Jamey Heary de Cisco : les organisations qui travaillent avec des informations sensibles, utilisent le Wi-Fi chiffré, le VPN et les applications chiffrées

Le 18 octobre, nous avons été invités à Cisco Connect 2017. Lors de cet événement, nous avons rencontré l'expert en sécurité Jamey Heary. Il est ingénieur système distingué chez Cisco Systems, où il dirige l'équipe d'architecture de sécurité mondiale. Jamey est un conseiller en sécurité et un architecte de confiance pour de nombreux clients parmi les plus importants de Cisco. Il est également auteur de livres et ancien blogueur de Network World. Nous avons discuté avec lui de la sécurité dans l'entreprise moderne, des problèmes de sécurité importants qui affectent les entreprises et les organisations, et des dernières vulnérabilités qui affectent tous les réseaux et clients sans fil (KRACK). Voici ce qu'il avait à dire :

Contenu

1. Notre public est composé à la fois d'utilisateurs finaux et d'utilisateurs professionnels. Pour commencer et vous présenter un peu, comment décririez-vous votre travail chez Cisco, d'une manière non professionnelle ?
2. D'après votre expérience en tant qu'expert en sécurité, quelles sont les menaces de sécurité les plus importantes pour l'entreprise moderne ?
3. En matière de sécurité, les personnes sont le maillon le plus faible et également la cible principale des attaques. Comment pourrions-nous faire face à ce problème, puisque l'ingénierie sociale est l'une des principales menaces de sécurité ?
4. Vous avez une série intéressante d'articles dans le Network World sur les systèmes de gestion des appareils mobiles (MDM). Cependant, depuis quelques années, ce sujet semble moins abordé. L'intérêt de l'industrie pour de tels systèmes ralentit-il ? Que se passe-t-il, de votre point de vue ?
5. Cela affecte-t-il l'adoption de programmes tels que Bring Your Own Device (BYOD) au travail ?
6. Le problème de sécurité le plus important sur le radar de tout le monde est "KRACK" (Key Reinstallation AttaCK), affectant tous les clients et équipements du réseau utilisant le schéma de cryptage WPA2. Que fait Cisco pour aider ses clients à résoudre ce problème ?
7. Jusqu'à ce que tout soit réparé, que recommanderiez-vous à vos clients de faire pour se protéger ?
8. Sur le marché grand public, certains fournisseurs de sécurité regroupent le VPN avec leurs suites antivirus et de sécurité totale. Ils commencent également à éduquer les consommateurs sur le fait qu'il ne suffit plus d'avoir un pare-feu, et un antivirus, il faut aussi un VPN. Quelle est l'approche de Cisco en matière de sécurité pour l'entreprise ? Faites-vous également la promotion active du VPN en tant que couche de protection nécessaire ?
9. Dans votre présentation à Cisco Connect, vous avez mentionné l'automatisation comme étant très importante en matière de sécurité. Quelle est votre approche recommandée pour l'automatisation de la sécurité ?
10. Comment Cisco utilise-t-il l'automatisation dans son portefeuille de produits de sécurité ?
11. L'utilisation des attaques DDOS ralentit-elle ?
12. Les gens apportent dans leur organisation non seulement leurs propres appareils, mais également leurs propres systèmes cloud (OneDrive, Google Drive, Dropbox, etc.). Cela représente un autre risque de sécurité pour les organisations. Comment un système comme Cisco Cloudlock gère-t-il ce problème ?

Notre public est composé à la fois d'utilisateurs finaux et d'utilisateurs professionnels. Pour commencer et vous présenter un peu, comment décririez-vous votre travail chez Cisco, d'une manière non professionnelle ?

Ma passion est la sécurité. Ce que je m'efforce de faire chaque jour, c'est d'enseigner l'architecture à mes clients et utilisateurs finaux. Par exemple, je parle d'un produit de sécurité et de la manière dont il s'intègre à d'autres produits (les nôtres ou ceux de tiers). Par conséquent, je traite de l'architecture système du point de vue de la sécurité.

Jamey Heary, Cisco

D'après votre expérience en tant qu'expert en sécurité, quelles sont les menaces de sécurité les plus importantes pour l'entreprise moderne ?

Les plus importants sont l'ingénierie sociale et les rançongiciels. Ce dernier fait des ravages dans tant d'entreprises, et cela va empirer car il y a tellement d'argent dedans. C'est probablement la chose la plus lucrative que les créateurs de logiciels malveillants ont trouvé comment faire.

