Vào ngày 18 tháng 10, chúng tôi được mời tham gia Cisco Connect 2017. Tại sự kiện này, chúng tôi đã gặp chuyên gia bảo mật Jamey Heary. Ông là Kỹ sư hệ thống phân biệt tại Cisco Systems, nơi ông lãnh đạo Nhóm Kiến trúc An ninh Toàn cầu. Jamey là một nhà tư vấn và kiến trúc sư bảo mật đáng tin cậy cho nhiều khách hàng lớn nhất của Cisco. Ông cũng là tác giả sách và là cựu blogger của Mạng lưới Thế giới. Chúng tôi đã nói chuyện với anh về an ninh trong doanh nghiệp hiện đại, các vấn đề an ninh quan trọng đang tác động đến các doanh nghiệp và tổ chức, và các lỗ hổng mới nhất ảnh hưởng đến tất cả các mạng không dây và khách hàng (KRACK). Đây la cai ma anh ây đa noi:
Khán giả của chúng tôi bao gồm cả người dùng cuối và người dùng doanh nghiệp. Để bắt đầu, và giới thiệu bản thân một chút, bạn sẽ mô tả công việc của mình như thế nào ở Cisco, theo cách phi doanh nghiệp?
Niềm đam mê của tôi là an toàn. Điều tôi cố gắng làm mỗi ngày là dạy cho khách hàng và người dùng cuối về kiến trúc. Ví dụ, tôi nói về một sản phẩm bảo mật và cách nó tích hợp với các sản phẩm khác (của chúng tôi hoặc từ bên thứ ba). Vì vậy, tôi đối phó với kiến trúc hệ thống từ một quan điểm bảo mật.
Theo kinh nghiệm của bạn với tư cách là chuyên gia bảo mật, các mối đe dọa bảo mật quan trọng nhất đối với doanh nghiệp hiện đại là gì?
Những người lớn là kỹ thuật xã hội và ransomware. Cái thứ hai tàn phá rất nhiều công ty, và nó sẽ trở nên tồi tệ hơn bởi vì có quá nhiều tiền trong đó. Đây có lẽ là điều hấp dẫn nhất mà người sáng tạo phần mềm độc hại đã tìm ra cách thực hiện.
Chúng tôi đã thấy rằng trọng tâm của "kẻ xấu" là người dùng cuối. Anh ấy hoặc cô ấy là liên kết yếu nhất ngay bây giờ. Chúng tôi đã cố gắng như một ngành công nghiệp để đào tạo con người, các phương tiện truyền thông đã thực hiện một công việc tốt để có được lời nói về cách bạn có thể bảo vệ bản thân tốt hơn, nhưng vẫn còn khá tầm thường để gửi cho ai đó một e-mail được nhắm mục tiêu và khiến họ một hành động bạn muốn: nhấp vào liên kết, mở tệp đính kèm, bất kể bạn muốn gì.
Mối đe dọa khác là thanh toán trực tuyến. Chúng tôi sẽ tiếp tục xem các cải tiến theo cách các công ty thực hiện thanh toán trực tuyến nhưng, cho đến khi ngành thực hiện các cách an toàn hơn để thanh toán trực tuyến, khu vực này sẽ là một yếu tố rủi ro lớn.
Khi nói đến an ninh, con người là mối liên kết yếu nhất và cũng là trọng tâm chính của các cuộc tấn công. Làm thế nào chúng ta có thể đối phó với vấn đề này, vì kỹ thuật xã hội là một trong những mối đe dọa an ninh hàng đầu?
Có rất nhiều công nghệ mà chúng tôi có thể áp dụng. Chỉ có rất nhiều bạn có thể làm cho một người, đặc biệt là trong một ngành công nghiệp mà một số người có xu hướng hữu ích hơn những người khác. Ví dụ, trong ngành chăm sóc sức khỏe, mọi người chỉ muốn giúp đỡ người khác. Vì vậy, bạn gửi cho họ một e-mail độc hại và họ có nhiều khả năng nhấp vào những gì bạn gửi cho họ hơn những người trong các ngành khác, như một sở cảnh sát.
