Jamey Heary de la Cisco: Organizațiile care lucrează cu informații sensibile folosesc WiFi, VPN și aplicații criptate

Pe 18 Octombrie a avut loc Cisco Connect România 2017. Am participat la eveniment și ne-am întâlnit cu Jamey Heary, expert în securitate. Jamey are rolul de “Distinguished Systems Engineer” la Cisco Systems, unde conduce echipa globală de arhitectură a sistemelor de securitate. Este consilier de securitate și arhitect pentru mulți dintre cei mai mari clienți ai Cisco. De asemenea, este și autor al mai multor cărți și fost blogger la Network World. Am discutat cu Jamey Heary despre securitatea informatică în companiile moderne, problemele de securitate majore care afectează companiile și organizațiile, precum și despre cele mai recente vulnerabilități care afectează toate rețelele și clienții wireless (KRACK). Iată ce a avut de spus:

Audiența noastră este compusă atât din utilizatori casnici cât și oameni de business. Pentru a te introduce, descrie-ți poziția ta la Cisco, într-un mod cât mai puțin corporatist?

Pasiunea mea este securitatea. Încerc în fiecare zi să-mi învăț clienții și utilizatorii despre arhitectură. De exemplu, discut despre un produs de securitate și modul în care acesta se integrează cu alte produse ale companiei noastre sau de la terțe părți. Mă ocup cu arhitectura sistemelor informatice din perspectiva securității.

În experiența ta de expert în securitate, care sunt cele mai semnificative amenințări pentru companiile moderne?

Cele mai mari amenințări sunt ingineria socială și ransomware-ul, care devastează multe companii. Lucrurile se vor înrăutăți deoarece sunt foarte mulți bani la mijloc. Este probabil cel mai profitabil lucru pe care-l fac creatorii de malware.

Am observat că “tipii răi” se concentrează foarte mult pe utilizator. El este veriga slabă acum. Ca industrie, am încercat să educăm utilizatorii. Publicațiile media au făcut și ele o treabă bună în a crește nivelul de conștientizare și a vorbi despre cum te poți proteja mai bine dar, este în continuare trivial să trimiți un e-mail țintit unei persoane și să o convingi să facă ce vrei: să dea clic pe o legătură, să deschidă un atașament malițios sau orice altceva te ajută să-ți atingi scopul.

O altă amenințare o reprezintă plățile online. Vom continua să vedem îmbunătățiri semnificative în această zonă dar, până toată industria adoptă noi metode sigure pentru plățile online, această zonă va continua să reprezinte un factor de risc.

În ceea ce privește securitatea cibernetică, oamenii sunt veriga slabă și centrul atenției în atacuri. Cum putem gestiona această problemă, din moment ce ingineria socială este una dintre amenințările cele mai importante?

Există multe tehnologii care pot fi aplicate. Există un număr limitat de lucruri pe care le poți face pentru o persoană, mai ales într-o industrie unde oamenii tind să fie mai generoși decât în altele. De exemplu, în industria sănătății, oamenii vor să-i ajute pe ceilalți. Le poți trimite un e-mail malițios și este mai probabil ca ei să dea clic decât alți oameni din alte industrii, cum ar fi cei din departamentele de poliție.

Avem așadar această problemă, dar putem folosi tehnologia pentru a ne ajuta. Unul dintre lucrurile pe care le putem face se numește segmentare. Aceasta reduce drastic suprafața de atac disponibilă unui utilizator. Numim asta “zero încredere”: când un utilizator se conectează la rețeaua companiei, rețeaua înțelege cine este utilizatorul, care este rolul său în organizație, ce aplicație are nevoie să acceseze, va înțelege mașina utilizatorului și postura sa în ceea ce privește securitatea, la un mare nivel de detaliu. De exemplu, poate spune și lucruri precum răspândirea unei aplicații pe care o are utilizatorul. Rata de răspândire o considerăm foarte utilă și eficientă în a ne spune câți oameni din lume folosesc o aplicație și câți o folosesc dintr-o anumită organizație. La Cisco, facem această analiză printr-o tehnică numită hashing: luăm hash-ul unei aplicații și avem milioane de puncte de date care vin înapoi și ne spun: “rata de răspândire a acestei aplicații este de 0.0001%”.

