10月18日、 (October 18th)CiscoConnect2017に招待されました。このイベントでは、セキュリティの専門家である(security expert) JameyHearyに会いました。彼はシスコ(Cisco)システムズ(Systems Engineer)のDistinguishedSystemsEngineerであり、(Systems)グローバルセキュリティアーキテクチャチーム(Global Security Architecture Team)を率いています。Jameyは、(Jamey)シスコ(Cisco)の最大の顧客の多くにとって信頼できるセキュリティアドバイザーおよびアーキテクトです。(security advisor and architect)彼はまた、本の著者(book author)であり、元ネットワークワールドのブロガーでもあります。(Network World blogger) 。現代の企業のセキュリティ、企業や組織に影響を与えている重大なセキュリティの問題、すべてのワイヤレスネットワークとクライアントに影響を与える最新の脆弱性(KRACK)について彼と話をしました。これが彼が言わなければならなかったことです:
私たちの聴衆は、エンドユーザーとビジネスユーザーの両方で構成されています。はじめに、自己紹介をしますが、シスコ(Cisco)での仕事を企業以外の方法でどのように説明しますか。
私の情熱はセキュリティです。私が毎日やろうとしていることは、顧客とエンドユーザーにアーキテクチャについて教えることです。たとえば、セキュリティ製品(security product)と、それが他の製品(自社またはサードパーティ製)とどのように統合されるかについて話します。したがって、私はセキュリティの観点(security perspective)からシステムアーキテクチャ(system architecture)を扱います。
セキュリティの専門家(security expert)としてのあなたの経験では、現代の企業にとって最も重大なセキュリティの脅威は何ですか?
大きなものはソーシャルエンジニアリングとランサムウェア(engineering and ransomware)です。後者は非常に多くの企業に荒廃をもたらし、そこにたくさんのお金があるのでそれはさらに悪化するでしょう。マルウェアの作成者がその方法を考え出したのは、おそらく最も有利なことです。
「悪者」の焦点はエンドユーザーにあることがわかりました。彼または彼女は現在最も弱いリンクです。私たちは業界として人々を訓練しようと試みました。メディアはあなたが自分自身をよりよく保護する方法についての情報を広めるのに良い仕事をしました、しかしそれでも、誰かに的を絞った電子メールを送って彼らに受け取らせるのはかなり簡単です必要なアクション:リンクをクリックし、添付ファイルを開きます。
もう1つの脅威はオンライン決済です。企業がオンラインで支払いを行う方法は引き続き強化されますが、業界がより安全なオンラインでの支払い方法を実装するまで、この領域は大きなリスク要因(risk factor)になります。
セキュリティに関して言えば、人は最も弱いリンクであり、攻撃の主な焦点でもあります。ソーシャルエンジニアリングは主要なセキュリティ脅威の1つであるため、この問題にどのように対処できますか?
適用できる技術はたくさんあります。特に、一部の人が他の人よりも役立つ傾向がある業界では、人のためにできることはたくさんあります。たとえば、ヘルスケア業界(healthcare industry)では、人々は他の人を助けたいだけです。したがって、あなたは彼らに悪意のある電子メールを送信し、彼らは警察署(police department)として、他の業界の人々よりもあなたが送信したものをクリックする可能性が高くなります。
したがって、この問題が発生しますが、テクノロジーを使用することはできます。私たちができることの1つはセグメンテーションです。これにより、エンドユーザーが利用できる攻撃対象領域(attack surface)を大幅に減らすことができます。これを「ゼロトラスト(zero trust)」と呼びます。ユーザーが会社のネットワーク(company network)に接続すると、ネットワークはユーザーが誰であるか、組織内での役割、ユーザーがアクセスする必要のあるアプリケーションを理解し、ユーザーのマシンを理解し、非常に詳細なレベルで、マシンのセキュリティ体制(security posture)はどのようなものですか。たとえば、ユーザーが持っているアプリケーションの普及率などを伝えることもできます。有病率は私たちが効果的だと思ったものであり、それは(Prevalence)世界(world use)の他の何人の人々が使用しているかを意味しますこのアプリケーション、および特定の組織内の数。Ciscoでは、ハッシュを介してこの分析を行います。アプリケーションのハッシュを取得し、数百万のエンドポイントがあり、「このアプリの普及率は0.0001%です」と戻ってきます。普及率(Prevalence)は、アプリが世界中で、次に組織でどれだけ使用されているかを計算します。これらの対策はどちらも、何かが非常に疑わしいかどうか、そしてそれを詳しく調べる価値があるかどうかを判断するのに非常に役立ちます。
ネットワークワールド(Network World)には、モバイルデバイス管理(Mobile Device Management)(MDM)システムに関する興味深い一連の記事があります。しかし、近年、このテーマはあまり議論されていないようです。そのようなシステムに対する業界の関心は鈍化しているのでしょうか。あなたの観点から、何が起こっているのですか?
