CSO sagte Cisco-Sicherheit wächst

John Stewart redet nicht wie Ihr typischer Unternehmensleiter. Er sagte, dass seine Firma, Cisco Systems, Glück gehabt habe, wenn es um Sicherheit ging und dass die Marketing-Kampagne seines Unternehmens im Selbst-Verteidigenden Netzwerk "ein großes Bullauge" auf seine Produkte gemalt hat.

Aber dann hat Stewart mehr wichtige Dinge, um die Sie sich sorgen müssen. Als Chief Security Officer ist er verantwortlich für die Leitung der Sicherheitspraktiken von Cisco in Unternehmen und Geschäftsbereichen. Das bedeutet, dass er immer dann angerufen wird, wenn in den Produkten von Cisco ein wichtiger Sicherheitsfehler auftritt oder Hacker die Cisco.com-Website besuchen. Wie er es ausdrückt, ist es seine Aufgabe, die Cisco-Produkte abzusperren, bevor er sich mit der "brennenden Plattform" auseinandersetzen muss - ein ernsthafter Fehler oder Angriff gegen die am häufigsten verwendeten Router im Internet.

Vielleicht Cisco braucht jemanden wie Stewart, um die Fehler zu vermeiden, die andere große Technologieunternehmen in Sachen Sicherheit gemacht haben. Nehmen Sie zum Beispiel Microsoft. Microsoft nahm zunächst eine feindselige Haltung gegenüber Sicherheitsforschern und -kritikern ein, was jedoch den Eindruck erweckte, dass das Unternehmen Sicherheitsfehler ignorierte und nicht versuchte, sie zu beheben. Letztendlich kehrte Microsoft seinen Kurs um, aber erst, als sein Ruf einen schweren Schlag erlitt.

[Weiterführende Literatur: Beste NAS-Boxen für Media-Streaming und Backup]

In einem kleineren Maßstab hat Cisco eine ähnliche Umkehrung vorgenommen. Die Firma verärgerte Hacker im Jahr 2005, indem sie Forscher Mike Lynn verklagte, nachdem er gezeigt hatte, wie es möglich war, unautorisierte Shellcode-Software auf einem Cisco-Router auszuführen.

Aber anstatt eine neue Ära des Cisco-Hackens zu beginnen, war die Mike Lynn-Episode mehr eine Aberration. Die Cisco-Forschung war in den nächsten Jahren ruhig.

Stewart sagte, Cisco sei "ein bisschen glücklich" gewesen, da es keine größeren Sicherheitsbeeinträchtigungen gegeben habe, aber er hält nichts für selbstverständlich. Er lud den IDG News Service in sein Büro in San Jose, Kalifornien ein, um über die Cisco Bedrohungslandschaft zu sprechen. Es folgt eine bearbeitete Abschrift des Interviews.

IDG News Service: Cisco hat bei Black Hat 2005 viel Aufmerksamkeit bekommen. Was ist Ihre Meinung zu den Dingen, drei Jahre später?

John Stewart: Teil des Grundes all der Aufmerksamkeit wurde vor drei Jahren bei Black Hat auf uns gemalt, weil wir einen Feuersturm von, offen gesagt, allerlei komplizierten Problemen geschaffen haben, die sich anfühlten, als würde Cisco Kommunikation und Forschung unterdrücken.

Ich denke, wir haben einige dumme Dinge getan, wie zu versuchen Leg den Geist in die Flasche zurück, was du nicht kannst. Wir haben es aus den richtigen Gründen versucht: Schutz des geistigen Eigentums und unserer Kunden. Aber wie es herauskam, ging völlig zur Seite.

Und in vieler Hinsicht haben wir es anonym gemacht. Es war "ein Cisco-Sprecher". Wir versteckten uns irgendwie hinter einem Anonymitätskontext, von dem ich glaube, dass er alles vermasselt hat.

Deshalb sponserte ich Black Hat seitdem persönlich auf Platin-Ebene. Weil ich denke, wir hatten etwas Sühne zu tun und zu gehen, "Schau, unser schlechtes. Das war nicht der Weg, das zu tun."

IDGNS: Warum denken Sie, dass die Cisco-Forschung austrocknete wie es war?

Stewart: Es gibt ein paar Gründe. Die erste ist, dass viel davon keine Fernnutzung ist, und vieles, worum die Forschung in einer Gemeinschaft geht, ist: "Wie machst du das aus der Ferne?" IRMs [Information Risk Management] Forschung, Sebastians [Muniz, ein Forscher mit Core Security Technologies] Forschung und bis zu einem gewissen Grad, Michael Lynn Forschung, obwohl es eine leichte Remote-Variante hatte, ist es nicht stabil Remote. Und hier ist das wahre Spiel.