Nous avons vu que les "méchants" se concentrent sur l'utilisateur final. Il ou elle est le maillon le plus faible en ce moment. Nous avons essayé en tant qu'industrie de former les gens, les médias ont fait du bon travail pour faire passer le mot sur la façon dont vous pourriez mieux vous protéger, mais il est quand même assez trivial d'envoyer à quelqu'un un e-mail ciblé et de lui faire prendre une action que vous voulez : cliquez sur un lien, ouvrez une pièce jointe, tout ce que vous voulez.

L'autre menace, ce sont les paiements en ligne. Nous allons continuer à voir des améliorations dans la façon dont les entreprises acceptent les paiements en ligne, mais tant que l'industrie ne mettra pas en œuvre des moyens plus sûrs d'accepter les paiements en ligne, ce domaine constituera un facteur de risque énorme.

En matière de sécurité, les personnes sont le maillon le plus faible et également la cible principale des attaques. Comment pourrions-nous faire face à ce problème, puisque l'ingénierie sociale est l'une des principales menaces de sécurité ?

Il y a beaucoup de technologies que nous pouvons appliquer. Vous ne pouvez pas faire grand-chose pour une personne, en particulier dans un secteur où certaines personnes ont tendance à être plus utiles que d'autres. Par exemple, dans le secteur de la santé, les gens veulent juste aider les autres. Vous leur envoyez donc un e-mail malveillant, et ils sont plus susceptibles de cliquer sur ce que vous leur envoyez que les personnes d'autres secteurs, comme un service de police.

Nous avons donc ce problème, mais nous pouvons utiliser la technologie. L'une des choses que nous pouvons faire est la segmentation, qui peut réduire considérablement la surface d'attaque disponible pour tout utilisateur final. C'est ce que nous appelons la « confiance zéro » : lorsqu'un utilisateur se connecte au réseau de l'entreprise, le réseau comprend qui est l'utilisateur, quel est son rôle dans l'organisation, à quelles applications l'utilisateur doit accéder, il comprend la machine de l'utilisateur et quelle est la posture de sécurité de la machine, à un niveau très détaillé. Par exemple, il peut même dire des choses comme la prévalence d'une application dont dispose l'utilisateur. La prévalence est quelque chose que nous avons trouvé efficace, et cela signifie combien d'autres personnes dans le monde utilisent cette application, et combien dans une organisation donnée. Chez Cisco, nous faisons cette analyse par hachage : nous prenons un hachage d'une application, et nous avons des millions de points finaux, et ils reviendront et diront : "la prévalence sur cette application est de 0,0001 %". La prévalence calcule à quel point une application est utilisée dans le monde, puis dans votre organisation. Ces deux mesures peuvent être très utiles pour déterminer si quelque chose est très suspect et s'il mérite d'être examiné de plus près.

Vous avez une série intéressante d'articles dans le Network World sur les systèmes de gestion des appareils mobiles (MDM). Cependant, depuis quelques années, ce sujet semble moins abordé. L'intérêt de l'industrie pour de tels systèmes ralentit-il ? Que se passe-t-il, de votre point de vue ?

Peu de choses se sont produites, dont l'une est que les systèmes MDM sont devenus assez saturés sur le marché. Presque tous mes gros clients ont un tel système en place. L'autre chose qui s'est produite est que les réglementations en matière de confidentialité et l'état d'esprit des utilisateurs en matière de confidentialité ont changé de sorte que de nombreuses personnes ne donnent plus leur appareil personnel (smartphone, tablette, etc.) à leur organisation et autorisent l'installation d'un logiciel MDM. Nous avons donc cette concurrence : l'entreprise veut avoir un accès complet aux appareils utilisés par ses employés afin de pouvoir se sécuriser et les employés sont devenus très réfractaires à cette approche. Il y a cette bataille constante entre les deux camps. Nous avons vu que la prévalence des systèmes MDM varie d'une entreprise à l'autre, en fonction de la culture et des valeurs de l'entreprise,

Cela affecte-t-il l'adoption de programmes tels que Bring Your Own Device (BYOD) au travail ?

Oui, c'est totalement le cas. Ce qui se passe, pour la plupart, c'est que les personnes qui utilisent leurs propres appareils sur le réseau de l'entreprise les utilisent dans une zone très contrôlée. Encore une fois, la segmentation entre en jeu. Si j'apporte mon propre appareil au réseau de l'entreprise, je peux peut-être accéder à Internet, à un serveur Web interne de l'entreprise, mais en aucun cas, je ne pourrai accéder aux serveurs de base de données, aux applications critiques de mon entreprise ou de ses données critiques, à partir de cet appareil. C'est quelque chose que nous faisons par programmation chez Cisco afin que l'utilisateur puisse aller là où il le souhaite dans le réseau de l'entreprise, mais pas là où l'entreprise ne veut pas que l'utilisateur aille, à partir d'un appareil personnel.

