Op 18 oktober waren we uitgenodigd voor Cisco Connect 2017. Tijdens dit evenement ontmoetten we beveiligingsdeskundige Jamey Heary. Hij is een Distinguished Systems Engineer bij Cisco Systems, waar hij leiding geeft aan het Global Security Architecture Team. Jamey is een vertrouwde beveiligingsadviseur en -architect voor veel van de grootste klanten van Cisco. Hij is ook boekauteur en voormalig Network World-blogger. We spraken met hem over beveiliging in de moderne onderneming, de aanzienlijke beveiligingsproblemen die van invloed zijn op bedrijven en organisaties en de nieuwste kwetsbaarheden die van invloed zijn op alle draadloze netwerken en clients (KRACK). Dit is wat hij te zeggen had:
Ons publiek bestaat zowel uit eindgebruikers als zakelijke gebruikers. Als u aan de slag wilt gaan en uzelf een beetje wilt introduceren, hoe zou u uw baan dan bij Cisco beschrijven, op een niet-zakelijke manier?
Mijn passie is veiligheid. Wat ik elke dag probeer te doen, is mijn klanten en eindgebruikers leren over architectuur. Ik praat bijvoorbeeld over een beveiligingsproduct en hoe het integreert met andere producten (van onszelf of van derden). Daarom houd ik me bezig met systeemarchitectuur vanuit een beveiligingsperspectief.
Wat zijn volgens uw ervaring als beveiligingsexpert de belangrijkste beveiligingsrisico's voor de moderne onderneming?
De groten zijn social engineering en ransomware. De laatste wreekt verwoesting in zoveel bedrijven, en het zal erger worden omdat er zoveel geld in zit. Het is waarschijnlijk het meest lucratieve ding dat makers van malware hebben bedacht.
We hebben gezien dat de focus van de 'slechteriken' ligt bij de eindgebruiker. Hij of zij is nu de zwakste schakel. We hebben als industrie geprobeerd mensen op te leiden, de media hebben goed werk geleverd door te vertellen hoe je jezelf beter kunt beschermen, maar toch is het vrij triviaal om iemand een gerichte e-mail te sturen en ze te laten nemen een actie die u wilt: klik op een link, open een bijlage, wat u ook wilt.
De andere dreiging is online betalen. We gaan door met het zien van verbeteringen in de manier waarop bedrijven online betalingen doen, maar totdat de industrie veiliger manieren biedt om online betalingen te doen, zal dit gebied een enorme risicofactor worden.
Als het gaat om veiligheid, zijn mensen de zwakste schakel en ook de primaire focus van aanvallen. Hoe kunnen we dit probleem aanpakken, aangezien social engineering een van de leidende veiligheidsdreigingen is?
Er is veel technologie die we kunnen toepassen. Er is alleen zoveel dat je voor een persoon kunt doen, vooral in een sector waar sommige mensen meer behulpzaam zijn dan anderen. In de gezondheidszorg bijvoorbeeld willen mensen gewoon anderen helpen. Dus u stuurt ze een schadelijke e-mail en ze zullen eerder klikken op wat u ze stuurt dan mensen in andere sectoren, als een politie-afdeling.
Dus we hebben dit probleem, maar we kunnen technologie gebruiken. Een van de dingen die we kunnen doen, is segmentatie, wat het aanvalsoppervlak dat beschikbaar is voor elke eindgebruiker drastisch kan verminderen. We noemen dit "zero trust": wanneer een gebruiker verbinding maakt met het bedrijfsnetwerk, begrijpt het netwerk wie de gebruiker is, wat zijn of haar rol in de organisatie is, welke toepassingen de gebruiker moet openen, het begrijpt de machine van de gebruiker en wat is de beveiligingshouding van de machine, tot een zeer gedetailleerd niveau. Het kan bijvoorbeeld zelfs dingen vertellen als de prevalentie van een applicatie die de gebruiker heeft. Prevalentie is iets dat we effectief vonden, en het betekent hoeveel andere mensen in de wereld deze applicatie gebruiken en hoeveel in een bepaalde organisatie. Bij Cisco doen we deze analyse door hashing: we nemen een hash van een applicatie en we hebben miljoenen eindpunten, en ze zullen terugkomen en zeggen: "de prevalentie van deze app is 0.0001%". Prevalentie berekent hoeveel een app in de wereld en vervolgens in uw organisatie wordt gebruikt. Beide maatregelen kunnen heel goed zijn om uit te zoeken of iets zeer verdacht is en of het verdient om van dichterbij te bekijken.
