Jamey Heary von Cisco: Organisationen, die mit vertraulichen Informationen arbeiten, verwenden verschlüsseltes WLAN, VPN und verschlüsselte Apps

Am 18. Oktober wurden wir zur Cisco Connect 2017 eingeladen. Bei dieser Veranstaltung trafen wir uns mit dem Sicherheitsexperten Jamey Heary. Er ist Distinguished Systems Engineer bei Cisco Systems, wo er das Global Security Architecture Team leitet. Jamey ist ein vertrauenswürdiger Sicherheitsberater und Architekt für viele der größten Kunden von Cisco. Er ist auch Buchautor und ehemaliger Blogger von Network World. Wir sprachen mit ihm über die Sicherheit in modernen Unternehmen, die erheblichen Sicherheitsprobleme, die Unternehmen und Organisationen betreffen, und die neuesten Schwachstellen, die alle drahtlosen Netzwerke und Clients betreffen (KRACK). Hier ist, was er zu sagen hatte:

Inhalt

1. Unser Publikum besteht sowohl aus Endbenutzern als auch aus Geschäftsbenutzern. Um loszulegen und sich selbst ein wenig vorzustellen: Wie würden Sie Ihren Job bei Cisco auf eine nicht unternehmensbezogene Weise beschreiben?
2. Was sind Ihrer Erfahrung als Sicherheitsexperte nach die größten Sicherheitsbedrohungen für moderne Unternehmen?
3. Wenn es um Sicherheit geht, ist der Mensch das schwächste Glied und auch der primäre Fokus von Angriffen. Wie könnten wir mit diesem Problem fertig werden, da Social Engineering eine der führenden Sicherheitsbedrohungen ist?
4. Sie haben eine interessante Artikelserie in der Network World über Mobile Device Management (MDM)-Systeme. In den letzten Jahren scheint dieses Thema jedoch weniger diskutiert worden zu sein. Lässt das Interesse der Industrie an solchen Systemen nach? Was passiert aus Ihrer Sicht?
5. Wirkt sich dies auf die Einführung von Programmen wie Bring Your Own Device (BYOD) aus?
6. Das heißeste Sicherheitsproblem auf dem Radar aller ist „KRACK“ (Key Reinstallation AttaCK), das alle Netzwerkclients und Geräte betrifft, die das WPA2-Verschlüsselungsschema verwenden. Was unternimmt Cisco, um seinen Kunden bei diesem Problem zu helfen?
7. Was würden Sie Ihren Kunden empfehlen, um sich zu schützen, bis alles behoben ist?
8. Auf dem Verbrauchermarkt bündeln einige Sicherheitsanbieter VPN mit ihren Antivirus- und Total Security-Suiten. Sie fangen auch an, die Verbraucher aufzuklären, dass es nicht mehr ausreicht, eine Firewall und ein Antivirenprogramm zu haben, man braucht auch ein VPN. Welchen Sicherheitsansatz verfolgt Cisco für Unternehmen? Fördern Sie VPN auch aktiv als notwendige Schutzschicht?
9. In Ihrer Präsentation bei Cisco Connect haben Sie die Automatisierung als sehr wichtig für die Sicherheit erwähnt. Was ist Ihr empfohlener Ansatz für die Automatisierung im Sicherheitsbereich?
10. Wie nutzt Cisco die Automatisierung in seinem Portfolio von Sicherheitsprodukten?
11. Verlangsamt sich der Einsatz von DDOS-Angriffen?
12. Menschen bringen nicht nur ihre eigenen Geräte, sondern auch ihre eigenen Cloud-Systeme (OneDrive, Google Drive, Dropbox usw.) in ihre Organisationen. Dies stellt ein weiteres Sicherheitsrisiko für Organisationen dar. Wie geht ein System wie Cisco Cloudlock mit diesem Problem um?

Unser Publikum besteht sowohl aus Endbenutzern als auch aus Geschäftsbenutzern. Um loszulegen und sich selbst ein wenig vorzustellen: Wie würden Sie Ihren Job bei Cisco auf eine nicht unternehmensbezogene Weise beschreiben?

