Cisco の Jamey Heary: 機密情報を扱い、暗号化された WiFi、VPN、および暗号化されたアプリを使用する組織

10 月 18 日、私たちは Cisco Connect 2017 に招待されました。このイベントで、セキュリティ専門家の Jamey Heary に会いました。彼は Cisco Systems の Distinguished Systems Engineer であり、グローバルセキュリティアーキテクチャチームを率いています。Jamey は、シスコの大口顧客の多くにとって信頼できるセキュリティアドバイザーでありアーキテクトです。彼は本の著者でもあり、元 Network World ブロガーでもあります。現代の企業におけるセキュリティ、ビジネスや組織に影響を与えている重大なセキュリティ問題、すべてのワイヤレスネットワークとクライアントに影響を与える最新の脆弱性 (KRACK) について彼に話を聞きました。彼が言わなければならなかったことは次のとおりです。

コンテンツ

私たちの聴衆は、エンドユーザーとビジネスユーザーの両方で構成されています。はじめに、自己紹介をお願いします。シスコでのあなたの仕事を、企業としての側面以外でどのように説明しますか?
セキュリティの専門家としての経験から、現代の企業にとって最も重大なセキュリティの脅威は何ですか?
セキュリティに関して言えば、人は最も脆弱なリンクであり、攻撃の主な対象でもあります。ソーシャルエンジニアリングは主要なセキュリティ脅威の 1 つであるため、この問題にどのように対処すればよいでしょうか。
Network World に、モバイルデバイス管理 (MDM) システムに関する興味深い一連の記事があります。しかし、近年、この問題はあまり議論されていないようです。このようなシステムに対する業界の関心は鈍化していますか? あなたの観点から、何が起こっていますか？
これは、Bring Your Own Device (BYOD) などのプログラムの採用に影響しますか?
誰もが注目している最もホットなセキュリティ問題は "KRACK" (キー再インストール攻撃) であり、WPA2 暗号化スキームを使用するすべてのネットワーククライアントと機器に影響を与えます。この問題について、シスコは顧客を支援するために何を行っていますか?
すべてが解決するまでの間、顧客に身を守るために何を勧めますか?
消費者市場では、一部のセキュリティベンダーが VPN をウイルス対策および総合的なセキュリティスイートにバンドルしています。また、ファイアウォールやウイルス対策だけでは不十分であり、VPN も必要であることを消費者に教育し始めています。企業のセキュリティに関するシスコのアプローチはどのようなものですか? また、必要な保護層として VPN を積極的に推進していますか?
Cisco Connect でのプレゼンテーションで、セキュリティにおいて自動化が非常に重要であると述べました。セキュリティの自動化に推奨されるアプローチは何ですか?
シスコはセキュリティ製品のポートフォリオで自動化をどのように使用していますか?
DDOS 攻撃の使用は減速していますか?
人々は、自分のデバイスだけでなく、自分のクラウドシステム (OneDrive、Google Drive、Dropbox など) も組織に持ち込みます。これは、組織にとって別のセキュリティリスクを表しています。Cisco Cloudlock のようなシステムは、この問題にどのように対処していますか?

私たちの聴衆は、エンドユーザーとビジネスユーザーの両方で構成されています。はじめに、自己紹介をお願いします。シスコでのあなたの仕事を、企業としての側面以外でどのように説明しますか?

私の情熱はセキュリティです。私が日々努力していることは、顧客やエンドユーザーにアーキテクチャについて教えることです。たとえば、セキュリティ製品と、それが他の製品 (自社製品またはサードパーティ製) とどのように統合されるかについて説明します。そのため、セキュリティの観点からシステムアーキテクチャを扱っています。

Jamey Heary from Cisco: Organizations that work with sensitive information, use encrypted WiFi, VPN, and encrypted apps

ジェイミー・ヒーリー、シスコ

セキュリティの専門家としての経験から、現代の企業にとって最も重大なセキュリティの脅威は何ですか?