Vì vậy, chúng tôi có vấn đề này, nhưng chúng tôi có thể sử dụng công nghệ. Một trong những điều chúng ta có thể làm là phân đoạn, có thể làm giảm đáng kể bề mặt tấn công có sẵn cho bất kỳ người dùng cuối nào. Chúng tôi gọi đây là "không tin cậy": khi người dùng kết nối với mạng công ty, mạng hiểu người dùng là ai, vai trò của họ trong tổ chức, ứng dụng nào người dùng cần truy cập, nó sẽ hiểu máy của người dùng và tư thế bảo mật của máy là gì, đến một mức độ rất chi tiết. Ví dụ, nó thậm chí có thể nói những thứ như sự phổ biến của một ứng dụng mà người dùng có. Tỷ lệ là một cái gì đó chúng tôi thấy hiệu quả, và nó có nghĩa là có bao nhiêu người khác trên thế giới sử dụng ứng dụng này, và bao nhiêu trong một tổ chức nhất định. Tại Cisco, chúng tôi thực hiện phân tích này thông qua băm: chúng tôi lấy một mã băm của một ứng dụng và chúng tôi có hàng triệu điểm kết thúc và họ sẽ quay lại và nói: "tỷ lệ trên ứng dụng này là 0, 000001%". Tỷ lệ tính toán số lượng ứng dụng được sử dụng trên thế giới và sau đó trong tổ chức của bạn. Cả hai biện pháp này có thể rất tốt trong việc tìm ra nếu có điều gì đó rất đáng nghi ngờ, và liệu nó có xứng đáng để xem xét kỹ hơn không.
Bạn có một loạt bài viết thú vị trong thế giới mạng về các hệ thống quản lý thiết bị di động (MDM). Tuy nhiên, trong những năm gần đây, chủ đề này dường như được thảo luận ít hơn. Sự quan tâm của ngành trong các hệ thống như vậy có chậm lại không? Điều gì đang xảy ra, từ quan điểm của bạn?
Rất ít điều đã xảy ra, một trong số đó là hệ thống MDM đã trở nên khá bão hòa trên thị trường. Hầu như tất cả các khách hàng lớn của tôi đều có một hệ thống như vậy. Một điều khác đã xảy ra là quy tắc quyền riêng tư và tư duy riêng tư của người dùng đã thay đổi khiến nhiều người không còn cung cấp thiết bị cá nhân (điện thoại thông minh, máy tính bảng, v.v.) cho tổ chức của họ và cho phép cài đặt phần mềm MDM. Vì vậy, chúng tôi có sự cạnh tranh này: doanh nghiệp muốn có quyền truy cập đầy đủ vào các thiết bị được nhân viên của họ sử dụng để đảm bảo an toàn cho bản thân và nhân viên đã trở nên rất kháng cự với phương pháp này. Có trận chiến liên tục giữa hai bên. Chúng tôi đã thấy rằng sự phổ biến của các hệ thống MDM thay đổi từ công ty đến công ty, tùy thuộc vào văn hóa và giá trị của công ty, và cách mỗi tổ chức muốn đối xử với nhân viên của mình.
Điều này có ảnh hưởng đến việc chấp nhận các chương trình như Bring Your Own Device (BYOD) để hoạt động không?
Có, nó hoàn toàn không. Điều gì đang xảy ra, cho hầu hết các phần, là những người đang sử dụng thiết bị của riêng họ trên mạng công ty, sử dụng chúng trong một khu vực được kiểm soát. Một lần nữa, phân khúc đi vào chơi. Nếu tôi mang thiết bị của mình vào mạng công ty, có thể tôi có thể truy cập internet, một số máy chủ web nội bộ của công ty, nhưng không có nghĩa là tôi sẽ có thể truy cập vào máy chủ cơ sở dữ liệu, ứng dụng quan trọng của công ty tôi dữ liệu quan trọng, từ thiết bị đó. Đó là điều mà chúng tôi lập trình tại Cisco để người dùng truy cập vào nơi cần thiết trong mạng công ty nhưng không phải nơi công ty không muốn người dùng truy cập từ thiết bị cá nhân.
