Jamey Heary di Cisco: organizzazioni che lavorano con informazioni riservate, utilizzano Wi-Fi crittografato, VPN e app crittografate

Il 18 ottobre(October 18th) siamo stati invitati a Cisco Connect 2017 . A questo evento, abbiamo incontrato l'esperto di sicurezza (security expert) Jamey Heary . È un Distinguished Systems Engineer presso Cisco Systems , dove dirige il Global Security Architecture Team . Jamey è un fidato consulente per la sicurezza e architetto(security advisor and architect) per molti dei maggiori clienti di Cisco . È anche autore di libri(book author) ed ex blogger di Network World(Network World blogger). Abbiamo parlato con lui della sicurezza nelle aziende moderne, dei problemi di sicurezza significativi che stanno avendo un impatto su aziende e organizzazioni e delle ultime vulnerabilità che interessano tutte le reti e i client wireless ( KRACK ). Ecco che cosa aveva da dire:

Il nostro pubblico è composto sia da utenti finali che da utenti aziendali. Per iniziare e presentarti un po', come descriveresti il ​​tuo lavoro in Cisco , in modo non aziendale?

La mia passione è la sicurezza. Quello che mi sforzo di fare ogni giorno è insegnare l'architettura ai miei clienti e agli utenti finali. Ad esempio, parlo di un prodotto di sicurezza(security product) e di come si integra con altri prodotti (nostri o di terze parti). Pertanto mi occupo dell'architettura del sistema(system architecture) dal punto di vista della sicurezza(security perspective) .

Jamey Heary, Cisco

In base alla tua esperienza di esperto di sicurezza(security expert) , quali sono le minacce alla sicurezza più significative per l'impresa moderna?

I più grandi sono l' ingegneria sociale e il ransomware(engineering and ransomware) . Quest'ultimo provoca devastazione in così tante aziende e peggiorerà perché ci sono così tanti soldi in esso. È probabilmente la cosa più redditizia che i creatori di malware hanno capito come fare.

Abbiamo visto che il focus dei "cattivi" è sull'utente finale. Lui o lei è l'anello più debole in questo momento. Abbiamo cercato come industria di formare le persone, i media hanno fatto un buon lavoro nel spargere la voce su come proteggersi meglio, ma è comunque abbastanza banale inviare a qualcuno un'e-mail mirata e convincerli a prendere un'azione che desideri: fare clic su un collegamento, aprire un allegato, qualunque cosa tu voglia.

L'altra minaccia sono i pagamenti online. Continueremo a vedere miglioramenti nei modi in cui le aziende accettano i pagamenti online ma, fino a quando il settore non implementerà metodi più sicuri per effettuare pagamenti online, quest'area sarà un enorme fattore di rischio(risk factor) .

Quando si tratta di sicurezza, le persone sono l'anello più debole e anche l'obiettivo principale degli attacchi. Come potremmo affrontare questo problema, dal momento che l'ingegneria sociale è una delle principali minacce alla sicurezza?

C'è molta tecnologia che possiamo applicare. C'è così tanto che puoi fare per una persona, specialmente in un settore in cui alcune persone tendono a essere più utili di altre. Ad esempio, nel settore sanitario(healthcare industry) , le persone vogliono solo aiutare gli altri. Quindi invii loro un'e-mail dannosa ed è più probabile che facciano clic su ciò che gli invii rispetto a persone in altri settori, come un dipartimento di polizia(police department) .

Quindi abbiamo questo problema, ma possiamo usare la tecnologia. Una delle cose che possiamo fare è la segmentazione, che può ridurre drasticamente la superficie di attacco(attack surface) disponibile per qualsiasi utente finale. Lo chiamiamo " zero trust ": quando un utente si connette alla rete aziendale(company network) , la rete comprende chi è l'utente, qual è il suo ruolo nell'organizzazione, a quali applicazioni deve accedere l'utente, capirà la macchina dell'utente e qual è la posizione di sicurezza(security posture) della macchina, a un livello molto dettagliato. Ad esempio, può anche dire cose come la prevalenza di un'applicazione dell'utente. La prevalenza(Prevalence) è qualcosa che abbiamo trovato efficace e significa quante altre persone nel mondo usano(world use)questa applicazione e quanti in una determinata organizzazione. In Cisco , eseguiamo questa analisi tramite l'hashing: prendiamo un hash di un'applicazione e abbiamo milioni di endpoint, e loro torneranno e diranno: "la prevalenza su questa app è dello 0,0001%". La prevalenza(Prevalence) calcola quanto un'app viene utilizzata nel mondo e quindi nella tua organizzazione. Entrambe queste misure possono essere molto utili per capire se qualcosa è molto sospetto e se merita di dare un'occhiata più da vicino.

