CSO sanoi Cisco Security kasvaa

John Stewart ei puhu kuin tyypillinen yritysjohtajasi. Hän sanoi, että hänen yrityksensä Cisco Systems on ollut onnekas turvallisuuden suhteen ja että hänen yrityksensä Self-Defending Network -markkinointitietokone on maalannut tuotteilleen "suuren bull's-silmän".

Mutta sitten taas Stewartilla on enemmän tärkeitä asioita, jotka ovat huolissaan. Yhtiön tietoturvapäällikkönä hän on ihminen, joka vastaa Ciscon yritys- ja liiketoimintayksikön turvallisuuskäytännöistä. Tämä merkitsee sitä, että hän saa puhelun aina, kun Ciscon tuotteissa on tärkeä tietoturvariski tai jos hakkerit joutuvat Cisco.com-verkkosivustoon. Hänen tehtävänsä on auttaa lukitsemaan Ciscon tuotteet ennen kuin hän joutuu käsittelemään sitä, mitä hän kutsuu "palavaksi alustaksi" - vakava virhe tai hyökkäys Internetin laajimmin käytettyjen reitittimien kanssa.

Ehkä Cisco tarvitsee jonkun Stewartin kaltaista, jotta voidaan välttää virheet, joita muut tärkeät teknologiayritykset ovat tehneet turvallisuudesta. Ota esimerkiksi Microsoft. Microsoft otti ensin vihamielisen asennon turvallisuustieteilijöille ja kriitikoille, mutta se väsyi ja auttoi saamaan vaikutelman siitä, että yritys jättää turvahäiriöt huomiotta eikä yrittää korjata niitä.

[Lue lisää: Best NAS-laatikot mediasoittimelle ja varmuuskopioinnille]

Pienemmässä mittakaavassa Cisco on tehnyt samanlaisen kääntymän. Yhtiö vihasteli hakkerit vuonna 2005 tuomalla tutkija Mike Lynnin, kun hän osoitti, kuinka Cisco-reitittimen käyttö on sallittua.

Mutta Ciscon hakkeroinnin uuden aikakauden sijaan Mike Lynn -juliste oli enemmän kuin poikkeama. Cisco-tutkimus oli hiljainen lähivuosina.

Stewart sanoi, että Ciscon "on vähän onnekas", koska sillä ei ole ollut merkittäviä turvallisuusuhkia, mutta hän ei ota mitään itsestäänselvyytenä. Hän kutsui IDG-uutispalvelua San Jose Kalifornian toimistoonsa puhumaan Ciscon uhkailusta.

IDG-uutispalvelu: Ciscon kiinnostus Black Hat 2005: een. Mikä on sinun takeesi asioista, kolme vuotta myöhemmin?

John Stewart: Osa syystä kaikki huomiota on maalattu meille Black Hatissa kolme vuotta sitten, koska olemme luoneet kirkkaasti kaikenlaisia ​​monimutkaisia ​​kysymyksiä, jotka tuntuivat Ciscon tukahduttavan viestintää ja tutkimusta.

Uskon, että luultavasti teimme joitain typeriä asioita, kuten yrittäen laittaa henki takaisin pullolle, jota et voi tehdä. Yritimme tehdä sen oikeista syistä: immateriaalioikeuksien suojaaminen ja asiakkaamme. Mutta miten se tuli ulos, meni täysin sivusuunnassa.

Ja monessa suhteessa teimme sen nimettömänä. Se oli "Ciscon tiedottaja". Jätelimme piiloutuaksemme nimettömyyden kontekstin takia, mikä mielestäni todella kauhistanut kaiken.

Siksi olen henkilökohtaisesti sponsoroinut Black Hatia platinaa tasossa siitä lähtien.

IDGNS: Miksi luulet, että Ciscon tutkimus kuivui kuin se teki?

Stewart: On olemassa muutamia syitä. Ensimmäinen asia on, että tämä ei ole kaukokartoitus, ja paljon mitä tutkimuksessa on missä tahansa yhteisössä, on: "Miten teet sen etänä?" IRM: n [Information Risk Management] -tutkimus, Sebastianin [Core Research Technologiesin tutkija, Muniz] ja tietyssä määrin Michael Lynnin tutkimus, vaikka sillä oli pieni etäversio, se ei ole vakaa kauko. Ja se on oikea peli.