Je hebt een interessante reeks artikelen in de Network World over Mobile Device Management (MDM) -systemen. In de afgelopen jaren lijkt dit onderwerp echter minder te worden besproken. Is de interesse van de industrie in dergelijke systemen aan het vertragen? Wat gebeurt er, vanuit jouw perspectief?
Er zijn maar weinig dingen gebeurd, een daarvan is dat MDM-systemen behoorlijk verzadigd zijn in de markt. Bijna al mijn grotere klanten beschikken over zo'n systeem. Het andere dat is gebeurd, is dat de privacymaatregelen en de privacy-instelling van gebruikers zodanig zijn veranderd dat veel mensen hun persoonlijke apparaat (smartphone, tablet, enz.) Niet meer aan hun organisatie geven en een MDM-software laten installeren. Dus we hebben deze competitie: de onderneming wil volledige toegang hebben tot de apparaten die door hun werknemers worden gebruikt, zodat deze zichzelf kan beveiligen en de werknemers zeer resistent zijn geworden tegen deze aanpak. Er is deze constante strijd tussen de twee kanten. We hebben gezien dat de prevalentie van MDM-systemen varieert van bedrijf tot bedrijf, afhankelijk van de bedrijfscultuur en -waarden, en hoe elke organisatie haar werknemers wil behandelen.
Heeft dit invloed op het gebruik van programma's als Bring Your Own Device (BYOD)?
Ja, dat is het helemaal. Wat er meestal gebeurt, is dat mensen die hun eigen apparaten gebruiken op het bedrijfsnetwerk, ze gebruiken in een zeer gecontroleerd gebied. Nogmaals, segmentatie komt om de hoek kijken. Als ik mijn eigen apparaat meeneem naar het bedrijfsnetwerk, dan kan ik misschien toegang krijgen tot het internet, een interne webservers voor bedrijven, maar in geen geval zal ik toegang krijgen tot de databaseservers, de kritieke apps van mijn bedrijf of de bijbehorende kritische gegevens, vanaf dat apparaat. Dat is iets dat we programmatisch doen bij Cisco, zodat de gebruiker kan gaan waar het nodig is in het bedrijfsnetwerk, maar niet waar het bedrijf niet wil dat de gebruiker gaat, vanaf een persoonlijk apparaat.
Het heetste beveiligingsprobleem op ieders radar is "KRACK" (Key Reinstallation AttaCK), dat van invloed is op alle netwerkclients en apparatuur die het WPA2-coderingsschema gebruiken. Wat doet Cisco om hun klanten te helpen met dit probleem?
Het is een enorme verrassing dat een van de dingen waarop we jarenlang vertrouwden nu vernietigbaar is. Het herinnert ons aan de problemen met SSL, SSH en alle dingen waar we fundamenteel in geloven. Allemaal zijn ze "niet waardig" geworden voor ons vertrouwen.
Voor dit probleem hebben we tien kwetsbaarheden geïdentificeerd. Van die tien zijn er negen klantgericht, dus we moeten de klant repareren. Een van hen is netwerkgerelateerd. Voor die ene gaat Cisco patches vrijgeven. De problemen zijn exclusief voor het toegangspunt en we hoeven geen routers en switches te repareren.
Ik was heel blij dat Apple hun fixes in bètacode had gekregen, zodat hun clientapparaten binnenkort volledig zijn gepatcht. Windows heeft al een patch gereed, enz. Voor Cisco is de weg eenvoudig: één kwetsbaarheid op onze toegangspunten en we gaan patches en fixes vrijgeven.