Vấn đề bảo mật nóng nhất trên radar của mọi người là "KRACK" (Key Reinstallation AttaCK), ảnh hưởng đến tất cả các máy khách và thiết bị mạng sử dụng lược đồ mã hóa WPA2. Cisco đang làm gì để giúp khách hàng của họ với vấn đề này?
Đó là một bất ngờ lớn mà một trong những điều mà chúng tôi dựa vào trong nhiều năm nay là nứt. Nó nhắc nhở chúng ta về các vấn đề với SSL, SSH và tất cả những điều mà chúng ta căn bản tin tưởng. Tất cả chúng đều trở thành "không xứng đáng" trong niềm tin của chúng ta.
Đối với vấn đề này, chúng tôi đã xác định được mười lỗ hổng. Trong số mười, chín trong số đó là dựa trên khách hàng, vì vậy chúng tôi phải sửa chữa khách hàng. Một trong số đó là mạng liên quan. Đối với một trong đó, Cisco sẽ phát hành bản vá lỗi. Các vấn đề chỉ dành riêng cho điểm truy cập và chúng tôi không phải sửa bộ định tuyến và chuyển mạch.
Tôi rất vui mừng khi thấy rằng Apple đã sửa lỗi của họ trong mã beta nên thiết bị khách của họ sẽ sớm được vá hoàn toàn. Windows đã có bản vá sẵn sàng, v.v. Đối với Cisco, con đường rất đơn giản: một lỗ hổng trên các điểm truy cập của chúng tôi và chúng tôi sẽ phát hành các bản vá và bản sửa lỗi.
Cho đến khi mọi thứ được khắc phục, bạn sẽ đề nghị khách hàng của mình làm gì để tự bảo vệ mình?
Trong một số trường hợp, bạn không cần phải làm bất cứ điều gì, bởi vì đôi khi mã hóa được sử dụng bên trong mã hóa. Ví dụ: nếu tôi truy cập trang web của ngân hàng, nó sử dụng TLS hoặc SSL để bảo mật liên lạc, không bị ảnh hưởng bởi sự cố này. Vì vậy, ngay cả khi tôi đang trải qua một WiFi mở rộng, giống như một ở Starbucks, nó không quan trọng nhiều. Trường hợp vấn đề này với WPA2 đến nhiều hơn vào chơi là ở phía riêng tư. Ví dụ: nếu tôi truy cập một trang web và tôi không muốn người khác biết điều đó, bây giờ họ sẽ biết vì WPA2 không còn hiệu quả nữa.
Một điều bạn có thể làm để bảo vệ chính mình là thiết lập các kết nối VPN. Bạn có thể kết nối với không dây, nhưng điều tiếp theo bạn phải làm là bật VPN của bạn. VPN chỉ là tốt vì nó tạo ra một đường hầm được mã hóa đi qua WiFi. Nó sẽ hoạt động cho đến khi mã hóa VPN bị tấn công và bạn cần phải tìm ra một giải pháp mới. :)
Trên thị trường tiêu dùng, một số nhà cung cấp bảo mật đang tích hợp VPN với các bộ bảo mật và tổng số bảo mật của họ. Họ cũng bắt đầu đào tạo người tiêu dùng rằng nó không còn đủ để có tường lửa và chống vi-rút nữa, bạn cũng cần có VPN. Phương thức của Cisco liên quan đến bảo mật cho doanh nghiệp là gì? Bạn cũng tích cực thúc đẩy VPN như một lớp bảo vệ cần thiết?