いくつかのことが起こりました。その1つは、MDMシステムが市場でかなり飽和状態になったことです。私の大口顧客のほとんど(Almost)すべてが、そのようなシステムを1つ導入しています。もう1つ起こったことは、ユーザーのプライバシー規制とプライバシーの考え方(privacy mindset)が変化し、多くの人が個人のデバイス(スマートフォン、タブレットなど)を組織に渡さなくなり、MDMソフトウェア(MDM software)をインストールできるようになったということです。したがって、この競争があります。企業は、従業員が使用するデバイスに完全にアクセスして、自分自身を保護できるようにしたいと考えており、従業員はこのアプローチに非常に抵抗するようになっています。両者の間にはこの絶え間ない戦いがあります。の有病率はMDMシステムは、(MDM)企業文化と価値観(company culture and values)、および各組織が従業員をどのように扱いたいかによって、企業ごとに異なります。
これは、 Bring(Bring) Your Own Device(BYOD)などのプログラムの採用に影響しますか?
はい、完全にそうです。ほとんどの場合、企業ネットワークで自分のデバイスを使用している人々は、非常に制御された領域でそれらを使用しています。ここでも(Again)、セグメンテーションが機能します。自分のデバイスを企業ネットワークに持ち込むと、インターネットや社内のWebサーバー(web server)にアクセスできるかもしれませんが、データベースサーバー、会社の重要なアプリ、またはそのそのデバイスからの重要なデータ。これはシスコ(Cisco)でプログラムで行っていることであり、ユーザーは会社のネットワーク(company network)内の必要な場所に移動できますが、会社がユーザーの移動を望まない場所には個人用デバイスから移動できません。
すべての人のレーダーで最もホットなセキュリティ問題は「 (security issue)KRACK」(キー再インストールAttaCK )であり、 (Key Reinstallation AttaCK)WPA2暗号化(WPA2 encryption)スキームを使用するすべてのネットワーククライアントと機器に影響を及ぼします。この問題でお客様を支援するためにシスコ(Cisco)は何をしていますか?
私たちが長年頼っていたものの1つが今やクラック可能になったことは大きな驚きです。これは、 SSL(SSL)、SSH、および私たちが基本的に信じているすべてのものの問題を思い出させます。それらはすべて、私たちの信頼に「ふさわしくない」ものになっています。
この問題では、10個の脆弱性を特定しました。これらの10のうち、9つはクライアントベースであるため、クライアントを修正する必要があります。それらの1つはネットワーク関連です。そのために、シスコ(Cisco)はパッチをリリースする予定です。問題はアクセスポイント(access point)に限定されており、ルーターやスイッチを修正する必要はありません。
Appleが(Apple)ベータコード(beta code)で修正を取得したので、クライアントデバイスにまもなく完全にパッチが適用されることを嬉しく思います。Windowsにはすでにパッチの準備ができ(patch ready)ています。Ciscoの場合、道は簡単です。アクセスポイントに1つの脆弱性があり、パッチと修正をリリースする予定です。
すべてが修正されるまで、顧客が自分自身を守るために何をすることをお勧めしますか?
