CSO sagde, at Cisco Security vokser op

John Stewart snakker ikke som din typiske corporate executive. Han sagde, at hans firma, Cisco Systems, har haft held og lykke med sikkerhed og at hans virksomheds selvforsvarende Network marketing push har malet "et stort tyrøje" på sine produkter.

Men så igen har Stewart mere vigtige ting at bekymre sig om. Som Chief Security Officer er han den mand, der er ansvarlig for at styre Cisco Corporate og Business Unit Security Practices. Det betyder, at han får opkaldet, når der er en vigtig sikkerhedsfejl i Ciscos produkter eller hvis hackere skulle ramme Cisco.com-webstedet. Den måde, hvorpå han lægger det, er det hans job at hjælpe med at låse Cisco's produkter, før han bliver tvunget til at håndtere det, han kalder "den brændende platform" - en alvorlig fejl eller angreb mod de mest anvendte routere på internettet.

Måske Cisco har brug for nogen som Stewart, for at fjerne de fejl, som andre større teknologibedrifter har lavet om sikkerhed. Tag f.eks. Microsoft. Microsoft fulgte først en fjendtlig holdning til sikkerhedsforskere og kritikere, men det var igen og hjulpet med at cementere indtryk af, at virksomheden ignorerede sikkerhedsfejl i stedet for at forsøge at reparere dem. Microsoft har i sidste ende vendt kurset, men ikke før dets omdømme tog et alvorligt hit.

[Yderligere læsning: Bedste NAS-kasser til streaming og backup af medier]

Cisco har i mindre omfang foretaget en lignende form for vending. Virksomheden rodede hackere i 2005 ved at sagsøge forsker Mike Lynn, efter at han viste, hvordan det var muligt at køre uautoriseret shellcode-software på en Cisco-router.

Men i stedet for at starte en ny æra af Cisco-hacking var Mike Lynn-episoden mere af en aberration. Cisco-undersøgelsen var stille i de kommende år.

Stewart sagde, at Cisco har været "lidt heldig", fordi den ikke har haft store sikkerhedsfejl, men han tager ikke noget for givet. Han inviterede IDG News Service til hans San Jose, Californien kontor for at tale om Cisco trussel landskabet. Følgende er et redigeret transkript af interviewet.

IDG News Service: Cisco fik meget opmærksomhed på Black Hat 2005. Hvad har du på ting, tre år senere?

John Stewart: Del af grunden al opmærksomhed blev malet på os på Black Hat for tre år siden, fordi vi skabte en firestorm af, ærligt alle slags komplicerede problemer, der følte at Cisco undertrykte kommunikation og forskning. Jeg tror nok, at vi gjorde nogle dumme ting som at forsøge at læg genien tilbage i flasken, som du ikke kan gøre. Vi forsøgte at gøre det af de rigtige grunde: beskyttelse af intellektuel ejendomsret og vores kunder. Men hvordan det kom ud, gik det helt lige sidelæns.

Og i mange henseender gjorde vi det anonymt. Det var "en Cisco-talsmand." Vi slags skjulte sig bag en anonymitetskontekst, som jeg synes rigtig goofed alt.

Derfor sponsorerede jeg Black Hat personligt på platiniveau siden da. Fordi jeg tror, ​​at vi havde en vis forsoning at gøre og gå: "Se, vores dårlige. Det var ikke måden at gøre den ene."

IDGNS: Hvorfor tror du, at Cisco-undersøgelsen blev tørret op som den gjorde?

Stewart: Der er et par grunde. Den første er, meget af dette er ikke ekstern udnyttelse, og meget af hvad forskningen handler om i ethvert fællesskab er: "Hvordan gør du det eksternt?" IRM's [Information Risk Management's] undersøgelse, Sebastians researcher [Muniz, en forsker med Core Security Technologies] og i en vis grad Michael Lynns forskning, selv om den havde en lille fjernvariant, er den ikke stabil fjernbetjening. Og det er her det rigtige spil er.

Du er nødt til at finde ud af en måde at få det på uden at være på konsollen. Og det er, hvad det meste af udviklingen har eksisteret: Hvordan gør du det på konsollen - i hvert fald for Cisco, alligevel.

Og den anden ting er, du vil have det til at fungere. Du forsøger ikke at slå den ud, fordi du har brug for netværket, så du kan komme til slutpunktet. Så jeg tror, ​​vi slags få et pas, fordi ingen ønsker at abe med den infrastruktur, de bruger. Det er som at skrue op ad motorvejen, mens du forsøger at gå til en anden by. Det er lidt af en goofy ting at gøre.

IDGNS: Microsoft har været meget offentligt om, hvordan de ændrede virksomheden for at sikre sikkerhed en prioritet. Hvad er historien på Cisco? Hvordan blev sikkerhedsprogrammet bygget?

Stewart: Vi var sandsynligvis i samme rum. Mange virksomheder, herunder vores egne, begyndte med at bygge ting først, der løste kommunikationsproblemer og derefter tænke på kommunikationssikkerhed bagefter.

Vi kæmpede for fem år siden, firmaet, mit team. For det meste i informationssikkerhedsvirksomheden. Vi var "nej" -organisationen, elfenbenstårnet. Det er et farligt sted at være fordi min tage er, at vi burde være en rådgivende gennemførelsesarm, ikke en dommer.

Så vi ændrede meget af det, og vi begyndte at injicere ting som "Du skal have ekspertise i din team. Vi kommer ikke til at være lige i midten, så du kan investere ekspertisen til det, du har brug for, og vi holder dig ikke op eller bringer dig i en langsommere position. "

Den anden ting - - som ikke kan undervurderes - bliver vi klar i 2002 for at lancere selvforsvarende netværk, som - som det eller hader det som et slogan - effektivt er et stort tyrøje på vores pande.

IDGNS: Som Oracle's ubrydelige Linux?

Stewart: Faktisk Mary Ann Davidson over på Oracle droppede mig en note og sagde: "Mange tak for at komme med et slogan, der tager trykket ud af det, vi har gjort" [griner] som om jeg havde noget at gøre med meddelelsen.

Og så tredje har vi virkelig fået et fodaftryk. Vi blev brugt i flere og flere steder, og ærligt talt tror vi, vi aldrig havde forestillet os, at vi ville blive brugt til. Vi overfører sundhedsvæsenskommunikation, vi overfører site-to-site kommunikation til militæret. Vi laver alle disse vildt ting, som vi for 20 år siden ikke tænkte på.

IDGNS: Så gjorde du noget som at vedtage en sikker udviklingslivscyklus eller ændre måden du byggede på produkter?

Stewart: Vi er ikke modne i dette. Vi er i den akavede teenage fase. Vi tester i slutningen af ​​udviklingsprocessen, og vi regner ud fra disse data, hvordan går du tilbage i definitionprocessen. Nu sker der en eller anden definition. Så for eksempel er der nogle grundlæggende krav til hvert produkt, vi har bygget. Jeg siger dog stadig, at der er meget at lære. Når du tror, ​​at du har det rigtigt, og du bygger det, og du tester det, skal læringen fra testen gavne det næste, du opbygger.

Vi har ikke vedtaget en sikker udviklingslivscyklus som Microsoft endnu. Vi har ikke spikret lige på alle produktlinjer på en meget konsekvent metodisk målbar måde, og det er derfor, jeg siger, at vi er i den akavede teenagefase.