VPN là một phần của gói của chúng tôi dành cho doanh nghiệp. Trong hoàn cảnh bình thường, chúng ta không nói về VPN trong một đường hầm được mã hóa và WPA2 là một đường hầm được mã hóa. Thông thường, bởi vì nó là quá mức cần thiết và có chi phí phải xảy ra ở phía khách hàng để làm cho nó hoạt động tốt. Đối với hầu hết các phần, nó không phải là giá trị nó. Nếu kênh đã được mã hóa, tại sao lại mã hóa kênh đó?
Trong trường hợp này, khi bạn bị bắt với quần của bạn xuống vì giao thức bảo mật WPA2 bị hỏng cơ bản, chúng ta có thể quay trở lại VPN, cho đến khi các vấn đề được khắc phục với WPA2.
Nhưng khi nói rằng, trong không gian thông minh, các tổ chức an ninh như một loại tổ chức quốc phòng, họ đã làm điều này trong nhiều năm. Họ dựa vào VPN, cộng với mã hóa không dây và, rất nhiều lần các ứng dụng ở giữa VPN của họ cũng được mã hóa, vì vậy bạn nhận được mã hóa ba chiều, tất cả đều sử dụng các loại mã hóa khác nhau. Họ làm điều đó bởi vì họ là "hoang tưởng" như họ nên. :))
Trong bài thuyết trình của bạn tại Cisco Connect, bạn đã đề cập đến tự động hóa là rất quan trọng trong bảo mật. Cách tiếp cận được khuyến nghị của bạn cho tự động hóa trong bảo mật là gì?
Tự động hóa sẽ trở thành một yêu cầu nhanh chóng bởi vì chúng ta, như con người, chúng ta không thể di chuyển đủ nhanh để ngăn chặn các vi phạm và các mối đe dọa an ninh. Một khách hàng có 10.000 máy được mã hóa bằng phần mềm ransomware trong 10 phút. Không có cách nào mà con người có thể phản ứng với điều đó, vì vậy bạn cần tự động hóa.
Cách tiếp cận của chúng ta ngày nay không nặng nề vì nó có thể phải trở thành, nhưng khi chúng ta thấy điều gì đó đáng ngờ, hành vi có vẻ như vi phạm, hệ thống bảo mật của chúng tôi bảo mạng đưa thiết bị đó hoặc người dùng đó vào khu vực cách ly. Đây không phải là luyện ngục; bạn vẫn có thể thực hiện một số nội dung: bạn vẫn có thể truy cập internet hoặc lấy dữ liệu từ máy chủ quản lý bản vá. Bạn không hoàn toàn bị cô lập. Trong tương lai, chúng ta có thể phải thay đổi triết lý đó và nói: một khi bạn bị cách ly, bạn không có quyền truy cập vì bạn quá nguy hiểm cho tổ chức của bạn.
Cisco sử dụng tự động hóa như thế nào trong danh mục sản phẩm bảo mật của mình?
Ở những khu vực nhất định, chúng tôi sử dụng rất nhiều tự động hóa. Ví dụ, trong Cisco Talos, nhóm nghiên cứu mối đe dọa của chúng tôi, chúng tôi lấy dữ liệu từ xa từ tất cả các tiện ích bảo mật của chúng tôi và một tấn dữ liệu khác từ các nguồn khác. Nhóm Talos sử dụng máy học và trí thông minh nhân tạo để sắp xếp hàng triệu hồ sơ mỗi ngày. Nếu bạn nhìn vào hiệu quả theo thời gian trong tất cả các sản phẩm bảo mật của chúng tôi, nó là tuyệt vời, trong tất cả các thử nghiệm hiệu quả của bên thứ ba.
Việc sử dụng các cuộc tấn công DDOS có làm chậm lại không?
