جیمی هیری از سیسکو: سازمان هایی که با اطلاعات حساس کار می کنند، از WiFi رمزگذاری شده، VPN و برنامه های رمزگذاری شده استفاده می کنند.

در 18 اکتبر(October 18th) ، ما به Cisco Connect 2017 دعوت شدیم . در این رویداد، ما با کارشناس امنیتی (security expert) جیمی هیری(Jamey Heary) ملاقات کردیم . او یک مهندس ممتاز سیستم(Systems Engineer) در سیسکو (Cisco) سیستمز(Systems) است که در آنجا تیم معماری امنیت جهانی(Global Security Architecture Team) را رهبری می کند . جیمی(Jamey) یک مشاور امنیتی و معمار(security advisor and architect) قابل اعتماد برای بسیاری از بزرگترین مشتریان سیسکو است. (Cisco)او همچنین نویسنده کتاب(book author) و وبلاگ نویس سابق شبکه جهانی است(Network World blogger). ما با او در مورد امنیت در شرکت مدرن، مسائل امنیتی مهمی که بر مشاغل و سازمان ها تأثیر می گذارد و آخرین آسیب پذیری هایی که بر همه شبکه های بی سیم و مشتریان تأثیر می گذارد ( KRACK ) صحبت کردیم. در اینجا چیزی است که او باید بگوید:

مخاطبان ما هم از کاربران نهایی و هم از کاربران تجاری تشکیل شده اند. برای شروع، و کمی خودتان را معرفی کنید، شغل خود را در سیسکو(Cisco) چگونه توصیف می کنید ، به روشی غیر شرکتی؟

علاقه من امنیت است کاری که من هر روز برای انجام آن تلاش می کنم این است که به مشتریان و کاربران نهایی خود در مورد معماری آموزش دهم. به عنوان مثال، من در مورد یک محصول امنیتی(security product) و نحوه ادغام آن با سایر محصولات (خودمان یا اشخاص ثالث) صحبت می کنم. بنابراین من با معماری سیستم(system architecture) از منظر امنیتی(security perspective) سروکار دارم .

جیمی هیری، سیسکو

با توجه به تجربه شما به عنوان یک متخصص امنیت(security expert) ، مهم ترین تهدیدات امنیتی برای شرکت های مدرن چیست؟

بزرگ‌ترین آنها مهندسی اجتماعی و باج‌افزار(engineering and ransomware) هستند. دومی در بسیاری از شرکت‌ها ویرانی به بار می‌آورد و بدتر می‌شود زیرا پول زیادی در آن وجود دارد. این احتمالاً پرسودترین کاری است که سازندگان بدافزار فهمیدند چگونه انجام دهند.

دیدیم که تمرکز «افراد بد» روی کاربر نهایی است. او ضعیف ترین حلقه در حال حاضر است. ما به‌عنوان یک صنعت سعی کرده‌ایم افراد را آموزش دهیم، رسانه‌ها کار خوبی را انجام داده‌اند تا از نحوه محافظت بهتر از خود مطلع شوند، اما با این حال، ارسال یک ایمیل هدفمند به کسی و وادار کردن او به دریافت آن، نسبتاً بی‌اهمیت است. اقدامی که می‌خواهید: روی پیوند کلیک کنید، یک پیوست را باز کنید، هر آنچه که می‌خواهید.

تهدید دیگر پرداخت های آنلاین است. ما همچنان شاهد پیشرفت‌هایی در روش‌های پرداخت آنلاین شرکت‌ها خواهیم بود، اما تا زمانی که صنعت روش‌های امن‌تری برای پرداخت آنلاین پیاده‌سازی نکند، این منطقه یک عامل خطر(risk factor) بزرگ خواهد بود .

وقتی صحبت از امنیت می شود، مردم ضعیف ترین حلقه و همچنین کانون اصلی حملات هستند. چگونه می‌توانیم با این موضوع کنار بیاییم، زیرا مهندسی اجتماعی یکی از تهدیدهای امنیتی پیشرو است؟

فناوری های زیادی وجود دارد که می توانیم از آنها استفاده کنیم. فقط کارهای زیادی می توانید برای یک فرد انجام دهید، به خصوص در صنعتی که برخی از افراد تمایل دارند بیشتر از دیگران مفید باشند. به عنوان مثال، در صنعت مراقبت های بهداشتی(healthcare industry) ، مردم فقط می خواهند به دیگران کمک کنند. بنابراین شما یک ایمیل مخرب برای آنها ارسال می کنید، و آنها به احتمال زیاد روی چیزی که شما برای آنها ارسال می کنید کلیک می کنند تا افراد در صنایع دیگر، به عنوان یک اداره پلیس(police department) .

