10 월 18 일, (October 18th)Cisco Connect 2017 에 초대되었습니다 . 이 행사에서 우리는 보안 전문가 (security expert) Jamey Heary 를 만났습니다 . 그는 Cisco (Cisco)Systems 의 뛰어난 시스템 엔지니어(Systems Engineer) 로 글로벌 보안 아키텍처 팀(Global Security Architecture Team) 을 이끌고 있습니다. Jamey 는 많은 Cisco 의 대규모 고객 을 위한 신뢰할 수 있는 보안 고문이자 설계자 입니다. (security advisor and architect)그는 또한 책 저자(book author) 이자 전 Network World 블로거입니다 .(Network World blogger) . 우리는 그와 현대 기업의 보안, 기업과 조직에 영향을 미치는 중대한 보안 문제, 모든 무선 네트워크 및 클라이언트( KRACK )에 영향을 미치는 최신 취약점에 대해 이야기했습니다. 그가 말한 내용은 다음과 같습니다.
우리의 청중은 최종 사용자와 비즈니스 사용자로 구성됩니다. 시작하고 자기 소개를 하기 위해 Cisco 에서의 업무를 비기업 방식으로 어떻게 설명하시겠습니까?
제 열정은 보안입니다. 내가 매일 하려고 노력하는 것은 고객과 최종 사용자에게 아키텍처에 대해 가르치는 것입니다. 예를 들어 보안 제품(security product) 에 대해 이야기하고 이 제품 이 다른 제품(당사 제품 또는 타사 제품)과 통합되는 방식에 대해 이야기합니다. 그러므로 나는 보안 관점(security perspective) 에서 시스템 아키텍처(system architecture) 를 다룬다 .
보안 전문가(security expert) 로서의 경험 에서 현대 기업에 가장 중요한 보안 위협은 무엇입니까?
가장 큰 것은 사회 공학과 랜섬웨어(engineering and ransomware) 입니다. 후자는 너무 많은 회사에서 황폐화를 일으키고 그 안에 너무 많은 돈이 있기 때문에 더 나빠질 것입니다. 맬웨어 제작자가 수행하는 방법을 알아낸 것이 아마도 가장 수익성이 높은 작업일 것입니다.
우리는 "나쁜 녀석들"의 초점이 최종 사용자에게 있다는 것을 보았습니다. 그 또는 그녀는 지금 가장 약한 고리입니다. 우리는 업계로서 사람들을 훈련시키려고 노력했고 언론은 자신을 더 잘 보호할 수 있는 방법에 대해 잘 알렸지만 여전히 누군가에게 표적 이메일을 보내서 원하는 작업: 링크 클릭, 첨부 파일 열기 등 원하는 것이 무엇이든 상관없습니다.
다른 위협은 온라인 지불입니다. 기업이 온라인으로 지불하는 방식이 계속해서 개선될 것이지만 업계가 온라인으로 지불하는 보다 안전한 방법을 구현할 때까지는 이 영역이 큰 위험 요소(risk factor) 가 될 것 입니다.
보안과 관련하여 사람은 가장 약한 고리이자 공격의 주요 초점입니다. 사회 공학이 주요 보안 위협 중 하나이기 때문에 이 문제에 어떻게 대처할 수 있습니까?
우리가 적용할 수 있는 기술은 많습니다. 특히 어떤 사람들이 다른 사람들보다 더 도움이 되는 경향이 있는 산업에서 한 사람을 위해 할 수 있는 일은 많지 않습니다. 예를 들어, 의료 산업(healthcare industry) 에서 사람들은 단지 다른 사람들을 돕고 싶어합니다. 그래서 당신은 그들에게 악성 이메일을 보내고, 그들은 경찰서(police department) 처럼 다른 업계의 사람들보다 당신이 보낸 것을 클릭할 가능성이 더 큽니다 .
