CSO, 시스코 보안의 성장세

존 스튜어트 (John Stewart)는 일반적인 회사 경영진처럼 말하지 않습니다. 그는 시스코 시스템즈 (Cisco Systems)가 보안에 관해서 운이 좋았고 회사의 자체 방어 네트워크 마케팅 추진으로 자사 제품에 "큰 눈"을 그렸다고 말했다.하지만 그때 다시 스튜어트는 걱정할 중요한 것들. CSO (Chief Security Officer)로서 시스코의 기업 및 사업부 보안 관행을 담당하는 책임자입니다. 즉, Cisco 제품에 중요한 보안 버그가 있거나 해커가 Cisco.com 웹 사이트를 공격 할 때마다 전화를 받게됩니다. 그가 말하는 바에 따르면, 시스코 제품을 "굽기 플랫폼"이라고 부르는 것을 다루기 전에 시스코 제품을 잠그는 것이 그의 임무입니다. 이것은 인터넷상의 가장 널리 사용되는 라우터에 대한 심각한 결함이나 공격입니다.

아마도 시스코는 다른 주요 기술 회사들이 보안에 끼친 실수를 피하기 위해 스튜어트 (Stewart)와 같은 사람이 필요합니다. 예를 들어 마이크로 소프트를 생각해보십시오. 마이크로 소프트는 처음에는 보안 연구원과 비평가들에 대한 적대적인 태도를 보였으 나 그게 역효과를 낳았고, 보안 버그를 고치려고하는 것이 아니라 보안 버그를 무시하고 있다는 인상을 심어 주었다. Microsoft는 궁극적으로 그 방향을 바꿨지 만 평판이 심각한 타격을 입을 때까지는 그렇지 않았습니다.

[자세한 내용: 미디어 스트리밍 및 백업을위한 최고의 NAS 상자]

소규모로는 시스코가 비슷한 반전을 만들었습니다. 이 회사는 2005 년에 시스코 라우터에서 허가받지 않은 쉘 코드 소프트웨어를 실행할 수있는 방법을 보여준 후 연구원 마이크 린 (Mike Lynn)을 고소하여 해커를 분노 케했다.

시스코 해킹의 새로운 시대를 시작하는 대신 Mike Lynn 에피소드는 수차. 시스코의 연구는 앞으로 몇 년 동안 조용했습니다.

시스코는 보안이 크게 강화되지 않았기 때문에 시스코는 "약간 운이 좋았습니다"라고 말하면서는 아무 것도 먹지 않을 것이라고 말했습니다. 그는 IDG News Service를 캘리포니아 산호세 사무실에 초대하여 Cisco 위협 요소에 대해 이야기했습니다. IDG 뉴스 서비스: 블랙 햇 2005에서 시스코가 많은 관심을 받았다. 3 년 후 무엇을 생각 하느냐?

존 스튜어트 (John Stewart): 모든 관심을 끄는 이유 중 일부 3 년 전 블랙 햇에서 우리에게 그렸습니다. 솔직히 말해서 모든 종류의 복잡한 문제가 발생했기 때문에 시스코가 커뮤니케이션과 연구를 억누르고있는 것처럼 느껴졌습니다.

나는 우리가 틀림없이 우리가 바보 같은 일을했다고 생각합니다. 당신이 할 수없는 병에 요정을 다시 넣으십시오. 우리는 올바른 이유로 지적 재산과 고객 보호를 위해 노력했습니다. 그러나 그것이 어떻게 완전히 밖으로 나왔는지는 완전히 횡포했습니다.

그리고 많은면에서 우리는 익명으로 그것을했습니다. 그것은 "시스코 대변인"이었습니다. 우리는 일종의 익명성에 숨겨져 있습니다. 모든 것이 실제로 이루어 졌다고 생각합니다.

개인적으로 블랙 햇을 개인적으로 플래티넘 레벨에서 후원 한 것입니다. 왜냐하면 우리는 할일이 있다고 생각하기 때문에, "우리의 나쁜 표정은 그렇게하는 것이 아닙니다."IDGNS: 시스코 연구가 왜 그렇게 말랐습니까?

스튜어트: 몇 가지 이유가 있습니다. 첫 번째는 원격 조종이 아니라 원격 조종에 대한 연구가 많다는 것입니다. "어떻게하면 원격으로 할 수 있습니까?" IRM의 [정보 위험 관리] 연구, 세바스찬의 [Muniz, Core Security Technologies의 연구원] 연구 및 마이클 린의 연구에 따르면 약간의 원격 변형이 있었지만 원격으로는 안정적이지 않았습니다. 그리고 실제 게임이있는 곳입니다.

