Vào ngày 18 tháng 10^{(October 18th)} , chúng tôi đã được mời tham gia Cisco Connect 2017 . Tại sự kiện này, chúng tôi đã gặp gỡ chuyên gia bảo mật ^{(security expert)} Jamey Heary . Anh ấy là Kỹ sư Hệ thống^{(Systems Engineer)} Xuất sắc tại Cisco Systems , nơi anh ấy lãnh đạo Nhóm Kiến trúc An ninh Toàn cầu^{(Global Security Architecture Team)} . Jamey là ^(Jamey)cố vấn bảo mật và kiến ​​trúc sư^{(security advisor and architect)} đáng tin cậy cho nhiều khách hàng lớn nhất của Cisco . Anh ấy cũng là một tác giả sách^{(book author)} và một cựu blogger Thế giới mạng^{(Network World blogger)}. Chúng tôi đã trò chuyện với anh ấy về bảo mật trong doanh nghiệp hiện đại, các vấn đề bảo mật quan trọng đang ảnh hưởng đến các doanh nghiệp và tổ chức cũng như các lỗ hổng bảo mật mới nhất ảnh hưởng đến tất cả các mạng không dây và máy khách ( KRACK ). Đây la cai ma anh ây đa noi:

Đối tượng của chúng tôi bao gồm cả người dùng cuối và người dùng doanh nghiệp. Để bắt đầu và giới thiệu một chút về bản thân, bạn sẽ mô tả công việc của mình tại Cisco , theo cách phi công ty như thế nào?

Niềm đam mê của tôi là bảo mật. Những gì tôi cố gắng làm mỗi ngày là dạy cho khách hàng và người dùng cuối của tôi về kiến ​​trúc. Ví dụ: tôi nói về một sản phẩm bảo mật^{(security product)} và cách nó tích hợp với các sản phẩm khác (của chúng tôi hoặc của các bên thứ ba). Do đó, tôi xử lý kiến ​​trúc hệ thống^{(system architecture)} từ góc độ bảo mật^{(security perspective)} .

Theo kinh nghiệm của bạn với tư cách là một chuyên gia bảo mật^{(security expert)} , các mối đe dọa bảo mật quan trọng nhất đối với doanh nghiệp hiện đại là gì?

Những thứ lớn là kỹ thuật xã hội và ransomware^{(engineering and ransomware)} . Sự tàn phá thứ hai gây ra sự tàn phá trong rất nhiều công ty, và nó sẽ trở nên tồi tệ hơn vì có quá nhiều tiền trong đó. Đó có lẽ là điều sinh lợi nhất mà những người tạo ra phần mềm độc hại đã tìm ra cách thực hiện.

Chúng tôi đã thấy rằng trọng tâm của "kẻ xấu" là người dùng cuối. Anh ấy hoặc cô ấy là mắt xích yếu nhất lúc này. Chúng tôi đã cố gắng với tư cách là một ngành đào tạo mọi người, truyền thông đã làm rất tốt trong việc đưa tin về cách bạn có thể bảo vệ bản thân tốt hơn, nhưng vẫn khá tầm thường nếu gửi cho ai đó một e-mail được nhắm mục tiêu và khiến họ thực hiện hành động bạn muốn: nhấp vào liên kết, mở tệp đính kèm, bất cứ điều gì bạn muốn.

Mối đe dọa khác là thanh toán trực tuyến. Chúng ta sẽ tiếp tục thấy những cải tiến trong cách các công ty thực hiện thanh toán trực tuyến, nhưng cho đến khi ngành công nghiệp triển khai các cách thức an toàn hơn để thanh toán trực tuyến, lĩnh vực này sẽ là một yếu tố rủi ro^{(risk factor)} lớn .

Khi nói đến bảo mật, con người là liên kết yếu nhất và cũng là trọng tâm chính của các cuộc tấn công. Làm thế nào chúng ta có thể đối phó với vấn đề này, vì kỹ thuật xã hội là một trong những mối đe dọa an ninh hàng đầu?