Hai un'interessante serie di articoli in Network World sui sistemi di gestione dei dispositivi mobili(Mobile Device Management) ( MDM ). Tuttavia, negli ultimi anni, questo argomento sembra essere discusso meno. L'interesse del settore per tali sistemi sta rallentando? Cosa sta succedendo, dal tuo punto di vista?

Sono successe poche cose, una delle quali è che i sistemi MDM sono diventati abbastanza saturi nel mercato. Quasi(Almost) tutti i miei clienti più grandi hanno uno di questi sistemi in atto. L'altra cosa che è successa è che le normative sulla privacy e la mentalità sulla privacy(privacy mindset) degli utenti sono cambiate in modo tale che molte persone non danno più il proprio dispositivo personale (smartphone, tablet, ecc.) alla propria organizzazione e consentono l'installazione di un software MDM(MDM software) . Quindi abbiamo questa concorrenza: l'azienda vuole avere pieno accesso ai dispositivi utilizzati dai propri dipendenti in modo che possa proteggersi e i dipendenti sono diventati molto resistenti a questo approccio. C'è questa battaglia costante tra le due parti. Abbiamo visto che la prevalenza diI sistemi MDM(MDM) variano da azienda a azienda, a seconda della cultura e dei valori aziendali(company culture and values) e di come ciascuna organizzazione desidera trattare i propri dipendenti.

Ciò influisce sull'adozione di programmi come Bring Your Own Device ( BYOD ) per funzionare?

Sì, lo fa totalmente. Ciò che sta accadendo, per la maggior parte, è che le persone che utilizzano i propri dispositivi sulla rete aziendale, li utilizzano in un'area molto controllata. Anche(Again) in questo caso , entra in gioco la segmentazione. Se porto il mio dispositivo alla rete aziendale, allora forse posso accedere a Internet, a qualche server Web(web server) aziendale interno , ma in nessun modo sarò in grado di accedere ai server di database, alle app critiche della mia azienda o alla sua dati critici, da quel dispositivo. Questo è qualcosa che facciamo in modo programmatico in Cisco in modo che l'utente possa andare dove deve nella rete aziendale(company network) ma non dove l'azienda non vuole che l'utente vada, da un dispositivo personale.

Il problema di sicurezza(security issue) più caldo sul radar di tutti è " KRACK " ( Key Reinstallation AttaCK ), che colpisce tutti i client di rete e le apparecchiature che utilizzano lo schema di crittografia WPA2 . (WPA2 encryption)Cosa sta facendo Cisco per aiutare i propri clienti con questo problema?

È una grande sorpresa che una delle cose su cui abbiamo fatto affidamento per anni ora sia crackabile. Ci ricorda i problemi con SSL , SSH e tutte le cose in cui crediamo fondamentalmente. Tutti sono diventati "non degni" della nostra fiducia.

Per questo problema, abbiamo identificato dieci vulnerabilità. Di questi dieci, nove sono basati sul client, quindi dobbiamo aggiustare il client. Uno di questi è relativo alla rete. Per quello, Cisco rilascerà le patch. I problemi sono esclusivi del punto di accesso(access point) e non dobbiamo riparare router e switch.

Sono stato lieto di vedere che Apple ha ottenuto le correzioni in codice beta,(beta code) quindi i dispositivi client saranno presto completamente patchati. Windows ha già una patch pronta(patch ready) , ecc. Per Cisco , la strada è semplice: una vulnerabilità sui nostri punti di accesso e rilasceremo patch e correzioni.

Fino a quando tutto non sarà risolto, cosa consiglieresti di fare ai tuoi clienti per proteggersi?

