Pada tanggal 18 Oktober^{(October 18th)} , kami diundang ke Cisco Connect 2017 . Pada acara ini, kami bertemu dengan pakar keamanan ^{(security expert)} Jamey Heary . Dia adalah Insinyur Sistem^{(Systems Engineer)} Terhormat di Cisco Systems di mana dia memimpin Tim Arsitektur Keamanan Global^{(Global Security Architecture Team)} . Jamey adalah ^(Jamey)penasihat dan arsitek keamanan^{(security advisor and architect)} tepercaya bagi banyak pelanggan terbesar Cisco . Dia juga seorang penulis buku^{(book author)} dan mantan blogger Network World^{(Network World blogger)}. Kami berbicara dengannya tentang keamanan di perusahaan modern, masalah keamanan signifikan yang memengaruhi bisnis dan organisasi, dan kerentanan terbaru yang memengaruhi semua jaringan dan klien nirkabel ( KRACK ). Inilah yang dia katakan:

Audiens kami terdiri dari pengguna akhir dan pengguna bisnis. Untuk memulai, dan memperkenalkan diri Anda sedikit, bagaimana Anda menggambarkan pekerjaan Anda di Cisco , dengan cara non-korporat?

Passion saya adalah keamanan. Apa yang saya upayakan setiap hari adalah mengajari pelanggan dan pengguna akhir saya tentang arsitektur. Misalnya, saya berbicara tentang produk keamanan^{(security product)} dan bagaimana produk itu terintegrasi dengan produk lain (milik kami atau dari pihak ketiga). Oleh karena itu saya berurusan dengan arsitektur sistem^{(system architecture)} dari perspektif keamanan^{(security perspective)} .

Dalam pengalaman Anda sebagai pakar keamanan^{(security expert)} , ancaman keamanan apa yang paling signifikan bagi perusahaan modern?

Yang besar adalah rekayasa sosial dan ransomware^{(engineering and ransomware)} . Yang terakhir mendatangkan kehancuran di begitu banyak perusahaan, dan itu akan menjadi lebih buruk karena ada begitu banyak uang di dalamnya. Ini mungkin hal yang paling menguntungkan yang ditemukan oleh pembuat malware.

Kami telah melihat bahwa fokus "orang jahat" adalah pada pengguna akhir. Dia adalah mata rantai terlemah saat ini. Kami telah mencoba sebagai industri untuk melatih orang, media telah melakukan pekerjaan yang baik untuk menyebarkan berita tentang bagaimana Anda dapat melindungi diri sendiri dengan lebih baik, tetapi tetap saja, cukup sepele untuk mengirim email yang ditargetkan kepada seseorang dan membuat mereka menerimanya. tindakan yang Anda inginkan: klik tautan, buka lampiran, apa pun yang Anda inginkan.

Ancaman lainnya adalah pembayaran online. Kami akan terus melihat peningkatan dalam cara perusahaan melakukan pembayaran online tetapi, sampai industri menerapkan cara yang lebih aman untuk melakukan pembayaran online, area ini akan menjadi faktor risiko yang^{(risk factor)} sangat besar .

Dalam hal keamanan, orang adalah mata rantai terlemah dan juga fokus utama serangan. Bagaimana kita bisa mengatasi masalah ini, karena rekayasa sosial adalah salah satu ancaman keamanan utama?

Banyak sekali teknologi yang bisa kita terapkan. Hanya ada begitu banyak yang dapat Anda lakukan untuk seseorang, terutama dalam industri di mana beberapa orang cenderung lebih membantu daripada yang lain. Misalnya, dalam industri kesehatan^{(healthcare industry)} , orang hanya ingin membantu orang lain. Jadi, Anda mengirimi mereka email jahat, dan mereka cenderung mengeklik apa yang Anda kirim daripada orang-orang di industri lain, sebagai departemen kepolisian^{(police department)} .

