Jamey Heary de Cisco : les organisations qui travaillent avec des informations sensibles, utilisent le Wi-Fi chiffré, le VPN et les applications chiffrées
Le 18 octobre(October 18th) , nous avons été invités à Cisco Connect 2017 . Lors de cet événement, nous avons rencontré l'expert en sécurité (security expert) Jamey Heary . Il est ingénieur système émérite(Systems Engineer) chez Cisco Systems , où il dirige l' équipe Global Security Architecture(Global Security Architecture Team) . Jamey est un (Jamey)conseiller en sécurité et un architecte(security advisor and architect) de confiance pour de nombreux clients parmi les plus importants de Cisco . Il est également auteur de livres(book author) et ancien blogueur de Network World(Network World blogger). Nous avons discuté avec lui de la sécurité dans l'entreprise moderne, des problèmes de sécurité importants qui affectent les entreprises et les organisations, et des dernières vulnérabilités qui affectent tous les réseaux et clients sans fil ( KRACK ). Voici ce qu'il avait à dire :
Notre public est composé à la fois d'utilisateurs finaux et d'utilisateurs professionnels. Pour commencer, et présentez-vous un peu, comment décririez-vous votre travail chez Cisco , d'une manière non professionnelle ?
Ma passion est la sécurité. Ce que je m'efforce de faire chaque jour, c'est d'enseigner l'architecture à mes clients et utilisateurs finaux. Par exemple, je parle d'un produit de sécurité(security product) et de la manière dont il s'intègre à d'autres produits (les nôtres ou ceux de tiers). C'est pourquoi je m'occupe de l'architecture système(system architecture) du point de vue de la sécurité(security perspective) .
D'après votre expérience en tant qu'expert en sécurité(security expert) , quelles sont les menaces de sécurité les plus importantes pour l'entreprise moderne ?
Les plus importants sont l' ingénierie(engineering and ransomware) sociale et les rançongiciels . Ce dernier fait des ravages dans tant d'entreprises, et cela va empirer car il y a tellement d'argent dedans. C'est probablement la chose la plus lucrative que les créateurs de logiciels malveillants ont trouvé comment faire.
Nous avons vu que les "méchants" se concentrent sur l'utilisateur final. Il ou elle est le maillon le plus faible en ce moment. Nous avons essayé en tant qu'industrie de former les gens, les médias ont fait du bon travail pour faire passer le mot sur la façon dont vous pourriez mieux vous protéger, mais il est quand même assez trivial d'envoyer à quelqu'un un e-mail ciblé et de lui faire prendre une action que vous voulez : cliquez sur un lien, ouvrez une pièce jointe, tout ce que vous voulez.
L'autre menace, ce sont les paiements en ligne. Nous allons continuer à voir des améliorations dans la manière dont les entreprises acceptent les paiements en ligne, mais tant que l'industrie ne mettra pas en œuvre des moyens plus sûrs d'accepter les paiements en ligne, ce domaine constituera un facteur de risque(risk factor) énorme .
En matière de sécurité, les personnes sont le maillon le plus faible et également la cible principale des attaques. Comment pourrions-nous faire face à ce problème, puisque l'ingénierie sociale est l'une des principales menaces de sécurité ?
Il y a beaucoup de technologies que nous pouvons appliquer. Vous ne pouvez pas faire grand-chose pour une personne, en particulier dans un secteur où certaines personnes ont tendance à être plus utiles que d'autres. Par exemple, dans le secteur de la santé(healthcare industry) , les gens veulent juste aider les autres. Vous leur envoyez donc un e-mail malveillant, et ils sont plus susceptibles de cliquer sur ce que vous leur envoyez que les personnes d'autres secteurs, comme un service de police(police department) .
Nous avons donc ce problème, mais nous pouvons utiliser la technologie. L'une des choses que nous pouvons faire est la segmentation, qui peut réduire considérablement la surface d'attaque(attack surface) disponible pour tout utilisateur final. Nous appelons cela « zéro confiance(zero trust) » : lorsqu'un utilisateur se connecte au réseau de l' entreprise(company network) , le réseau comprend qui est l'utilisateur, quel est son rôle dans l'organisation, à quelles applications l'utilisateur doit accéder, il comprendra la machine de l'utilisateur et quelle est la posture(security posture) de sécurité de la machine, à un niveau très détaillé. Par exemple, il peut même dire des choses comme la prévalence d'une application dont dispose l'utilisateur. La prévalence(Prevalence) est quelque chose que nous avons trouvé efficace, et cela signifie combien d'autres personnes dans le monde utilisent(world use)cette application, et combien dans une organisation donnée. Chez Cisco , nous effectuons cette analyse par hachage : nous prenons un hachage d'une application, et nous avons des millions de terminaux, et ils reviendront et diront : "la prévalence sur cette application est de 0,0001 %". La prévalence(Prevalence) calcule à quel point une application est utilisée dans le monde, puis dans votre organisation. Ces deux mesures peuvent être très utiles pour déterminer si quelque chose est très suspect et s'il mérite d'être examiné de plus près.