場合によっては、暗号化の内部で暗号化が使用されることがあるため、何もする必要はありません。たとえば、銀行のWebサイトにアクセスすると、通信セキュリティにTLSまたはSSL(TLS or SSL)が使用されますが、この問題の影響を受けません。ですから、スターバックス(Starbucks)のように広く開かれたWiFiを使用している場合でも、それほど重要ではありません。WPA2に関するこの問題がより重要になるのは、プライバシーの側面(privacy side)です。たとえば、私がWebサイトにアクセスして、他の人にそのことを知られたくない場合、WPA2はもう効果がないため、他の人に知られるようになります。
自分自身を保護するためにできることの1つは、VPN接続を設定することです。ワイヤレスに接続できますが、次に行う必要があるのはVPN(VPN)をオンにすることです。VPNは、 (VPN)WiFiを通過する暗号化されたトンネルを作成するため、問題ありません。VPN暗号化(VPN encryption)もハッキングされ、新しいソリューションを見つける必要があるまで機能します。🙂
消費者市場(consumer market)では、一部のセキュリティベンダーは、VPNをウイルス対策およびトータルセキュリティスイートにバンドルしています。彼らはまた、ファイアウォールとアンチウイルスを持っているだけではもはや十分ではないことを消費者に教育し始めています。VPN(VPN)も必要です。企業のセキュリティに関するシスコ(Cisco)のアプローチは何ですか?また、必要な保護レイヤーとして(protection layer)VPNを積極的に宣伝していますか?
VPNは、企業向けのパッケージの一部です。通常の状況では、暗号化されたトンネル内のVPNについては説明しません。また、WPA2(tunnel and WPA2)は暗号化されたトンネルです。通常、それはやり過ぎであり、すべてをうまく機能させるためにクライアント側で発生しなければならないオーバーヘッドがあるためです。(client side)ほとんどの場合、それは価値がありません。チャネルがすでに暗号化されている場合、なぜ再度暗号化するのですか?
この場合、WPA2セキュリティプロトコルが根本的に壊れているためにズボンを下ろしたときに、問題が(WPA2 security)WPA2で修正されるまで、VPNにフォールバックできます。
しかし、インテリジェンスの分野(intelligence space)では、国防総省(Department)タイプ(Defense type)の組織のようなセキュリティ組織は、これを何年にもわたって行ってきました。彼らはVPN(VPN)に加えてワイヤレス暗号化に依存しており、多くの場合、VPNの途中にあるアプリケーションも暗号化されているため、すべて異なるタイプの暗号化を使用して3者間暗号化を利用できます。彼らはそうあるべきであるように彼らが「パラノイド」であるためにそれをします。:))
Cisco Connectでのプレゼンテーションで、セキュリティにおいて自動化が非常に重要であるとおっしゃいました。セキュリティの自動化に推奨されるアプローチは何ですか?
私たち人間はセキュリティ違反や脅威を阻止するのに十分な速さで行動できないため、自動化はすぐに要件になります。顧客は、10分でランサムウェアによって暗号化された10.000台のマシンを持っていました。それに反応することは人間的に不可能なので、自動化が必要です。
今日の私たちのアプローチ(approach today)は、必要になるほど手間がかかりませんが、違反のように見える疑わしい動作を見つけた場合、セキュリティシステムは、そのデバイスまたはそのユーザーを隔離するようにネットワークに指示します。これは煉獄ではありません。あなたはまだいくつかのことをすることができます:あなたはまだインターネットに行くか、パッチ管理(patch management)サーバーからデータを得ることができます。あなたは完全に孤立しているわけではありません。将来的には、その哲学を変更して、次のように言う必要があるかもしれません。検疫されると、組織にとって危険すぎるため、アクセスできなくなります。
シスコ(Cisco)はセキュリティ製品のポートフォリオで自動化をどのように使用していますか?
特定の分野では、多くの自動化を使用しています。たとえば、脅威研究グループである(threat research group)Cisco Talosでは、すべてのセキュリティウィジェットからテレメトリデータを取得し、他のソースから大量のデータを取得しています。Talosグループ(Talos group)は、機械学習(machine learning)と人工知能を使用して、毎日何百万ものレコードを分類しています。当社のすべてのセキュリティ製品の有効性を経時的に見ると、すべてのサードパーティの有効性テストで驚くべきことです。
DDOS攻撃の使用は遅くなっていますか?