그래서 우리는 이 문제가 있습니다. 하지만 우리는 기술을 사용할 수 있습니다. 우리가 할 수 있는 일 중 하나는 모든 최종 사용자가 사용할 수 있는 공격 표면(attack surface) 을 크게 줄일 수 있는 세분화 입니다. 우리는 이것을 " 제로 트러스트 "라고 부릅니다. 사용자가 (zero trust)회사 네트워크(company network) 에 연결할 때 네트워크는 사용자가 누구인지, 조직에서 사용자의 역할이 무엇인지, 사용자가 액세스해야 하는 응용 프로그램이 무엇인지 이해하고 사용자의 시스템을 이해하고 기계의 보안 태세(security posture) 는 무엇이며 매우 상세한 수준입니다. 예를 들어, 사용자가 가지고 있는 애플리케이션의 보급과 같은 것을 말할 수도 있습니다. 보급률 은 우리가 효과적인 것으로 확인된 것으로 (Prevalence)전 세계(world use) 에서 얼마나 많은 사람들이 사용하는지를 의미합니다.이 응용 프로그램 및 주어진 조직의 수. Cisco 에서는 해싱을 통해 이 분석을 수행합니다. 애플리케이션의 해시를 가져오고 수백만 개의 엔드포인트를 가지고 있으며 "이 앱의 보급률은 0.0001%입니다."라고 말합니다. 보급률(Prevalence) 은 앱이 전 세계와 조직에서 사용되는 양을 계산합니다. 이 두 가지 조치는 매우 의심스러운 부분이 있는지, 자세히 살펴볼 가치가 있는지 여부를 파악하는 데 매우 유용할 수 있습니다.
네트워크 세계(Network World) 에 모바일 장치 관리(Mobile Device Management) ( MDM ) 시스템 에 대한 흥미로운 기사 시리즈가 있습니다. 그러나 최근 몇 년 동안 이 주제는 덜 논의된 것 같습니다. 그러한 시스템에 대한 업계의 관심이 줄어들고 있습니까? 당신의 관점에서 무슨 일이 일어나고 있습니까?
몇 가지 일들이 발생했는데 그 중 하나는 MDM 시스템이 시장에서 상당히 포화 상태가 되었다는 것입니다. 거의(Almost) 모든 대규모 고객이 그러한 시스템을 갖추고 있습니다. 일어난 또 다른 일은 개인 정보 보호 규정 및 사용자의 개인 정보 보호 사고 방식(privacy mindset) 이 변경되어 많은 사람들이 더 이상 개인 장치(스마트폰, 태블릿 등)를 조직에 제공하지 않고 MDM 소프트웨어(MDM software) 설치를 허용하도록 변경되었다는 것입니다. 그래서 우리는 경쟁이 치열합니다. 기업은 직원이 사용하는 장치에 대한 전체 액세스 권한을 갖고 싶어하므로 자체적으로 보안을 유지할 수 있고 직원은 이러한 접근 방식에 매우 저항하게 됩니다. 양측 사이에는 이러한 끊임없는 전투가 있습니다. 우리는 의 보급을 보았다MDM 시스템은 (MDM)회사 문화와 가치(company culture and values) , 각 조직이 직원을 대하는 방식 에 따라 회사마다 다릅니다 .
이것이 BYOD(BYOD) ( Bring Your Own Device ) 와 같은 프로그램의 채택에 영향을 줍니까 ?
예, 완전히 그렇습니다. 대부분의 경우 회사 네트워크에서 자신의 장치를 사용하는 사람들이 매우 통제된 영역에서 사용하고 있습니다. 다시 말하지만(Again) , 세분화가 작동합니다. 내 장치를 회사 네트워크에 가져오면 인터넷, 일부 내부 회사 웹 서버(web server) 에 액세스할 수 있지만 절대 데이터베이스 서버, 회사의 중요한 앱 또는 해당 장치에서 중요한 데이터. 이는 Cisco 에서 프로그래밍 방식으로 수행하여 사용자가 (Cisco)회사 네트워크(company network) 에서 필요한 곳으로 이동할 수 있지만 회사에서 사용자가 이동하기를 원하지 않는 곳이 아닌 개인 장치에서 수행하는 것입니다.
모든 사람의 레이더에서 가장 뜨거운 보안 문제 는 (security issue)WPA2 암호화(WPA2 encryption) 체계 를 사용하는 모든 네트워크 클라이언트 및 장비에 영향을 미치는 " KRACK "( Key Reinstallation AttaCK )입니다. (Key Reinstallation AttaCK)Cisco 는 이 문제를 해결하기 위해 고객을 돕기 위해 무엇을 하고 있습니까?