大きなものは、ソーシャルエンジニアリングとランサムウェアです。後者は非常に多くの企業に壊滅的な打撃を与えており、そこには非常に多くのお金があるため、さらに悪化するでしょう。これはおそらく、マルウェアの作成者が方法を考え出した中で最も儲かる方法です。

「悪者」の焦点がエンドユーザーに向けられていることがわかりました。彼または彼女は現在最も弱いリンクです。私たちは業界として人々を訓練しようと努力してきました。メディアは、どうすれば自分自身をよりよく守ることができるかについて、良い仕事をしてきました。必要なアクション: リンクをクリックする、添付ファイルを開くなど、必要なものは何でも構いません。

もう 1 つの脅威は、オンライン決済です。企業がオンラインで支払いを行う方法は引き続き強化されますが、業界がオンラインで支払いを行うためのより安全な方法を実装するまで、この分野は大きなリスク要因になるでしょう.

セキュリティに関して言えば、人は最も脆弱なリンクであり、攻撃の主な対象でもあります。ソーシャルエンジニアリングは主要なセキュリティ脅威の 1 つであるため、この問題にどのように対処すればよいでしょうか。

応用できる技術はたくさんあります。特に、一部の人が他の人よりも役立つ傾向がある業界では、人のためにできることは限られています。たとえば、ヘルスケア業界では、人々は他の人を助けたいだけです。そのため、悪意のある電子メールを送信すると、警察などの他の業界の人々よりも、送信した内容をクリックする可能性が高くなります。

この問題はありますが、テクノロジーを使用することはできます。私たちができることの 1 つはセグメンテーションです。これにより、エンドユーザーが利用��きる攻撃対象領域を大幅に減らすことができます。これを「ゼロトラスト」と呼んでいます。ユーザーが会社のネットワークに接続すると、ネットワークはユーザーが誰であるか、組織内での役割は何か、ユーザーがアクセスする必要があるアプリケーションは何か、ユーザーのマシンを理解し、非常に詳細なレベルまで、マシンのセキュリティ体制はどうなっていますか。たとえば、ユーザーが使用しているアプリケーションの普及率などもわかります。普及率は私たちが効果的であると判断したものであり、世界中でこのアプリケーションを使用している他の人の数と、特定の組織内の人数を意味します。シスコでは、ハッシュを通じてこの分析を行います。アプリケーションのハッシュを取得し、何百万ものエンドポイントがあり、彼らは戻ってきて、「このアプリの普及率は 0.0001% です」と言うでしょう。普及率は、アプリが世界中で、次に組織内でどれだけ使用されているかを計算します。これらの測定はどちらも、何かが非常に疑わしいかどうか、および詳しく調べる必要があるかどうかを判断するのに非常に役立ちます。

Network World に、モバイルデバイス管理 (MDM) システムに関する興味深い一連の記事があります。しかし、近年、この問題はあまり議論されていないようです。このようなシステムに対する業界の関心は鈍化していますか? あなたの観点から、何が起こっていますか？

MDM システムが市場でかなり飽和状態になったことはその 1 つです。私の大規模な顧客のほとんどすべてが、そのようなシステムを導入しています。もう 1 つ起こったことは、プライバシー規制とユーザーのプライバシーに対する考え方が変化し、多くの人が自分の個人用デバイス (スマートフォン、タブレットなど) を組織に渡さず、MDM ソフトウェアのインストールを許可しないようになったことです。企業は、従業員が使用するデバイスに完全にアクセスできるようにして、セキュリティを確保したいと考えていますが、従業員はこのアプローチに非常に抵抗しています。双方の間でこの絶え間ない戦いがあります。MDM システムの普及率は、企業文化や価値観によって企業ごとに異なることがわかりました。

これは、Bring Your Own Device (BYOD) などのプログラムの採用に影響しますか?