Có rất nhiều công nghệ mà chúng ta có thể áp dụng. Bạn chỉ có thể làm được rất nhiều điều cho một người, đặc biệt là trong một ngành mà một số người có xu hướng hữu ích hơn những người khác. Ví dụ, trong ngành chăm sóc sức khỏe^{(healthcare industry)} , mọi người chỉ muốn giúp đỡ người khác. Vì vậy, bạn gửi cho họ một e-mail độc hại, và họ có nhiều khả năng nhấp vào những gì bạn gửi cho họ hơn những người trong các ngành khác, với tư cách là sở cảnh sát^{(police department)} .

Vì vậy, chúng tôi có vấn đề này, nhưng chúng tôi có thể sử dụng công nghệ. Một trong những điều chúng tôi có thể làm là phân đoạn, có thể giảm đáng kể bề mặt tấn công^{(attack surface)} có sẵn cho bất kỳ người dùng cuối nào. Chúng tôi gọi đây là " không tin cậy^{(zero trust)} ": khi người dùng kết nối với mạng công ty^{(company network)} , mạng sẽ hiểu người dùng là ai, vai trò của họ trong tổ chức, ứng dụng người dùng cần truy cập, nó sẽ hiểu máy của người dùng và tư thế bảo mật^{(security posture)} của máy là gì , ở mức độ rất chi tiết. Ví dụ, nó thậm chí có thể cho biết những thứ như mức độ phổ biến của một ứng dụng mà người dùng có. Mức độ phổ biến^(Prevalence) là thứ mà chúng tôi thấy hiệu quả và nó có nghĩa là có bao nhiêu người khác trên thế giới sử dụng^{(world use)}ứng dụng này và số lượng ứng dụng trong một tổ chức nhất định. Tại Cisco , chúng tôi thực hiện phân tích này thông qua phép băm: chúng tôi lấy một hàm băm của một ứng dụng và chúng tôi có hàng triệu điểm cuối và họ sẽ quay lại và nói: "tỷ lệ phổ biến trên ứng dụng này là 0,0001%". Mức độ phổ biến^(Prevalence) tính toán mức độ sử dụng một ứng dụng trên thế giới và sau đó là trong tổ chức của bạn. Cả hai biện pháp này đều có thể rất tốt trong việc tìm ra liệu có điều gì đó rất đáng ngờ hay không và liệu nó có đáng để xem xét kỹ hơn hay không.

Bạn có một loạt bài viết thú vị trên Thế giới mạng^{(Network World)} về hệ thống Quản lý thiết bị di động^{(Mobile Device Management)} ( MDM ). Tuy nhiên, trong những năm gần đây, chủ đề này dường như được thảo luận ít hơn. Mối quan tâm của ngành đối với các hệ thống như vậy có đang chậm lại không? Điều gì đang xảy ra, theo quan điểm của bạn?

Rất ít điều đã xảy ra, một trong số đó là hệ thống MDM đã trở nên khá bão hòa trên thị trường. Hầu như^(Almost) tất cả các khách hàng lớn hơn của tôi đều có một hệ thống như vậy. Một điều khác đã xảy ra là các quy định về quyền riêng tư và tư duy bảo mật^{(privacy mindset)} của người dùng đã thay đổi khiến nhiều người không còn giao thiết bị cá nhân (điện thoại thông minh, máy tính bảng, v.v.) cho tổ chức của họ và cho phép cài đặt phần mềm MDM^{(MDM software)} . Vì vậy, chúng tôi có sự cạnh tranh này: doanh nghiệp muốn có toàn quyền truy cập vào các thiết bị được nhân viên của họ sử dụng để nó có thể tự bảo mật và các nhân viên đã trở nên rất phản kháng với cách tiếp cận này. Có trận chiến liên tục này giữa hai bên. Chúng tôi đã thấy rằng sự phổ biến củaHệ thống MDM^(MDM) khác nhau giữa các công ty, tùy thuộc vào văn hóa và giá trị^{(company culture and values)} của công ty , và cách mỗi tổ chức muốn đối xử với nhân viên của mình.

Điều này có ảnh hưởng đến việc áp dụng các chương trình như Mang theo thiết ^(Bring)bị^(BYOD) của riêng bạn ( BYOD^(Device) ) để hoạt động không?