우리가 수년 동안 의존했던 것 중 하나가 이제 크랙이 가능하다는 것은 엄청난 놀라움입니다. 그것은 SSL(SSL) , SSH 및 우리가 근본적으로 믿는 모든 문제를 상기시켜줍니다 . 그들 모두는 우리가 신뢰하는 "가치 없음"이 되었습니다.
이 문제에 대해 10개의 취약점을 식별했습니다. 그 10개 중 9개는 클라이언트 기반이므로 클라이언트를 수정해야 합니다. 그 중 하나는 네트워크 관련입니다. 이를 위해 Cisco 는 패치를 출시할 예정입니다. 문제는 액세스 포인트(access point) 에만 해당 되며 라우터와 스위치를 수정할 필요가 없습니다.
Apple 이 (Apple)베타 코드(beta code) 로 수정 사항을 제공하여 클라이언트 장치가 곧 완전히 패치 되는 것을 보고 기뻤습니다 . Windows 에는 이미 패치가 준비되어(patch ready) 있습니다 . Cisco 의 경우 경로는 간단합니다. 액세스 포인트에 하나의 취약점이 있고 패치와 수정 사항을 릴리스할 예정입니다.
모든 것이 해결될 때까지 고객이 스스로를 보호하기 위해 무엇을 하라고 권하시겠습니까?
어떤 경우에는 암호화 내부에서 암호화가 사용되기 때문에 아무 것도 할 필요가 없습니다. 예를 들어 은행 웹사이트로 이동하면 통신 보안을 위해 TLS 또는 SSL(TLS or SSL) 을 사용하므로 이 문제의 영향을 받지 않습니다. 그래서 스타벅스(Starbucks) 처럼 오픈 와이파(WiFi) 이를 이용한다고 해도 크게 상관은 없습니다. WPA2 에서 이 문제 가 더 많이 발생하는 곳은 개인 정보 보호 측면(privacy side) 입니다. 예를 들어, 내가 웹사이트에 가서 다른 사람들이 그것을 알기를 원하지 않는다면 WPA2 가 더 이상 효과적이지 않기 때문에 이제 그들은 알게 될 것입니다.
자신을 보호하기 위해 할 수 있는 한 가지는 VPN 연결을 설정하는 것입니다. 무선에 연결할 수 있지만 다음으로 해야 할 일은 VPN 을 켜는 것 입니다. VPN 은 WiFi 를 통과하는 암호화된 터널을 생성하기 때문에 괜찮습니다 . VPN 암호화(VPN encryption) 도 해킹되어 새로운 솔루션을 찾아야 할 때까지 작동 합니다. 🙂
소비자 시장(consumer market) 에서 일부 보안 공급업체는 VPN 을 바이러스 백신 및 전체 보안 제품군과 번들로 제공하고 있습니다. 그들은 또한 더 이상 방화벽과 바이러스 백신, VPN(VPN) 도 필요하다는 것을 소비자에게 교육하기 시작했습니다 . 기업의 보안에 대한 Cisco 의 접근 방식 은 무엇입니까 ? 또한 VPN(VPN) 을 필수 보호 계층(protection layer) 으로 적극적으로 홍보하고 있습니까?
VPN 은 기업용 패키지의 일부입니다. 정상적인 상황에서는 암호화된 터널 내에서 VPN 에 대해 이야기하지 않으며 WPA2(tunnel and WPA2) 는 암호화된 터널입니다. 일반적으로 과도하고 모든 것이 잘 작동하도록 하기 위해 클라이언트 측 에서 발생해야 하는 오버헤드가 있기 때문입니다. (client side)대부분의 경우 가치가 없습니다. 채널이 이미 암호화된 경우 다시 암호화하는 이유는 무엇입니까?
이 경우 WPA2 보안(WPA2 security) 프로토콜이 근본적으로 손상 되어 바지를 입고 잡히면 WPA2 로 문제가 해결될 때까지 VPN 으로 대체할 수 있습니다 .