بنابراین ما این مشکل را داریم، اما می توانیم از فناوری استفاده کنیم. یکی از کارهایی که می‌توانیم انجام دهیم، بخش‌بندی است، که می‌تواند سطح حمله(attack surface) را که در دسترس هر کاربر نهایی است، به شدت کاهش دهد. ما این را « اعتماد صفر(zero trust) » می‌نامیم : وقتی کاربر به شبکه شرکت متصل(company network) می‌شود ، شبکه می‌فهمد کاربر کیست، نقش او در سازمان چیست، کاربر باید به چه برنامه‌هایی دسترسی داشته باشد، ماشین کاربر را درک می‌کند و وضعیت امنیتی(security posture) دستگاه تا سطح بسیار دقیق چیست . به عنوان مثال، حتی می تواند مواردی مانند شیوع یک برنامه کاربردی را که کاربر دارد مشخص کند. شیوع(Prevalence) چیزی است که ما آن را مؤثر تشخیص دادیم و به این معنی است که چه تعداد از افراد دیگر در جهان از آن استفاده می کنند(world use)این برنامه، و تعداد آنها در یک سازمان معین. در سیسکو(Cisco) ، ما این تجزیه و تحلیل را از طریق هش کردن انجام می دهیم: یک هش از یک برنامه را می گیریم، و میلیون ها نقطه پایانی داریم، و آنها برمی گردند و می گویند: "شیوع در این برنامه 0.0001٪ است". شیوع میزان(Prevalence) استفاده از یک برنامه در جهان و سپس در سازمان شما را محاسبه می کند. هر دوی این اقدامات می‌تواند در تشخیص اینکه آیا چیزی بسیار مشکوک است یا خیر، و اینکه آیا شایسته نگاهی دقیق‌تر به آن است، بسیار خوب است.

شما یک سری مقالات جالب در دنیای شبکه در(Network World) مورد سیستم های مدیریت دستگاه موبایل(Mobile Device Management) ( MDM ) دارید. اما به نظر می رسد در سال های اخیر کمتر به این موضوع پرداخته شده است. آیا علاقه صنعت به چنین سیستم هایی کند می شود؟ از دیدگاه شما چه اتفاقی می افتد؟

اتفاقات کمی افتاده است، یکی از آنها این است که سیستم های MDM در بازار نسبتاً اشباع شده اند. تقریباً(Almost) همه مشتریان بزرگتر من چنین سیستمی را در اختیار دارند. اتفاق دیگری که افتاده این است که مقررات حفظ حریم خصوصی و طرز فکر(privacy mindset) کاربران برای حفظ حریم خصوصی تغییر کرده است به طوری که بسیاری از افراد دیگر دستگاه شخصی خود (گوشی هوشمند، تبلت و ...) را به سازمان خود نمی دهند و اجازه نصب نرم افزار MDM(MDM software) را می دهند. بنابراین ما این رقابت را داریم: شرکت می خواهد به دستگاه هایی که توسط کارمندانش استفاده می شود دسترسی کامل داشته باشد تا بتواند خود را ایمن کند و کارمندان در برابر این رویکرد بسیار مقاوم شده اند. این نبرد دائمی بین دو طرف وجود دارد. دیده ایم که شیوعسیستم های MDM(MDM) از شرکتی به شرکت دیگر متفاوت است، بسته به فرهنگ و ارزش های شرکت(company culture and values) ، و اینکه هر سازمانی می خواهد با کارکنان خود چگونه رفتار کند.

آیا این روی پذیرش برنامه‌هایی مانند Bring Your Own Device ( BYOD ) تأثیر می‌گذارد؟

بله، کاملاً انجام می شود. چیزی که در بیشتر موارد اتفاق می افتد این است که افرادی که از دستگاه های خود در شبکه شرکتی استفاده می کنند، از آنها در یک منطقه بسیار کنترل شده استفاده می کنند. دوباره(Again) ، تقسیم بندی وارد بازی می شود. اگر دستگاه خودم را به شبکه شرکتی بیاورم، شاید بتوانم به اینترنت، برخی از وب سرورهای(web server) داخلی شرکت دسترسی داشته باشم ، اما به هیچ وجه، نمی توانم به سرورهای پایگاه داده، برنامه های حیاتی شرکتم یا آن دسترسی داشته باشم. داده های حیاتی، از آن دستگاه. این کاری است که ما در سیسکو(Cisco) به صورت برنامه‌ریزی انجام می‌دهیم تا کاربر بتواند از طریق یک دستگاه شخصی به جایی که نیاز دارد در شبکه شرکت(company network) برود اما جایی که شرکت نمی‌خواهد کاربر برود.