Vâng, nó hoàn toàn có. Điều đang xảy ra, phần lớn, là những người đang sử dụng thiết bị của riêng họ trên mạng công ty, sử dụng chúng trong một khu vực được kiểm soát chặt chẽ. Một lần nữa^(Again) , phân đoạn lại phát huy tác dụng. Nếu tôi mang thiết bị của riêng mình vào mạng công ty, thì có thể tôi có thể truy cập internet, một số máy chủ web^{(web server)} nội bộ của công ty , nhưng không có nghĩa là tôi sẽ có thể truy cập các máy chủ cơ sở dữ liệu, các ứng dụng quan trọng của công ty tôi hoặc dữ liệu quan trọng, từ thiết bị đó. Đó là điều mà chúng tôi thực hiện theo chương trình tại Cisco để người dùng đến nơi họ cần trong mạng công ty^{(company network)} nhưng không phải nơi công ty không muốn người dùng đến, từ thiết bị cá nhân.

Vấn đề bảo mật^{(security issue)} nóng nhất trên radar của mọi người là " KRACK " ( Key Reinstallation AttaCK ), ảnh hưởng đến tất cả các máy khách và thiết bị mạng sử dụng sơ đồ mã hóa WPA2^{(WPA2 encryption)} . Cisco đang làm gì để giúp khách hàng của họ giải quyết vấn đề này?

Thật bất ngờ khi một trong những thứ mà chúng ta tin cậy trong nhiều năm nay lại có thể bẻ khóa được. Nó nhắc nhở chúng tôi về các vấn đề với SSL , SSH và tất cả những thứ mà chúng tôi về cơ bản tin tưởng. Tất cả chúng đều trở nên "không xứng đáng" với sự tin tưởng của chúng tôi.

Đối với vấn đề này, chúng tôi đã xác định được mười lỗ hổng bảo mật. Trong số mười người đó, chín người trong số họ là dựa trên khách hàng, vì vậy chúng tôi phải sửa lỗi khách hàng. Một trong số đó là liên quan đến mạng. Đối với vấn đề đó, Cisco sẽ phát hành các bản vá. Các vấn đề này chỉ dành riêng cho điểm truy cập^{(access point)} và chúng tôi không phải sửa bộ định tuyến và thiết bị chuyển mạch.

Tôi rất vui khi thấy rằng Apple đã nhận được các bản sửa lỗi của họ trong mã beta^{(beta code)} để các thiết bị khách hàng của họ sẽ sớm được vá đầy đủ. Windows đã có sẵn một bản vá^{(patch ready)} , v.v. Đối với Cisco , con đường rất đơn giản: một lỗ hổng trên các điểm truy cập của chúng tôi và chúng tôi sẽ phát hành các bản vá và sửa lỗi.

Cho đến khi mọi thứ được khắc phục, bạn sẽ khuyên khách hàng của mình làm gì để tự bảo vệ mình?

Trong một số trường hợp, bạn không cần phải làm gì cả, vì đôi khi mã hóa được sử dụng bên trong mã hóa. Ví dụ: nếu tôi truy cập trang web của ngân hàng của mình, nó sử dụng TLS hoặc SSL^{(TLS or SSL)} để bảo mật thông tin liên lạc, không bị ảnh hưởng bởi vấn đề này. Vì vậy, ngay cả khi tôi đang sử dụng Wi-Fi rộng rãi , giống như ở Starbucks , thì điều đó cũng không thành vấn đề. Trường hợp vấn đề này với WPA2 xuất hiện nhiều hơn là ở khía cạnh quyền riêng tư^{(privacy side)} . Ví dụ, nếu tôi truy cập một trang web và tôi không muốn người khác biết điều đó, thì bây giờ họ sẽ biết vì WPA2 không còn hiệu quả nữa.

Một điều bạn có thể làm để bảo mật cho mình là thiết lập các kết nối VPN . Bạn có thể kết nối không dây, nhưng điều tiếp theo bạn phải làm là bật VPN của mình . VPN tốt vì nó tạo ra một đường hầm được mã hóa đi qua WiFi . Nó sẽ hoạt động cho đến khi mã hóa VPN^{(VPN encryption)} cũng bị tấn công và bạn cần tìm ra giải pháp mới. 🙂

Trên thị trường tiêu dùng^{(consumer market)} , một số nhà cung cấp bảo mật đang kết hợp VPN với bộ chống vi-rút và bộ bảo mật tổng thể của họ. Họ cũng đang bắt đầu giáo dục người tiêu dùng rằng không còn đủ để có tường lửa và chống vi-rút, bạn cũng cần có VPN . Cách tiếp cận của Cisco liên quan đến bảo mật cho doanh nghiệp là gì? Bạn cũng tích cực quảng bá VPN như một lớp bảo vệ^{(protection layer)} cần thiết ?