In alcuni casi, non è necessario fare nulla, perché a volte la crittografia viene utilizzata all'interno della crittografia. Ad esempio, se vado al sito Web della mia banca, utilizza TLS o SSL(TLS or SSL) per la sicurezza delle comunicazioni, che non è interessata da questo problema. Quindi, anche se sto attraversando un Wi- Fi(WiFi) aperto , come quello di Starbucks , non ha molta importanza. Dove questo problema con WPA2 entra maggiormente in gioco è sul lato della privacy(privacy side) . Ad esempio, se vado su un sito Web e non voglio che gli altri lo sappiano, ora lo sapranno perché WPA2 non è più efficace.

Una cosa che puoi fare per proteggerti è configurare connessioni VPN . Puoi connetterti al wireless, ma la prossima cosa che devi fare è attivare la tua VPN . La VPN va bene perché crea un tunnel crittografato che passa attraverso il WiFi . Funzionerà fino a quando anche la crittografia VPN(VPN encryption) non verrà violata e dovrai trovare una nuova soluzione. 🙂

Sul mercato consumer(consumer market) , alcuni fornitori di sicurezza stanno raggruppando VPN con le loro suite antivirus e di sicurezza totale. Stanno anche iniziando a educare i consumatori che non è più sufficiente avere un firewall e un antivirus, è necessaria anche una VPN . Qual è l'approccio di Cisco in materia di sicurezza per l'azienda? Promuovi attivamente anche la VPN come livello di protezione(protection layer) necessario ?

La VPN(VPN) fa parte dei nostri pacchetti per l'azienda. In circostanze normali, non si parla di VPN all'interno di un tunnel crittografato e WPA2(tunnel and WPA2) è un tunnel crittografato. Di solito, perché è eccessivo e c'è un sovraccarico che deve accadere sul lato client(client side) per far funzionare tutto bene. Per la maggior parte, non ne vale la pena. Se il canale è già crittografato, perché crittografarlo di nuovo?

In questo caso, quando vieni sorpreso con i pantaloni abbassati perché il protocollo di sicurezza WPA2(WPA2 security) è fondamentalmente rotto, possiamo ricorrere alla VPN , fino a quando i problemi non vengono risolti con WPA2 .

Ma detto questo, nello spazio dell'intelligence(intelligence space) , le organizzazioni di sicurezza come un'organizzazione del tipo del Dipartimento(Department) della Difesa(Defense type) , lo fanno da anni. Si basano su VPN , oltre alla crittografia wireless e, molte volte anche le applicazioni nel mezzo della loro VPN sono crittografate, quindi ottieni una crittografia a tre vie, tutte utilizzando diversi tipi di crittografia. Lo fanno perché sono "paranoici" come dovrebbero. :))

Nella tua presentazione a Cisco Connect , hai menzionato l'automazione come molto importante per la sicurezza. Qual è il tuo approccio consigliato per l'automazione nella sicurezza?

L'automazione diventerà rapidamente un requisito perché noi, come esseri umani, non possiamo muoverci abbastanza velocemente per fermare le violazioni e le minacce alla sicurezza. Un cliente aveva 10.000 macchine crittografate da ransomware in 10 minuti. Non è umanamente possibile che tu possa reagire a questo, quindi hai bisogno dell'automazione.

Il nostro approccio oggi(approach today) non è così pesante come dovrebbe diventare ma, quando vediamo qualcosa di sospetto, un comportamento che sembra una violazione, i nostri sistemi di sicurezza dicono alla rete di mettere quel dispositivo o quell'utente in quarantena. Questo non è purgatorio; puoi ancora fare alcune cose: puoi ancora andare su Internet o ottenere dati dai server di gestione delle patch . (patch management)Non sei del tutto isolato. In futuro, potremmo dover cambiare questa filosofia e dire: una volta messo in quarantena, non hai alcun accesso perché sei troppo pericoloso per la tua organizzazione.

In che modo Cisco utilizza l'automazione nel suo portafoglio di prodotti per la sicurezza?