残念ながら、攻撃方法(attack method)としてのDDOSは健在であり、悪化しています。DDOS攻撃は、特定の種類の企業を標的にする傾向があることがわかりました。このような攻撃は、おとりとしても主要な攻撃兵器(attack weapon)としても使用されます。DDOS攻撃には、ボリュームベースとアプリ(volumetric and app)ベースの2種類もあります。誰かを倒すために生成できるデータ量の最新の数値を見ると、ボリュームは制御不能になっています。馬鹿馬鹿しい。
DDOS攻撃の標的となる企業の1つのタイプは、通常はホリデーシーズン(holiday season)(ブラックフライデー(Black Friday)が来る!)の小売業です。DDOS攻撃の標的となる他の種類の企業は、石油やガス(oil and gas)など、物議を醸している分野で活動している企業です。この場合、私たちは、特定の倫理的および道徳的理由を持っている人々を扱っています。彼らは、彼らがしていることに同意しないために、組織または別の組織をDDOS攻撃することを決定します。(DDOS)そのような人々は、関係するお金のためではなく、目的のためにこれを行います。
人々は、自分のデバイスだけでなく、自分のクラウドシステム( OneDrive(OneDrive)、Googleドライブ(Google Drive)、Dropboxなど)も組織に持ち込みます。これは、組織にとってもう1つのセキュリティリスク(security risk)です。Cisco Cloudlockのようなシステムはこの問題にどのように対処していますか?
Cloudlockは2つの基本的なことを行います。1つは、使用されているすべてのクラウドサービスの監査を提供することです。Cloudlockを当社のWeb製品と統合して、すべてのWebログをCloudlockで読み取ることができるようにします。これにより、組織内の全員がどこに向かっているのかがわかります。たとえば、多くの人が独自のDropboxを使用していることがわかります。(Dropbox)
Cloudlockが行う2番目のことは、すべてがクラウドサービスと通信するAPIで構成されていることです。(API)このように、ユーザーがBoxで会社のドキュメントを公開した場合、(Box)Box(company document)はすぐに(Box)Cloudlockに(Cloudlock)新しいドキュメントが到着したことを通知し、それを確認する必要があります。そのため、ドキュメントを確認して分類し、ドキュメントのリスクプロファイル(risk profile)を把握し、他のユーザーと共有されているかどうかを確認します。結果に基づいて、システムはBoxを介したそのドキュメントの共有を停止するか、許可します。
Cloudlockを使用(Cloudlock)すると、次のようなルールを設定できます。「これは社外の人と共有しないでください。共有する場合は、共有をオフにしてください。」各ドキュメントの重要度に基づいて、オンデマンドで暗号化を行うこともできます。したがって、エンドユーザーが重要な(end user)ビジネスドキュメント(business document)を暗号化していない場合、 Boxに投稿すると、Cloudlockはそのドキュメントの暗号化を自動的に強制します。
このインタビューと彼の率直な回答に対してジェイミー・ヒアリー(Jamey Heary)に感謝します。連絡を取りたい場合は、Twitterで彼を(on Twitter)見つけることができます。
この記事の最後に、以下のコメントオプションを使用して、私たちが議論した主題についてのあなたの意見を共有してください。
Jamey Heary from Cisco: Organizations that work with sensitive information, use encrypted WiFi, VPN, and encrypted apps
On October 18th, we were invіted to Cisco Connect 2017. At this event, we met with security expert Jamey Heary. He is a Distinguiѕhed Systems Engineer at Ciѕco Systems wherе he leads the Global Securіty Architecture Team. Jаmey іs a trusted security advisor and architect for many of Ciscо's largest customerѕ. He is also a bоok author and a former Nеtwork World blogger. Wе talked with him аbout security in the modern enterprise, the significant security issues that are impacting businesses and organizations, and the latest vulnerabilities that affect all wireleѕs networks and clients (KRACK). Here is what he had to sаy:
Our audience is composed both of end-users and business users. To get started, and introduce yourself a bit, how would you describe your job at Cisco, in a non-corporate way?
My passion is security. What I strive to do every day is teach my customers and end-users about architecture. For example, I talk about a security product and how it integrates with other products (our own or from third parties). Therefore I deal with system architecture from a security perspective.
In your experience as a security expert, what are the most significant security threats to the modern enterprise?
The big ones are social engineering and ransomware. The latter wreaks devastation in so many companies, and it is going to get worse because there is so much money in it. It is probably the most lucrative thing that malware creators figured out how to do.
We've seen that the focus of the "bad guys" is on the end-user. He or she is the weakest link right now. We have tried as an industry to train people, the media has done a good job at getting the word out on how you could protect yourself better, but still, it is fairly trivial to send somebody a targeted e-mail and get them to take an action you want: click a link, open an attachment, whatever it is that you want.