Meine Leidenschaft ist Sicherheit. Ich bemühe mich jeden Tag, meinen Kunden und Endbenutzern etwas über Architektur beizubringen. Zum Beispiel spreche ich über ein Sicherheitsprodukt und wie es sich in andere Produkte (unsere eigenen oder von Drittanbietern) integriert. Daher befasse ich mich mit Systemarchitektur aus Sicherheitssicht.

Jamey Heary, Cisco

Was sind Ihrer Erfahrung als Sicherheitsexperte nach die größten Sicherheitsbedrohungen für moderne Unternehmen?

Die großen sind Social Engineering und Ransomware. Letzteres richtet in so vielen Unternehmen Verwüstung an, und es wird noch schlimmer, weil so viel Geld darin steckt. Es ist wahrscheinlich das lukrativste, was Malware-Ersteller herausgefunden haben, wie man es macht.

Wir haben gesehen, dass der Fokus der „bösen Jungs“ auf dem Endbenutzer liegt. Er oder sie ist im Moment das schwächste Glied. Wir haben als Branche versucht, Leute zu schulen, die Medien haben gute Arbeit geleistet, um zu verbreiten, wie man sich besser schützen kann, aber dennoch ist es ziemlich trivial, jemandem eine gezielte E-Mail zu schicken und ihn dazu zu bringen, sie anzunehmen eine Aktion, die Sie möchten: Klicken Sie auf einen Link, öffnen Sie einen Anhang, was immer Sie möchten.

Die andere Bedrohung sind Online-Zahlungen. Wir werden weiterhin Verbesserungen bei der Art und Weise sehen, wie Unternehmen Zahlungen online entgegennehmen, aber bis die Branche sicherere Methoden zur Annahme von Zahlungen online implementiert, wird dieser Bereich ein enormer Risikofaktor sein.

Wenn es um Sicherheit geht, ist der Mensch das schwächste Glied und auch der primäre Fokus von Angriffen. Wie könnten wir mit diesem Problem fertig werden, da Social Engineering eine der führenden Sicherheitsbedrohungen ist?

Es gibt eine Menge Technologie, die wir anwenden können. Es gibt nur eine begrenzte Menge, die Sie für eine Person tun können, insbesondere in einer Branche, in der manche Menschen dazu neigen, hilfreicher zu sein als andere. In der Gesundheitsbranche zum Beispiel wollen die Menschen einfach nur anderen helfen. Sie senden ihnen also eine böswillige E-Mail, und sie klicken mit größerer Wahrscheinlichkeit auf das, was Sie ihnen senden, als Menschen in anderen Branchen, wie z. B. einer Polizeidienststelle.

Wir haben also dieses Problem, aber wir können Technologie einsetzen. Eines der Dinge, die wir tun können, ist die Segmentierung, die die Angriffsfläche, die jedem Endbenutzer zur Verfügung steht, drastisch reduzieren kann. Wir nennen dies „Zero Trust“: Wenn sich ein Benutzer mit dem Unternehmensnetzwerk verbindet, versteht das Netzwerk, wer der Benutzer ist, welche Rolle er in der Organisation hat, auf welche Anwendungen der Benutzer zugreifen muss, es versteht den Computer des Benutzers und wie ist die Sicherheitslage der Maschine auf einer sehr detaillierten Ebene. Beispielsweise kann es sogar Dinge wie die Verbreitung einer Anwendung des Benutzers erkennen. Prävalenz ist etwas, das wir für effektiv befunden haben, und es bedeutet, wie viele andere Menschen auf der Welt diese Anwendung verwenden und wie viele in einer bestimmten Organisation. Bei Cisco führen wir diese Analyse durch Hashing durch: Wir nehmen einen Hash einer Anwendung, und wir haben Millionen von Endpunkten, und sie werden zurückkommen und sagen: „Die Prävalenz dieser App beträgt 0,0001 %“. Die Prävalenz berechnet, wie oft eine App weltweit und dann in Ihrer Organisation verwendet wird. Beide Maßnahmen können sehr gut sein, um herauszufinden, ob etwas sehr verdächtig ist und ob es eine genauere Betrachtung verdient.

Sie haben eine interessante Artikelserie in der Network World über Mobile Device Management (MDM)-Systeme. In den letzten Jahren scheint dieses Thema jedoch weniger diskutiert worden zu sein. Lässt das Interesse der Industrie an solchen Systemen nach? Was passiert aus Ihrer Sicht?

