CSO sa at Cisco Security vokser opp

John Stewart snakker ikke som din typiske bedriftsledelse. Han sa at hans firma, Cisco Systems, har hatt det heldig når det gjelder sikkerhet, og at firmaets selvforsvarende Network Marketing push har malt "et stort bull's eye" på sine produkter.

Men igjen har Stewart mer viktige ting å bekymre seg for. Som sjefsikkerhetssjef er han mannen ansvarlig for styring av Cisco Corporate and Business Unit sikkerhetspraksis. Det betyr at han får anropet når det er en viktig sikkerhetsfeil i Ciscos produkter eller hvis hackere skulle treffe Cisco.com-webområdet. Måten han legger på, er det hans jobb å bidra til å låse Cisco sine produkter før han blir tvunget til å håndtere det han kaller "den brennende plattformen" - en alvorlig feil eller angrep mot de mest brukte ruterne på Internett.

Kanskje Cisco trenger noen som Stewart, for å fjerne de feilene som andre store teknologibedrifter har gjort på sikkerhet. Ta Microsoft, for eksempel. Microsoft tok for første gang en fiendtlig holdning til sikkerhetsforskere og kritikere, men det sto tilbake og hjalp til med å sementere inntrykk av at selskapet ignorerte sikkerhetsproblemer i stedet for å prøve å fikse dem. Microsoft endte i sin tur selvfølgelig, men ikke før det var et rykte i en omgang.

[Videre lesing: Best NAS-bokser for media streaming og backup]

I mindre skala har Cisco gjort en lignende form for reversering. Selskapet angrekte hackere i 2005 ved å saksøke forsker Mike Lynn etter at han viste hvordan det var mulig å kjøre uautorisert skjermkodeprogramvare på en Cisco-router.

Men i stedet for å koble av en ny epoke med Cisco hacking, var episoden Mike Lynn mer av en aberrasjon. Cisco-undersøkelsen var stille de neste årene.

Stewart sa at Cisco har vært "litt heldig" fordi den ikke har hatt store sikkerhetsoppblåsninger, men han tar ikke noe for gitt. Han inviterte IDG News Service til hans kontor i San Jose, California for å snakke om Cisco-trusselskapet. Følgende er et redigert transkripsjon av intervjuet.

IDG News Service: Cisco fikk mye oppmerksomhet på Black Hat 2005. Hva tar du på ting, tre år senere?

John Stewart: Del av grunnen all oppmerksomhet ble malt på oss på Black Hat for tre år siden, fordi vi opprettet en firestorm av, ærlig talt alle slags kompliserte problemer, som følte at Cisco undertrykte kommunikasjon og forskning. Jeg tenkte kanskje at vi gjorde noen dumme ting, som å prøve å Sett genien tilbake i flasken, som du ikke kan gjøre. Vi prøvde å gjøre det av de riktige grunnene: beskyttelse av immaterielle rettigheter og våre kunder. Men hvordan det kom ut, gikk helt helt til side.

Og i mange henseender gjorde vi det anonymt. Det var "en Cisco-talsmann." Vi skjedde gjemt bak en anonymitetskontekst, som jeg tror egentlig har gjort alt.

Dette er grunnen til at jeg personlig har sponset Black Hat på platinivå siden. Fordi jeg tror vi hadde litt forsoning å gjøre og gå, "Se, vårt dårlige. Det var ikke veien å gjøre det."

IDGNS: Hvorfor tror du Cisco-forskningen tørket opp som den gjorde?

Stewart: Det er et par grunner. Den første er, mye av dette er ikke ekstern utnyttelse, og mye av hva forskningen handler om i et fellesskap er "Hvordan gjør du det eksternt?" IRMs [Informasjon Risk Managements] -forskning, Sebastians [Muniz, en forsker med Core Security Technologies] -forskning, og til en viss grad, Michael Lynns forskning, selv om den hadde en liten variant, er den ikke stabil fjernkontroll. Og det er her det virkelige spillet er.

Du må finne ut en måte å få det på uten å være på konsollen. Og det er det meste av utviklingen har eksistert: hvordan gjør du det på konsollen - i hvert fall for Cisco, uansett.

Og den andre tingen er at du vil at den skal fungere. Du prøver ikke å slå den ut fordi du trenger nettverket, slik at du kan komme til sluttpunktet. Så jeg tror vi slags få et pass fordi ingen vil ape med infrastrukturen som de bruker. Det er som å skru opp motorveien mens du prøver å gå til en annen by. Det er litt av en goofy ting å gjøre.

IDGNS: Microsoft har vært veldig offentlig om hvordan de forandret selskapet for å sikre sikkerhet en prioritet. Hva er historien på Cisco? Hvordan ble sikkerhetsprogrammet bygget?

Stewart: Vi var sannsynligvis i samme rom. Mange selskaper, inkludert vår egen, begynte med å bygge ting først som løste kommunikasjonsproblemer og deretter tenke på sikkerheten til kommunikasjon etterpå.

Omkring fem år siden sloss vi med teamet mitt. For det meste i informasjonssikkerhetsvirksomheten. Vi var "nei" organisasjonen, elfenbenstårnet. Det er et farlig sted å være fordi jeg skal være en rådgivende oppfyllelsesarm, ikke en adjudicator.

Så vi forandret mye, og vi begynte å injisere ting, som "Du skal ha kompetanse i din team. Vi kommer ikke til å være like i midten, slik at du kan investere ekspertisen til det du trenger, og vi holder deg ikke opp eller tar deg i en langsommere posisjon. "

Den andre tingen - - som ikke kan undervurderes - blir vi klar i 2002 for å lansere selvforsvarende nettverk, som - som det eller hater det som et slagord - effektivt er et stort øye på oss på pannen.

IDGNS: Som Oracle's ubrytelige Linux?

Stewart: Faktisk Mary Ann Davidson over på Oracle droppet meg et notat og sa, "takk for at du kommer opp med et slagord som tar trykket av det vi har gjort" [ler] som om jeg hadde noe å gjøre med kunngjøringen.

Og så tredje har vi virkelig hatt et fotavtrykk. Vi har brukt på flere og flere steder, og ærlig talt tror vi at vi aldri hadde forestilt oss at vi skulle bli brukt til. Vi overfører helsevesenets kommunikasjon, vi overfører nettsted-til-sted-kommunikasjon for militæret. Vi gjør alle disse ville tingene som vi for 20 år siden ikke tenkte på da.

IDGNS: Så gjorde du noe som å vedta en sikker utviklingslivssyklus eller endre måten du bygget produkter på?

Stewart: Vi er ikke modne i dette. Vi er i den vanskelige tenåringsfasen. Vi tester på slutten av utviklingsprosessen, og vi finner ut fra dataene hvordan går du bakover inn i definisjonsprosessen. Nå skjer noe definisjon uansett. Så for eksempel er det noen grunnleggende krav til hvert produkt vi bygget. Men jeg sier fortsatt at det er mye å lære. Når du tror at du har det riktig, og du bygger det og du tester det, skal læringene fra testen være til nytte for det neste du bygger.

Vi har ikke inntatt en sikker utviklingslivssyklus som Microsoft ennå. Vi har ikke spikret like på alle produktlinjer på en svært konsistent metodisk målbar måte, og det er derfor jeg sier at vi er i den vanskelige tenåringsfasen.