はい、まったくそうです。ほとんどの場合、企業ネットワークで自分のデバイスを使用している人々が、非常に管理された領域でそれらを使用しています。ここでも、セグメンテーションが機能します。自分のデバイスを企業ネットワークに持ち込めば、インターネットや企業内の Web サーバーにはアクセスできるかもしれませんが、データベースサーバーや会社の重要なアプリにはアクセスできません。そのデバイスからの重要なデータ。これはシスコがプログラムで行っていることで、個人のデバイスから会社のネットワーク内の必要な場所にユーザーが移動できるようにしますが、会社がユーザーに許可しない場所にはアクセスできないようにします。

誰もが注目している最もホットなセキュリティ問題は "KRACK" (キー再インストール攻撃) であり、WPA2 暗号化スキームを使用するすべてのネットワーククライアントと機器に影響を与えます。この問題について、シスコは顧客を支援するために何を行っていますか?

私たちが何年も頼りにしてきたものの 1 つが、今やクラック可能になったことは大きな驚きです。SSL、SSH、および私たちが基本的に信じているすべての問題を思い出させてくれます。それらはすべて、私たちの信頼に「値しない」ものになっています。

この問題について、10 の脆弱性を特定しました。それらの 10 個のうち 9 個はクライアントベースであるため、クライアントを修正する必要があります。その一つがネットワーク関連です。そのために、シスコはパッチをリリースする予定です。問題はアクセスポイントに限定されており、ルーターやスイッチを修正する必要はありません。

Apple が修正プログラムをベータコードで入手したことを嬉しく思います。そのため、クライアントデバイスにはすぐに完全なパッチが適用されます。Windows にはすでにパッチが用意されています。シスコにとって道は簡単です。アクセスポイントに 1 つの脆弱性があり、パッチと修正プログラムをリリースする予定です。

すべてが解決するまでの間、顧客に身を守るために何を勧めますか?

場合によっては、暗号化の内部で暗号化が使用されることがあるため、何もする必要はありません。たとえば、銀行の Web サイトにアクセスすると、通信セキュリティに TLS または SSL が使用されているため、この問題の影響を受けません。そのため、スターバックスのように広く開かれた WiFi を使用している場合でも、それほど問題にはなりません。WPA2 に関するこの問題がより重要になるのは、プライバシー側です。たとえば、私が Web サイトにアクセスし、他の人に知られたくない場合、WPA2 はもはや有効ではないため、他の人に知られるようになります。

自分自身を保護するためにできることの 1 つは、VPN 接続をセットアップすることです。ワイヤレスに接続できますが、次にやらなければならないことは VPN をオンにすることです。VPN は、WiFi を通過する暗号化されたトンネルを作成するため、問題ありません。VPN暗号化もハッキングされるまで機能し、新しい解決策を見つける必要があります. 🙂

消費者市場では、一部のセキュリティベンダーが VPN をウイルス対策および総合的なセキュリティスイートにバンドルしています。また、ファイアウォールやウイルス対策だけでは不十分であり、VPN も必要であることを消費者に教育し始めています。企業のセキュリティに関するシスコのアプローチはどのようなものですか? また、必要な保護層として VPN を積極的に推進していますか?

VPN は、エンタープライズ向けのパッケージの一部です。通常、暗号化されたトンネル内の VPN については触れません。WPA2 は暗号化されたトンネルです。通常、それはやり過ぎであり、すべてをうまく機能させるためにクライアント側で発生しなければならないオーバーヘッドがあるためです。ほとんどの場合、それだけの価値はありません。チャネルが既に暗号化されている場合、再度暗号化する必要はありません。

この場合、WPA2 セキュリティプロトコルが根本的に壊れているためにズボンを下ろしたときに、WPA2 で問題が修正されるまで、VPN に頼ることができます。

しかし、諜報分野では、国防総省のような組織のようなセキュリティ組織は、何年も前からこれを行ってきました。彼らは VPN とワイヤレス暗号化に依存しており、多くの場合、VPN の途中にあるアプリケーションも暗号化されているため、すべて異なる種類の暗号化を使用する 3 方向の暗号化が行われます。彼らがそうするのは、本来あるべき「偏執症」だからです。:))

Cisco Connect でのプレゼンテーションで、セキュリティにおいて自動化が非常に重要であると述べました。セキュリティの自動化に推奨されるアプローチは何ですか?