داغ ترین مشکل امنیتی(security issue) در رادار همه، " KRACK " ( حمله مجدد کلید، نصب مجدد کلید(Key Reinstallation AttaCK) ) است که بر تمامی مشتریان شبکه و تجهیزاتی که از طرح رمزگذاری WPA2 استفاده(WPA2 encryption) می کنند، تاثیر می گذارد . سیسکو(Cisco) برای کمک به مشتریان خود در این مشکل چه می کند ؟

جای شگفتی بزرگی است که یکی از چیزهایی که سال ها به آن تکیه می کردیم اکنون قابل کرک است. این مسائل مربوط به SSL ، SSH و همه چیزهایی را که ما اساساً به آنها اعتقاد داریم را به ما یادآوری می کند. همه آنها "لایق" اعتماد ما نیستند.

برای این موضوع، ما ده آسیب پذیری را شناسایی کردیم. از این ده، 9 تای آنها مبتنی بر مشتری هستند، بنابراین ما باید مشتری را تعمیر کنیم. یکی از آنها مربوط به شبکه است. برای آن، سیسکو پچ‌هایی(Cisco) را منتشر می‌کند. مشکلات منحصر به نقطه دسترسی است(access point) و ما مجبور نیستیم روترها و سوئیچ ها را تعمیر کنیم.

من خوشحال شدم که دیدم اپل(Apple) اصلاحات خود را در کد بتا(beta code) دریافت کرده است ، بنابراین دستگاه های مشتری آنها به زودی به طور کامل وصله می شوند. ویندوز(Windows) در حال حاضر یک پچ آماده(patch ready) است و غیره. برای سیسکو(Cisco) ، راه ساده است: یک آسیب‌پذیری در نقاط دسترسی ما و ما می‌خواهیم وصله‌ها و اصلاحات را منتشر کنیم.

تا زمانی که همه چیز درست نشود، به مشتریان خود توصیه می کنید برای محافظت از خود چه کاری انجام دهند؟

در برخی موارد نیازی به انجام کاری نیست، زیرا گاهی اوقات از رمزگذاری در داخل رمزگذاری استفاده می شود. به عنوان مثال، اگر به وب سایت بانکم مراجعه کنم، از TLS یا SSL(TLS or SSL) برای امنیت ارتباطات استفاده می کند که تحت تأثیر این موضوع قرار نمی گیرد. بنابراین، حتی اگر از طریق یک وای فای(WiFi) کاملاً باز ، مانند آنچه در استارباکس(Starbucks) وجود دارد، استفاده کنم، آنقدرها هم مهم نیست. جایی که این مشکل با WPA2 بیشتر مطرح می شود، در بخش حریم خصوصی است(privacy side) . به عنوان مثال، اگر من به یک وب سایت بروم و نمی خواهم دیگران آن را بدانند، اکنون آنها می خواهند بدانند زیرا WPA2 دیگر موثر نیست.

یکی از کارهایی که می توانید برای ایمن سازی خود انجام دهید، راه اندازی اتصالات VPN است. می توانید به بی سیم متصل شوید، اما کاری که باید انجام دهید این است که VPN خود را روشن کنید . VPN خوب است زیرا یک تونل رمزگذاری شده ایجاد می کند که از طریق WiFi می(WiFi) گذرد . تا زمانی که رمزگذاری VPN(VPN encryption) نیز هک شود کار می کند و شما باید راه حل جدیدی پیدا کنید. 🙂

در بازار مصرف(consumer market) ، برخی از فروشندگان امنیت VPN را با آنتی ویروس و مجموعه های امنیتی کامل خود همراه می کنند. آنها همچنین شروع به آموزش مصرف کنندگان می کنند که دیگر داشتن فایروال و آنتی ویروس کافی نیست، شما همچنین به VPN نیاز دارید . رویکرد سیسکو(Cisco) در مورد امنیت برای شرکت چیست ؟ آیا شما نیز به طور فعال VPN را به عنوان یک (VPN)لایه حفاظتی(protection layer) ضروری تبلیغ می کنید ؟