The other threat is online payments. We are going to continue to see enhancements in the ways companies take payments online but, until the industry implements more secure ways to take payments online, this area is going to be a huge risk factor.
When it comes to security, people are the weakest link and also the primary focus of attacks. How could we cope with this issue, since social engineering is one of the leading security threats?
There is a lot of technology that we can apply. There is only so much you can do for a person, especially in an industry where some people tend to be more helpful than others. For example, in the healthcare industry, people just want to help others. So you send them a malicious e-mail, and they are more likely to click on what you send them than people in other industries, as a police department.
So we have this problem, but we can use technology. One of the things we can do is segmentation, which can drastically reduce the attack surface that is available to any end-user. We call this "zero trust": when a user connects to the company network, the network understands who the user is, what his or her role is in the organization, what applications the user needs to access, it will understand the user's machine and what is the security posture of the machine, to a very detailed level. For example, it can even tell things like the prevalence of an application the user has. Prevalence is something we found effective, and it means how many other people in the world use this application, and how many in a given organization. At Cisco, we do this analysis through hashing: we take a hash of an application, and we have millions of end-points, and they will come back and say: "the prevalence on this app is 0.0001%". Prevalence calculates how much an app is used in the world and then in your organization. Both of these measures can be very good at figuring out if something is very suspect, and whether it deserves to take a closer look at.
You have an interesting series of articles in the Network World about Mobile Device Management (MDM) systems. However, in recent years, this subject seems to be discussed less. Is the industry's interest in such systems slowing down? What is happening, from your perspective?
Few things have happened, one of which is that MDM systems have become fairly saturated in the market. Almost all of my larger customers have one such system in place. The other thing that has happened is that the privacy regulations and the privacy mindset of users have changed such that many people no longer give their personal device (smartphone, tablet, etc.) to their organization and allow an MDM software to get installed. So we have this competition: the enterprise wants to have full access to the devices that are used by their employees so that it can secure itself and the employees have become very resistant to this approach. There is this constant battle between the two sides. We have seen that the prevalence of MDM systems varies from company to company, depending on the company culture and values, and how each organization wants to treat its employees.
Does this affect the adoption of programs like Bring Your Own Device (BYOD) to work?
Yes, it totally does. What is happening, for the most part, is that people that are using their own devices on the corporate network, use them in a very controlled area. Again, segmentation comes into play. If I bring my own device to the corporate network, then maybe I can access the internet, some internal corporate web server, but by no means, I am going to be able to access the database servers, the critical apps of my company or its critical data, from that device. That's something that we do programmatically at Cisco so that the user gets to go where it needs to in the company network but not where the company doesn't want the user to go, from a personal device.
The hottest security issue on everyone's radar is "KRACK" (Key Reinstallation AttaCK), affecting all network clients and equipment using the WPA2 encryption scheme. What is Cisco doing to help their customers with this problem?
It is a huge surprise that one of the things that we relied on for years is now crackable. It reminds us of the issues with SSL, SSH and all the things that we fundamentally believe in. All of them have become "not worthy" of our trust.
For this issue, we identified ten vulnerabilities. Of those ten, nine of them are client-based, so we have to fix the client. One of them is network related. For that one, Cisco is going to release patches. The issues are exclusive to the access point, and we don't have to fix routers and switches.
I was delighted to see that Apple got their fixes in beta code so their client devices will soon be fully patched. Windows already has a patch ready, etc. For Cisco, the road is straightforward: one vulnerability on our access points and we are going to release patches and fixes.
Until everything gets fixed, what would you recommend your customers do to protect themselves?
In some cases, you don't need to do anything, because sometimes encryption is used inside encryption. For example, if I go to my bank's website, it uses TLS or SSL for communications security, which isn't affected by this issue. So, even if I am going through a wide-open WiFi, like the one at Starbucks, it doesn't matter as much. Where this issue with WPA2 comes more into play is on the privacy side. For example, if I go to a website and I don't want others to know that, now they are going to know because WPA2 is not effective anymore.
