CSO Said Cisco Security creste

John Stewart nu vorbește ca un executiv tipic corporativ. El a spus ca firma sa, Cisco Systems, a fost norocoasa cand vine vorba de securitate si ca impulsul de marketing al retelei de auto-apasare a companiei a pictat "un mare ochi" pe produsele sale. lucruri importante de îngrijorat. În calitate de ofițer de securitate, el este omul responsabil pentru direcționarea practicilor de securitate corporativă și de afaceri ale Cisco. Asta înseamnă că primește apelul ori de câte ori există o eroare importantă de securitate în produsele Cisco sau dacă hackerii ar trebui să lovească site-ul web Cisco.com. Modul în care o pune, este datoria lui să ajute la blocarea produselor Cisco înainte de a fi forțat să se ocupe de ceea ce el numește "platforma arzătoare" - un defect grav sau un atac împotriva celor mai utilizate routere de pe Internet. Cisco are nevoie de cineva ca Stewart, pentru a evita greșelile pe care alte companii majore de tehnologie le-au făcut în domeniul securității. Luați Microsoft, de exemplu. Microsoft a adoptat mai întâi o atitudine ostilă față de cercetătorii și criticii în domeniul securității, dar a provocat și a ajutat la impresia că compania ignora erorile de securitate, mai degrabă decât încercarea de a le repara. Microsoft a inversat în cele din urmă cursul său, dar nu până când reputația sa a lovit serios.

La o scară mai mică, Cisco a făcut un fel de inversare similară. Compania a hartuit hackerii în 2005, dat în judecată pe cercetătorul Mike Lynn, după ce a arătat cum era posibil să rulați software-ul shell-ului neautorizat pe un router Cisco.

Dar în loc să lanseze o nouă eră a hacking-ului Cisco, episodul lui Mike Lynn o aberație. Cercetarea de la Cisco a fost liniștită în următorii câțiva ani.

Stewart a spus că Cisco a fost "puțin norocos", deoarece nu a avut probleme majore de securitate, dar nu ia nimic de la sine. El a invitat IDG News Service la biroul său din San Jose, California pentru a vorbi despre peisajul amenințării Cisco. Urmatorul este un transcript redactat al interviului

IDG News Service: Cisco a primit o atentie deosebita la Black Hat 2005. Care-i treaba ta cu trei ani mai tarziu?

John Stewart: O parte din motivul tuturor atentiei a fost scrisă la noi la Black Hat în urmă cu trei ani, pentru că am creat o furtună de foc, cu tot felul de probleme complicate, care simțeau că Cisco suprima comunicarea și cercetarea. Cred că am făcut unele lucruri prostești, cum ar fi încercarea de a puneți-o înapoi în sticlă, pe care nu o puteți face. Am încercat să o facem din motivele corecte: protecția proprietății intelectuale și a clienților noștri. Dar cum a ieșit tocmai a ieșit complet în față.

Și, din multe puncte de vedere, am făcut-o anonim. A fost "un purtător de cuvânt al Cisco". Am cam ascuns în spatele unui context de anonimat, ceea ce cred că a făcut cu adevărat totul.

De aceea personal sponsorizam Black Hat la nivel de platină de atunci. Pentru că cred că am avut o anumită ispășire pentru a face și a merge, "Uite, răul nostru nu a fost cel care a făcut asta".

IDGNS: De ce credeți că cercetarea Cisco a rămas așa cum a făcut-o? Stewart: Există câteva motive. Primul este că multe dintre acestea nu sunt exploatări la distanță și multe dintre ceea ce înseamnă cercetarea în orice comunitate sunt: ​​"Cum o faceți de la distanță?" IRM [Research Management Management], cercetarea lui Sebastian [Muniz, cercetător în domeniul tehnologiilor Core Security Technologies] și, într-o oarecare măsură, cercetarea lui Michael Lynn, deși avea o variantă ușoară de la distanță, nu este stabilă la distanță. Și acolo este adevăratul joc.

Trebuie să găsești o modalitate de a intra fără a fi pe consola. Și asta a fost cea mai mare parte a dezvoltării: cum o faci pe consolă - cel puțin pentru Cisco, oricum. Și al doilea lucru este că vrei să funcționeze. Nu încercați să o eliminați deoarece aveți nevoie de rețea pentru a ajunge la punctul final. Așa că cred că vom obține o trecere deoarece nimeni nu vrea să mănânce cu infrastructura pe care o folosesc. Este ca și cum ați da drumul pe autostradă în timp ce încercați să mergeți într-un alt oraș. E un lucru ciudat de făcut.

IDGNS: Microsoft a fost foarte informat despre modul în care au schimbat compania pentru a face securitatea o prioritate. Care este povestea la Cisco? Cum a fost construit programul de securitate?

Stewart: Probabil că eram în același spațiu. Multe companii, inclusiv noi, au început să construiască chestii care să rezolve problemele de comunicare și apoi să se gândească la siguranța comunicării după aceea.

Acum cinci ani, ne luptăm cu echipa, echipa mea. Mai ales în domeniul securității informațiilor. Eram organizația "nu", turnul de fildeș. Acesta este un loc periculos pentru a fi pentru că ar trebui să fie un braț de împlinire consultativ, nu un adjudecator.

Deci am schimbat multe și am început să injectăm lucruri, cum ar fi "Veți avea experiență în echipa nu vom fi nici pe jumătate, astfel încât să puteți investi expertiza pentru ceea ce aveți nevoie și nu vă menținem sau vă aducem într-o poziție mai lentă. "

Al doilea lucru - - care nu pot fi subestimate - ne pregătim în 2002 să lansăm rețele de auto-apărare, care - cum ar fi sau o urăsc ca pe un slogan - este în mod eficient un ochi mare pe capul nostru.

IDGNS: La fel ca și Linux-ul neînvins de Oracle?

Stewart: De fapt, Mary Ann Davidson la Oracle mi-a dat o notă și mi-a spus: "Mulțumesc foarte mult pentru a veni cu un slogan care să facă presiunea asupra a ceea ce am făcut" [râde] ca și cum aș avea de-a face cu anunțul.

Și apoi, în al treilea rând, am avut într-adevăr o amprentă crescândă. Ne-am obișnuit în mai multe locuri și, sincer, credem că nu ne-am imaginat că vom fi folosiți. Suntem în tranziție în comunicațiile de îngrijire a sănătății, tranziționăm comunicațiile de la un site la altul pentru armată. Facem toate aceste lucruri sălbatice pe care acum 20 de ani nu ne-am gândit atunci.

IDGNS: Deci ați făcut ceva de genul adoptarea unui ciclu de viață sigur de dezvoltare sau a schimba modul în care ați construit produse? Nu suntem maturi în asta. Suntem în faza adolescentă incomodă. Testează la sfârșitul procesului de dezvoltare și de la aceste date ne determinăm cum te duci înapoi în procesul de definire. Acum, o definiție se întâmplă oricum. De exemplu, există câteva cerințe de bază ale fiecărui produs pe care l-am construit. Cu toate acestea, încă mai spun că există multe de învățat. Când credeți că ați făcut-o bine și că o construiți și o testați, învățămintele din test ar trebui să beneficieze de următorul lucru pe care îl construiți.

Nu am adoptat încă un ciclu de viață sigur, precum Microsoft. Nu ne-am încadrat în mod egal pe toate liniile de produse într-un mod măsurabil metodic foarte consistent și de aceea spun că suntem în acea fază adolescentă incomodă.