Es ist nur wenig passiert, eines davon ist, dass MDM-Systeme auf dem Markt ziemlich gesättigt sind. Fast alle meine größeren Kunden haben ein solches System im Einsatz. Die andere Sache, die passiert ist, ist, dass sich die Datenschutzbestimmungen und die Datenschutzeinstellung der Benutzer so geändert haben, dass viele Leute ihr persönliches Gerät (Smartphone, Tablet usw.) nicht mehr an ihre Organisation geben und die Installation einer MDM-Software zulassen. Wir haben also diesen Wettbewerb: Das Unternehmen möchte vollen Zugriff auf die Geräte haben, die von seinen Mitarbeitern verwendet werden, um sich selbst zu sichern, und die Mitarbeiter sind diesem Ansatz gegenüber sehr resistent geworden. Es gibt diesen ständigen Kampf zwischen den beiden Seiten. Wir haben gesehen, dass die Verbreitung von MDM-Systemen von Unternehmen zu Unternehmen unterschiedlich ist, je nach Unternehmenskultur und Werten,

Wirkt sich dies auf die Einführung von Programmen wie Bring Your Own Device (BYOD) aus?

Ja, das tut es absolut. Was zum größten Teil passiert, ist, dass Menschen, die ihre eigenen Geräte im Unternehmensnetzwerk verwenden, diese in einem sehr kontrollierten Bereich verwenden. Auch hier kommt die Segmentierung ins Spiel. Wenn ich mein eigenes Gerät in das Unternehmensnetzwerk einbringe, kann ich vielleicht auf das Internet zugreifen, auf einen internen Unternehmenswebserver, aber auf keinen Fall werde ich in der Lage sein, auf die Datenbankserver, die kritischen Apps meines oder seines Unternehmens zuzugreifen kritische Daten von diesem Gerät. Das ist etwas, was wir bei Cisco programmgesteuert tun, damit der Benutzer dorthin gelangt, wo er im Unternehmensnetzwerk hin muss, aber nicht dorthin, wo das Unternehmen den Benutzer nicht haben möchte, nämlich von einem persönlichen Gerät aus.

Das heißeste Sicherheitsproblem auf dem Radar aller ist „KRACK“ (Key Reinstallation AttaCK), das alle Netzwerkclients und Geräte betrifft, die das WPA2-Verschlüsselungsschema verwenden. Was unternimmt Cisco, um seinen Kunden bei diesem Problem zu helfen?

Es ist eine große Überraschung, dass eines der Dinge, auf die wir uns jahrelang verlassen haben, jetzt knackbar ist. Es erinnert uns an die Probleme mit SSL, SSH und all die Dinge, an die wir grundsätzlich glauben. Alle von ihnen sind unseres Vertrauens "nicht würdig" geworden.

Für dieses Problem haben wir zehn Schwachstellen identifiziert. Von diesen zehn sind neun Client-basiert, also müssen wir den Client reparieren. Einer von ihnen ist netzwerkbezogen. Dafür wird Cisco Patches veröffentlichen. Die Probleme betreffen ausschließlich den Zugangspunkt, und wir müssen keine Router und Switches reparieren.

Ich war erfreut zu sehen, dass Apple seine Fixes im Beta-Code erhalten hat, sodass seine Client-Geräte bald vollständig gepatcht sein werden. Windows hat bereits einen Patch bereit usw. Für Cisco ist der Weg geradlinig: eine Schwachstelle an unseren Access Points und wir werden Patches und Fixes veröffentlichen.

Was würden Sie Ihren Kunden empfehlen, um sich zu schützen, bis alles behoben ist?

In einigen Fällen müssen Sie gar nichts tun, da manchmal Verschlüsselung innerhalb der Verschlüsselung verwendet wird. Wenn ich beispielsweise auf die Website meiner Bank gehe, verwendet sie TLS oder SSL für die Kommunikationssicherheit, die von diesem Problem nicht betroffen ist. Also, selbst wenn ich durch ein weit geöffnetes WLAN gehe, wie das bei Starbucks, spielt es keine so große Rolle. Wo dieses Problem mit WPA2 mehr ins Spiel kommt, ist die Datenschutzseite. Wenn ich zum Beispiel auf eine Website gehe und nicht möchte, dass andere das wissen, werden sie es jetzt wissen, weil WPA2 nicht mehr effektiv ist.

