CSO ha detto che la sicurezza Cisco sta crescendo

John Stewart non parla come il tipico dirigente aziendale. Ha detto che la sua azienda, Cisco Systems, è stata fortunata quando si tratta di sicurezza e che la spinta di marketing della sua rete di autodifesa ha dipinto "un grande occhio di bue" sui suoi prodotti.

Ma poi di nuovo, Stewart ha più cose importanti di cui preoccuparsi. Come capo della sicurezza, è l'uomo responsabile della direzione delle pratiche di sicurezza aziendali e aziendali di Cisco. Ciò significa che riceve la chiamata ogni volta che si verifica un errore di sicurezza importante nei prodotti Cisco o se gli hacker devono raggiungere il sito Web Cisco.com. Il modo in cui lo mette, è il suo lavoro per aiutare a bloccare i prodotti Cisco prima che sia costretto ad affrontare quella che lui chiama "la piattaforma in fiamme" - una grave falla o un attacco contro i router più diffusi su Internet.

Forse Cisco ha bisogno di qualcuno come Stewart, per evitare gli errori che le altre grandi aziende tecnologiche hanno commesso sulla sicurezza. Prendi Microsoft, per esempio. Microsoft ha inizialmente assunto un atteggiamento ostile nei confronti dei ricercatori e dei critici della sicurezza, ma ciò si è ritorto contro e ha contribuito a cementare l'impressione che la compagnia stesse ignorando i bug di sicurezza piuttosto che tentare di risolverli. Microsoft alla fine ha invertito il suo corso, ma non fino a quando la sua reputazione non ha avuto un successo.

[Ulteriori letture: i migliori NAS per lo streaming multimediale e il backup]

Su scala ridotta, Cisco ha fatto un simile tipo di inversione. La società ha fatto arrabbiare gli hacker nel 2005 facendo causa al ricercatore Mike Lynn dopo aver mostrato come fosse possibile eseguire software shellcode non autorizzato su un router Cisco.

Ma invece di dare il via a una nuova era dell'hacking di Cisco, l'episodio di Mike Lynn era più di un'aberrazione. La ricerca di Cisco è stata tranquilla per i prossimi anni.

Stewart ha detto che Cisco è stata "un po 'fortunata" dal momento che non ha avuto grosse fiammate di sicurezza, ma non dà nulla per scontato. Ha invitato IDG News Service nel suo ufficio di San Jose, in California, per parlare del panorama delle minacce Cisco. Segue una trascrizione modificata dell'intervista.

Servizio informazioni IDG: Cisco ha ricevuto molta attenzione a Black Hat 2005. Qual è la tua opinione sulle cose, tre anni dopo?

John Stewart: Parte del motivo tutta l'attenzione è stato dipinto su di noi da Black Hat tre anni fa, perché abbiamo creato una tempesta di problemi davvero complicati, che sembrava che Cisco stesse sopprimendo la comunicazione e la ricerca.

Penso che abbiamo fatto alcune cose stupide, come provare a rimetti il ​​genio nella bottiglia, cosa che non puoi fare. Stavamo cercando di farlo per le giuste ragioni: protezione della proprietà intellettuale e dei nostri clienti. Ma come è venuto fuori completamente è andato di lato.

E, per molti aspetti, lo abbiamo fatto in modo anonimo. Era "un portavoce di Cisco". Ci siamo nascosti dietro un contesto di anonimato, che credo abbia davvero preso in giro tutto.

Ecco perché personalmente ho sponsorizzato Black Hat al livello di platino da allora. Perché penso che abbiamo avuto qualche espiazione da fare e dire: "Senti, il nostro male. Non era il modo di farlo".

IDGNS: Perché pensi che la ricerca di Cisco si sia prosciugata come è successo?

