CSO Mengatakan Keamanan Cisco Meningkat

John Stewart tidak berbicara seperti eksekutif korporat tipikal Anda. Dia mengatakan bahwa perusahaannya, Cisco Systems, telah beruntung ketika datang ke keamanan dan bahwa dorongan pemasaran Self-Defending Network perusahaannya telah melukis "sasaran besar" pada produknya.

Tapi sekali lagi, Stewart memiliki lebih banyak hal penting yang perlu dikhawatirkan. Sebagai kepala petugas keamanan, dia adalah orang yang bertanggung jawab untuk mengarahkan praktik keamanan perusahaan dan unit bisnis Cisco. Itu berarti dia mendapat panggilan setiap kali ada bug keamanan penting dalam produk Cisco atau jika peretas ingin mengunjungi situs Web Cisco.com. Cara dia menempatkannya, adalah tugasnya untuk membantu mengunci produk Cisco sebelum dia dipaksa untuk berurusan dengan apa yang dia sebut "platform terbakar" - cacat serius atau serangan terhadap router yang paling banyak digunakan di Internet.

Mungkin Cisco membutuhkan seseorang seperti Stewart, untuk menghindari kesalahan-kesalahan yang dibuat oleh perusahaan teknologi besar lainnya tentang keamanan. Ambil Microsoft, misalnya. Microsoft pertama kali mengambil sikap bermusuhan terhadap para peneliti dan kritikus keamanan, tetapi itu menjadi bumerang dan membantu memperkuat kesan bahwa perusahaan mengabaikan bug keamanan daripada mencoba memperbaikinya. Microsoft akhirnya berbalik arah, tetapi tidak sampai reputasinya mengalami pukulan serius.

[Bacaan lebih lanjut: Kotak NAS terbaik untuk streaming media dan cadangan]

Pada skala yang lebih kecil, Cisco telah melakukan pembalikan serupa. Perusahaan membuat marah para hacker pada tahun 2005 dengan menggugat peneliti Mike Lynn setelah dia menunjukkan bagaimana mungkin untuk menjalankan perangkat lunak shellcode yang tidak sah pada router Cisco.

Tapi bukannya memulai era baru peretasan Cisco, episode Mike Lynn lebih dari sebuah penyimpangan. Riset Cisco cukup tenang untuk beberapa tahun ke depan.

Stewart mengatakan bahwa Cisco telah "sedikit beruntung" karena belum ada jebakan keamanan yang besar, tetapi dia tidak menerima apa pun begitu saja. Dia mengundang IDG News Service ke kantornya di San Jose, California untuk berbicara tentang lanskap ancaman Cisco. Berikut ini adalah transkrip wawancara yang diedit.

Layanan Berita IDG: Cisco mendapat banyak perhatian di Black Hat 2005. Apa pendapat Anda tentang hal-hal, tiga tahun kemudian?

John Stewart: Sebagian dari alasan semua perhatian dilukis pada kami di Black Hat tiga tahun yang lalu adalah karena kami menciptakan badai, terus terang segala macam masalah rumit, yang terasa seperti Cisco menekan komunikasi dan penelitian.

Saya pikir bisa dibilang kami melakukan beberapa hal konyol, seperti mencoba untuk masukkan jin kembali ke botol, yang tidak bisa kamu lakukan. Kami mencoba melakukannya untuk alasan yang benar: perlindungan kekayaan intelektual dan pelanggan kami. Tapi bagaimana hasilnya benar-benar pergi ke samping.

Dan, dalam banyak hal, kami melakukannya secara anonim. Itu adalah "juru bicara Cisco." Kami semacam bersembunyi di balik konteks anonimitas, yang saya pikir benar-benar melakukan semuanya.

Inilah sebabnya mengapa saya secara pribadi mensponsori Black Hat di level platinum sejak itu. Karena saya pikir kita harus melakukan pendamaian dan pergi, "Dengar, kita buruk. Itu bukan cara untuk melakukan itu."

IDGNS: Mengapa Anda pikir riset Cisco mengering seperti itu?

Stewart: Ada beberapa alasan. Yang pertama adalah, banyak dari ini bukan eksploitasi jarak jauh, dan banyak dari apa yang diteliti dalam masyarakat adalah, "Bagaimana Anda melakukannya dari jarak jauh?" Penelitian [Manajemen Risiko Informasi] IRM, penelitian Sebastian [Muniz, seorang peneliti dengan Core Security Technologies], dan pada tingkat tertentu, penelitian Michael Lynn, meskipun memiliki sedikit varian jarak jauh, itu tidak stabil jauh. Dan di situlah permainan sebenarnya.