그러나 정보 분야(intelligence space) 에서 국방부 와 (Department)같은(Defense type) 보안 조직 은 몇 년 동안 이 일을 해왔습니다. 그들은 VPN(VPN) 과 무선 암호화 에 의존하며 VPN 중간에 있는 많은 응용 프로그램 도 암호화되므로 서로 다른 유형의 암호화를 사용하는 3방향 암호화를 얻을 수 있습니다. 그들은 그래야만 하는 "편집증"이기 때문에 그렇게 합니다. :))
Cisco Connect 에서의 프레젠테이션에서 보안에서 자동화가 매우 중요하다고 언급하셨습니다. 보안 자동화를 위해 권장하는 접근 방식은 무엇입니까?
우리는 인간으로서 보안 침해와 위협을 막을 만큼 빠르게 움직일 수 없기 때문에 자동화는 빠르게 요구 사항이 될 것입니다. 한 고객은 10분 만에 랜섬웨어로 암호화된 10,000대의 머신을 보유하고 있었습니다. 그것에 대응할 수 있는 인간적인 방법은 없으므로 자동화가 필요합니다.
오늘날(approach today) 우리의 접근 방식 은 생각보다 강하지 않지만, 위반처럼 보이는 의심스러운 행동을 발견하면 보안 시스템이 네트워크에 해당 장치나 사용자를 격리하도록 지시합니다. 이것은 연옥이 아닙니다. 여전히 몇 가지 작업을 수행할 수 있습니다. 여전히 인터넷에 접속하거나 패치 관리(patch management) 서버에서 데이터를 가져올 수 있습니다. 당신은 완전히 고립되어 있지 않습니다. 앞으로는 그 철학을 바꿔야 할 수도 있습니다. 일단 격리되면 조직에 너무 위험하기 때문에 액세스할 수 없습니다.
Cisco 는 보안 제품 포트폴리오에서 자동화를 어떻게 사용하고 있습니까?
특정 영역에서는 자동화를 많이 사용합니다. 예를 들어, 위협 연구 그룹 인 (threat research group)Cisco Talos 에서는 모든 보안 위젯에서 원격 측정 데이터를 얻고 다른 소스에서 수많은 기타 데이터를 얻습니다. Talos 그룹(Talos group) 은 기계 학습(machine learning) 과 인공 지능을 사용 하여 매일 수백만 개의 레코드를 정렬합니다. 우리의 모든 보안 제품의 시간 경과에 따른 효능을 보면 모든 타사 효능 테스트에서 놀랍습니다.
DDOS 공격 의 사용이 느려지고 있습니까?
불행히도 공격 수단 인 (attack method)DDOS 는 여전히 건재하며 점점 더 악화되고 있습니다. 우리는 DDOS 공격이 특정 유형의 기업을 대상으로 하는 경향이 있음을 발견했습니다. 이러한 공격은 미끼와 기본 공격 무기로 사용(attack weapon) 됩니다. DDOS 공격에는 볼류메트릭 및 앱(volumetric and app) 기반 의 두 가지 유형도 있습니다 . 누군가를 쓰러뜨리기 위해 생성할 수 있는 데이터의 최신 수치를 보면 체적 측정이 통제 불능 상태가 되었습니다. 말도 안돼.
DDOS 공격 의 대상이 되는 기업 유형 중 하나는 일반적으로 휴가철(holiday season) ( 블랙 프라이데이(Black Friday) 가 다가옴!)에 소매업을 하는 기업입니다. DDOS 공격 의 표적이 되는 다른 종류의 회사는 석유 및 가스와(oil and gas) 같이 논란의 여지가 있는 분야에서 일하는 회사입니다 . 이 경우, 우리는 특정한 윤리적, 도덕적 이유가 있는 사람들을 다루고 있으며, 그들은 자신이 하는 일에 동의하지 않기 때문에 DDOS 조직 또는 다른 조직을 결정합니다. (DDOS)그러한 사람들은 이유와 목적을 위해 이 일을 하는 것이지 관련된 돈을 위해서가 아닙니다.
