18 Ekim'de Cisco Connect 2017'ye davet edildik. Bu olayda güvenlik uzmanı Jamey Heary ile tanıştık. Global Güvenlik Mimarlık Ekibini yöneten Cisco Systems'da Değerli Sistem Mühendisi. Jamey, Cisco'nun en büyük müşterileri için güvenilir bir güvenlik danışmanı ve mimar. Aynı zamanda bir kitap yazarı ve eski bir Network World blogcudur. Modern işletmelerde güvenlik, işletmeleri ve kuruluşları etkileyen önemli güvenlik sorunları ve tüm kablosuz ağları ve müşterileri (KRACK) etkileyen son güvenlik açıkları hakkında konuştuk. İşte söylemesi gereken şey:
Kitlemiz hem son kullanıcılar hem de iş kullanıcıları tarafından oluşturulmaktadır. Başlamak ve kendinizi tanıtmak için, Cisco'da işinizi şirket dışı bir şekilde nasıl tanımlarsınız?
Benim tutkum güvenlik. Her gün yapmaya çalıştığım şey müşterilerime ve son kullanıcılara mimarlık hakkında öğretmektir. Örneğin, bir güvenlik ürünü ve diğer ürünlerle (kendi veya üçüncü taraflardan) nasıl bütünleştiğinden bahsediyorum. Bu nedenle sistem mimarisiyle güvenlik açısından ilgileniyorum.
Bir güvenlik uzmanı olarak deneyimlerinizde, modern girişimin en önemli güvenlik tehditleri nelerdir?
Büyük olanlar sosyal mühendislik ve fidye yazılımıdır. İkincisi, pek çok şirkette yıkıma yol açıyor ve daha da kötüye gidiyor çünkü içinde çok fazla para var. Muhtemelen kötü amaçlı yazılım yaratıcılarının nasıl yapılacağını anlaması en kazançlı şeydir.
"Kötü adamların" odağının son kullanıcı olduğunu gördük. Şu anda en zayıf olan o. İnsanları eğitmek için bir endüstri olarak uğraştık, medya kendini nasıl daha iyi koruyabildiğini anlatabilmek için iyi bir iş çıkardı, ama yine de, bir kişiye hedefli bir e-posta yollamak ve onları almak için oldukça önemsiz. İstediğiniz bir eylemi tıklayın: bir bağlantıyı tıklayın, bir eki açın.
Diğer tehdit çevrimiçi ödemelerdir. Şirketlerin online ödeme alma şekilleri konusunda geliştirmeleri görmeye devam edeceğiz, ancak sektör online ödemeleri almak için daha güvenli yollar uygulayana kadar, bu alan çok büyük bir risk faktörü olacak.
Güvenlik söz konusu olduğunda, insanlar en zayıf bağlantı ve aynı zamanda saldırıların ana odak noktasıdır. Sosyal mühendislik, önde gelen güvenlik tehditlerinden biri olduğundan bu konuyla nasıl başa çıkabiliriz?
Uygulayabileceğimiz bir çok teknoloji var. Bir insan için yapabileceğiniz çok şey var, özellikle de bazı insanların diğerlerinden daha yararlı olma eğiliminde olduğu bir sektörde. Örneğin, sağlık sektöründe, insanlar başkalarına yardım etmek istiyor. Bu yüzden onlara kötü niyetli bir e-posta gönderiyorsunuz ve onları gönderdiklerinizi, diğer sektörlerdeki insanlardan daha çok, bir polis departmanı olarak tıklatıyorsunuz.
Yani bu problemimiz var, ama teknolojiyi kullanabiliriz. Yapabileceğimiz şeylerden biri, herhangi bir son kullanıcı için mevcut olan saldırı yüzeyini büyük ölçüde azaltabilen segmentasyon. Buna "sıfır güven" diyoruz: Bir kullanıcı şirket ağına bağlandığında, ağ kullanıcının kim olduğunu, kuruluştaki rolünün ne olduğunu, kullanıcının hangi uygulamalara erişmesi gerektiğini anlar, kullanıcının makinesini anlar ve Makinenin güvenlik duruşu, çok ayrıntılı bir seviyeye kadar. Örneğin, kullanıcının sahip olduğu bir uygulamanın yaygınlığı gibi şeyler bile söyleyebilir. Yaygınlık, etkili bulduğumuz bir şeydir ve bu, dünyadaki diğer birçok insanın bu uygulamayı kullandığı ve belirli bir kuruluşta kaç kişinin bulunduğu anlamına gelir. Cisco'da, bu analizi karmaşayla yapıyoruz: bir uygulamanın karmaşasını alıyoruz ve milyonlarca son noktaya sahibiz ve geri dönüp "bu uygulamadaki yaygınlık% 0.0001'dir" diyorlar. Prevalans, bir uygulamanın dünyada ve ardından kuruluşunuzda ne kadar kullanıldığını hesaplar. Bu önlemlerin her ikisi de çok şüpheli bir şey olup olmadığını ve daha yakından bakmayı hak edip etmediğini anlamakta çok başarılı olabilir.