Eine Sache, die Sie tun können, um sich abzusichern, ist das Einrichten von VPN-Verbindungen. Sie können sich mit dem WLAN verbinden, aber als Nächstes müssen Sie Ihr VPN einschalten. Das VPN ist in Ordnung, weil es einen verschlüsselten Tunnel durch das WLAN erstellt. Es wird funktionieren, bis auch die VPN-Verschlüsselung gehackt wird und Sie eine neue Lösung finden müssen. 🙂

Auf dem Verbrauchermarkt bündeln einige Sicherheitsanbieter VPN mit ihren Antivirus- und Total Security-Suiten. Sie fangen auch an, die Verbraucher aufzuklären, dass es nicht mehr ausreicht, eine Firewall und ein Antivirenprogramm zu haben, man braucht auch ein VPN. Welchen Sicherheitsansatz verfolgt Cisco für Unternehmen? Fördern Sie VPN auch aktiv als notwendige Schutzschicht?

VPN ist Teil unserer Pakete für Unternehmen. Unter normalen Umständen sprechen wir nicht von VPN innerhalb eines verschlüsselten Tunnels und WPA2 ist ein verschlüsselter Tunnel. Normalerweise, weil es übertrieben ist und auf der Clientseite ein Overhead anfallen muss, damit alles gut funktioniert. Zum größten Teil lohnt es sich nicht. Wenn der Kanal bereits verschlüsselt ist, warum noch einmal verschlüsseln?

Wenn Sie in diesem Fall mit heruntergelassener Hose erwischt werden, weil das WPA2-Sicherheitsprotokoll grundlegend kaputt ist, können wir auf VPN zurückgreifen, bis die Probleme mit WPA2 behoben sind.

Aber abgesehen davon, dass im Geheimdienstbereich Sicherheitsorganisationen wie eine Organisation des Verteidigungsministeriums dies seit Jahren tun. Sie verlassen sich auf VPN plus drahtlose Verschlüsselung, und oft sind die Anwendungen in der Mitte ihres VPN auch verschlüsselt, sodass Sie eine Drei-Wege-Verschlüsselung erhalten, die alle unterschiedliche Arten von Kryptografie verwenden. Sie tun das, weil sie „paranoid“ sind, wie sie sein sollten. :))

In Ihrer Präsentation bei Cisco Connect haben Sie die Automatisierung als sehr wichtig für die Sicherheit erwähnt. Was ist Ihr empfohlener Ansatz für die Automatisierung im Sicherheitsbereich?

Automatisierung wird schnell zu einer Anforderung, da wir als Menschen nicht schnell genug handeln können, um Sicherheitsverletzungen und Bedrohungen zu stoppen. Ein Kunde hatte 10.000 Computer in 10 Minuten mit Ransomware verschlüsselt. Es ist menschenmöglich, dass Sie darauf nicht reagieren können, also brauchen Sie Automatisierung.

Unser heutiger Ansatz ist nicht so schwerfällig, wie es vielleicht werden müsste, aber wenn wir etwas Verdächtiges sehen, ein Verhalten, das wie ein Verstoß erscheint, weisen unsere Sicherheitssysteme das Netzwerk an, dieses Gerät oder diesen Benutzer in Quarantäne zu versetzen. Das ist kein Fegefeuer; Sie können immer noch einige Dinge tun: Sie können immer noch ins Internet gehen oder Daten von den Patch-Management-Servern abrufen. Sie sind nicht völlig isoliert. In Zukunft müssen wir diese Philosophie möglicherweise ändern und sagen: Sobald Sie in Quarantäne sind, haben Sie keinen Zugriff, weil Sie zu gefährlich für Ihre Organisation sind.

Wie nutzt Cisco die Automatisierung in seinem Portfolio von Sicherheitsprodukten?

