Por dentro da rede intuitiva: Segurança em IOT
John Stewart não fala como seu típico executivo corporativo. Ele disse que sua empresa, Cisco Systems, teve sorte quando se trata de segurança e que o impulso de marketing de sua empresa na Autodefesa pintou "uma grande novidade" em seus produtos.
Mas, novamente, Stewart tem mais coisas importantes para se preocupar. Como diretor de segurança, ele é o homem responsável por dirigir as práticas de segurança corporativas e de negócios da Cisco. Isso significa que ele recebe a ligação sempre que há um bug de segurança importante nos produtos da Cisco ou se hackers acessam o site da Cisco.com. A maneira como ele coloca, é seu trabalho para ajudar a bloquear os produtos da Cisco antes que ele seja forçado a lidar com o que ele chama de "plataforma de gravação" - uma falha grave ou ataque contra os roteadores mais utilizados na Internet.
Talvez A Cisco precisa de alguém como Stewart, para evitar os erros que outras grandes empresas de tecnologia cometeram em relação à segurança. Tome Microsoft, por exemplo. A Microsoft primeiro adotou uma atitude hostil em relação aos pesquisadores e críticos de segurança, mas isso saiu pela culatra e ajudou a consolidar a impressão de que a empresa estava ignorando os bugs de segurança em vez de tentar consertá-los. A Microsoft acabou por inverter o seu rumo, mas só quando a sua reputação sofreu um sério golpe
Numa escala menor, a Cisco fez um tipo semelhante de reversão. A empresa enfureceu hackers em 2005 processando o pesquisador Mike Lynn depois que ele mostrou como era possível executar software de código shell não autorizado em um roteador Cisco.
Mas em vez de iniciar uma nova era de hacking da Cisco, o episódio de Mike Lynn foi mais uma aberração. A pesquisa da Cisco ficou em silêncio pelos próximos anos.
Stewart disse que a Cisco tem tido "um pouco de sorte", pois não teve grandes crises de segurança, mas não aceita nada como garantido. Ele convidou o IDG News Service para seu escritório em San Jose, Califórnia, para falar sobre o cenário de ameaças da Cisco. A seguir, uma transcrição editada da entrevista.
IDG News Service: A Cisco chamou muita atenção no Black Hat 2005. Qual é a sua opinião sobre as coisas, três anos depois?
John Stewart: Parte da razão pela qual toda a atenção foi pintado em nós na Black Hat três anos atrás é porque criamos uma tempestade de, francamente, todos os tipos de problemas complicados, que pareciam que a Cisco estava suprimindo a comunicação e a pesquisa. Acho que fizemos algumas coisas bobas, como tentar Coloque o gênio de volta na garrafa, o que você não pode fazer. Estávamos tentando fazer isso pelos motivos certos: proteção da propriedade intelectual e de nossos clientes. Mas como saiu completamente completamente de lado.
E, em muitos aspectos, nós fizemos isso anonimamente. Foi "um porta-voz da Cisco". Nós meio que nos escondemos atrás de um contexto de anonimato, que eu acho que realmente brincou com tudo.
É por isso que eu pessoalmente patrocinei o Black Hat no nível platina desde então. Porque acho que tínhamos alguma expiação para fazer e dizer: "Olha, nosso mal. Essa não era a maneira de fazer isso."
IDGNS: Por que você acha que a pesquisa da Cisco secou como aconteceu?
Stewart: Existem algumas razões. A primeira é que muito disso não é exploração remota, e muito do que a pesquisa envolve em qualquer comunidade é: "Como você faz isso remotamente?" A pesquisa do IRM [Information Risk Management], a pesquisa de Sebastian [Muniz, pesquisador da Core Security Technologies] e, até certo ponto, a pesquisa de Michael Lynn, embora tivesse uma ligeira variante remota, não é remota estável. E é aí que está o verdadeiro jogo.
Você tem que descobrir uma maneira de consegui-lo sem estar no console. E é isso que a maior parte do desenvolvimento tem acontecido: como você faz isso no console - pelo menos para a Cisco, de qualquer forma.
E a segunda coisa é que você quer que funcione. Você não está tentando derrubá-lo porque precisa da rede para poder chegar ao ponto final. Então eu acho que nós meio que conseguimos um passe porque ninguém quer brincar com a infraestrutura que eles estão usando. É como estragar a estrada enquanto você está tentando ir para uma cidade diferente. Isso é meio que uma coisa idiota para se fazer.
IDGNS: A Microsoft tem sido muito pública sobre como eles mudaram a empresa para tornar a segurança uma prioridade. Qual é a história da Cisco? Como o programa de segurança foi construído?
Stewart: Estávamos provavelmente no mesmo espaço. Muitas empresas, inclusive a nossa, começaram com a construção de primeiro material que resolveu os problemas de comunicação e depois pensou na segurança das comunicações.