Anda harus mencari cara untuk mendapatkannya tanpa berada di konsol. Dan itulah sebagian besar perkembangan yang ada: bagaimana Anda melakukannya di konsol - setidaknya untuk Cisco. Dan yang kedua adalah, Anda ingin itu berfungsi. Anda tidak mencoba untuk menjatuhkannya karena Anda perlu jaringan sehingga Anda dapat mencapai titik akhir. Jadi saya pikir kami mendapatkan izin karena tidak ada yang mau berkeliaran dengan infrastruktur yang mereka gunakan. Ini seperti mengacaukan jalan bebas ketika Anda mencoba untuk pergi ke kota yang berbeda. Itu hal yang konyol untuk dilakukan.

IDGNS: Microsoft telah sangat terbuka tentang bagaimana mereka mengubah perusahaan untuk menjadikan keamanan sebagai prioritas. Apa ceritanya di Cisco? Bagaimana program keamanan dibangun?

Stewart: Kami mungkin berada di ruang yang sama. Banyak perusahaan, termasuk kami sendiri, mulai dengan membangun hal-hal terlebih dahulu yang memecahkan masalah komunikasi dan kemudian memikirkan keselamatan komunikasi setelahnya.

Sekitar lima tahun yang lalu, kami memerangi perusahaan, tim saya. Sebagian besar dalam bisnis keamanan informasi. Kami adalah organisasi "tidak", menara gading. Itu adalah tempat yang berbahaya karena yang saya ambil adalah kita harus menjadi lengan pemenuhan konsultasi, bukan adjudicator.

Jadi kami mengubah banyak hal dan kami mulai menyuntikkan barang, seperti "Anda akan memiliki keahlian dalam tim. Kami tidak akan berada di tengah, sehingga Anda dapat berinvestasi keahlian untuk apa yang Anda butuhkan dan kami tidak menahan Anda atau membawa Anda ke posisi yang lebih lambat. "

Hal kedua - - yang tidak dapat diremehkan - adalah kita bersiap-siap pada tahun 2002 untuk meluncurkan jaringan pertahanan diri, yang - suka atau benci itu sebagai slogan - secara efektif adalah sasaran besar di dahi kita.

IDGNS: Seperti halnya Linux yang tidak bisa dipecahkan Oracle?

Stewart: Bahkan Mary Ann Davidson di Oracle menjatuhkan saya catatan dan berkata, "terima kasih banyak karena datang dengan slogan yang mengambil tekanan dari apa yang telah kami lakukan," [tertawa] seolah-olah saya ada hubungannya dengan pengumuman itu. Dan kemudian ketiga, kami benar-benar memiliki jejak kaki tumbuh. Kami terbiasa di lebih banyak tempat, dan terus terang berpikir kami tidak pernah membayangkan kami akan terbiasa. Kami sedang mentransisikan komunikasi perawatan kesehatan, kami mentransisikan komunikasi dari situs ke situs untuk militer. Kami melakukan semua hal liar yang 20 tahun lalu tidak kami pikirkan saat itu.

IDGNS: Jadi, apakah Anda melakukan sesuatu seperti mengadopsi siklus hidup pengembangan yang aman atau mengubah cara Anda membangun produk?

Stewart: Kami tidak dewasa dalam hal ini. Kami sedang dalam fase remaja yang canggung. Kami sedang menguji pada akhir proses pengembangan dan kami mencari tahu dari data tersebut bagaimana Anda masuk ke belakang ke dalam proses definisi. Sekarang beberapa definisi terjadi. Jadi misalnya ada beberapa persyaratan dasar dari setiap produk yang kami bangun. Namun, saya masih mengatakan ada banyak hal yang bisa dipelajari. Ketika Anda berpikir Anda sudah benar dan Anda membangunnya dan Anda mengujinya, pembelajaran dari tes tersebut akan bermanfaat bagi hal berikutnya yang Anda bangun.

Kami belum mengadopsi siklus pengembangan yang aman seperti Microsoft. Kami belum memaku yang sama di semua lini produk dengan cara yang terukur sangat konsisten metodis, dan itulah mengapa saya mengatakan kami berada di fase remaja yang canggung.