In bestimmten Bereichen verwenden wir viel Automatisierung. Beispielsweise erhalten wir in Cisco Talos , unserer Gruppe für Bedrohungsforschung, Telemetriedaten von all unseren Sicherheits-Widgets und eine Menge anderer Daten aus anderen Quellen. Die Talos-Gruppe verwendet maschinelles Lernen und künstliche Intelligenz, um jeden Tag Millionen von Datensätzen zu sortieren. Wenn Sie sich die Wirksamkeit aller unserer Sicherheitsprodukte im Laufe der Zeit ansehen, ist sie erstaunlich, in allen Wirksamkeitstests von Drittanbietern.

Verlangsamt sich der Einsatz von DDOS-Angriffen?

Leider ist DDOS als Angriffsmethode am Leben, und es wird immer schlimmer. Wir haben festgestellt, dass DDOS-Angriffe in der Regel auf bestimmte Arten von Unternehmen abzielen. Solche Angriffe werden sowohl als Köder als auch als primäre Angriffswaffe eingesetzt. Es gibt auch zwei Arten von DDOS-Angriffen: volumetrische und App-basierte. Die Volumetrie ist außer Kontrolle geraten, wenn man sich die neuesten Zahlen darüber ansieht, wie viele Daten sie generieren können, um jemanden zu Fall zu bringen. Es ist lächerlich.

Eine Art von Unternehmen, die Ziel von DDOS-Angriffen sind, ist der Einzelhandel, normalerweise während der Ferienzeit (der Schwarze Freitag steht vor der Tür!). Die andere Art von Unternehmen, die Ziel von DDOS-Angriffen werden, sind solche, die in umstrittenen Bereichen wie Öl und Gas tätig sind. In diesem Fall haben wir es mit Menschen zu tun, die ein bestimmtes ethisches und moralisches Anliegen haben und sich entscheiden, die eine oder andere Organisation zu beschimpfen, weil sie mit dem, was sie tun, nicht einverstanden sind. Solche Leute tun dies für eine Sache, für einen Zweck und nicht für das Geld, um das es geht.

Menschen bringen nicht nur ihre eigenen Geräte, sondern auch ihre eigenen Cloud-Systeme (OneDrive, Google Drive, Dropbox usw.) in ihre Organisationen. Dies stellt ein weiteres Sicherheitsrisiko für Organisationen dar. Wie geht ein System wie Cisco Cloudlock mit diesem Problem um?

Cloudlock macht zwei grundlegende Dinge: Erstens gibt es Ihnen ein Audit aller verwendeten Cloud-Dienste. Wir integrieren Cloudlock in unsere Webprodukte, sodass alle Webprotokolle von Cloudlock gelesen werden können. Das wird Ihnen sagen, wohin jeder in der Organisation geht. Sie wissen also, dass viele Leute zum Beispiel ihre eigene Dropbox verwenden.

Die zweite Sache, die Cloudlock macht, ist, dass alles aus APIs besteht, die mit Cloud-Diensten kommunizieren. Wenn ein Benutzer ein Unternehmensdokument auf Box veröffentlicht hat, teilt Box Cloudlock auf diese Weise sofort mit, dass ein neues Dokument eingetroffen ist, und es sollte es sich ansehen. Also sehen wir uns das Dokument an, kategorisieren es, ermitteln das Risikoprofil des Dokuments und ob es mit anderen geteilt wurde oder nicht. Basierend auf den Ergebnissen stoppt das System entweder die Freigabe dieses Dokuments über Box oder lässt es zu.

Mit Cloudlock können Sie Regeln festlegen wie: „Dies sollte niemals mit Personen außerhalb des Unternehmens geteilt werden. Wenn dies der Fall ist, schalten Sie das Teilen aus.“ Sie können die Verschlüsselung auch nach Bedarf durchführen, basierend auf der Wichtigkeit jedes Dokuments. Wenn der Endbenutzer ein wichtiges Geschäftsdokument nicht verschlüsselt hat, erzwingt Cloudlock daher beim Posten auf Box automatisch die Verschlüsselung dieses Dokuments.

Wir möchten Jamey Heary für dieses Interview und seine offenen Antworten danken. Wer mit ihm in Kontakt treten möchte, findet ihn auf Twitter .

Teilen Sie am Ende dieses Artikels Ihre Meinung zu den Themen mit, die wir besprochen haben, indem Sie die unten verfügbaren Kommentaroptionen verwenden.