A CSO azt mondta, hogy a Cisco Security növekszik

De akkor ismét Stewartnak több fontos dolgokat kell aggódni. Legfőbb biztonsági tisztként felelős a Cisco vállalati és üzleti egység biztonsági gyakorlatainak irányításáért. Ez azt jelenti, hogy megkapja a hívást, amikor fontos biztonsági hiba van a Cisco termékeiben, vagy ha a hackerek a Cisco.com weboldalára érnének. Ahogyan azt állítja, az ő feladata, hogy segítsen megszüntetni a Cisco termékeit, mielőtt kénytelen lenne foglalkozni azzal, amit "égő platformnak" nevez - súlyos hiba vagy támadás az interneten legelterjedtebb útválasztókkal szemben.

Talán A Cisco-nek szüksége van valakire, mint Stewart, hogy elkerülje a hibáit, amelyeket más fontos technológiai vállalatok tettek a biztonságon. Vegyük például a Microsoftot. A Microsoft először ellenséges magatartást tanúsított a biztonsági kutatókkal és a kritikusokkal szemben, de ez visszaszorult és segített a benyomásnak abban, hogy a vállalat figyelmen kívül hagyta a biztonsági hibákat, és nem próbálta megjavítani őket. A Microsoft végül megfordította a pályáját, de nem egészen addig, amíg hírneve komoly hitre nem szenvedett.

[További olvasmány: A legjobb NAS-dobozok a média közvetítéséhez és mentéséhez]

A kisebb méretben a Cisco hasonló megfordítást hajtott végre. A cég 2005-ben felbosszantotta a hackereket azzal, hogy beperelte a kutatót, Mike Lynn-et, miután megmutatta, hogyan lehet a Cisco routeren engedély nélküli shellkód-szoftvert futtatni.

De a Cisco hackelés új korszakának elindítása helyett a Mike Lynn epizód több volt aberráció. A Cisco kutatásai csöndben maradtak a következő években.

Stewart elmondta, hogy a Cisco "kicsit szerencsés", mivel nem volt jelentős biztonsági fellobbanás, de nem veszít semmit. Meghívta az IDG News Service-t San Jose, California irodájába, hogy beszéljen a Cisco fenyegetett tájáról.

IDG News Service: A Cisco sok figyelmet kapott a Black Hat 2005-ben. Mi a te dolgod, három évvel később?

John Stewart: A figyelem egy része három évvel ezelőtt festett ránk a Black Hat-ban, mert olyan tűzvészteret hoztunk létre, amely őszintén mindenféle bonyolult kérdés, amely úgy érezte, mintha a Cisco elnyomná a kommunikációt és a kutatásokat.

Azt hiszem, vitathatatlanul valami ostobaságot csináltunk, helyezze vissza a géniert a palackba, amit nem tehet. Megpróbáltuk megtenni a megfelelő okokból: a szellemi tulajdon védelme és ügyfeleink számára. De ahogy jött ki, teljesen elhúzódott.

És sok tekintetben névtelenül csináltuk. "Cisco szóvivője volt". Olyan anonimitási kontextus mögött rejtőztünk el, amely szerintem tényleg mindent elmondtam.

Ez az, amiért azóta személyesen szponzoráltam a Black Hat-ot a platina szintjén. Mert úgy gondolom, hogy némi engedményt tettünk és menünk, "Nézd, mi rosszat, ez nem így volt."

IDGNS: Miért gondolja úgy, hogy a Cisco kutatása megszáradt, mint az?

Stewart: Van néhány ok. Az első az, hogy sok ez nem a távoli kizsákmányolás, és sok a közösségben folyó kutatás: "Hogyan csinálod távolról?" Az IRM [Information Risk Management] kutatása, Sebastian [Muniz, a Core Security Technologies kutatója] kutatása, és bizonyos mértékig Michael Lynn kutatása, noha kisebb távoli változata volt, nem stabil távoli. És ez az igazi játék.