Le problème de sécurité le plus important sur le radar de tout le monde est "KRACK" (Key Reinstallation AttaCK), affectant tous les clients et équipements du réseau utilisant le schéma de cryptage WPA2. Que fait Cisco pour aider ses clients à résoudre ce problème ?

C'est une énorme surprise que l'une des choses sur lesquelles nous comptions depuis des années soit maintenant craquable. Cela nous rappelle les problèmes avec SSL, SSH et toutes les choses auxquelles nous croyons fondamentalement. Tous sont devenus "non dignes" de notre confiance.

Pour ce problème, nous avons identifié dix vulnérabilités. Sur ces dix, neuf d'entre eux sont basés sur le client, nous devons donc réparer le client. L'un d'eux est lié au réseau. Pour celui-là, Cisco va publier des correctifs. Les problèmes sont exclusifs au point d'accès et nous n'avons pas à réparer les routeurs et les commutateurs.

J'ai été ravi de voir qu'Apple a obtenu ses correctifs en code bêta afin que ses appareils clients soient bientôt entièrement corrigés. Windows a déjà un patch prêt, etc. Pour Cisco, le chemin est simple : une vulnérabilité sur nos points d'accès et nous allons publier des patchs et des correctifs.

Jusqu'à ce que tout soit réparé, que recommanderiez-vous à vos clients de faire pour se protéger ?

Dans certains cas, vous n'avez rien à faire, car le cryptage est parfois utilisé à l'intérieur du cryptage. Par exemple, si je vais sur le site Web de ma banque, elle utilise TLS ou SSL pour la sécurité des communications, qui n'est pas affectée par ce problème. Donc, même si je passe par un WiFi grand ouvert, comme celui de Starbucks, cela n'a pas autant d'importance. Là où ce problème avec WPA2 entre davantage en jeu, c'est du côté de la confidentialité. Par exemple, si je vais sur un site Web et que je ne veux pas que les autres le sachent, maintenant ils le sauront car le WPA2 n'est plus efficace.

Une chose que vous pouvez faire pour vous sécuriser est de configurer des connexions VPN. Vous pouvez vous connecter au sans fil, mais la prochaine chose que vous devez faire est d'activer votre VPN. Le VPN est très bien car il crée un tunnel crypté passant par le WiFi. Cela fonctionnera jusqu'à ce que le cryptage VPN soit également piraté et que vous deviez trouver une nouvelle solution. 🙂

Sur le marché grand public, certains fournisseurs de sécurité regroupent le VPN avec leurs suites antivirus et de sécurité totale. Ils commencent également à éduquer les consommateurs sur le fait qu'il ne suffit plus d'avoir un pare-feu, et un antivirus, il faut aussi un VPN. Quelle est l'approche de Cisco en matière de sécurité pour l'entreprise ? Faites-vous également la promotion active du VPN en tant que couche de protection nécessaire ?

Le VPN fait partie de nos forfaits pour l'entreprise. Dans des circonstances normales, nous ne parlons pas de VPN dans un tunnel crypté et WPA2 est un tunnel crypté. Habituellement, parce que c'est exagéré et qu'il y a des frais généraux qui doivent se produire du côté client pour que tout fonctionne bien. Pour la plupart, cela n'en vaut pas la peine. Si la chaîne est déjà cryptée, pourquoi la crypter à nouveau ?

Dans ce cas, lorsque vous êtes pris avec votre pantalon parce que le protocole de sécurité WPA2 est fondamentalement cassé, nous pouvons nous rabattre sur le VPN, jusqu'à ce que les problèmes soient résolus avec WPA2.

Mais cela dit, dans l'espace du renseignement, les organisations de sécurité comme une organisation du type ministère de la Défense, font cela depuis des années. Ils s'appuient sur le VPN, plus le cryptage sans fil et, souvent, les applications au milieu de leur VPN sont également cryptées, vous obtenez donc un cryptage à trois voies, utilisant tous différents types de cryptographie. Ils font cela parce qu'ils sont "paranoïaques" comme il se doit. :))

Dans votre présentation à Cisco Connect, vous avez mentionné l'automatisation comme étant très importante en matière de sécurité. Quelle est votre approche recommandée pour l'automatisation de la sécurité ?

L'automatisation deviendra rapidement une exigence car nous, en tant qu'êtres humains, nous ne pouvons pas agir assez rapidement pour arrêter les failles de sécurité et les menaces. Un client avait 10 000 machines cryptées par un ransomware en 10 minutes. Il n'y a aucun moyen humainement possible de réagir à cela, vous avez donc besoin d'automatisation.