Vous avez une série intéressante d'articles dans le Network World sur les systèmes de gestion des appareils mobiles(Mobile Device Management) ( MDM ). Cependant, depuis quelques années, ce sujet semble moins abordé. L'intérêt de l'industrie pour de tels systèmes ralentit-il ? Que se passe-t-il, de votre point de vue ?
Peu de choses se sont produites, dont l'une est que les systèmes MDM sont devenus assez saturés sur le marché. Presque(Almost) tous mes gros clients ont un tel système en place. L'autre chose qui s'est produite est que les réglementations en matière de confidentialité et l' état d' esprit(privacy mindset) des utilisateurs en matière de confidentialité ont changé de sorte que de nombreuses personnes ne donnent plus leur appareil personnel (smartphone, tablette, etc.) à leur organisation et autorisent l'installation d'un logiciel MDM(MDM software) . Nous avons donc cette concurrence : l'entreprise veut avoir un accès complet aux appareils utilisés par ses employés afin de pouvoir se sécuriser et les employés sont devenus très réfractaires à cette approche. Il y a cette bataille constante entre les deux camps. Nous avons vu que la prévalence deLes systèmes MDM(MDM) varient d'une entreprise à l'autre, en fonction de la culture et des valeurs de l'entreprise(company culture and values) et de la manière dont chaque organisation souhaite traiter ses employés.
Cela affecte-t-il l'adoption de programmes tels que Bring Your Own Device ( BYOD ) au travail ?
Oui, c'est totalement le cas. Ce qui se passe, pour la plupart, c'est que les personnes qui utilisent leurs propres appareils sur le réseau de l'entreprise les utilisent dans une zone très contrôlée. Encore une fois(Again) , la segmentation entre en jeu. Si j'apporte mon propre appareil au réseau de l'entreprise, je peux peut-être accéder à Internet, à un serveur Web(web server) interne de l'entreprise , mais en aucun cas, je ne pourrai accéder aux serveurs de base de données, aux applications critiques de mon entreprise ou de ses données critiques, à partir de cet appareil. C'est quelque chose que nous faisons par programmation chez Cisco afin que l'utilisateur puisse aller là où il le souhaite dans le réseau de l'entreprise,(company network) mais pas là où l'entreprise ne veut pas que l'utilisateur aille, à partir d'un appareil personnel.
Le problème de sécurité le plus important(security issue) sur le radar de tout le monde est " KRACK " ( Key Reinstallation AttaCK ), affectant tous les clients et équipements du réseau utilisant le schéma de cryptage WPA2 . (WPA2 encryption)Que fait Cisco pour aider ses clients à résoudre ce problème ?
C'est une énorme surprise que l'une des choses sur lesquelles nous comptions depuis des années soit maintenant craquable. Cela nous rappelle les problèmes avec SSL , SSH et toutes les choses auxquelles nous croyons fondamentalement. Tous sont devenus "non dignes" de notre confiance.
Pour ce problème, nous avons identifié dix vulnérabilités. Sur ces dix, neuf d'entre eux sont basés sur le client, nous devons donc réparer le client. L'un d'eux est lié au réseau. Pour celui-là, Cisco va publier des correctifs. Les problèmes sont exclusifs au point d'accès(access point) et nous n'avons pas à réparer les routeurs et les commutateurs.
J'ai été ravi de voir qu'Apple(Apple) a obtenu ses correctifs en code bêta(beta code) afin que ses appareils clients soient bientôt entièrement corrigés. Windows a déjà un patch prêt(patch ready) , etc. Pour Cisco , le chemin est simple : une vulnérabilité sur nos points d'accès et nous allons publier des patchs et des correctifs.
Jusqu'à ce que tout soit réparé, que recommanderiez-vous à vos clients de faire pour se protéger ?
Dans certains cas, vous n'avez rien à faire, car le cryptage est parfois utilisé à l'intérieur du cryptage. Par exemple, si je vais sur le site Web de ma banque, elle utilise TLS ou SSL(TLS or SSL) pour la sécurité des communications, qui n'est pas affectée par ce problème. Donc, même si je passe par un WiFi grand ouvert , comme celui de Starbucks , cela n'a pas autant d'importance. Là où ce problème avec WPA2 entre plus en jeu, c'est du côté de la confidentialité(privacy side) . Par exemple, si je vais sur un site Web et que je ne veux pas que les autres le sachent, maintenant ils le sauront car le WPA2 n'est plus efficace.