VPN بخشی از بسته های ما برای شرکت است. در شرایط عادی، ما در مورد VPN(VPN) در یک تونل رمزگذاری شده صحبت نمی کنیم و WPA2(tunnel and WPA2) یک تونل رمزگذاری شده است. معمولاً، چون بیش از حد است و سرباری وجود دارد که باید در سمت مشتری(client side) اتفاق بیفتد تا همه چیز به خوبی کار کند. در بیشتر موارد، ارزش آن را ندارد. اگر کانال قبلاً رمزگذاری شده است، چرا دوباره آن را رمزگذاری کنید؟

در این حالت، هنگامی که شلوار خود را پایین انداخته اید، زیرا پروتکل امنیتی WPA2(WPA2 security) اساساً شکسته شده است، ما می توانیم VPN را مجدداً استفاده کنیم ، تا زمانی که مشکلات با WPA2 برطرف شود .

اما با گفتن این موضوع که در فضای اطلاعاتی(intelligence space) ، سازمان‌های امنیتی مانند سازمان‌های وزارت(Department) دفاع ،(Defense type) سال‌ها این کار را انجام می‌دهند. آن‌ها به VPN(VPN) و رمزگذاری بی‌سیم متکی هستند و در بسیاری از مواقع برنامه‌های کاربردی در وسط VPN آنها نیز رمزگذاری می‌شوند، بنابراین رمزگذاری سه‌طرفه دریافت می‌کنید که همه از انواع مختلف رمزنگاری استفاده می‌کنند. آنها این کار را انجام می دهند زیرا آنطور که باید "پارانوئید" هستند. :))

در ارائه خود در Cisco Connect ، به اتوماسیون به عنوان یک امر بسیار مهم در امنیت اشاره کردید. رویکرد پیشنهادی شما برای اتوماسیون در امنیت چیست؟

اتوماسیون به سرعت به یک الزام تبدیل می شود زیرا ما به عنوان انسان نمی توانیم به اندازه کافی سریع حرکت کنیم تا جلوی نقض ها و تهدیدات امنیتی را بگیریم. یک مشتری 10000 دستگاه داشت که در 10 دقیقه توسط باج افزار رمزگذاری شده بودند. هیچ راهی از نظر انسانی امکان پذیر نیست که بتوانید به آن واکنش نشان دهید، بنابراین به اتوماسیون نیاز دارید.

رویکرد امروز(approach today) ما به آن اندازه که ممکن است بشود سختگیرانه نیست، اما وقتی رفتار مشکوکی را می بینیم که به نظر می رسد یک نقض است، سیستم های امنیتی ما به شبکه می گویند که آن دستگاه یا آن کاربر را در قرنطینه قرار دهد. این برزخ نیست. شما هنوز هم می توانید برخی از کارها را انجام دهید: هنوز هم می توانید به اینترنت بروید یا از سرورهای مدیریت پچ داده ها را دریافت کنید. (patch management)شما کاملا منزوی نیستید. در آینده، ممکن است مجبور شویم این فلسفه را تغییر دهیم و بگوییم: وقتی قرنطینه می‌شوید، هیچ دسترسی ندارید زیرا برای سازمانتان بسیار خطرناک هستید.

سیسکو(Cisco) چگونه از اتوماسیون در مجموعه محصولات امنیتی خود استفاده می کند؟

در مناطق خاصی، ما از اتوماسیون زیادی استفاده می کنیم. برای مثال، در Cisco Talos ، گروه تحقیقاتی تهدیدات(threat research group) ما ، داده‌های تله‌متری را از تمام ویجت‌های امنیتی خود و تعداد زیادی داده دیگر از منابع دیگر دریافت می‌کنیم. گروه Talos(Talos group) از یادگیری ماشینی(machine learning) و هوش مصنوعی برای مرتب‌سازی میلیون‌ها رکورد در هر روز استفاده می‌کند. اگر به کارآیی در تمام محصولات امنیتی ما در طول زمان نگاه کنید، در تمام آزمایش‌های اثربخشی شخص ثالث شگفت‌انگیز است.