Rata de răspândire calculează cât de mult este utilizată o aplicația la nivel mondial și apoi la nivel de organizație. Ambele măsurători sunt foarte bune pentru a ne da seama când ceva este foarte suspect și dacă merită să ne uităm mai atent sau nu.

Aveți o serie interesantă de articole în Network World, despre sistemele de Mobile Device Management (MDM). Dar, în ultimii ani, am observat că acest subiect este discutat mai puțin. Este în scădere interesul din industrie pentru astfel de sisteme? Ce se întâmplă din perspectiva dvs.?

S-au întâmplat câteva lucruri, unul dintre ele fiind faptul că sistemele MDM au ajuns la un nivel de saturație în piață. Aproape toți clienții noștri mari au un astfel de sistem. Un alt lucru care s-a întâmplat este că legislația în ceea ce privește confidențialitatea, dar și mentalitatea utilizatorilor s-a schimbat, astfel încât multe persoane nu-și mai dau dispozitivul (smartphone, tabletă, etc.) organizației din care fac parte, pentru a se instala un software de MDM. Avem această competiție între organizațiile de business care vor acces complet la dispozitivele angajaților, pentru a se proteja de amenințări și angajații care opun rezistență la o astfel de abordare. Este o bătălie constantă între cele două tabere. De asemenea, am văzut că gradul de răspândire al sistemelor MDM variază în funcție de companii, cultura și valorile lor, și atitudinea generală pe care o au asupra angajaților.

Afectează asta și adopția programelor de tipul Bring Your Own Device (BYOD) - Adu-ți propriul dispozitiv la muncă?

Da, cu siguranță o afectează. Ce se întâmplă în general, este faptul că oamenii își aduc propriile dispozitive în rețeaua organizației și le folosesc într-o zonă foarte controlată. Din nou, segmentarea este folosită. Dacă îmi aduc propriul laptop în rețeaua de la muncă, atunci poate că primesc acces la internet și la un server web al companiei, dar nu voi primi acces la serverele de baze de date, la aplicațiile critice companiei ori la datele importante de business. Nu pe laptopul respectiv.

Noi facem asta în mod programatic la Cisco, astfel încât utilizatorul să poată ajunge unde are nevoie în rețeaua companiei, dar nu unde compania nu vrea ca el să ajungă atunci când folosește un dispozitiv personal.

Cea mai nouă problemă de securitate este “KRACK” (Key Reinstallation AttaCK), care afectează toți clienții și toate dispozitivele care folosesc schema de criptare WPA2 pentru rețele wireless. Ce face Cisco pentru a-și ajuta clienții cu această problemă?

Este o mare surpriză faptul că unul dintre lucrurile pe care ne-am bazat mulți ani, a devenit acum ușor de spart. Îmi aduce aminte de problemele pe care le-am întâmpinat cu SSL, SSH și alte lucruri pe care le consideram a fi sigure. Toate au devenit, pe rând, nedemne de încrederea noastră.

Pentru această problemă, s-au identificat zece vulnerabilități. Nouă dintre ele afectează clienții de rețea și trebuie să rezolvăm partea de client. Una dintre vulnerabilități este legată de rețea și echipamente de rețea. Pentru aceea, Cisco va oferi patch-uri. Vulnerabilitatea respectivă afectează punctele de acces și nu este nevoie să reparăm routerele și switch-urile.

Am fost bucuros să văd că Apple au în beta codul care rezolvă problemele pe dispozitivele lor client și că acestea vor fi în curând rezolvate. Windows are deja un patch gata, etc. Pentru Cisco, lucrurile sunt clare: avem o vulnerabilitate pe punctele noastre de acces și vom oferi patch-uri care rezolvă problema.