Mobil Cihaz Yönetimi (MDM) sistemleri hakkında Network World'de ilginç bir dizi makaleniz var. Bununla birlikte, son yıllarda, bu konu daha az tartışılmaktadır. Endüstrinin bu tür sistemlere olan ilgisi yavaşlıyor mu? Bakış açınızdan neler oluyor?
Birkaç şey oldu, bunlardan biri, MDM sistemlerinin piyasada oldukça doygun hale gelmesi. Büyük müşterilerimin neredeyse tamamı böyle bir sisteme sahipler. Gerçekleştirilen diğer bir şey ise, kullanıcıların gizlilik düzenlemeleri ve gizlilik anlayışının değişmesidir ki, pek çok kişi artık kendi kişisel cihazlarına (akıllı telefon, tablet, vb.) Kuruluşlarına artık vermez ve bir MDM yazılımının kurulmasına izin verir. Bu rekabete sahibiz: İşletme, çalışanlarının kullandığı cihazlara tam erişim sahibi olmak istiyor, böylece kendini güvende tutabilmekte ve çalışanlar bu yaklaşıma karşı çok dirençli hale gelmiştir. İki taraf arasında bu sürekli savaş var. MDM sistemlerinin yaygınlığının şirket kültürü ve değerlerine bağlı olarak şirketten şirkete değiştiğini ve her kurumun çalışanlarına nasıl davranmak istediğini gördük.
Bu, Kendi Aygıtınızı Getirme (BYOD) gibi programların çalışmaya başlamasını etkiler mi?
Evet, kesinlikle öyle. Neler oluyor, çoğunlukla, kendi cihazlarını şirket ağında kullanan insanlar, onları çok kontrollü bir alanda kullanıyorlar. Yine, segmentasyon devreye giriyor. Kendi cihazımı şirket ağına getirirsem, belki de internete, bazı dahili kurumsal web sunucusuna erişebilirim, fakat hiçbir şekilde, veritabanı sunucularına, şirketimin veya onun kritik uygulamalarına erişebileceğim. Bu cihazdan kritik veriler. Bu, Cisco'da programatik olarak yaptığımız bir şeydir, böylece kullanıcı şirket ağında ihtiyaç duyduğu yere gitmek zorundadır ancak şirketin kişisel bir cihazdan gitmesini istemediği bir yere gitmez.
Herkesin radarı üzerindeki en sıcak güvenlik sorunu, WPA2 şifreleme şemasını kullanan tüm ağ istemcilerini ve ekipmanlarını etkileyen "KRACK" (Key Reinstallation AttaCK). Cisco, müşterilerine bu sorunla ilgili yardımcı olmak için ne yapıyor?
Yıllardır güvendiğimiz şeylerden birinin artık çatlaksa büyük bir sürpriz. Bize SSL, SSH ve temel olarak inandığımız her şeyi hatırlatıyor. Hepsi de bizim güvenimizin “layık değil” oldu.
Bu sorun için on açıklık tespit ettik. Bu on kişiden dokuzu müşteri bazlıdır, bu yüzden müşteriyi düzeltmek zorundayız. Bunlardan biri ağ ile ilgilidir. Bunun için Cisco yamaları serbest bırakacak. Sorunlar erişim noktasına özeldir ve yönlendiricileri ve anahtarları düzeltmek zorunda değiliz.
Apple'ın düzeltmelerini beta kodunda aldığını görmek beni çok mutlu etti, böylece müşteri cihazları yakında tamamen yamalı. Windows zaten bir yama hazır, vb. Var. Cisco için, yol basittir: erişim noktalarımızdaki bir açıklık ve yamaları ve düzeltmeleri serbest bırakacağız.