사람들은 자신의 장치뿐만 아니라 자신의 클라우드 시스템( OneDrive , Google Drive , Dropbox 등)을 조직에 가져옵니다. 이는 조직에 또 다른 보안 위험(security risk) 을 나타냅니다. Cisco Cloudlock 과 같은 시스템은 이 문제를 어떻게 처리합니까?
Cloudlock 은 두 가지 기본적인 작업을 수행합니다. 첫째, 사용 중인 모든 클라우드 서비스에 대한 감사를 제공합니다. 모든 웹 로그를 Cloudlock(Cloudlock) 에서 읽을 수 있도록 Cloudlock 을 웹 제품과 통합 합니다. 그것은 조직의 모든 사람들이 어디로 가고 있는지 알려줄 것입니다. 예를 들어 많은 사람들이 자신의 Dropbox 를 사용하고 있다는 것을 알고 있습니다.
Cloudlock 이 하는 두 번째 일은 모두 클라우드 서비스와 통신하는 API 로 구성된다는 것입니다. (API)이렇게 하면 사용자 가 Box 에 회사 문서(company document) 를 게시하면 Box 는 즉시 Cloudlock 에 새 문서가 도착했으며 검토해야 한다고 말합니다. 그래서 우리는 문서를 보고, 분류하고, 문서의 위험 프로필(risk profile) 을 파악하고, 문서가 다른 사람과 공유되었는지 여부를 파악할 것입니다. 결과에 따라 시스템은 Box 를 통한 해당 문서의 공유를 중지 하거나 허용합니다.
Cloudlock 을 사용하면 "회사 외부의 누구와도 이 정보를 공유해서는 안 됩니다. 공유할 경우 공유를 끄십시오."와 같은 규칙을 설정할 수 있습니다. 또한 각 문서의 중요도에 따라 요청 시 암호화를 수행할 수도 있습니다. 따라서 최종 사용자(end user) 가 중요한 비즈니스 문서 를 암호화하지 않은 경우 (business document)Box 에 게시할 때 Cloudlock 은 해당 문서를 자동으로 암호화합니다.
이 인터뷰와 그의 솔직한 답변에 대해 Jamey Heary 에게 감사드립니다 . 연락하고 싶다면 Twitter에서(on Twitter) 그를 찾을 수 있습니다 .
이 기사의 끝에서 아래에서 사용 가능한 댓글 옵션을 사용하여 우리가 논의한 주제에 대한 의견을 공유하십시오.
Jamey Heary from Cisco: Organizations that work with sensitive information, use encrypted WiFi, VPN, and encrypted apps
On Octobеr 18th, we were invited to Сisco Connect 2017. At this event, we met with security expert Jamey Heary. He is a Distinguished Systems Engineer at Cisco Systemѕ where he leads the Global Security Architecture Team. Jamey is a trustеd ѕecurity advisor and architect for many of Cisco's largest customers. He is also a book author and a former Network World blogger. We talked with hіm about security in the modern entеrprise, the significant security issues that are impacting businesses and organizations, and the lateѕt νulnerabilities that affect all wireless networks аnd clients (KRACK). Here іs what he had to say:
Our audience is composed both of end-users and business users. To get started, and introduce yourself a bit, how would you describe your job at Cisco, in a non-corporate way?
My passion is security. What I strive to do every day is teach my customers and end-users about architecture. For example, I talk about a security product and how it integrates with other products (our own or from third parties). Therefore I deal with system architecture from a security perspective.
In your experience as a security expert, what are the most significant security threats to the modern enterprise?
The big ones are social engineering and ransomware. The latter wreaks devastation in so many companies, and it is going to get worse because there is so much money in it. It is probably the most lucrative thing that malware creators figured out how to do.
We've seen that the focus of the "bad guys" is on the end-user. He or she is the weakest link right now. We have tried as an industry to train people, the media has done a good job at getting the word out on how you could protect yourself better, but still, it is fairly trivial to send somebody a targeted e-mail and get them to take an action you want: click a link, open an attachment, whatever it is that you want.
The other threat is online payments. We are going to continue to see enhancements in the ways companies take payments online but, until the industry implements more secure ways to take payments online, this area is going to be a huge risk factor.
When it comes to security, people are the weakest link and also the primary focus of attacks. How could we cope with this issue, since social engineering is one of the leading security threats?