Thật không may, DDOS là một phương pháp tấn công vẫn còn sống và tốt, và nó đang trở nên tồi tệ hơn. Chúng tôi đã phát hiện ra rằng các cuộc tấn công DDOS có xu hướng nhắm vào một số loại tập đoàn nhất định. Các đòn tấn công như vậy được sử dụng như một mồi nhử và là vũ khí tấn công chính. Ngoài ra còn có hai loại tấn công DDOS: thể tích và dựa trên ứng dụng. Thể tích đã vượt khỏi tầm kiểm soát nếu bạn nhìn vào số liệu mới nhất về số lượng dữ liệu mà họ có thể tạo ra để đưa ai đó xuống. Nó là vô lý.
Một loại tập đoàn được nhắm mục tiêu bởi các cuộc tấn công DDOS là những công ty bán lẻ, thường là trong mùa lễ hội (Thứ Sáu Đen sắp tới!). Các loại công ty khác bị tấn công DDOS nhắm mục tiêu là những công ty hoạt động trong các lĩnh vực gây tranh cãi, như dầu mỏ và khí đốt. Trong trường hợp này, chúng ta đang đối phó với những người có một nguyên nhân đạo đức và đạo đức cụ thể, người quyết định tổ chức DDOS hay tổ chức khác bởi vì họ không đồng ý với những gì họ đang làm. Những người như vậy làm điều này vì một mục đích, không vì tiền liên quan.
Mọi người đưa vào tổ chức của họ không chỉ thiết bị của riêng họ mà còn cả hệ thống đám mây của riêng họ (OneDrive, Google Drive, Dropbox, v.v.) Điều này thể hiện một nguy cơ bảo mật khác cho các tổ chức. Làm thế nào là một hệ thống như Cisco Cloudlock đối phó với vấn đề này?
Cloudlock thực hiện hai điều cơ bản: thứ nhất, nó cung cấp cho bạn kiểm toán tất cả các dịch vụ đám mây đang được sử dụng. Chúng tôi tích hợp Cloudlock với các sản phẩm web của chúng tôi để tất cả các bản ghi web có thể được đọc bởi Cloudlock. Điều đó sẽ cho bạn biết nơi mọi người trong tổ chức sẽ tham gia. Vì vậy, bạn biết rằng rất nhiều người đang sử dụng Dropbox của riêng họ, ví dụ.
Điều thứ hai mà Cloudlock làm là tất cả được tạo ra từ API, giao tiếp với các dịch vụ đám mây. Bằng cách này, nếu một người dùng xuất bản tài liệu công ty trên Box, Box ngay lập tức nói với Cloudlock rằng một tài liệu mới đã đến và cần xem xét nó. Vì vậy, chúng tôi sẽ xem xét tài liệu, phân loại nó, tìm ra hồ sơ rủi ro của tài liệu, cũng như nó đã được chia sẻ với người khác hay không. Dựa trên kết quả, hệ thống sẽ dừng chia sẻ tài liệu đó qua Box hoặc cho phép nó.
Với Cloudlock, bạn có thể đặt các quy tắc như: "điều này sẽ không bao giờ được chia sẻ với bất kỳ ai bên ngoài công ty. Nếu có, hãy tắt chia sẻ". Bạn cũng có thể thực hiện mã hóa theo yêu cầu, dựa trên mức độ nghiêm trọng của từng tài liệu. Do đó, nếu người dùng cuối không mã hóa tài liệu kinh doanh quan trọng, khi đăng nó lên Hộp, Cloudlock sẽ tự động mã hóa tài liệu đó.
Chúng tôi xin cảm ơn Jamey Heary về cuộc phỏng vấn này và những câu trả lời thẳng thắn của anh ấy. Nếu bạn muốn liên lạc, bạn có thể tìm thấy anh ấy trên Twitter.
Ở cuối bài viết này, hãy chia sẻ ý kiến của bạn về các chủ đề mà chúng tôi đã thảo luận, bằng cách sử dụng các tùy chọn nhận xét có sẵn bên dưới.