Cerca de cinco anos atrás, estávamos combatendo a empresa, minha equipe. Principalmente no negócio de segurança da informação. Nós éramos a organização "não", a torre de marfim. Esse é um lugar perigoso para se estar, porque minha opinião é que deveríamos ser um braço de atendimento consultivo, não um adjudicador.
Então mudamos muito disso e começamos a injetar coisas, como "Você vai ter experiência em seu Nós não vamos ficar no meio, então você pode investir o conhecimento para o que você precisa e nós não estamos prendendo você ou colocando você em uma posição mais lenta. "
A segunda coisa - - isso não pode ser subestimado - estamos nos preparando em 2002 para lançar redes de autodefesa, que - gostam ou odeiam isso como um slogan - efetivamente é um grande alvo na nossa testa.
IDGNS: Como o Linux inquebrável da Oracle?
Stewart: Na verdade, Mary Ann Davidson, da Oracle, me deu uma nota e disse: "Muito obrigado por ter criado um slogan que tira a pressão do que fizemos". [risos] como se eu tivesse alguma coisa a ver com o anúncio.
E depois, em terceiro lugar, nós realmente crescemos. Nós nos acostumamos em mais e mais lugares, e francamente por coisas que nunca imaginamos que seríamos usados. Estamos fazendo a transição das comunicações de assistência médica, estamos fazendo a transição das comunicações site a site para as forças armadas. Estamos fazendo todas essas coisas loucas que há 20 anos nós não pensávamos na época.
IDGNS: Então, você fez algo como adotar um ciclo de vida de desenvolvimento seguro ou mudar a maneira como construiu produtos?
Stewart: Não estamos maduros nisso. Estamos na fase adolescente desajeitada. Estamos testando no final do processo de desenvolvimento e estamos descobrindo a partir desses dados como você retrocede no processo de definição. Agora, alguma definição acontece de qualquer maneira. Por exemplo, existem alguns requisitos básicos de todos os produtos que construímos. No entanto, eu ainda digo que há muito a ser aprendido. Quando você pensa que acertou e construiu e testou, os aprendizados do teste devem beneficiar a próxima coisa que você constrói.
Ainda não adotamos um ciclo de vida de desenvolvimento seguro como o da Microsoft. Nós não temos pregado igualmente em todas as linhas de produtos de uma maneira metódica e muito consistente, e é por isso que digo que estamos nessa fase adolescente desajeitada.
A Microsoft disse através de sua empresa de relações públicas que o as empresas não divulgam os termos do acordo. O boato da semana passada fixou o preço em cerca de US $ 100 milhões. Em uma postagem no blog atribuída a Satya Nadella, vice-presidente sênior da Microsoft, a empresa disse que a equipe Powerset se unirá à equipe de Relevância da Microsoft e permanecerá em São Francisco, onde a startup está sediada. A Powerset tem 63 funcionários que permanecerão em seu escritório atual, disse a Mic
A Powerset é pioneira na busca semântica, tecnologia que Nadella considera valiosa para a direção da Microsoft para seu mecanismo de busca.
A pesquisa ajudará a empresa a longo prazo também, disse ele. "Eu penso na pesquisa como uma das coisas que temos que fazer e decidir fazer para garantir que sobrevivamos a longo prazo", disse ele. As empresas que cortam pesquisas em face de pressões de curto prazo ou nunca iniciam pesquisas puras tendem a não durar muito tempo, disse ele. "Minha crença é que a empresa lutaria para sobreviver e prosperar se não tivéssemos investimento em pesquisa." Uma área específica de dese
A computação atualmente é controlada principalmente pelo teclado e mouse. "A realidade é que muitas pessoas no mundo não são realmente alfabetizadas em computação nesse sentido", disse Mundie.
Bartz ficou distante do Alibaba desde que assumiu a presidência do Yahoo no início deste ano , a fonte disse. Isso fez com que os executivos da Alibaba sentissem que ela não está interessada em nutrir ativos fora das principais operações do Yahoo, disse a fonte. Durante uma reunião nos EUA em março, Bartz disse a Jack Ma, CEO da Alibaba, que queria a marca do Yahoo. A China disse que a venda do Yahoo seria menos valiosa sem suas propriedades na China, disse a fonte. Alibaba supostamente procurou
Enquanto isso, Steve Ballmer, CEO da Microsoft, se encontrou duas vezes com Ma No período em que ele também disse que a Microsoft continua aberta a um acordo com o Yahoo, a reunião de Março de Ma com Bartz foi parte de uma viagem de executivos do Alibaba aos EUA para se encontrar com potenciais parceiros, incluindo Google e eBay. Ma conheceu Ballmer durante a visita e novamente na semana passada, enquanto Ballmer estava em Hangzhou, a cidade chinesa onde o Alibaba está sediado.