Până când se rezolvă totul, ce le recomandați clienților, pentru a se proteja de această problemă?

În unele cazuri nu este nevoie să facă nimic, deoarece, uneori, o formă de criptare este folosită în cadrul unei alte criptări. De exemplu, dacă mă duc la saitul băncii mele, aceasta folosește TLS sau SSL pentru securitatea comunicației și nu ești afectat de această problemă, chiar dacă folosesc o rețea WiFi fără criptare, precum cea de la o cafenea Starbucks. Problema cu WPA2 este mai degrabă una de confidențialitate. De exemplu, dacă vizitez un sait web și nu vreau ca alții să știe ce am vizitat, acum ei pot afla, pentru că WPA2 nu mai oferă protecție eficientă.

Un lucru pe care-l poți face pentru a te proteja este să folosești conexiuni VPN. Te poți conecta la o rețea wireless dar, imediat, trebuie să deschizi o aplicație de VPN și să o folosești. Conexiunea VPN este suficientă deoarece creează un tunel criptat prin Wi-Fi. Va funcționa OK cât timp criptatea folosită de VPN nu este spartă și ea. Atunci va trebui să găsim o altă soluție. :)

Pe piața consumer, unii producători de soluții de securitate, includ acum produse VPN împreună cu antivirusul vândut, în soluții de Total Security. De asemenea, ei încep să-și educe consumatorii că nu mai este suficient să ai un antivirus și un firewall, ci ai nevoie și de VPN. Care este abordarea Cisco în această privință? Promovați în mod activ VPN-ul ca un strat de protecție foarte important?

VPN-ul face parte din pachetele noastre pentru zona Enterprise. În circumstanțe normale, nu vorbim despre un tunel criptat VPN într-un alt tunel criptat, care folosește standardul WPA2. Asta, pentru că de obicei este prea mult și este nevoie de un efort suplimentar din partea clientului, pentru ca totul să meargă bine. În general, s-ar putea să nu fie nevoie de o astfel de protecție. Dacă un canal de comunicare este deja criptat, de ce să-l criptezi din nou, folosind și VPN?

Dar, când ești “prins cu pantalonii în vine", cum este cazul acum cu protocolul de securitate WPA2 și faptul că are un design insuficient de sigur, putem să ne protejăm folosind VPN, până când sunt rezolvate problemele cu WPA2.

Un aspect care merită luat în considerare este că, în spațiul organizațiilor care lucrează cu informații secrete, cum ar fi un Departament de Apărare sau un Serviciu de Informații, se folosește VPN de mulți ani. Aceste organizații folosesc conexiuni VPN criptate în cadrul comunicațiilor Wi-Fi criptate cu WPA2, precum și aplicații criptate. Astfel, au un sistem de trei criptografii diferite, una într-alta. Fac asta pentru că sunt paranoici așa cum ar trebui să fie. :)

În prezentarea din cadrul Cisco Connect, ați menționat că automatizarea este foarte importantă în securitate. Care este abordarea recomandată în ceea ce privește automatizarea soluțiilor de securitate?

Automatizarea devine foarte rapid o necesitate deoarece oamenii nu se pot mișca suficient de repede pentru a opri breșe de securitate și atacuri. Un client a avut 10.000 de mașini criptate de ransomware în 10 minute. Nu există un mod posibil pentru un om de a reacționa prompt la un astfel de atac și este nevoie de automatizare.

Abordarea noastră de astăzi poate că nu este suficient de dură pe cât ar trebui să fie dar, când vedem ceva suspect, un comportament care ar putea fi o breșă de securitate, sistemele noastre ne spun să punem acel dispozitiv în carantină. Carantina nu este un purgatoriu și mai poți face unele lucruri, cum ar fi accesarea internetului ori a serverelor care administrează distribuția de actualizări și patch-uri. Nu ești complet izolat. Dar, în viitor, s-ar putea să schimbăm această abordare și să spunem: ești în carantină și nu ai niciun fel de acces pentru că ești prea periculos pentru organizația din care faci parte.