VPN là một phần trong các gói của chúng tôi dành cho doanh nghiệp. Trong trường hợp bình thường, chúng ta không nói về VPN trong một đường hầm được mã hóa và WPA2^{(tunnel and WPA2)} là một đường hầm được mã hóa. Thông thường, vì nó quá mức cần thiết và có chi phí phải xảy ra ở phía khách hàng^{(client side)} để làm cho tất cả hoạt động tốt. Đối với hầu hết các phần, nó không phải là giá trị nó. Nếu kênh đã được mã hóa, tại sao phải mã hóa lại?

Trong trường hợp này, khi bạn bị tụt quần do giao thức bảo mật WPA2^{(WPA2 security)} về cơ bản bị hỏng, chúng tôi có thể quay lại VPN cho đến khi sự cố được khắc phục với WPA2 .

Nhưng phải nói rằng, trong không gian tình báo^{(intelligence space)} , các tổ chức an ninh như một loại^{(Defense type)} tổ chức của Bộ^(Department) Quốc phòng , họ đã làm điều này trong nhiều năm. Họ dựa vào VPN , cộng với mã hóa không dây và, rất nhiều lần các ứng dụng ở giữa VPN của họ cũng được mã hóa, vì vậy bạn sẽ có được mã hóa ba chiều, tất cả đều sử dụng các loại mật mã khác nhau. Họ làm vậy bởi vì họ “hoang tưởng” như những gì họ nên làm. :))

Trong bài thuyết trình của bạn tại Cisco Connect , bạn đã đề cập đến tự động hóa là rất quan trọng trong bảo mật. Cách tiếp cận được đề xuất của bạn để tự động hóa trong bảo mật là gì?

Tự động hóa sẽ trở thành một yêu cầu nhanh chóng bởi vì chúng ta, là con người, không thể di chuyển đủ nhanh để ngăn chặn các vi phạm và mối đe dọa bảo mật. Một khách hàng đã có 10.000 máy bị mã hóa bởi ransomware trong 10 phút. Không có cách nào con người có thể phản ứng với điều đó, vì vậy bạn cần tự động hóa.

Cách tiếp cận^{(approach today)} của chúng tôi ngày nay không quá nặng tay như nó có thể phải trở nên nhưng khi chúng tôi thấy điều gì đó đáng ngờ, hành vi có vẻ như vi phạm, hệ thống bảo mật của chúng tôi sẽ yêu cầu mạng đặt thiết bị đó hoặc người dùng đó vào trạng thái cách ly. Đây không phải là luyện ngục; bạn vẫn có thể thực hiện một số công việc: bạn vẫn có thể truy cập internet hoặc lấy dữ liệu từ máy chủ quản lý bản vá^{(patch management)} . Bạn không hoàn toàn bị cô lập. Trong tương lai, chúng tôi có thể phải thay đổi triết lý đó và nói rằng: một khi bạn bị cách ly, bạn sẽ không có bất kỳ quyền truy cập nào vì bạn quá nguy hiểm cho tổ chức của mình.

Cisco sử dụng tự động hóa trong danh mục sản phẩm bảo mật của mình như thế nào?

Trong một số lĩnh vực nhất định, chúng tôi sử dụng rất nhiều tự động hóa. Ví dụ: trong Cisco Talos , nhóm nghiên cứu mối đe dọa^{(threat research group)} của chúng tôi , chúng tôi nhận được dữ liệu đo từ xa từ tất cả các vật dụng bảo mật của chúng tôi và rất nhiều dữ liệu khác từ các nguồn khác. Nhóm Talos^{(Talos group)} sử dụng máy học^{(machine learning)} và trí tuệ nhân tạo để sắp xếp hàng triệu bản ghi mỗi ngày. Nếu bạn nhìn vào hiệu quả theo thời gian của tất cả các sản phẩm bảo mật của chúng tôi, thì thật đáng kinh ngạc, trong tất cả các bài kiểm tra hiệu quả của bên thứ ba.