Totdat alles wordt opgelost, wat zou u uw klanten aanbevelen te doen om zichzelf te beschermen?
In sommige gevallen hoeft u niets te doen, omdat soms codering wordt gebruikt binnen de codering. Als ik bijvoorbeeld naar de website van mijn bank ga, gebruikt het TLS of SSL voor communicatiebeveiliging, wat niet wordt beïnvloed door dit probleem. Dus, zelfs als ik door een wijd open WiFi ga, zoals die bij Starbucks, maakt het niet zoveel uit. Waar dit probleem met WPA2 meer in het spel komt, is aan de privacykant. Als ik bijvoorbeeld naar een website ga en ik wil niet dat anderen dat weten, nu zullen ze het weten omdat WPA2 niet meer effectief is.
Een ding dat u kunt doen om uzelf te beveiligen, is het instellen van VPN-verbindingen. U kunt verbinding maken met draadloos, maar het volgende dat u hoeft te doen, is uw VPN inschakelen. De VPN is prima, omdat het een versleutelde tunnel creëert die door WiFi gaat. Het zal werken totdat de VPN-codering ook wordt gehackt en je een nieuwe oplossing moet bedenken. :)
Op de consumentenmarkt bundelen sommige beveiligingsleveranciers VPN met hun antivirus- en totaalbeveiligingssuites. Ze beginnen ook om consumenten voor te lichten dat het niet langer genoeg is om een firewall te hebben, en een antivirus, je hebt ook een VPN nodig. Wat is de benadering van Cisco met betrekking tot beveiliging voor de onderneming? Promoot je ook actief VPN als een noodzakelijke beschermingslaag?
VPN maakt deel uit van onze pakketten voor de onderneming. In normale omstandigheden praten we niet over VPN in een gecodeerde tunnel en WPA2 is een gecodeerde tunnel. Meestal, omdat het overkill is en er overhead moet gebeuren aan de kant van de klant om het allemaal goed te laten werken. Voor het grootste deel is het het niet waard. Als het kanaal al is gecodeerd, waarom zou u het dan opnieuw versleutelen?
In dit geval, wanneer u met uw broek naar beneden wordt getrokken omdat het beveiligingsprotocol van WPA2 fundamenteel wordt verbroken, kunnen we terugvallen op VPN, totdat de problemen worden verholpen met WPA2.
Maar dat gezegd hebbende, in de inlichtingenruimte, beveiligingsorganisaties zoals een organisatie van het ministerie van Defensie, doen ze dit al jaren. Ze zijn afhankelijk van VPN, plus draadloze codering en vaak worden de toepassingen in het midden van hun VPN ook gecodeerd, dus je krijgt een drievoudige codering, allemaal met behulp van verschillende soorten cryptografie. Ze doen dat omdat ze "paranoïde" zijn zoals ze zouden moeten zijn. :))
In uw presentatie bij Cisco Connect noemde u automatisering erg belangrijk in beveiliging. Wat is uw aanbevolen aanpak voor automatisering in beveiliging?
Automatisering zal snel een vereiste worden omdat wij, als mensen, niet snel genoeg kunnen bewegen om beveiligingsinbreuken en -bedreigingen te stoppen. Een klant had 10.000 machines versleuteld door ransomware in 10 minuten. Het is op geen enkele manier menselijk mogelijk dat je hierop kunt reageren, dus je hebt automatisering nodig.
Onze aanpak van vandaag is niet zo hardhandig als het zou moeten worden, maar als we iets verdachts zien, gedrag dat lijkt op een overtreding, vertellen onze beveiligingssystemen het netwerk om dat apparaat of die gebruiker in quarantaine te plaatsen. Dit is geen vagevuur; u kunt nog steeds een aantal dingen doen: u kunt nog steeds naar internet gaan of gegevens ophalen van de patchbeheerservers. Je bent niet helemaal geïsoleerd. In de toekomst moeten we misschien die filosofie veranderen en zeggen: als je eenmaal in quarantaine bent, heb je geen toegang omdat je te gevaarlijk bent voor je organisatie.