콘솔에 있지 않은 채로 들어갈 수있는 방법을 찾아야합니다. 이것이 대부분의 개발 과정이었습니다: 어쨌든, 적어도 시스코의 경우에는 콘솔에서 어떻게 할 수 있습니까? 그리고 두 번째는 작동시키려는 것입니다. 엔드 포인트에 도달 할 수 있도록 네트워크가 필요하기 때문에 노크하지 않으려 고합니다. 그래서 나는 아무도 그들이 사용하고있는 기반 구조로 원숭이를 원하기 때문에 우리가 일종의 통과를한다고 생각합니다. 네가 다른 도시로 가려고하는 동안 고속도로를 망쳐 놓는 것과 같다. 그것은 일종의 바보 같은 짓입니다.

IDGNS: Microsoft는 보안을 최우선 과제로 삼아 회사를 어떻게 바 꾸었는지에 대해 많은 사람들에게 알리고 있습니다. 시스코의 이야기는 무엇입니까? 보안 프로그램은 어떻게 구축 되었습니까?

Stewart: 아마도 같은 공간에 있었을 것입니다. 우리 회사를 포함한 많은 회사들이 먼저 통신 문제를 해결하고 통신의 안전성에 대해 생각한 것부터 시작했습니다.

약 5 년 전에 회사와 싸우고있었습니다. 대부분 정보 보안 사업에 종사하고 있습니다. 우리는 "아니오"조직, 상아탑이었다. 제 취해야하는 것은 위험한 곳입니다. 제 판단은 판사가 아니라 상담의 성취 팔이되어야하기 때문에입니다.

그래서 우리는 많은 것을 바꾸 었으며, "당신은 당신의 전문 지식을 갖게 될 것입니다. 우리는 중간에 있지 않을 것입니다. 그래서 당신이 필요로하는 것에 전문 기술을 투자 할 수 있고, 우리는 당신을 붙들거나 당신을 더 느린 자세로 이끌지 않을 것입니다. "

두 번째 것은 - - 과소 평가되어서는 안됩니다. 우리는 2002 년에 자기 방어 네트워크를 시작하기 위해 준비하고 있었습니까 - 슬로건처럼 또는 싫어하는 것이 - 효과적으로 이마에 큰 과녁이됩니다.

IDGNS: 오라클의 깨지기 쉬운 리눅스처럼?

스튜어트: 사실 오라클에서 Mary Ann Davidson이 한 마디 메모를 남기고 "우리가 한 일을 바로 잡으려는 슬로건을 내걸어 주셔서 대단히 감사합니다."라고 말했습니다. [웃음] 내가 그 발표와 관련이있는 것처럼.

그리고 셋째, 우리는 실제로 발자국이 자랐습니다. 우리는 점점 더 많은 장소에서 익숙해졌습니다. 솔직히 말해서 우리는 우리가 사용하지 않을 것이라고 생각하지 않았습니다. 우리는 의료 커뮤니케이션을 전환하고 있으며, 군대의 사이트 간 커뮤니케이션을 전환하고 있습니다. 우리는 20 년 전에 생각하지 못했던 이러한 거친 일들을 모두하고 있습니다.

IDGNS: 안전한 개발 라이프 사이클을 채택하거나 제품을 만든 방식을 바꾸는 것과 같은 일을 했습니까?

Stewart 우리는 성숙하지 않았습니다. 우리는 어색한 십대 단계에 있습니다. 우리는 개발 프로세스가 끝났을 때 테스트를 진행하고 있으며, 그 데이터를 통해 정의 프로세스로 어떻게 거슬러 올라가는지 파악하고 있습니다. 이제 어떤 정의가 발생합니다. 예를 들어 우리가 구축 한 모든 제품에 대한 기본 요구 사항이 있습니다. 그러나, 나는 아직도 배울 것이 많다고 말한다. 테스트를 통해 얻을 수있는 학습 효과는 구축 한 다음 단계에 도움이됩니다.

아직 Microsoft와 같은 안전한 개발주기를 채택하지 않았습니다. 우리는 모든 제품 라인에 대해 일관되고 체계적으로 측정 할 수있는 방법으로 똑같이 똑바로 세우지 않았습니다. 그래서 우리는 그 어색한 십대 단계에 있다고 말합니다.