آیا استفاده از حملات DDOS کند می شود؟

متأسفانه DDOS به عنوان یک روش حمله(attack method) زنده و سالم است و در حال بدتر شدن است. ما متوجه شده‌ایم که حملات DDOS معمولاً انواع خاصی از شرکت‌ها را هدف قرار می‌دهند. چنین حملاتی هم به عنوان طعمه و هم به عنوان سلاح اصلی حمله استفاده می(attack weapon) شود. همچنین دو نوع حمله DDOS وجود دارد : حجمی و(volumetric and app) مبتنی بر برنامه. اگر به آخرین اعداد و ارقام مربوط به میزان داده ای که آنها می توانند برای از بین بردن کسی تولید کنند نگاه کنید، حجم سنجی از کنترل خارج شده است. مسخره است.

یکی از انواع شرکت‌هایی که هدف حملات DDOS قرار می‌گیرند، شرکت‌های خرده‌فروشی هستند، معمولاً در فصل تعطیلات(holiday season) ( جمعه سیاه(Black Friday) در راه است!). نوع دیگری از شرکت هایی که هدف حملات DDOS قرار می گیرند، شرکت هایی هستند که در مناطق بحث برانگیز مانند نفت و گاز(oil and gas) کار می کنند. در این مورد، ما با افرادی سروکار داریم که دلیل اخلاقی و اخلاقی خاصی دارند، که تصمیم می‌گیرند سازمانی یا سازمانی دیگر را DDOS کنند زیرا با کاری که انجام می‌دهند موافق نیستند. چنین افرادی این کار را برای یک هدف، برای یک هدف، و نه برای پول درگیر انجام می دهند.

افراد نه تنها دستگاه‌های خود، بلکه سیستم‌های ابری خود را نیز وارد سازمان خود می‌کنند ( OneDrive ، Google Drive ، Dropbox ، و غیره). این یک خطر امنیتی(security risk) دیگر برای سازمان‌ها است. سیستمی مانند Cisco Cloudlock چگونه(Cisco Cloudlock) با این مشکل برخورد می کند؟

Cloudlock دو کار اساسی انجام می دهد: اول اینکه همه سرویس های ابری استفاده شده را به شما ممیزی می کند. ما Cloudlock را با محصولات وب خود ادغام می کنیم تا همه گزارش های وب توسط Cloudlock خوانده شوند . این به شما می گوید که همه افراد در سازمان به کجا می روند. بنابراین می دانید که بسیاری از افراد از Dropbox(Dropbox) خود استفاده می کنند ، برای مثال.

دومین کاری که Cloudlock انجام می دهد این است که همه آن از API هایی ساخته شده است که با سرویس های ابری ارتباط برقرار می کنند. به این ترتیب، اگر کاربری یک سند شرکتی را(company document) در Box منتشر کرد ، باکس(Box) بلافاصله به Cloudlock می‌گوید که سند جدیدی رسیده است و باید به آن نگاهی بیندازد. بنابراین ما به سند نگاه می کنیم، آن را دسته بندی می کنیم، نمایه ریسک(risk profile) سند را مشخص می کنیم و همچنین آیا آن را با دیگران به اشتراک گذاشته شده است یا خیر. بر اساس نتایج، سیستم یا اشتراک گذاری آن سند را از طریق Box متوقف می کند یا اجازه می دهد.

با Cloudlock می‌توانید قوانینی مانند: "این هرگز نباید با کسی خارج از شرکت به اشتراک گذاشته شود. اگر چنین است، اشتراک‌گذاری را خاموش کنید." همچنین می‌توانید بر اساس نیاز هر سند، رمزگذاری را انجام دهید. بنابراین، اگر کاربر نهایی یک (end user)سند تجاری(business document) مهم را رمزگذاری نکرده باشد ، هنگام ارسال آن در Box ، Cloudlock رمزگذاری آن سند را به طور خودکار مجبور می‌کند.

 

مایلیم از جیمی هیری(Jamey Heary) برای این مصاحبه و پاسخ های صریح او تشکر کنیم. اگر می‌خواهید در تماس باشید، می‌توانید او را در توییتر(on Twitter) پیدا کنید .

در پایان این مقاله، نظر خود را در مورد موضوعاتی که در مورد آنها بحث کردیم، با استفاده از گزینه های نظردهی موجود در زیر به اشتراک بگذارید.



نظام بیگی

About the author

من یک برنامه نویس کامپیوتر هستم و بیش از 15 سال است که هستم. مهارت های من در توسعه و نگهداری برنامه های کاربردی نرم افزاری و همچنین ارائه پشتیبانی فنی برای آن برنامه ها نهفته است. همچنین برنامه نویسی کامپیوتر را به دانش آموزان دبیرستانی آموزش داده ام و در حال حاضر یک مربی حرفه ای هستم.


Related posts