Stewart: ci sono un paio di motivi. Il primo è che molto di questo non è lo sfruttamento remoto, e gran parte di ciò che la ricerca riguarda in ogni comunità è: "Come fai a farlo da remoto?" La ricerca di IRM [Information Risk Management], la ricerca di Sebastian [Muniz, un ricercatore con Core Security Technologies] e, in certa misura, la ricerca di Michael Lynn, sebbene avesse una leggera variante remota, non è un telecomando stabile. Ed è qui che si trova il vero gioco.

Devi trovare un modo per farlo entrare senza essere sulla console. E questo è ciò che è avvenuto in gran parte dello sviluppo: come lo fai sulla console, almeno per Cisco, comunque.

E la seconda cosa è che vuoi che funzioni. Non stai cercando di eliminarlo perché hai bisogno della rete in modo da poter arrivare al punto finale. Quindi penso che otteniamo un permesso perché nessuno vuole scimmiottare con l'infrastruttura che sta usando. È come rovinare l'autostrada mentre stai provando ad andare in un'altra città. È una specie di cosa da fare.

IDGNS: Microsoft è stata molto pubblica su come hanno cambiato la società per rendere la sicurezza una priorità. Qual è la storia di Cisco? Come è stato costruito il programma di sicurezza?

Stewart: Probabilmente eravamo nello stesso spazio. Molte aziende, compresa la nostra, iniziarono con la creazione di materiale per risolvere problemi di comunicazione e poi a pensare alla sicurezza delle comunicazioni in seguito.

Circa cinque anni fa, stavamo combattendo contro l'azienda, la mia squadra. Principalmente nel settore della sicurezza delle informazioni. Eravamo l'organizzazione "no", la torre d'avorio. Questo è un posto pericoloso perché la mia opinione è che dovremmo essere un braccio di adempimento consultivo, non un arbitro.

Così abbiamo cambiato molto e abbiamo iniziato a iniettare cose, tipo "Avrai esperienza nel tuo squadra, non saremo nemmeno nel mezzo, quindi in questo modo puoi investire l'esperienza per ciò di cui hai bisogno e non ti trattenere o portarti in una posizione più lenta. "

La seconda cosa - - che non può essere sottovalutato - nel 2002 ci stavamo preparando a lanciare reti di autodifesa, che - come se fosse o lo odiasse come uno slogan - è effettivamente un grande occhio di bue sulla nostra fronte.

IDGNS: Come l'insuperabile Linux di Oracle?

Stewart: In effetti Mary Ann Davidson di Oracle mi ha fatto cadere un appunto e mi ha detto "grazie mille per avere uno slogan che elimina la pressione su ciò che abbiamo fatto" [ride] come se avessi qualcosa a che fare con l'annuncio.

E poi terzo, abbiamo davvero avuto un ingombro in crescita. Ci siamo abituati in sempre più posti e, francamente, pensiamo che non avremmo mai immaginato che ci saremmo abituati. Stiamo effettuando la transizione delle comunicazioni sanitarie, stiamo effettuando la transizione da comunicazioni site-to-site per i militari. Stiamo facendo tutte queste cose selvagge che 20 anni fa non avevamo ancora pensato.

IDGNS: Quindi hai fatto qualcosa come adottare un ciclo di vita sicuro per lo sviluppo o cambiare il modo in cui hai costruito i prodotti?

Stewart: Non siamo maturi in questo. Siamo nella difficile fase adolescenziale. Stiamo testando alla fine del processo di sviluppo e stiamo cercando di capire come tornare indietro nel processo di definizione. Ora alcune definizioni avvengono comunque. Quindi, ad esempio, ci sono alcuni requisiti di base di ogni prodotto che abbiamo costruito. Tuttavia, continuo a dire che c'è molto da imparare. Quando pensi di averlo fatto bene e lo costruisci e lo metti alla prova, gli insegnamenti del test dovrebbero avvantaggiare la prossima cosa che costruisci.

Non abbiamo ancora adottato un ciclo di vita di sviluppo sicuro come Microsoft. Non abbiamo inchiodato allo stesso modo su tutte le linee di prodotto in un modo misurabile metodico molto coerente, ed è per questo che dico che siamo in quella fase goffa e adolescenziale.