One thing you can do to secure yourself is set up VPN connections. You can connect to wireless, but the next thing you have to do is turn on your VPN. The VPN is just fine because it creates an encrypted tunnel going through the WiFi. It will work until the VPN encryption gets hacked too and you need to figure out a new solution. 🙂
On the consumer market, some security vendors are bundling VPN with their antivirus and total security suites. They are also starting to educate consumers that it is no longer enough to have a firewall, and an antivirus, you also need a VPN. What is Cisco's approach regarding security for the enterprise? Do you also actively promote VPN as a necessary protection layer?
VPN is part of our packages for the enterprise. In normal circumstances, we don't talk about VPN within an encrypted tunnel and WPA2 is an encrypted tunnel. Usually, because it is overkill and there is overhead that has to happen on the client side to make it all work well. For the most part, it is not worth it. If the channel is already encrypted, why encrypt it again?
In this case, when you are caught with your pants down because the WPA2 security protocol is fundamentally broken, we can fall back on VPN, until the issues get fixed with WPA2.
But having said that, in the intelligence space, security organizations like a Department of Defense type of organization, they've been doing this for years. They rely on VPN, plus wireless encryption and, a lot of times the applications in the middle of their VPN are also encrypted, so you get a three-way encryption, all using different types of cryptography. They do that because they are "paranoid" as they should be. :))
In your presentation at Cisco Connect, you mentioned automation as being very important in security. What is your recommended approach for automation in security?
Automation will become a requirement quickly because we, as humans, we can't move fast enough to stop security breaches and threats. A customer had 10.000 machines encrypted by ransomware in 10 minutes. There is no way humanly possible that you can react to that, so you need automation.
Our approach today is not as heavy-handed as it might have to become but, when we see something suspicious, behavior that seems like a breach, our security systems tell the network to put that device or that user into quarantine. This isn't purgatory; you can still do some stuff: you can still go to the internet or get data from the patch management servers. You are not totally isolated. In the future, we might have to change that philosophy and say: once you are quarantined, you don't have any access because you are too dangerous for your organization.
How is Cisco using automation in its portfolio of security products?
In certain areas, we use a lot of automation. For example, in Cisco Talos, our threat research group, we get telemetry data from all our security widgets and a ton of other data from other sources. The Talos group uses machine learning and artificial intelligence to sort through millions of records every single day. If you look at the efficacy over time in all of our security products, it is amazing, in all the third-party efficacy tests.
Is the use of DDOS attacks slowing down?
Unfortunately, DDOS as an attack method is alive and well, and it is getting worse. We have found that DDOS attacks tend to be targeted towards certain types of corporations. Such attacks are used both as a decoy and as the primary attack weapon. There are also two types of DDOS attacks: volumetric and app based. The volumetric has gotten out of control if you look at the latest numbers of how much data they can generate to take somebody down. It is ridiculous.
One type of corporations that are targeted by DDOS attacks is those in retail, usually during the holiday season (Black Friday is coming!). The other kind of companies that get targeted by DDOS attacks is those that work in controversial areas, like oil and gas. In this case, we are dealing with people who have a particular ethical and moral cause, who decide to DDOS an organization or another because they don't agree with what they are doing. Such people do this for a cause, for a purpose, and not for the money involved.
People bring into their organizations not only their own devices but also their own cloud systems (OneDrive, Google Drive, Dropbox, etc.) This represents another security risk for organizations. How is a system like Cisco Cloudlock dealing with this issue?
Cloudlock does two fundamental things: first, it is giving you an audit of all the cloud services that are being used. We integrate Cloudlock with our web products so that all the web logs can be read by Cloudlock. That will tell you where everybody in the organization is going. So you know that a lot of people are using their own Dropbox, for example.
The second thing that Cloudlock does is that it is all made of API's that communicate with cloud services. This way, if a user published a company document on Box, Box immediately says to Cloudlock that a new document has arrived and it should take a look at it. So we will look at the document, categorize it, figure out the risk profile of the document, as well as has it been shared with others or not. Based on the results, the system will either stop the sharing of that document through Box or allow it.
With Cloudlock you can set rules like: "this should never be shared with anyone outside the company. If it is, turn the sharing off." You can also do encryption on demand, based on the criticality of each document. Therefore, if the end user did not encrypt a critical business document, when posting it on Box, Cloudlock will force the encryption of that document automatically.
We would like to thank Jamey Heary for this interview and his candid answers. If you want to get in touch, you can find him on Twitter.
At the end of this article, share your opinion about the subjects that we discussed, using the commenting options available below.