Kitalálnia kell egy módját, hogy bejusson anélkül, hogy a konzolon lenne. És ez az, ami a fejlesztés legnagyobb része körül volt: hogyan csinálod a konzolon - legalábbis a Cisco-nél.

És a második dolog az, hogy működni akarsz. Nem próbálod kiütni, mert szüksége van a hálózatra, így elérheted a végpontot. Szóval úgy gondolom, hogy egyfajta átutalást kapunk, mert senki sem akar monkey-t használni az általuk használt infrastruktúrával. Olyan, mintha az autópályát felcsavarnád, miközben egy másik városba próbálsz menni. Ez egyfajta ostoba dolgot csinálni.

IDGNS: A Microsoft nagyon nyilvános volt arról, hogyan változtatta meg a vállalatot, hogy a biztonságot prioritásként kezelje. Mi a történet a Cisco-n? Hogyan épül fel a biztonsági program?

Stewart: Valószínűleg ugyanabban a térben voltunk. Sok vállalat, köztük a saját is, elsőként azzal kezdte az építési anyagokat, hogy megoldották a kommunikációs problémákat, majd utána a kommunikáció biztonságát gondolkodtam.

Körülbelül öt évvel ezelőtt harcoltunk a céggel, a csapattal. Leginkább az információbiztonsági üzletágban. Mi volt a "nem" szervezet, az elefántcsonttorony. Ez veszélyes hely, mert az én vágyam, hogy tanácsadói teljesítõ karnak kell lennünk, nem adjunk el.

Tehát sok mindent megváltoztattunk, és kezdtünk olyan dolgokat befecskendezni, mint például: " nem fogunk középen állni, így így be tudjuk fektetni a szaktudást, amire szükségünk van, és nem tartjuk meg magunkat, vagy lassabb helyzetbe hozunk. "

A második dolog - - Nem szabad alábecsülni - 2002-ben kezdtünk el készíteni önvédő hálózatokat, amelyek - kedvelik vagy szelídként gyűlölik - hatékonyan nagy homlokot jelentenek.

IDGNS: Mint az Oracle megszakíthatatlan Linuxja? Stewart: Valójában Mary Ann Davidson az Oracle-nél letett egy jegyzetet és azt mondta: "Nagyon köszönöm, hogy olyan szlogennel jöttünk, amely nyomást gyakorol a dolgainktól". [nevet], mintha bármi köze lenne a bejelentéshez.

És harmadszor, tényleg egy lábnyom növekedett. Több és több helyen használtunk, és őszintén szólva úgy gondolja, hogy sosem képzeltük el, hogy használnánk. Áttelepítjük az egészségügyi kommunikációt, áttérünk a katonai helyszíni kommunikációra. Mindazokat a vad dolgokat csináljuk, amelyek 20 évvel ezelőtt nem gondolkodtak ránk.

IDGNS: Szóval csináltál valami olyasmit, mint egy biztonságos fejlesztési életciklus elfogadását vagy megváltoztatását?

Stewart: Nem vagyunk érettek ebben. A kellemetlen tizenéves szakaszban vagyunk. A fejlesztési folyamat végén tesztelünk, és ezekből az adatokból kiderül, hogyan visszakerül a definíciós folyamatba. Most azonban valamilyen meghatározás történik. Így pl. Néhány alapkövetelmény minden olyan termékre vonatkozóan, amelyet építettünk. Mindazonáltal még mindig azt mondom, hogy sokat kell megtanulni. Ha azt gondolja, hogy helyes, és megépíted, és megpróbálod tesztelni, akkor a tesztből származó tanulságoknak hasznát kell hozni a következő dolognak, amit építesz.

Még nem fogadtunk el biztonságos fejlesztési életciklust, mint a Microsoft. Egyetlen módszeresen mérhető módon nem minden termékcsaládra vetettük ki egyenlően, ezért azt mondom, hogy ebben a kellemetlen tinédzser fázisban vagyunk.