私たち人間は、セキュリティ違反や脅威を阻止するのに十分な速さで動くことができないため、自動化はすぐに必要になるでしょう。ある顧客は、ランサムウェアによって 10 分で 10,000 台のマシンを暗号化しました。それに反応することは人間には不可能なので、自動化が必要です。

現在の私たちのアプローチは、必要とされるほど手荒なものではありませんが、侵害のように見える疑わしい行動を発見した場合、私たちのセキュリティシステムは、そのデバイスまたはそのユーザーを隔離するようネットワークに指示します。これは煉獄ではありません。インターネットにアクセスしたり、パッチ管理サーバーからデータを取得したりできます。あなたは完全に孤立しているわけではありません。将来的には、この考え方を変えて、組織にとって危険すぎるため、検疫されたらアクセスできなくなると言う必要があるかもしれません。

シスコはセキュリティ製品のポートフォリオで自動化をどのように使用していますか?

特定の領域では、多くの自動化を使用しています。たとえば、シスコの脅威研究グループであるCisco Talosでは、すべてのセキュリティウィジェットからテレメトリデータを取得し、他のソースから大量のデータを取得しています。Talos グループは、機械学習と人工知能を使用して、毎日何百万ものレコードを分類しています。当社のすべてのセキュリティ製品の有効性を経時的に見ると、すべてのサードパーティの有効性テストで驚くべき結果が得られます。

DDOS 攻撃の使用は減速していますか?

残念ながら、攻撃手法としての DDOS は健在で、さらに悪化しています。DDOS 攻撃は、特定の種類の企業を標的とする傾向があることがわかっています。このような攻撃は、おとりとしても主要な攻撃武器としても使用されます。また、DDOS 攻撃には、ボリューメトリック攻撃とアプリベースの 2 種類があります。誰かを倒すために生成できるデータの量の最新の数値を見ると、ボリュームは制御不能になっています。馬鹿馬鹿しい。

DDOS 攻撃の標的となる企業のタイプの 1 つは、通常はホリデーシーズン (ブラックフライデーがやってくる!) の小売業の企業です。DDOS 攻撃の標的となるもう 1 つの種類の企業は、石油やガスなど、物議を醸す分野で活動する企業です。この場合、特定の倫理的および道徳的理由を持ち、自分のしていることに同意しないために組織または別の組織を DDOS することを決定した人々を扱っています。そのような人々は、お金のためではなく、大義、目的のためにこれを行います。

人々は、自分のデバイスだけでなく、自分のクラウドシステム (OneDrive、Google Drive、Dropbox など) も組織に持ち込みます。これは、組織にとって別のセキュリティリスクを表しています。Cisco Cloudlock のようなシステムは、この問題にどのように対処していますか?

Cloudlockは 2 つの基本的なことを行います。まず、使用されているすべてのクラウドサービスを監査します。Cloudlock を Web 製品と統合して、すべての Web ログを Cloudlock で読み取ることができるようにします。これにより、組織内の全員がどこに向かっているのかがわかります。たとえば、多くの人が独自の Dropbox を使用していることをご存知でしょう。

Cloudlock が行う 2 番目のことは、すべてクラウドサービスと通信する API で構成されていることです。このようにして、ユーザーが会社のドキュメントを Box で公開した場合、Box はすぐに Cloudlock に、新しいドキュメントが届いたので確認する必要があることを伝えます。そのため、ドキュメントを調べて分類し、ドキュメントのリスクプロファイルを把握し、他のユーザーと共有されているかどうかを判断します。結果に基づいて、システムは Box を介したそのドキュメントの共有を停止するか、許可します。

Cloudlock を使用すると、次のようなルールを設定できます。各ドキュメントの重要度に基づいて、オンデマンドで暗号化を行うこともできます。したがって、エンドユーザーが重要なビジネスドキュメントを暗号化していない場合、それを Box に投稿すると、Cloudlock はそのドキュメントの暗号化を自動的に強制します。

このインタビューと彼の率直な回答に対して、Jamey Heary に感謝します。連絡を取りたい場合は、 Twitter で彼を見つけることができます。

この記事の最後に、以下のコメントオプションを使用して、私たちが議論した主題についての意見を共有してください。