There is a lot of technology that we can apply. There is only so much you can do for a person, especially in an industry where some people tend to be more helpful than others. For example, in the healthcare industry, people just want to help others. So you send them a malicious e-mail, and they are more likely to click on what you send them than people in other industries, as a police department.
So we have this problem, but we can use technology. One of the things we can do is segmentation, which can drastically reduce the attack surface that is available to any end-user. We call this "zero trust": when a user connects to the company network, the network understands who the user is, what his or her role is in the organization, what applications the user needs to access, it will understand the user's machine and what is the security posture of the machine, to a very detailed level. For example, it can even tell things like the prevalence of an application the user has. Prevalence is something we found effective, and it means how many other people in the world use this application, and how many in a given organization. At Cisco, we do this analysis through hashing: we take a hash of an application, and we have millions of end-points, and they will come back and say: "the prevalence on this app is 0.0001%". Prevalence calculates how much an app is used in the world and then in your organization. Both of these measures can be very good at figuring out if something is very suspect, and whether it deserves to take a closer look at.
You have an interesting series of articles in the Network World about Mobile Device Management (MDM) systems. However, in recent years, this subject seems to be discussed less. Is the industry's interest in such systems slowing down? What is happening, from your perspective?
Few things have happened, one of which is that MDM systems have become fairly saturated in the market. Almost all of my larger customers have one such system in place. The other thing that has happened is that the privacy regulations and the privacy mindset of users have changed such that many people no longer give their personal device (smartphone, tablet, etc.) to their organization and allow an MDM software to get installed. So we have this competition: the enterprise wants to have full access to the devices that are used by their employees so that it can secure itself and the employees have become very resistant to this approach. There is this constant battle between the two sides. We have seen that the prevalence of MDM systems varies from company to company, depending on the company culture and values, and how each organization wants to treat its employees.
Does this affect the adoption of programs like Bring Your Own Device (BYOD) to work?
Yes, it totally does. What is happening, for the most part, is that people that are using their own devices on the corporate network, use them in a very controlled area. Again, segmentation comes into play. If I bring my own device to the corporate network, then maybe I can access the internet, some internal corporate web server, but by no means, I am going to be able to access the database servers, the critical apps of my company or its critical data, from that device. That's something that we do programmatically at Cisco so that the user gets to go where it needs to in the company network but not where the company doesn't want the user to go, from a personal device.
The hottest security issue on everyone's radar is "KRACK" (Key Reinstallation AttaCK), affecting all network clients and equipment using the WPA2 encryption scheme. What is Cisco doing to help their customers with this problem?
It is a huge surprise that one of the things that we relied on for years is now crackable. It reminds us of the issues with SSL, SSH and all the things that we fundamentally believe in. All of them have become "not worthy" of our trust.
For this issue, we identified ten vulnerabilities. Of those ten, nine of them are client-based, so we have to fix the client. One of them is network related. For that one, Cisco is going to release patches. The issues are exclusive to the access point, and we don't have to fix routers and switches.
I was delighted to see that Apple got their fixes in beta code so their client devices will soon be fully patched. Windows already has a patch ready, etc. For Cisco, the road is straightforward: one vulnerability on our access points and we are going to release patches and fixes.
Until everything gets fixed, what would you recommend your customers do to protect themselves?
In some cases, you don't need to do anything, because sometimes encryption is used inside encryption. For example, if I go to my bank's website, it uses TLS or SSL for communications security, which isn't affected by this issue. So, even if I am going through a wide-open WiFi, like the one at Starbucks, it doesn't matter as much. Where this issue with WPA2 comes more into play is on the privacy side. For example, if I go to a website and I don't want others to know that, now they are going to know because WPA2 is not effective anymore.
One thing you can do to secure yourself is set up VPN connections. You can connect to wireless, but the next thing you have to do is turn on your VPN. The VPN is just fine because it creates an encrypted tunnel going through the WiFi. It will work until the VPN encryption gets hacked too and you need to figure out a new solution. 🙂
On the consumer market, some security vendors are bundling VPN with their antivirus and total security suites. They are also starting to educate consumers that it is no longer enough to have a firewall, and an antivirus, you also need a VPN. What is Cisco's approach regarding security for the enterprise? Do you also actively promote VPN as a necessary protection layer?