Une chose que vous pouvez faire pour vous sécuriser est de configurer des connexions VPN . Vous pouvez vous connecter au sans fil, mais la prochaine chose que vous devez faire est d'activer votre VPN . Le VPN est très bien car il crée un tunnel crypté passant par le WiFi . Cela fonctionnera jusqu'à ce que le cryptage VPN(VPN encryption) soit également piraté et que vous deviez trouver une nouvelle solution. 🙂
Sur le marché grand public(consumer market) , certains fournisseurs de sécurité regroupent le VPN avec leurs suites antivirus et de sécurité totale. Ils commencent également à sensibiliser les consommateurs sur le fait qu'il ne suffit plus d'avoir un pare-feu, et un antivirus, il faut aussi un VPN . Quelle est l'approche de Cisco en matière de sécurité pour l'entreprise ? Faites-vous également la promotion active du VPN en tant que (VPN)couche de protection(protection layer) nécessaire ?
Le VPN(VPN) fait partie de nos forfaits pour l'entreprise. Dans des circonstances normales, nous ne parlons pas de VPN dans un tunnel crypté et WPA2(tunnel and WPA2) est un tunnel crypté. Habituellement, parce que c'est exagéré et qu'il y a des frais généraux qui doivent se produire du côté client(client side) pour que tout fonctionne bien. Pour la plupart, cela n'en vaut pas la peine. Si la chaîne est déjà cryptée, pourquoi la crypter à nouveau ?
Dans ce cas, lorsque vous êtes pris avec votre pantalon parce que le protocole de sécurité WPA2(WPA2 security) est fondamentalement cassé, nous pouvons nous rabattre sur VPN , jusqu'à ce que les problèmes soient résolus avec WPA2 .
Mais cela dit, dans l' espace du renseignement(intelligence space) , les organisations de sécurité comme une organisation du type ministère(Department) de la Défense(Defense type) , font cela depuis des années. Ils s'appuient sur VPN , ainsi que sur le cryptage sans fil et, souvent, les applications au milieu de leur VPN sont également cryptées, vous obtenez donc un cryptage à trois voies, utilisant tous différents types de cryptographie. Ils font cela parce qu'ils sont "paranoïaques" comme il se doit. :))
Dans votre présentation à Cisco Connect , vous avez mentionné l'automatisation comme étant très importante en matière de sécurité. Quelle est votre approche recommandée pour l'automatisation de la sécurité ?
L'automatisation deviendra rapidement une exigence car nous, en tant qu'êtres humains, nous ne pouvons pas agir assez rapidement pour arrêter les failles de sécurité et les menaces. Un client avait 10 000 machines cryptées par un ransomware en 10 minutes. Il n'y a aucun moyen humainement possible de réagir à cela, vous avez donc besoin d'automatisation.
Aujourd'hui, notre approche(approach today) n'est pas aussi lourde qu'elle devrait l'être, mais lorsque nous constatons quelque chose de suspect, un comportement qui ressemble à une violation, nos systèmes de sécurité indiquent au réseau de mettre cet appareil ou cet utilisateur en quarantaine. Ce n'est pas le purgatoire; vous pouvez toujours faire certaines choses : vous pouvez toujours aller sur Internet ou obtenir des données des serveurs de gestion des correctifs . (patch management)Vous n'êtes pas totalement isolé. À l'avenir, nous devrons peut-être changer cette philosophie et dire : une fois que vous êtes en quarantaine, vous n'avez plus accès car vous êtes trop dangereux pour votre organisation.
Comment Cisco utilise-t-il l'automatisation dans son portefeuille de produits de sécurité ?
Dans certains domaines, nous utilisons beaucoup d'automatisation. Par exemple, chez Cisco Talos , notre groupe de recherche sur les menaces(threat research group) , nous obtenons des données de télémétrie de tous nos widgets de sécurité et une tonne d'autres données provenant d'autres sources. Le groupe Talos(Talos group) utilise l'apprentissage automatique(machine learning) et l'intelligence artificielle pour trier des millions d'enregistrements chaque jour. Si vous regardez l'efficacité au fil du temps de tous nos produits de sécurité, elle est incroyable, dans tous les tests d'efficacité effectués par des tiers.
L'utilisation des attaques DDOS ralentit-elle ?
Malheureusement, DDOS en tant que méthode d'attaque(attack method) est bel et bien vivant, et cela empire. Nous avons constaté que les attaques DDOS ont tendance à cibler certains types d'entreprises. De telles attaques sont utilisées à la fois comme leurre et comme arme d'attaque(attack weapon) principale . Il existe également deux types d' attaques DDOS : volumétriques et(volumetric and app) basées sur les applications. La volumétrie est devenue incontrôlable si vous regardez les derniers chiffres sur la quantité de données qu'ils peuvent générer pour abattre quelqu'un. C'est ridicule.