Việc sử dụng các cuộc tấn công DDOS có làm chậm lại không?

Thật không may, DDOS như một phương thức tấn công^{(attack method)} vẫn tồn tại tốt và nó đang ngày càng trở nên tồi tệ hơn. Chúng tôi nhận thấy rằng các cuộc tấn công DDOS có xu hướng nhắm vào một số loại công ty nhất định. Những cuộc tấn công như vậy được sử dụng vừa như một mồi nhử vừa là vũ khí tấn công^{(attack weapon)} chính . Ngoài ra còn có hai loại tấn công DDOS : theo khối lượng và dựa trên ứng dụng^{(volumetric and app)} . Khối lượng đã vượt ra khỏi tầm kiểm soát nếu bạn nhìn vào những con số mới nhất về lượng dữ liệu họ có thể tạo ra để hạ gục ai đó. Nó là vô lý.

Một loại tập đoàn bị nhắm mục tiêu bởi các cuộc tấn công DDOS là các công ty trong lĩnh vực bán lẻ, thường là trong kỳ nghỉ lễ^{(holiday season)} ( Thứ Sáu Đen^{(Black Friday)} sắp đến!). Các loại công ty khác bị nhắm mục tiêu bởi các cuộc tấn công DDOS là những công ty hoạt động trong các lĩnh vực gây tranh cãi, như dầu khí^{(oil and gas)} . Trong trường hợp này, chúng tôi đang đối phó với những người vì lý do đạo đức và đạo đức cụ thể, những người quyết định DDOS một tổ chức hay tổ chức khác bởi vì họ không đồng ý với những gì họ đang làm. Những người như vậy làm điều này vì một nguyên nhân, một mục đích, chứ không phải vì tiền bạc.

Mọi người đưa vào tổ chức của họ không chỉ thiết bị của riêng họ mà còn cả hệ thống đám mây của riêng họ ( OneDrive , Google Drive , Dropbox , v.v.) Điều này cho thấy một rủi ro bảo mật^{(security risk)} khác đối với tổ chức. Hệ thống như Cisco Cloudlock giải quyết vấn đề này như thế nào?

Cloudlock thực hiện hai điều cơ bản: thứ nhất, nó cho phép bạn kiểm tra tất cả các dịch vụ đám mây đang được sử dụng. Chúng tôi tích hợp Cloudlock với các sản phẩm web của mình để Cloudlock có thể đọc tất cả nhật ký web . Điều đó sẽ cho bạn biết mọi người trong tổ chức sẽ đi đâu. Vì vậy, bạn biết rằng rất nhiều người đang sử dụng Dropbox của riêng họ chẳng hạn.

Điều thứ hai mà Cloudlock làm là tất cả đều được làm bằng API giao tiếp với các dịch vụ đám mây. Bằng cách này, nếu người dùng xuất bản tài liệu^{(company document)} của công ty trên Box , Box sẽ ngay lập tức nói với Cloudlock rằng một tài liệu mới đã đến và người dùng nên xem qua. Vì vậy, chúng tôi sẽ xem xét tài liệu, phân loại nó, tìm ra hồ sơ rủi ro^{(risk profile)} của tài liệu, cũng như nó đã được chia sẻ với những người khác hay chưa. Dựa trên kết quả, hệ thống sẽ ngừng chia sẻ tài liệu đó thông qua Box hoặc cho phép nó.

Với Cloudlock , bạn có thể đặt các quy tắc như: "điều này không bao giờ được chia sẻ với bất kỳ ai bên ngoài công ty. Nếu có, hãy tắt tính năng chia sẻ." Bạn cũng có thể mã hóa theo yêu cầu, dựa trên mức độ quan trọng của mỗi tài liệu. Do đó, nếu người dùng cuối^{(end user)} không mã hóa tài liệu kinh doanh^{(business document)} quan trọng , khi đăng tài liệu đó lên Box , Cloudlock sẽ buộc mã hóa tài liệu đó tự động.