Her şey düzelene kadar, müşterilerinizin kendilerini korumak için ne yapmasını önerirsiniz?
Bazı durumlarda, hiçbir şey yapmanıza gerek yoktur, çünkü bazen şifreleme şifreleme içinde kullanılır. Örneğin, bankamın web sitesine gidersem, bu sorundan etkilenmeyen iletişim güvenliği için TLS veya SSL kullanır. Yani, Starbucks'taki gibi geniş açık bir WiFi'den geçiyor olsam bile, o kadar da önemli değil. WPA2 ile bu sorunun daha fazla oyuna girdiği yerde gizlilik tarafında. Örneğin, bir web sitesine gidersem ve başkalarının bunu bilmesini istemediğimde, şimdi onlar WPA2'nin artık etkili olmadığı için bunu öğrenecekler.
Kendinizi güvenceye almak için yapabileceğiniz tek şey, VPN bağlantılarını kurmaktır. Kablosuz iletişime geçebilirsiniz, ancak yapmanız gereken bir sonraki şey VPN'nizi açmaktır. VPN, yalnızca para cezası ile şifreli bir tünel oluşturduğundan, para cezası kesiliyor. VPN şifrelemesi de bozulana kadar çalışacak ve yeni bir çözüm bulmaya ihtiyaç duyacaksınız. :)
Tüketici pazarında, bazı güvenlik sağlayıcıları VPN'yi virüsten koruma ve toplam güvenlik paketleriyle paketliyorlar. Ayrıca, tüketicilere artık bir güvenlik duvarı ve antivirüs için yeterli olmadığını, ayrıca bir VPN'e ihtiyacınız olduğunu eğitmeye başlıyorlar. Cisco'nun girişim için güvenlik konusundaki yaklaşımı nedir? VPN'yi aktif olarak gerekli bir koruma katmanı olarak mı kullanıyorsunuz?
VPN, kuruluş için paketlerimizin bir parçasıdır. Normal şartlarda, şifreli bir tünelde VPN'den bahsetmiyoruz ve WPA2 şifreli bir tünel. Genellikle, çünkü overkill ve istemci tarafında gerçekleşmesi gereken baştanbaşa her şeyin iyi iş çıkarması gerekiyor. Çoğunlukla, buna değmez. Kanal zaten şifreli ise, neden tekrar şifrelemek?
Bu durumda, WPA2 güvenlik protokolü temel olarak bozulduğundan, pantolonunuzu aşağıya çektiğinizde, sorunlar WPA2 ile giderilene kadar VPN'e geri dönebiliriz.
Ancak, istihbarat alanında, Savunma Bakanlığı bir örgüt tipi gibi güvenlik organizasyonlarının bunu yıllarca yaptıklarını söyledik. VPN'ye ve kablosuz şifrelemeye güveniyorlar ve VPN'lerinin ortasındaki uygulamaların çoğu da şifreleniyor, dolayısıyla farklı şifreleme türleri kullanan üç yönlü bir şifreleme elde edersiniz. Bunu yapıyorlar çünkü olması gerektiği gibi “paranoyak”. :))
Cisco Connect'teki sunumunuzda, otomasyonun güvenlik konusunda çok önemli olduğunu belirttiniz. Güvenlikte otomasyon için önerilen yaklaşımınız nedir?
Otomasyon hızla bir gereklilik haline gelecek çünkü biz insanlar olarak güvenlik ihlallerini ve tehditleri durdurmak için yeterince hızlı hareket edemeyiz. Bir müşteri 10 dakikada fidye yazılımı ile şifrelenmiş 10.000 makineye sahipti. Buna tepki göstermenin insani yolu yoktur, bu yüzden otomasyona ihtiyacınız var.
Bugünkü yaklaşımımız, olması gerekebileceğimiz kadar ağır değil, şüpheli bir şey gördüğümüzde, bir ihlal gibi görünen davranışlarda, güvenlik sistemlerimiz ağın bu cihazı ya da kullanıcıyı karantinaya koymasını söylüyor. Bu araf değil; Hala bazı şeyler yapabilirsiniz: Hala internete gidebilir veya yama yönetimi sunucularından veri alabilirsiniz. Tamamen izole değilsin. Gelecekte, bu felsefeyi değiştirip şunu söylemek zorunda kalabiliriz: Karantinaya alındıktan sonra, herhangi bir erişiminiz yoktur çünkü kuruluşunuz için çok tehlikelisiniz.
