyler inşa etmeye başladı.

Yaklaşık beş yıl önce, şirketimle, ekibimizle kavga ediyorduk. Çoğunlukla bilgi güvenliği işinde. Biz "hayır" örgütüyük, fildişi kulesiydik. Bu benim için tehlikeli bir yer çünkü benim almam karar vericiden değil, bir istişare yerine getirme kolu olmalıyız.

Bu yüzden çok değiştirdik ve bir şeyler enjekte etmeye başladık. Takım, ortada bile olmayacak, böylece sizin ihtiyaç duyduğunuz şey için uzmanlığa yatırım yapabiliyorsunuz ve sizi tutmuyor ya da sizi daha yavaş bir pozisyona getirmiyoruz. "

İkinci şey - - Bu göz ardı edilemez - 2002 yılında kendi kendini savunan ağları başlatmak için hazırlanıyorduk - ki bu ya da bir slogan olarak nefret - etkili bir şekilde alnımızda büyük bir boğa gözüdür.

IDGNS: Oracle'ın kırılmaz Linux'u gibi mi?

Stewart: Aslında Oracle'daki Mary Ann Davidson bana bir not düştü ve "yaptığımız baskıyı baskı altına alan bir sloganla geldiğiniz için çok teşekkür ederim" dedi. [duyuyorum] duyuru ile ilgili bir şeyim varmış gibi.

Sonra üçüncüsü, gerçekten ayak izimiz büyüdü. Daha fazla yerde alıştık, ve asla hayal edemeyeceğimizi düşündüğümüz için açıkçası. Sağlık iletişimlerini değiştiriyoruz, askeriyeden sahadan iletişime geçiyoruz. Şu anda 20 yıl önce hiç düşünmediğimiz bu vahşi şeyleri yapıyoruz.

IDGNS: Güvenli bir geliştirme yaşam döngüsünü benimsemeye ya da ürünler üretme şeklinizi değiştirmeye benzer bir şey yaptınız mı?

Stewart: Bu konuda olgunlaşmıyoruz. Garip ergen evresindeyiz. Geliştirme sürecinin sonunda test ediyoruz ve bu verilerden yola çıkarak tanımlama sürecine nasıl geri gidersiniz? Şimdi bazı tanımlamalar yine de oluyor. Örneğin, yaptığımız her ürünün bazı temel gereksinimleri vardır. Ancak, hala öğrenilecek çok şey olduğunu söylüyorum. Doğru bulduğunuzu düşündüğünüzde ve onu oluşturup test ederseniz, testten elde ettiğiniz bilgiler inşa edeceğiniz sonraki şeyden faydalanmalıdır.

Henüz Microsoft gibi güvenli bir geliştirme yaşam döngüsünü benimsemedik. Tüm ürün gruplarına eşit ölçüde tutarlı bir şekilde ölçülebilir bir yöntemle çivilenmedik ve bu yüzden bu garip genç aşamada olduğumuzu söylüyorum.