Безопасность CSO Cisco Security растет

Джон Стюарт не говорит, как ваш типичный исполнительный директор. Он сказал, что его компании, Cisco Systems, повезло, когда дело доходит до безопасности, и что его компания «Self-Defending Network Marketing push» нарисовала «большие глаза» на свои продукты.

Но опять же, у Стюарта больше важные вещи, о которых нужно беспокоиться. Будучи главным офицером службы безопасности, он отвечает за руководство корпоративной и корпоративной безопасностью Cisco. Это означает, что он получает вызов всякий раз, когда есть важная ошибка безопасности в продуктах Cisco или если хакеры попали на веб-сайт Cisco.com. Как он это понимает, именно его задача состоит в том, чтобы помочь заблокировать продукты Cisco до того, как он будет вынужден заниматься тем, что он называет «горящей платформой» - серьезным недостатком или атакой на наиболее широко используемые маршрутизаторы в Интернете.

Возможно Cisco нуждается в кого-то вроде Стюарта, чтобы избежать ошибок, допущенных другими крупными технологическими компаниями в безопасности. Возьмите Microsoft, например. Microsoft сначала заняла враждебное отношение к исследователям безопасности и критикам, но это вызвало негативные последствия и помогло укрепить впечатление, что компания игнорирует ошибки безопасности, а не пытается их исправить. Microsoft в конечном счете отменила свой курс, но только после того, как его репутация серьезно пострадала.

[Подробнее читайте: Лучшие NAS-боксы для потоковой передачи и резервного копирования мультимедиа]

В меньших масштабах Cisco сделала аналогичный поворот. Компания разозлила хакеров в 2005 году, подав иск исследователю Майку Линну после того, как он показал, как можно запускать несанкционированное программное обеспечение шеллкода на маршрутизаторе Cisco.

Но вместо того, чтобы начать новую эру взлома Cisco, эпизод Майка Линна был больше аберрация. Исследование Cisco было спокойным в течение следующих нескольких лет.

Стюарт сказал, что Cisco «немного повезло» в том, что у нее не было серьезных вспышек безопасности, но он ничего не принимает как должное. Он пригласил службу новостей IDG в свой офис в Сан-Хосе, штат Калифорния, чтобы рассказать о ландшафте угроз Cisco. Следующее - отредактированная стенограмма интервью.

Служба новостей IDG: Cisco уделяет большое внимание Black Hat 2005. Что вы думаете о вещах, спустя три года?

Джон Стюарт: часть причины все внимание была написана на нас в Black Hat три года назад, потому что мы создали огненную бурю, откровенно всевозможные сложные проблемы, которые чувствовали, что Cisco подавляет общение и исследования.

Я думаю, что, возможно, мы сделали некоторые глупые вещи, например, пытались верните джинна в бутылку, чего вы не можете сделать. Мы пытались сделать это по правильным причинам: защита интеллектуальной собственности и наших клиентов. Но как это получилось, просто полностью пошло боком.

И, во многом, мы сделали это анонимно. Это был «представитель Cisco». Мы вроде как спрятались за контекстом анонимности, который, на мой взгляд, действительно обошел все.

Вот почему я лично спонсировал Black Hat на платиновом уровне с тех пор. Потому что я думаю, что у нас было какое-то искупление, чтобы сделать и уйти: «Слушай, наш плохой. Это не способ сделать это».

IDGNS: Почему вы считаете, что исследование Cisco иссякло, как это было?

Стюарт: Есть несколько причин. Во-первых, многие из них не являются удаленной эксплуатацией, и многое из того, что исследование проводит в любом сообществе, это: «Как вы делаете это дистанционно?» Исследование IRM [Information Risk Management], исследование Себастьяна [Muniz, исследователь с основными технологиями безопасности] и в определенной степени исследование Майкла Линна, хотя оно имело небольшой удаленный вариант, это нестабильный пульт. И вот где настоящая игра.

Вам нужно выяснить, как получить его, не находясь на консоли. В этом и заключается основная часть разработки: как вы это делаете на консоли - по крайней мере, для Cisco.

И, во-вторых, вы хотите, чтобы она работала. Вы не пытаетесь его выбить, потому что вам нужна сеть, чтобы вы могли добраться до конечной точки. Поэтому я думаю, что мы вроде получим пропуск, потому что никто не хочет обезьяны с инфраструктурой, которую они используют. Это похоже на то, чтобы забрать автостраду, пока вы пытаетесь отправиться в другой город. Это своего рода глупость.

IDGNS: Microsoft была очень публичной о том, как они изменили компанию, чтобы сделать безопасность приоритетной. Какая история у Cisco? Как была создана программа безопасности?

Стюарт: Мы были, вероятно, в том же пространстве. Многие компании, в том числе и наши, начали со строительного материала, сначала решили проблемы с коммуникациями, а затем подумали о безопасности коммуникаций.

Около пяти лет назад мы сражались с компанией, моей командой. В основном в сфере информационной безопасности. Мы были организацией «нет», башней из слоновой кости. Это опасное место, потому что я считаю, что мы должны быть консультантом, а не судьей.

Поэтому мы многое изменили, и мы начали вводить вещи, например: «У вас будет опыт в вашем Мы не собираемся быть даже посередине, так что вы можете инвестировать опыт в то, что вам нужно, и мы не держим вас или не введем вас в более медленную позицию ».

Второе - - что нельзя недооценивать, - мы готовились в 2002 году к запуску самозащитных сетей, которые, как и он, или ненавидят его как лозунг, - это на самом деле большой взгляд на наш лоб.

IDGNS: Как нерушимый Linux Oracle?

Стюарт: На самом деле Мэри Энн Дэвидсон в Oracle бросила мне записку и сказала: «Большое вам спасибо за то, что вы придумали лозунг, который снимает давление с того, что мы сделали», [смеется], как будто я имел какое-либо отношение к объявлению.

И, наконец, в-третьих, у нас действительно был след. Мы привыкли во все большем количестве мест, и, честно говоря, мы думаем, что мы никогда не думали, что мы будем использовать. Мы переходим к медико-санитарным коммуникациям, мы переходим к обмену местами для военных. Мы делаем все эти дикие вещи, которые 20 лет назад мы не думали в то время.

IDGNS: Так вы сделали что-то вроде принятия безопасных жизненных циклов разработки или изменили способ создания продуктов?

Stewart: Мы не зрелы в этом. Мы находимся в неудобной подростковой фазе. Мы тестируем в конце процесса разработки, и мы выясняем из этих данных, как вы возвращаетесь в процесс определения. Теперь какое-то определение происходит в любом случае. Так, например, есть некоторые базовые требования для каждого продукта, который мы построили. Тем не менее, я все еще говорю, что многое предстоит узнать. Когда вы думаете, что у вас все в порядке, и вы его создаете, и вы проверяете его, результаты теста должны принести пользу следующей вещи, которую вы создаете.

Мы еще не использовали безопасный жизненный цикл разработки, такой как Microsoft. Мы не выровняли одинаково на всех продуктовых линиях очень последовательным методичным измеримым способом, и именно поэтому я говорю, что мы находимся в этой неудобной подростковой фазе.