Du musst einen Weg finden, um es zu bekommen, ohne auf der Konsole zu sein. Und genau darum geht es bei den meisten Entwicklungen: Wie macht man das auf der Konsole - jedenfalls für Cisco.

Und zweitens: Sie wollen, dass es funktioniert. Du versuchst nicht, es auszuschalten, weil du das Netzwerk brauchst, damit du zum Endpunkt kommst. Also denke ich, dass wir einen Pass bekommen, weil niemand mit der Infrastruktur, die sie benutzen, verkehren will. Es ist so, als würde man die Autobahn verdrehen, während man versucht, in eine andere Stadt zu fahren. Das ist irgendwie eine alberne Sache.

IDGNS: Microsoft hat sehr öffentlich darüber gesprochen, wie sie das Unternehmen verändert haben, um Sicherheit zu einer Priorität zu machen. Was ist die Geschichte bei Cisco? Wie wurde das Sicherheitsprogramm aufgebaut?

Stewart: Wir waren wahrscheinlich im selben Raum. Viele Firmen, einschließlich unserer eigenen, begannen mit dem Bau von Dingen, die zuerst Kommunikationsprobleme lösten und dann über die Sicherheit der Kommunikation nachdachten.

Vor ungefähr fünf Jahren kämpften wir gegen das Unternehmen, mein Team. Meistens im Informationssicherheitsgeschäft. Wir waren die "Nein" Organisation, der Elfenbeinturm. Das ist ein gefährlicher Ort, denn mein Standpunkt ist, dass wir ein beratender Erfüllungsarm und kein Schiedsrichter sein sollten.

Also haben wir eine Menge verändert und wir haben begonnen, Dinge zu injizieren, wie: "Du wirst Erfahrung in deinem Wir werden nicht einmal in der Mitte sein, also können Sie das Know-how für das, was Sie brauchen, investieren und wir halten Sie nicht auf oder bringen Sie in eine langsamere Position. "

Die zweite Sache - - das ist nicht zu unterschätzen - bereiten wir uns im Jahr 2002 darauf vor, selbstverteidigende Netzwerke auf den Weg zu bringen, die - wie sie es hassen oder als Slogan hassen - effektiv ein großes Ziel auf unserer Stirn sind.

IDGNS: Wie Oracles unzerbrechliches Linux?

Stewart: Tatsächlich hat Mary Ann Davidson bei Oracle mir eine Nachricht geschickt und gesagt: "Vielen Dank, dass Sie sich einen Slogan ausgedacht haben, der den Druck von dem, was wir getan haben, nimmt" [lacht] Als hätte ich etwas mit der Ankündigung zu tun.

Und dann drittens haben wir wirklich einen Fußabdruck bekommen. Wir haben uns an immer mehr Orten angewöhnt und ehrlich gesagt denken wir nie daran, dass wir jemals dafür gebraucht würden. Wir stellen die Kommunikation im Gesundheitswesen um, wir stellen die Kommunikation zwischen Standorten für das Militär um. Wir machen all diese wilden Dinge, vor 20 Jahren, über die wir damals noch nicht nachgedacht haben.

IDGNS: Haben Sie so etwas wie einen sicheren Entwicklungslebenszyklus gemacht oder die Art verändert, wie Sie Produkte gebaut haben?

Stewart: Wir sind nicht reif darin. Wir sind in der peinlichen Teenager-Phase. Wir testen am Ende des Entwicklungsprozesses und wir ermitteln aus diesen Daten, wie Sie rückwärts in den Definitionsprozess gehen. Jetzt passiert irgendwie eine Definition. So gibt es zum Beispiel einige Grundanforderungen an jedes von uns gebaute Produkt. Aber ich sage immer noch, dass es viel zu lernen gibt. Wenn Sie denken, dass Sie es richtig gemacht haben und es erstellen und testen, sollten die Erkenntnisse aus dem Test für das nächste, was Sie bauen, von Vorteil sein.

Wir haben noch keinen sicheren Entwicklungslebenszyklus wie Microsoft angenommen. Wir haben nicht auf allen Produktlinien auf eine sehr konsistente, methodisch messbare Art und Weise gleichgesetzt, und deshalb sage ich, dass wir uns in dieser peinlichen Teenagerphase befinden.