Cisco, güvenlik ürünleri portföyünde otomasyonu nasıl kullanıyor?
Bazı alanlarda çok fazla otomasyon kullanıyoruz. Örneğin, Cisco Talos'ta, tehdit araştırma grubumuzda, tüm güvenlik widget'larımızdan telemetri verileri ve diğer kaynaklardan gelen bir ton veri elde ediyoruz. Talos grubu, her gün milyonlarca kaydı sıralamak için makine öğrenimi ve yapay zeka kullanıyor. Tüm güvenlik ürünlerimizde zaman içindeki etkinliğe bakarsanız, tüm üçüncü taraf etkinlik testlerinde şaşırtıcıdır.
DDOS saldırılarının kullanımı yavaşlıyor mu?
Ne yazık ki, DDOS bir saldırı yöntemi olarak hayatta ve iyi ve daha da kötüye gidiyor. DDOS saldırılarının belli türdeki şirketlere yönelik olma eğiliminde olduğunu gördük. Bu tür saldırılar hem tuzak olarak hem de birincil saldırı silahı olarak kullanılır. Ayrıca iki tür DDOS saldırısı vardır: hacimsel ve uygulamaya dayalı. Volumetrik, birini almak için ne kadar veri üretebileceklerine bakarsanız, kontrolden çıktı. Saçma.
DDOS saldırıları tarafından hedeflenen bir tür şirket, genellikle tatil döneminde (Kara Cuma geliyor!) Perakende satışta olan şirketlerdir. DDOS saldırılarının hedef aldığı diğer şirketler ise petrol ve gaz gibi tartışmalı alanlarda çalışan şirketlerdir. Bu durumda, belirli bir etik ve ahlaki sebebi olan, DDOS'u bir organizasyona ya da başka bir şeye karar veren kişilerle uğraşıyoruz çünkü yaptıklarıyla aynı fikirde değiller. Böyle insanlar bunu bir amaç için, bir amaç için yaparlar ve ilgili para için değil.
İnsanlar sadece kendi cihazlarını değil, kendi bulut sistemlerini de (OneDrive, Google Drive, Dropbox vb.) Kendi organizasyonlarına getirmektedir. Bu, kuruluşlar için başka bir güvenlik riskini temsil etmektedir. Cisco Cloudlock gibi bir sistem bu sorunla nasıl başa çıkıyor?
Cloudlock iki temel şey yapar: Birincisi, size kullanılan tüm bulut hizmetlerinin denetimini verir. Cloudlock'u web ürünlerimizle entegre ediyoruz, böylece tüm web günlükleri Cloudlock tarafından okunabilir. Bu organizasyonda herkesin nereye gittiğini size söyleyecektir. Yani biliyorsunuz, birçok insan kendi Dropbox'larını kullanıyor.
Cloudlock'un yaptığı ikinci şey, hepsinin bulut hizmetleriyle iletişim kuran API'lardan oluşmasıdır. Bu şekilde, eğer bir kullanıcı Box'ta bir şirket dokümanı yayınladıysa, Box Cloudlock'a yeni bir belgenin geldiğini ve buna bir göz atması gerektiğini derhal bildirir. Bu yüzden belgeye bakacağız, kategorize edeceğiz, dokümanın risk profilini belirleyeceğiz, başkalarıyla paylaşılsın ya da paylaşmayacağız. Sonuçlara dayanarak, sistem ya o belgenin paylaşımını Box aracılığıyla durdurur ya da izin verir.
Cloudlock ile kuralları şöyle ayarlayabilirsin: "Bu, şirket dışındaki hiç biriyle paylaşılmamalıdır. Öyleyse, paylaşımı kapat." Her bir belgenin kritikliğine bağlı olarak, talep üzerine şifreleme de yapabilirsiniz. Bu nedenle, son kullanıcı kritik bir iş belgesini şifrelemediyse, Box'a gönderirken, Cloudlock bu belgenin şifrelemesini otomatik olarak zorlar.
Bu röportaj ve samimi cevapları için Jamey Heary'ye teşekkür ederiz. Temasa geçmek isterseniz onu Twitter'da bulabilirsiniz.
Bu makalenin sonunda, aşağıda sunulan yorumlama seçeneklerini kullanarak, tartıştığımız konular hakkında fikirlerinizi paylaşın.