L'un des types d'entreprises ciblées par les attaques DDOS est celui du commerce de détail, généralement pendant la période des fêtes(holiday season) ( le Black Friday(Black Friday) approche !). Les autres types d'entreprises ciblées par les attaques DDOS sont celles qui travaillent dans des domaines controversés, comme le pétrole et le gaz(oil and gas) . Dans ce cas, nous avons affaire à des personnes qui ont une cause éthique et morale particulière, qui décident de DDOS une organisation ou une autre parce qu'elles ne sont pas d'accord avec ce qu'elles font. Ces personnes le font pour une cause, dans un but et non pour l'argent en jeu.
Les gens apportent dans leurs organisations non seulement leurs propres appareils, mais également leurs propres systèmes cloud ( OneDrive , Google Drive , Dropbox , etc.). Cela représente un autre risque de sécurité(security risk) pour les organisations. Comment un système comme Cisco Cloudlock gère(Cisco Cloudlock) -t -il ce problème ?
Cloudlock fait deux choses fondamentales : premièrement, il vous donne un audit de tous les services cloud qui sont utilisés. Nous intégrons Cloudlock à nos produits Web afin que tous les journaux Web puissent être lus par Cloudlock . Cela vous indiquera où va tout le monde dans l'organisation. Vous savez donc que beaucoup de gens utilisent leur propre Dropbox , par exemple.
La deuxième chose que fait Cloudlock est qu'il est entièrement composé d' API qui communiquent avec les services cloud. De cette façon, si un utilisateur publie un document d'entreprise(company document) sur Box , Box indique immédiatement à Cloudlock qu'un nouveau document est arrivé et qu'il doit y jeter un coup d'œil. Nous allons donc examiner le document, le catégoriser, déterminer le profil de risque(risk profile) du document, ainsi que s'il a été partagé avec d'autres ou non. En fonction des résultats, le système arrêtera le partage de ce document via Box ou l'autorisera.
Avec Cloudlock , vous pouvez définir des règles telles que : "cela ne doit jamais être partagé avec quiconque en dehors de l'entreprise. Si c'est le cas, désactivez le partage." Vous pouvez également effectuer un chiffrement à la demande, en fonction de la criticité de chaque document. Par conséquent, si l' utilisateur final n'a pas chiffré un (end user)document commercial(business document) critique , lors de sa publication sur Box , Cloudlock forcera automatiquement le chiffrement de ce document.
Nous tenons à remercier Jamey Heary pour cette interview et ses réponses franches. Si vous souhaitez entrer en contact, vous pouvez le retrouver sur Twitter(on Twitter) .
À la fin de cet article, partagez votre opinion sur les sujets que nous avons abordés, en utilisant les options de commentaires disponibles ci-dessous.
Related posts
8 étapes pour maximiser la sécurité de votre routeur ASUS ou ASUS Lyra mesh WiFi
La cybersécurité par l'éducation : Kaspersky Interactive Protection Simulation
Les publicités PowerLinks mettent en danger des millions de lecteurs, issus de publications majeures comme The Verge, Vice News et plus encore
Récompenses - Le produit antivirus le plus populaire de l'année 2017
Quoi de neuf dans la mise à jour de novembre 2019 de Windows 10 ?
Comment ajouter et utiliser un VPN dans Windows 10 (tout ce que vous devez savoir)
Synology DiskStation Manager 7: BETA disponible, mise à jour gratuite à venir en 2021
La sécurité pour tous - Examen de KeepSolid VPN Unlimited
8 choses que vous pouvez faire avec ESET EndPoint Encryption (DESlock+)
Récompenses : Meilleur produit antivirus gratuit de l'année 2018
15+ raisons pour lesquelles vous devriez obtenir la mise à jour Windows 10 Fall Creators
Quoi de neuf dans la mise à jour de mai 2019 de Windows 10 ? 13 nouvelles fonctionnalités !
Top 5 des pratiques ennuyeuses des éditeurs d'antivirus
La sécurité pour tous - Comment nous examinons les produits de sécurité
Windows 10 May 2021 Mise à jour: Quoi de neuf et supprimé?
Environ InPrivate and Incognito. Quelle est la navigation privée? Which browser est le meilleur?
3 raisons pour lesquelles inclure des codes QR dans les BSOD de Windows 10 est une mauvaise idée
Récompenses - Le meilleur produit antivirus de l'année 2017
7 raisons pour lesquelles vous devriez obtenir la mise à jour d'octobre 2018 de Windows 10
Récompenses - Le produit antivirus le plus innovant de 2017