Sinun on selvitettävä tapa saada se sisään ilman, että se on konsolissa. Ja se on, mitä suurin osa kehityksestä on ollut: miten voit tehdä sen konsolissa - ainakin Ciscon tapauksessa.

Ja toinen asia on, että haluat sen toimivan. Et yritä koputtaa sitä, koska tarvitset verkkoa ylös, jotta voit päästä loppupisteeseen. Joten luulen, että saamme läpäistä, koska kukaan ei halua apina infrastruktuurissa, jota he käyttävät. Se on kuin ruuvaamalla moottoritieltä, kun yrität mennä toiseen kaupunkiin. Se on sellainen hölmö.

IDGNS: Microsoft on ollut hyvin julkinen siitä, miten ne ovat muuttaneet yrityksen tekemään turvallisuudelle etusijalle. Mikä on Ciscon tarina? Miten turvallisuusohjelma rakennettiin?

Stewart: Olimme luultavasti samassa tilassa. Monet yritykset, mukaan lukien omat, alkoivat rakentamalla tavaraa ensin ratkaisemaan viestintäongelmia ja sitten miettimään viestinnän turvallisuutta sen jälkeen.

Noin viisi vuotta sitten taistelimme yrityksen, tiimini kanssa. Lähinnä tietoturva-alalla. Olimme "ei" järjestö, norsunluun torni. Se on vaarallinen paikka, koska minun on otettava meidän pitäisi olla neuvoa-antava täyttöasema, ei adjudicator.

Joten me muutimme paljon ja aloitimme pistämällä asioita, kuten "Sinulla on asiantuntemusta tiimi, emme aio olla keskellä, joten voit sijoittaa asiantuntemuksen mitä tarvitset, emmekä pidä sinut kiinni tai tuo sinut hitaammin. "

Toinen asia - - jota ei voida aliarvioida - olisimme valmistautumassa vuonna 2002 käynnistämään itsepuolustuksellisia verkostoja, jotka - kuten pidämme tai vihaavat sitä iskulauseena - ovat tehokkaasti iso silmä silmällä otsaamme.

IDGNS: Kuten Oraclen rikkomatta Linux?

Stewart: Itse asiassa Mary Ann Davidson Oraclen yli pudotti minulle huomautuksen ja sanoi: "Kiitos paljon siitä, että tulitte iskulauseeseen, joka painostaa sitä, mitä olemme tehneet". [nauraa] ​​ikään kuin minulla olisi mitään tekemistä ilmoituksen kanssa.

Ja kolmanneksi, meillä on todella kasvanut jalanjälki. Käytimme yhä useammissa paikoissa, ja rehellisesti sanottuna emme koskaan kuvitelleet, että meitä olisi käytetty. Siirrämme terveydenhuollon tietoliikenneyhteyksien, siirrymme asevoimien sivustojen väliseen viestintään.

IDGNS: Joten teit jotain sellaista, että otat turvallisen kehityksen elinkaaren tai vaihtaisit tapaa, jolla rakennat tuotteita?

Stewart: Emme ole kypsiä tässä. Olemme hankala teini-ikäinen vaihe. Testaamme kehitystyön lopussa, ja me tiedämme, mistä tiedoista pääset takaisin määrittelyprosessiin. Jotkut määritykset kuitenkin tapahtuvat. Joten esimerkiksi jokaiselle tuotteellemme on olemassa perusvaatimukset. Kuitenkin vielä sanoa, että on paljon opittavaa. Kun luulet, että sinulla on se oikea ja voit rakentaa sen ja testata sitä, kokeiden oppimisen pitäisi hyödyttää seuraavaa rakennettavaa.

Emme ole vielä hyväksyneet turvallista kehitystyötä, kuten Microsoft. Emme ole naulanneet tasaisesti kaikilla tuotevalikoimilla hyvin johdonmukaisesti mitattavissa olevalla tavalla, ja siksi sanon, että olemme siinä hankalassa teini-ikäisessä vaiheessa.