Hoe gebruikt Cisco automatisering in zijn portfolio van beveiligingsproducten?
In bepaalde gebieden gebruiken we veel automatisering. In Cisco Talos, onze onderzoeksgroep voor bedreigingen, krijgen we bijvoorbeeld telemetriegegevens van al onze beveiligingswidgets en een heleboel andere gegevens uit andere bronnen. De Talos-groep gebruikt machine learning en kunstmatige intelligentie om elke dag miljoenen records te doorzoeken. Als u de werkzaamheid in al onze beveiligingsproducten in de loop van de tijd bekijkt, is het verbazingwekkend, in alle werkzaamheidstests van derden.
Wordt het gebruik van DDOS-aanvallen vertraagd?
Helaas, DDOS als aanvalsmethode is springlevend en wordt steeds erger. We hebben geconstateerd dat DDOS-aanvallen meestal gericht zijn op bepaalde soorten bedrijven. Dergelijke aanvallen worden zowel als lokaas en als primair aanvalswapen gebruikt. Er zijn ook twee soorten DDOS-aanvallen: volumetrisch en app-gebaseerd. Het volumetrische is uit de hand gelopen als je naar de nieuwste cijfers kijkt van hoeveel gegevens ze kunnen genereren om iemand neer te halen. Het is belachelijk.
Een type bedrijven dat het doelwit is van DDOS-aanvallen is het type bedrijf in de detailhandel, meestal tijdens de feestdagen (Black Friday komt eraan!). Het andere soort bedrijven dat het doelwit is van DDOS-aanvallen is diegene die werken in controversiële gebieden, zoals olie en gas. In dit geval hebben we te maken met mensen met een bepaalde ethische en morele reden, die beslissen om een organisatie DDOS te geven omdat ze het niet eens zijn met wat ze doen. Zulke mensen doen dit voor een doel, voor een doel, en niet voor het geld dat ermee gemoeid is.
Mensen brengen niet alleen hun eigen apparaten naar hun organisaties, maar ook hun eigen cloudsystemen (OneDrive, Google Drive, Dropbox, etc.). Dit vormt een ander veiligheidsrisico voor organisaties. Hoe gaat een systeem als Cisco Cloudlock om met dit probleem?
Cloudlock heeft twee fundamentele dingen: ten eerste, het geeft u een audit van alle clouddiensten die worden gebruikt. We integreren Cloudlock met onze webproducten, zodat alle weblogs kunnen worden gelezen door Cloudlock. Dat zal je vertellen waar iedereen in de organisatie naartoe gaat. U weet dus dat veel mensen hun eigen Dropbox gebruiken, bijvoorbeeld.
Het tweede ding dat Cloudlock doet, is dat het allemaal is gemaakt van API's die communiceren met cloudservices. Op deze manier, als een gebruiker een bedrijfsdocument op Box publiceerde, zegt Box meteen tegen Cloudlock dat er een nieuw document is aangekomen en dat het daarnaar moet kijken. Dus we zullen het document bekijken, het categoriseren, het risicoprofiel van het document uitzoeken, en het ook met anderen delen of niet. Op basis van de resultaten stopt het systeem het delen van dat document via Box of staat het toe.
Met Cloudlock kun je regels instellen zoals: "dit mag nooit worden gedeeld met iemand buiten het bedrijf. Als dit het geval is, zet het delen dan uit." U kunt desgewenst ook coderen op basis van de kriticiteit van elk document. Daarom, als de eindgebruiker een kritisch bedrijfsdocument niet versleutelde, bij het plaatsen ervan op Box, dwingt Cloudlock de codering van dat document automatisch af.
We willen graag Jamey Heary bedanken voor dit interview en zijn openhartige antwoorden. Als je contact wilt opnemen, kun je hem vinden op Twitter.
Lees aan het eind van dit artikel uw mening over de onderwerpen die we hebben besproken, met behulp van de onderstaande opties voor opmerkingen.
