CSO Said Cisco Security Is Growing

John Stewart tidak bercakap seperti eksekutif korporat tipikal anda. Beliau berkata bahawa syarikatnya, Cisco Systems, telah bertuah kerana keselamatan dan bahawa pemasaran pemasaran syarikatnya sendiri telah menekan "mata besar" pada produknya.

Tapi sekali lagi, Stewart mempunyai lebih banyak perkara penting yang perlu dibimbangkan. Sebagai ketua pegawai keselamatan, dia adalah orang yang bertanggungjawab untuk mengarahkan Cisco korporat dan amalan keselamatan unit perniagaan. Itu bermakna dia mendapat panggilan apabila ada masalah keselamatan yang penting dalam produk Cisco atau jika penggodam akan memukul laman web Cisco.com. Cara dia meletakkannya, tugasnya untuk mengunci produk Cisco sebelum dia terpaksa berurusan dengan apa yang dia panggil "platform terbakar" - kecacatan atau serangan yang serius terhadap penghala yang paling banyak digunakan di Internet.

Mungkin Cisco memerlukan seseorang seperti Stewart, untuk mengelakkan kesilapan yang dibuat syarikat-syarikat teknologi utama lain mengenai keselamatan. Sebagai contoh, ambil Microsoft. Microsoft mula-mula mengambil sikap bermusuhan terhadap para penyelidik dan pengkritik keselamatan, tetapi itu mengejar dan membantu menimbulkan kesan bahawa syarikat itu mengabaikan pepijat keselamatan daripada cuba membetulkannya. [

] [Bacaan lanjut: Kotak NAS terbaik untuk streaming media dan sandaran]

Pada skala yang lebih kecil, Cisco telah melakukan pembalikan yang sama. Syarikat itu menimbulkan kebencian penggodam pada tahun 2005 dengan menggugat penyelidik Mike Lynn setelah dia menunjukkan bagaimana mungkin untuk menjalankan perisian shellcode tanpa kebenaran pada penghala Cisco.

Tapi bukannya menendang era baru pencerobohan Cisco, episod Mike Lynn lebih banyak suatu kelewatan. Penyelidikan Cisco adalah tenang untuk beberapa tahun akan datang.

Stewart mengatakan bahawa Cisco telah menjadi "sedikit bertuah" kerana ia tidak mempunyai kecemasan keselamatan utama, tetapi dia tidak mengambil apa-apa untuk diberikan. Dia menjemput Perkhidmatan Berita IDG ke pejabat San Jose, California untuk bercakap tentang landskap ancaman Cisco. Berikut adalah transkrip yang telah diedit mengenai wawancara.

IDG News Service: Cisco mendapat banyak perhatian di Black Hat 2005. Apa yang anda ambil pada perkara-perkara, tiga tahun kemudian?

John Stewart: Salah satu sebab semua perhatian telah dicat pada kami di Black Hat tiga tahun yang lalu adalah kerana kami mencipta keruntuhan, terus terang segala macam masalah rumit, yang merasakan seperti Cisco sedang menekan komunikasi dan penyelidikan.

Saya fikir kita boleh melakukan beberapa perkara yang bodoh, seperti cuba letakkan jin tersebut dalam botol, yang anda tidak dapat lakukan. Kami cuba melakukannya untuk alasan yang betul: perlindungan harta intelek dan pelanggan kami. Tetapi bagaimana ia keluar sepenuhnya sepenuhnya.

Dan, dalam banyak aspek, kami melakukannya tanpa nama. Ia adalah "seorang jurucakap Cisco." Kami semacam bersembunyi di sebalik konteks yang tidak dikenali, yang saya fikir benar-benar semua.

Ini sebabnya saya sendiri menaja Black Hat di peringkat platinum sejak itu. Kerana saya fikir kita ada penebusan untuk berbuat demikian dan pergi, "Lihatlah, buruk kami, bukan cara untuk melakukannya."

IDGNS: Mengapa anda berfikir kajian Cisco kering seperti itu?

Stewart: Terdapat beberapa sebab. Yang pertama adalah, banyak perkara ini bukan eksploitasi jauh, dan banyak kajian tentang apa-apa komuniti, "Bagaimana anda melakukannya dari jauh?" Penyelidikan [Pengurusan Risiko Maklumat] IRM, penyelidikan Sebastian's [Muniz, penyelidik dengan Teknologi Teras Keamanan], dan pada tahap yang tertentu, penyelidikan Michael Lynn, walaupun ia mempunyai varian yang jauh sedikit, ia tidak stabil jauh. Dan di sinilah permainan sebenar.