In alcune aree, utilizziamo molta automazione. Ad esempio, in Cisco Talos , il nostro gruppo di ricerca sulle minacce(threat research group) , otteniamo dati di telemetria da tutti i nostri widget di sicurezza e un sacco di altri dati da altre fonti. Il gruppo Talos(Talos group) utilizza l'apprendimento automatico(machine learning) e l'intelligenza artificiale per ordinare milioni di record ogni singolo giorno. Se osservi l'efficacia nel tempo in tutti i nostri prodotti per la sicurezza, è sorprendente, in tutti i test di efficacia di terze parti.

L'uso degli attacchi DDOS sta rallentando?

Sfortunatamente, DDOS come metodo di attacco(attack method) è vivo e vegeto e sta peggiorando. Abbiamo scoperto che gli attacchi DDOS tendono a essere mirati verso determinati tipi di società. Tali attacchi sono usati sia come esca che come arma d'attacco(attack weapon) primaria . Esistono anche due tipi di attacchi DDOS : volumetrici e basati su app(volumetric and app) . Il volumetrico è andato fuori controllo se si guardano gli ultimi numeri di quanti dati possono generare per abbattere qualcuno. È ridicolo.

Un tipo di società che sono prese di mira dagli attacchi DDOS sono quelle della vendita al dettaglio, di solito durante le festività natalizie(holiday season) ( il Black Friday(Black Friday) sta arrivando!). L'altro tipo di società che vengono prese di mira dagli attacchi DDOS sono quelle che lavorano in aree controverse, come petrolio e gas(oil and gas) . In questo caso si tratta di persone che hanno una particolare causa etica e morale, che decidono di DDOS un'organizzazione o un'altra perché non sono d'accordo con quello che stanno facendo. Queste persone lo fanno per una causa, per uno scopo e non per i soldi coinvolti.

Le persone portano nelle loro organizzazioni non solo i propri dispositivi ma anche i propri sistemi cloud ( OneDrive , Google Drive , Dropbox , ecc.). Questo rappresenta un altro rischio(security risk) per la sicurezza delle organizzazioni. In che modo un sistema come Cisco Cloudlock affronta questo problema?

Cloudlock fa due cose fondamentali: in primo luogo, ti fornisce un controllo di tutti i servizi cloud che vengono utilizzati. Integriamo Cloudlock con i nostri prodotti web in modo che tutti i log web possano essere letti da Cloudlock . Questo ti dirà dove stanno andando tutti nell'organizzazione. Quindi sai che molte persone usano il proprio Dropbox , per esempio.

La seconda cosa che fa Cloudlock è che è tutto fatto di API che comunicano con i servizi cloud. In questo modo, se un utente ha pubblicato un documento aziendale(company document) su Box , Box dice immediatamente a Cloudlock che è arrivato un nuovo documento e dovrebbe dargli un'occhiata. Quindi esamineremo il documento, lo classificheremo, capiremo il profilo di rischio(risk profile) del documento, così come è stato condiviso con altri o meno. In base ai risultati, il sistema interromperà la condivisione di quel documento tramite Box o lo consentirà.

Con Cloudlock puoi impostare regole come: "questo non dovrebbe mai essere condiviso con nessuno al di fuori dell'azienda. Se lo è, disattiva la condivisione". Puoi anche eseguire la crittografia su richiesta, in base alla criticità di ciascun documento. Pertanto, se l' utente finale(end user) non ha crittografato un documento aziendale(business document) critico , al momento della pubblicazione su Box , Cloudlock forzerà la crittografia di quel documento automaticamente.

 

Vorremmo ringraziare Jamey Heary per questa intervista e le sue sincere risposte. Se vuoi metterti in contatto, puoi trovarlo su Twitter(on Twitter) .

Alla fine di questo articolo, condividi la tua opinione sugli argomenti di cui abbiamo discusso, utilizzando le opzioni di commento disponibili di seguito.



Ludovica Marini

About the author

Sono un ingegnere informatico con oltre 10 anni di esperienza nel settore del software. Sono specializzato nella creazione e manutenzione di applicazioni software individuali e aziendali, nonché nello sviluppo di strumenti di sviluppo per piccole imprese e grandi organizzazioni. Le mie capacità risiedono nello sviluppo di una solida base di codice, negli strumenti di debug e test e nel lavorare a stretto contatto con gli utenti finali per garantire che le loro applicazioni funzionino perfettamente.


Related posts