Chúng tôi muốn cảm ơn Jamey Heary về cuộc phỏng vấn này và những câu trả lời thẳng thắn của anh ấy. Nếu bạn muốn liên lạc, bạn có thể tìm thấy anh ấy trên Twitter^{(on Twitter)} .

Ở cuối bài viết này, hãy chia sẻ ý kiến ​​của bạn về các chủ đề mà chúng ta đã thảo luận, sử dụng các tùy chọn bình luận có sẵn bên dưới.

Jamey Heary from Cisco: Organizations that work with sensitive information, use encrypted WiFi, VPN, and encrypted apps

On October 18th, we were invited to Cisco Connеct 2017. At this event, we met with securіty expert Jаmey Heary. He is a Distinguiѕhed Systems Engineer at Cisco Systems where hе leads the Global Security Architecturе Team. Jamey is a trusted security advisor and architect for many of Cisco's largest custоmers. He is аlso a book author and a former Network World blogger. We tаlked with him about security in the modern enterprise, the ѕignifiсant security issueѕ that are impacting businesses and organizations, and the latest vulnerabilities that affect all wirеless networks and clients (KRACK). Here is what he had to ѕay:

Our audience is composed both of end-users and business users. To get started, and introduce yourself a bit, how would you describe your job at Cisco, in a non-corporate way?

My passion is security. What I strive to do every day is teach my customers and end-users about architecture. For example, I talk about a security product and how it integrates with other products (our own or from third parties). Therefore I deal with system architecture from a security perspective.

In your experience as a security expert, what are the most significant security threats to the modern enterprise?

The big ones are social engineering and ransomware. The latter wreaks devastation in so many companies, and it is going to get worse because there is so much money in it. It is probably the most lucrative thing that malware creators figured out how to do.

We've seen that the focus of the "bad guys" is on the end-user. He or she is the weakest link right now. We have tried as an industry to train people, the media has done a good job at getting the word out on how you could protect yourself better, but still, it is fairly trivial to send somebody a targeted e-mail and get them to take an action you want: click a link, open an attachment, whatever it is that you want.

The other threat is online payments. We are going to continue to see enhancements in the ways companies take payments online but, until the industry implements more secure ways to take payments online, this area is going to be a huge risk factor.

When it comes to security, people are the weakest link and also the primary focus of attacks. How could we cope with this issue, since social engineering is one of the leading security threats?

There is a lot of technology that we can apply. There is only so much you can do for a person, especially in an industry where some people tend to be more helpful than others. For example, in the healthcare industry, people just want to help others. So you send them a malicious e-mail, and they are more likely to click on what you send them than people in other industries, as a police department.

So we have this problem, but we can use technology. One of the things we can do is segmentation, which can drastically reduce the attack surface that is available to any end-user. We call this "zero trust": when a user connects to the company network, the network understands who the user is, what his or her role is in the organization, what applications the user needs to access, it will understand the user's machine and what is the security posture of the machine, to a very detailed level. For example, it can even tell things like the prevalence of an application the user has. Prevalence is something we found effective, and it means how many other people in the world use this application, and how many in a given organization. At Cisco, we do this analysis through hashing: we take a hash of an application, and we have millions of end-points, and they will come back and say: "the prevalence on this app is 0.0001%". Prevalence calculates how much an app is used in the world and then in your organization. Both of these measures can be very good at figuring out if something is very suspect, and whether it deserves to take a closer look at.

You have an interesting series of articles in the Network World about Mobile Device Management (MDM) systems. However, in recent years, this subject seems to be discussed less. Is the industry's interest in such systems slowing down? What is happening, from your perspective?

Few things have happened, one of which is that MDM systems have become fairly saturated in the market. Almost all of my larger customers have one such system in place. The other thing that has happened is that the privacy regulations and the privacy mindset of users have changed such that many people no longer give their personal device (smartphone, tablet, etc.) to their organization and allow an MDM software to get installed. So we have this competition: the enterprise wants to have full access to the devices that are used by their employees so that it can secure itself and the employees have become very resistant to this approach. There is this constant battle between the two sides. We have seen that the prevalence of MDM systems varies from company to company, depending on the company culture and values, and how each organization wants to treat its employees.

Does this affect the adoption of programs like Bring Your Own Device (BYOD) to work?