Anda harus mencari cara untuk mendapatkannya tanpa di konsol. Dan itulah yang paling banyak perkembangan di sekeliling: bagaimana anda melakukannya di konsol - sekurang-kurangnya untuk Cisco, bagaimanapun.

Dan yang kedua ialah, anda mahu ia berfungsi. Anda tidak cuba untuk mengetuknya kerana anda memerlukan rangkaian supaya anda boleh sampai ke titik akhir. Oleh itu, saya fikir kita mendapat laluan kerana tiada siapa yang mahu monyet dengan infrastruktur yang mereka gunakan. Ia seperti mengawal lebuh raya semasa anda cuba pergi ke bandar yang berbeza. Itulah jenis yang bodoh untuk dilakukan.

IDGNS: Microsoft telah sangat awam tentang bagaimana mereka mengubah syarikat untuk menjadikan keutamaan keselamatan. Apa cerita di Cisco? Bagaimanakah program keselamatan terbina?

Stewart: Kami mungkin berada di ruang yang sama. Banyak syarikat, termasuk kita sendiri, mula membina barang-barang pertama yang menyelesaikan masalah komunikasi dan kemudian memikirkan keselamatan komunikasi selepas itu.

Kira-kira lima tahun yang lalu, kami telah berjuang dengan syarikat, pasukan saya. Kebanyakan dalam perniagaan keselamatan maklumat. Kami adalah organisasi "tidak", menara gading. Itulah tempat yang berbahaya untuk menjadi kerana saya harus menjadi lengan pemungut konsultatif, bukan adjudicator.

Jadi kita banyak mengubahnya dan kita mula menyuntik sesuatu, seperti "Anda akan mempunyai kepakaran dalam Kami tidak akan berada di tengah-tengah, supaya anda boleh melabur kepakaran untuk apa yang anda perlukan dan kami tidak memegang anda atau membawa anda ke kedudukan yang lebih perlahan. "

Perkara kedua - - yang tidak boleh diremehkan - sudah siap pada tahun 2002 untuk melancarkan rangkaian pertahanan diri, yang - seperti itu atau membencinya sebagai slogan - secara berkesan adalah bull's-eye pada dahinya.

IDGNS: Seperti Oracle yang tidak dapat dipecahkan Linux?

Stewart: Sebenarnya Mary Ann Davidson di Oracle menjatuhkan saya nota dan berkata, "terima kasih banyak kerana datang dengan slogan yang mengambil tekanan dari apa yang telah kami lakukan," [ketawa] seolah-olah saya mempunyai apa-apa kaitan dengan pengumuman itu.

Dan kemudian ketiga, kita benar-benar mempunyai jejak yang tumbuh. Kami terbiasa dengan lebih banyak tempat, dan terus terang untuk berfikir bahawa kami tidak pernah membayangkan bahawa kami akan digunakan. Kami memindahkan komunikasi penjagaan kesihatan, kami sedang melancarkan komunikasi tapak-tapak untuk tentera. Kami melakukan semua benda liar yang 20 tahun yang lalu kami tidak memikirkannya pada masa itu.

IDGNS: Jadi, adakah anda melakukan sesuatu seperti mengamalkan cara hidup yang selamat atau mengubah cara anda membina produk?

Stewart: Kami tidak matang dalam hal ini. Kami berada di fasa remaja yang canggung. Kami sedang menguji pada akhir proses pembangunan dan kami sedang mencari tahu dari data itu bagaimana anda pergi ke belakang ke dalam proses definisi. Sekarang ada definisi yang berlaku. Oleh itu, contohnya terdapat beberapa keperluan dasar bagi setiap produk yang kami bina. Walau bagaimanapun, saya masih mengatakan banyak perkara yang perlu dipelajari. Apabila anda fikir anda telah mendapatnya dengan betul dan anda membinanya dan anda mengujinya, pembelajaran dari ujian itu harus memberi manfaat kepada perkara seterusnya yang anda bina.

Kami belum mengamalkan kitaran hayat pembangunan yang selamat seperti Microsoft. Kami tidak dipaku secara sama rata di semua lini produk dengan cara yang terukur dengan cara yang konsisten, dan itulah sebabnya saya mengatakan bahawa kita berada di tahap remaja yang canggung.