VPN is part of our packages for the enterprise. In normal circumstances, we don't talk about VPN within an encrypted tunnel and WPA2 is an encrypted tunnel. Usually, because it is overkill and there is overhead that has to happen on the client side to make it all work well. For the most part, it is not worth it. If the channel is already encrypted, why encrypt it again?
In this case, when you are caught with your pants down because the WPA2 security protocol is fundamentally broken, we can fall back on VPN, until the issues get fixed with WPA2.
But having said that, in the intelligence space, security organizations like a Department of Defense type of organization, they've been doing this for years. They rely on VPN, plus wireless encryption and, a lot of times the applications in the middle of their VPN are also encrypted, so you get a three-way encryption, all using different types of cryptography. They do that because they are "paranoid" as they should be. :))
In your presentation at Cisco Connect, you mentioned automation as being very important in security. What is your recommended approach for automation in security?
Automation will become a requirement quickly because we, as humans, we can't move fast enough to stop security breaches and threats. A customer had 10.000 machines encrypted by ransomware in 10 minutes. There is no way humanly possible that you can react to that, so you need automation.
Our approach today is not as heavy-handed as it might have to become but, when we see something suspicious, behavior that seems like a breach, our security systems tell the network to put that device or that user into quarantine. This isn't purgatory; you can still do some stuff: you can still go to the internet or get data from the patch management servers. You are not totally isolated. In the future, we might have to change that philosophy and say: once you are quarantined, you don't have any access because you are too dangerous for your organization.
How is Cisco using automation in its portfolio of security products?
In certain areas, we use a lot of automation. For example, in Cisco Talos, our threat research group, we get telemetry data from all our security widgets and a ton of other data from other sources. The Talos group uses machine learning and artificial intelligence to sort through millions of records every single day. If you look at the efficacy over time in all of our security products, it is amazing, in all the third-party efficacy tests.
Is the use of DDOS attacks slowing down?
Unfortunately, DDOS as an attack method is alive and well, and it is getting worse. We have found that DDOS attacks tend to be targeted towards certain types of corporations. Such attacks are used both as a decoy and as the primary attack weapon. There are also two types of DDOS attacks: volumetric and app based. The volumetric has gotten out of control if you look at the latest numbers of how much data they can generate to take somebody down. It is ridiculous.
One type of corporations that are targeted by DDOS attacks is those in retail, usually during the holiday season (Black Friday is coming!). The other kind of companies that get targeted by DDOS attacks is those that work in controversial areas, like oil and gas. In this case, we are dealing with people who have a particular ethical and moral cause, who decide to DDOS an organization or another because they don't agree with what they are doing. Such people do this for a cause, for a purpose, and not for the money involved.
People bring into their organizations not only their own devices but also their own cloud systems (OneDrive, Google Drive, Dropbox, etc.) This represents another security risk for organizations. How is a system like Cisco Cloudlock dealing with this issue?
Cloudlock does two fundamental things: first, it is giving you an audit of all the cloud services that are being used. We integrate Cloudlock with our web products so that all the web logs can be read by Cloudlock. That will tell you where everybody in the organization is going. So you know that a lot of people are using their own Dropbox, for example.
The second thing that Cloudlock does is that it is all made of API's that communicate with cloud services. This way, if a user published a company document on Box, Box immediately says to Cloudlock that a new document has arrived and it should take a look at it. So we will look at the document, categorize it, figure out the risk profile of the document, as well as has it been shared with others or not. Based on the results, the system will either stop the sharing of that document through Box or allow it.
With Cloudlock you can set rules like: "this should never be shared with anyone outside the company. If it is, turn the sharing off." You can also do encryption on demand, based on the criticality of each document. Therefore, if the end user did not encrypt a critical business document, when posting it on Box, Cloudlock will force the encryption of that document automatically.
We would like to thank Jamey Heary for this interview and his candid answers. If you want to get in touch, you can find him on Twitter.
At the end of this article, share your opinion about the subjects that we discussed, using the commenting options available below.