Yes, it totally does. What is happening, for the most part, is that people that are using their own devices on the corporate network, use them in a very controlled area. Again, segmentation comes into play. If I bring my own device to the corporate network, then maybe I can access the internet, some internal corporate web server, but by no means, I am going to be able to access the database servers, the critical apps of my company or its critical data, from that device. That's something that we do programmatically at Cisco so that the user gets to go where it needs to in the company network but not where the company doesn't want the user to go, from a personal device.

The hottest security issue on everyone's radar is "KRACK" (Key Reinstallation AttaCK), affecting all network clients and equipment using the WPA2 encryption scheme. What is Cisco doing to help their customers with this problem?

It is a huge surprise that one of the things that we relied on for years is now crackable. It reminds us of the issues with SSL, SSH and all the things that we fundamentally believe in. All of them have become "not worthy" of our trust.

For this issue, we identified ten vulnerabilities. Of those ten, nine of them are client-based, so we have to fix the client. One of them is network related. For that one, Cisco is going to release patches. The issues are exclusive to the access point, and we don't have to fix routers and switches.

I was delighted to see that Apple got their fixes in beta code so their client devices will soon be fully patched. Windows already has a patch ready, etc. For Cisco, the road is straightforward: one vulnerability on our access points and we are going to release patches and fixes.

Until everything gets fixed, what would you recommend your customers do to protect themselves?

In some cases, you don't need to do anything, because sometimes encryption is used inside encryption. For example, if I go to my bank's website, it uses TLS or SSL for communications security, which isn't affected by this issue. So, even if I am going through a wide-open WiFi, like the one at Starbucks, it doesn't matter as much. Where this issue with WPA2 comes more into play is on the privacy side. For example, if I go to a website and I don't want others to know that, now they are going to know because WPA2 is not effective anymore.

One thing you can do to secure yourself is set up VPN connections. You can connect to wireless, but the next thing you have to do is turn on your VPN. The VPN is just fine because it creates an encrypted tunnel going through the WiFi. It will work until the VPN encryption gets hacked too and you need to figure out a new solution. 🙂

On the consumer market, some security vendors are bundling VPN with their antivirus and total security suites. They are also starting to educate consumers that it is no longer enough to have a firewall, and an antivirus, you also need a VPN. What is Cisco's approach regarding security for the enterprise? Do you also actively promote VPN as a necessary protection layer?

VPN is part of our packages for the enterprise. In normal circumstances, we don't talk about VPN within an encrypted tunnel and WPA2 is an encrypted tunnel. Usually, because it is overkill and there is overhead that has to happen on the client side to make it all work well. For the most part, it is not worth it. If the channel is already encrypted, why encrypt it again?

In this case, when you are caught with your pants down because the WPA2 security protocol is fundamentally broken, we can fall back on VPN, until the issues get fixed with WPA2.

But having said that, in the intelligence space, security organizations like a Department of Defense type of organization, they've been doing this for years. They rely on VPN, plus wireless encryption and, a lot of times the applications in the middle of their VPN are also encrypted, so you get a three-way encryption, all using different types of cryptography. They do that because they are "paranoid" as they should be. :))

In your presentation at Cisco Connect, you mentioned automation as being very important in security. What is your recommended approach for automation in security?

Automation will become a requirement quickly because we, as humans, we can't move fast enough to stop security breaches and threats. A customer had 10.000 machines encrypted by ransomware in 10 minutes. There is no way humanly possible that you can react to that, so you need automation.

Our approach today is not as heavy-handed as it might have to become but, when we see something suspicious, behavior that seems like a breach, our security systems tell the network to put that device or that user into quarantine. This isn't purgatory; you can still do some stuff: you can still go to the internet or get data from the patch management servers. You are not totally isolated. In the future, we might have to change that philosophy and say: once you are quarantined, you don't have any access because you are too dangerous for your organization.

How is Cisco using automation in its portfolio of security products?

In certain areas, we use a lot of automation. For example, in Cisco Talos, our threat research group, we get telemetry data from all our security widgets and a ton of other data from other sources. The Talos group uses machine learning and artificial intelligence to sort through millions of records every single day. If you look at the efficacy over time in all of our security products, it is amazing, in all the third-party efficacy tests.