Notre approche aujourd'hui n'est pas aussi lourde qu'elle devrait l'être, mais lorsque nous constatons quelque chose de suspect, un comportement qui ressemble à une violation, nos systèmes de sécurité indiquent au réseau de mettre cet appareil ou cet utilisateur en quarantaine. Ce n'est pas le purgatoire; vous pouvez toujours faire certaines choses : vous pouvez toujours aller sur Internet ou obtenir des données des serveurs de gestion des correctifs. Vous n'êtes pas totalement isolé. À l'avenir, nous devrons peut-être changer cette philosophie et dire : une fois que vous êtes en quarantaine, vous n'avez plus accès car vous êtes trop dangereux pour votre organisation.

Comment Cisco utilise-t-il l'automatisation dans son portefeuille de produits de sécurité ?

Dans certains domaines, nous utilisons beaucoup d'automatisation. Par exemple, chez Cisco Talos , notre groupe de recherche sur les menaces, nous obtenons des données de télémétrie de tous nos widgets de sécurité et une tonne d'autres données provenant d'autres sources. Le groupe Talos utilise l'apprentissage automatique et l'intelligence artificielle pour trier des millions d'enregistrements chaque jour. Si vous regardez l'efficacité au fil du temps de tous nos produits de sécurité, elle est incroyable, dans tous les tests d'efficacité effectués par des tiers.

L'utilisation des attaques DDOS ralentit-elle ?

Malheureusement, DDOS en tant que méthode d'attaque est bel et bien vivant, et cela empire. Nous avons constaté que les attaques DDOS ont tendance à cibler certains types d'entreprises. De telles attaques sont utilisées à la fois comme leurre et comme arme d'attaque principale. Il existe également deux types d'attaques DDOS : volumétriques et basées sur les applications. La volumétrie est devenue incontrôlable si vous regardez les derniers chiffres sur la quantité de données qu'ils peuvent générer pour abattre quelqu'un. C'est ridicule.

L'un des types d'entreprises ciblées par les attaques DDOS est celui du commerce de détail, généralement pendant la période des fêtes (le Black Friday approche !). Les autres types d'entreprises ciblées par les attaques DDOS sont celles qui travaillent dans des domaines controversés, comme le pétrole et le gaz. Dans ce cas, nous avons affaire à des personnes qui ont une cause éthique et morale particulière, qui décident de DDOS une organisation ou une autre parce qu'elles ne sont pas d'accord avec ce qu'elles font. Ces personnes le font pour une cause, dans un but, et non pour l'argent en jeu.

Les gens apportent dans leur organisation non seulement leurs propres appareils, mais également leurs propres systèmes cloud (OneDrive, Google Drive, Dropbox, etc.). Cela représente un autre risque de sécurité pour les organisations. Comment un système comme Cisco Cloudlock gère-t-il ce problème ?

Cloudlock fait deux choses fondamentales : premièrement, il vous donne un audit de tous les services cloud qui sont utilisés. Nous intégrons Cloudlock à nos produits Web afin que tous les journaux Web puissent être lus par Cloudlock. Cela vous indiquera où va tout le monde dans l'organisation. Vous savez donc que beaucoup de gens utilisent leur propre Dropbox, par exemple.

La deuxième chose que fait Cloudlock est qu'il est entièrement composé d'API qui communiquent avec les services cloud. De cette façon, si un utilisateur publie un document d'entreprise sur Box, Box dit immédiatement à Cloudlock qu'un nouveau document est arrivé et qu'il doit y jeter un coup d'œil. Nous allons donc examiner le document, le catégoriser, déterminer le profil de risque du document, ainsi que s'il a été partagé avec d'autres ou non. En fonction des résultats, le système arrêtera le partage de ce document via Box ou l'autorisera.

Avec Cloudlock, vous pouvez définir des règles telles que : "cela ne doit jamais être partagé avec quiconque en dehors de l'entreprise. Si c'est le cas, désactivez le partage." Vous pouvez également effectuer un chiffrement à la demande, en fonction de la criticité de chaque document. Par conséquent, si l'utilisateur final n'a pas chiffré un document commercial critique, lors de sa publication sur Box, Cloudlock forcera automatiquement le chiffrement de ce document.

Nous tenons à remercier Jamey Heary pour cette interview et ses réponses franches. Si vous souhaitez entrer en contact, vous pouvez le retrouver sur Twitter .

À la fin de cet article, partagez votre opinion sur les sujets que nous avons abordés, en utilisant les options de commentaires disponibles ci-dessous.