Cum folosește Cisco automatizarea în portofoliul companiei de produse de securitate?

În anumite zone folosim foarte multe automatizări. De exemplu, în cadrul Cisco Talos, grupul nostru de cercetare în probleme de securitate, primim date de telemetrie și foarte multe alte lucruri, din foarte multe surse. Grupul Talos folosește machine learning și algoritmi de inteligență artificială pentru a sorta milioanele de înregistrări care vin în fiecare zi. Dacă ne uităm la eficacitatea în timp, în toate produsele noastre de securitate, se vede foarte clar că rezultatele obținute sunt de-a dreptul uimitoare, în toate testele independente care au fost realizate.

Încetinește cumva gradul de utilizare al atacurilor de tip DDOS?

Din păcate, DDOS ca metodă de atac este foarte activă și în creștere. Am observat că atacurile de tip DDOS tind să fie țintite către anumite tipuri de companii. Ele pot fi folosite atât ca momeală care ascunde un alt atac mai important cât și ca metodă de atac principală.

Sunt două tipuri de atacuri DDOS: volumetrice și bazate pe aplicații. Atacurile volumetrice au scăpat de sub control, dacă te uiți la câte date pot genera pentru a da jos o organizație. Este de-a dreptul ridicol!

Un tip de companii care tind să fie țintele atacurilor DDOS sunt cele din segmentul retail (comerțul cu amănuntul), de obicei în perioada sărbătorilor (vedeți că vine Black Friday!). Celelalte companii care sunt ținta atacurilor DDOS sunt cele care activează în zone controversate precum petrol și gaze. În acest caz, avem de a face cu persoane care au un cod etic anume și decid să atace prin DDOS o organizație, pentru că nu sunt de acord cu practicile lor de business. Astfel de atacuri sunt făcute pentru o cauză anume, nu pentru bani.

Angajații aduc în organizațiile lor nu doar propriile dispozitive ci și propriile sisteme cloud (OneDrive, Google Drive, Dropbox, etc). Asta reprezintă un alt risc de securitate pentru organizații. Cum gestionează această problemă un sistem precum Cisco Cloudlock?

Cloudlock face două lucruri fundamentale: în primul rând, realizează un audit al serviciilor cloud care sunt folosite. Integrăm Cloudlock cu produsele noastre web astfel încât toate jurnalele (fișierele de tip log) pot fi citite de Cloudlock. Asta îți spune ce face fiecare utilizator din organizație. Astfel, știi că mulți angajați folosesc propriul lor Dropbox, de exemplu.

Al doilea lucru pe care-l face Cloudlock este că este compus din API-uri (interfețe de programare) care comunică cu alte servicii cloud. Astfel, dacă un utilizator publică un document al companiei pe Box, Box comunică imediat cu Cloudlock și-i spune că are un nou document și ar trebui să se uite la el. Apoi, Cloudlock îl analizează, îl categorizează, îi face un profil de risc și vede dacă fișierul este partajat sau nu cu alte persoane. În funcție de rezultatele analizei, sistemul poate opri partajarea acelui fișier prin Box, în mod automat, ori o poate permite.

Folosind Cloudlock, poți crea reguli precum: “acest document nu ar trebui partajat niciodată cu cineva din afara companiei. Dacă este partajat, oprește imediat partajarea.”. De asemenea, poți face și criptare la cerere, în funcție de gradul de importanță al fiecărui document. Astfel, dacă un angajat nu a criptat un document foarte important al companiei, atunci când îl postează pe Box, Cloudlock va forța criptarea automată a acelui document.

Dorim să-i mulțumim lui Jamey Heary pentru acest interviu și răspunsurile oferite întrebărilor noastre. Dacă vrei să intri în contact cu el, îl poți găsi pe Twitter.

La finalul acestui interviu, nu ezita să ne împărtășești perspectiva ta despre subiectele discutate mai sus, într-un comentariu.