Is the use of DDOS attacks slowing down?

Unfortunately, DDOS as an attack method is alive and well, and it is getting worse. We have found that DDOS attacks tend to be targeted towards certain types of corporations. Such attacks are used both as a decoy and as the primary attack weapon. There are also two types of DDOS attacks: volumetric and app based. The volumetric has gotten out of control if you look at the latest numbers of how much data they can generate to take somebody down. It is ridiculous.

One type of corporations that are targeted by DDOS attacks is those in retail, usually during the holiday season (Black Friday is coming!). The other kind of companies that get targeted by DDOS attacks is those that work in controversial areas, like oil and gas. In this case, we are dealing with people who have a particular ethical and moral cause, who decide to DDOS an organization or another because they don't agree with what they are doing. Such people do this for a cause, for a purpose, and not for the money involved.

People bring into their organizations not only their own devices but also their own cloud systems (OneDrive, Google Drive, Dropbox, etc.) This represents another security risk for organizations. How is a system like Cisco Cloudlock dealing with this issue?

Cloudlock does two fundamental things: first, it is giving you an audit of all the cloud services that are being used. We integrate Cloudlock with our web products so that all the web logs can be read by Cloudlock. That will tell you where everybody in the organization is going. So you know that a lot of people are using their own Dropbox, for example.

The second thing that Cloudlock does is that it is all made of API's that communicate with cloud services. This way, if a user published a company document on Box, Box immediately says to Cloudlock that a new document has arrived and it should take a look at it. So we will look at the document, categorize it, figure out the risk profile of the document, as well as has it been shared with others or not. Based on the results, the system will either stop the sharing of that document through Box or allow it.

With Cloudlock you can set rules like: "this should never be shared with anyone outside the company. If it is, turn the sharing off." You can also do encryption on demand, based on the criticality of each document. Therefore, if the end user did not encrypt a critical business document, when posting it on Box, Cloudlock will force the encryption of that document automatically.

We would like to thank Jamey Heary for this interview and his candid answers. If you want to get in touch, you can find him on Twitter.

At the end of this article, share your opinion about the subjects that we discussed, using the commenting options available below.

Related posts

• 8 bước để tối đa hóa bảo mật cho bộ định tuyến ASUS hoặc WiFi lưới ASUS Lyra của bạn

• An ninh mạng thông qua giáo dục: Mô phỏng Bảo vệ Tương tác Kaspersky

• Quảng cáo PowerLinks khiến hàng triệu độc giả gặp rủi ro, từ các ấn phẩm lớn như The Verge, Vice News, v.v.

• Giải thưởng - Sản phẩm diệt virus phổ biến nhất năm 2017

• Bản cập nhật Windows 10 tháng 11 năm 2019 có gì mới?

• Bảo mật cho mọi người - Đánh giá KeepSolid VPN Unlimited

• Cách thêm, thay đổi hoặc xóa kết nối VPN trong Windows 8.1

• Giải thưởng: Sản phẩm diệt virus tốt nhất năm 2018

• 8 lý do tại sao Cyberghost VPN là một trong những VPN tốt nhất trên thị trường

• Synology DiskStation Manager 7: Beta sẵn, cập nhật miễn phí đến năm 2021

• Giải thưởng - Sản phẩm diệt virus sáng tạo nhất năm 2017

• Giải thưởng - Sản phẩm diệt virus tốt nhất năm 2017

• Phân tích: Cài đặt ứng dụng máy tính để bàn nhanh chóng làm hỏng hiệu suất máy tính!

• Các tính năng mới sắp có trên Windows Defender trong Windows 10 Creators Update

• 15+ lý do tại sao bạn nên tải Windows 10 Fall Creators Update

• 13 điều tốt nhất về Windows 10

• Bảo mật cho mọi người - Đánh giá F-Secure Freedome VPN

• "Hãy gắn bó với cửa hàng Google Play!" chuyên gia bảo mật thông tin nổi tiếng tại ESET cho biết

• Set Lên bộ định tuyến Wi-Fi 6 của TP-Link của bạn dưới dạng VPN server

• Cách thêm và sử dụng VPN trong Windows 10 (tất cả những gì bạn cần biết)