Jadi kita punya masalah ini, tapi kita bisa menggunakan teknologi. Salah satu hal yang dapat kita lakukan adalah segmentasi, yang secara drastis dapat mengurangi permukaan serangan^{(attack surface)} yang tersedia untuk setiap pengguna akhir. Kami menyebutnya " zero trust ": ketika pengguna terhubung ke jaringan perusahaan^{(company network)} , jaringan memahami siapa pengguna, apa perannya dalam organisasi, aplikasi apa yang perlu diakses pengguna, jaringan akan memahami mesin pengguna dan apa postur keamanan^{(security posture)} mesin, ke tingkat yang sangat rinci. Misalnya, bahkan dapat memberi tahu hal-hal seperti prevalensi aplikasi yang dimiliki pengguna. Prevalensi^(Prevalence) adalah sesuatu yang kami temukan efektif, dan itu berarti berapa banyak orang lain di dunia yang menggunakannya^{(world use)}aplikasi ini, dan berapa banyak dalam organisasi tertentu. Di Cisco , kami melakukan analisis ini melalui hashing: kami mengambil hash dari sebuah aplikasi, dan kami memiliki jutaan titik akhir, dan mereka akan kembali dan berkata: "prevalensi pada aplikasi ini adalah 0,0001%". Prevalensi^(Prevalence) menghitung berapa banyak aplikasi yang digunakan di dunia dan kemudian di organisasi Anda. Kedua langkah ini bisa sangat baik untuk mengetahui apakah ada sesuatu yang sangat mencurigakan, dan apakah itu layak untuk dilihat lebih dekat.

Anda memiliki serangkaian artikel menarik di Dunia Jaringan^{(Network World)} tentang sistem Manajemen Perangkat Seluler^{(Mobile Device Management)} ( MDM ). Namun, dalam beberapa tahun terakhir, topik ini tampaknya kurang dibahas. Apakah minat industri pada sistem seperti itu melambat? Apa yang terjadi, dari sudut pandang Anda?

Beberapa hal telah terjadi, salah satunya adalah bahwa sistem MDM telah menjadi cukup jenuh di pasar. Hampir^(Almost) semua pelanggan saya yang lebih besar memiliki satu sistem seperti itu. Hal lain yang terjadi adalah peraturan privasi dan pola pikir privasi^{(privacy mindset)} pengguna telah berubah sehingga banyak orang tidak lagi memberikan perangkat pribadi mereka (smartphone, tablet, dll.) ke organisasi mereka dan mengizinkan perangkat lunak MDM^{(MDM software)} untuk diinstal. Jadi kami memiliki kompetisi ini: perusahaan ingin memiliki akses penuh ke perangkat yang digunakan oleh karyawan mereka sehingga dapat mengamankan dirinya sendiri dan karyawan menjadi sangat resisten terhadap pendekatan ini. Ada pertempuran konstan antara kedua belah pihak. Kita telah melihat bahwa prevalensiSistem MDM^(MDM) bervariasi dari satu perusahaan ke perusahaan lain, tergantung pada budaya dan nilai perusahaan^{(company culture and values)} , dan bagaimana setiap organisasi ingin memperlakukan karyawannya.

Apakah ini memengaruhi penerapan program seperti Bring Your Own Device ( BYOD ) agar berfungsi?

Ya, itu benar-benar. Apa yang terjadi, sebagian besar, adalah bahwa orang-orang yang menggunakan perangkat mereka sendiri di jaringan perusahaan, menggunakannya di area yang sangat terkontrol. Sekali lagi^(Again) , segmentasi ikut bermain. Jika saya membawa perangkat saya sendiri ke jaringan perusahaan, maka mungkin saya dapat mengakses internet, beberapa server web^{(web server)} internal perusahaan , tetapi tidak berarti, saya akan dapat mengakses server basis data, aplikasi penting perusahaan saya atau miliknya data penting, dari perangkat itu. Itu adalah sesuatu yang kami lakukan secara terprogram di Cisco sehingga pengguna dapat pergi ke tempat yang diperlukan dalam jaringan perusahaan^{(company network)} tetapi tidak ke tempat yang tidak diinginkan oleh perusahaan, dari perangkat pribadi.

Masalah keamanan^{(security issue)} terpanas di radar semua orang adalah " KRACK " ( Serangan Penginstalan Ulang Kunci^{(Key Reinstallation AttaCK)} ), yang memengaruhi semua klien jaringan dan peralatan yang menggunakan skema enkripsi WPA2 . ^{(WPA2 encryption)}Apa yang dilakukan Cisco untuk membantu pelanggan mereka mengatasi masalah ini?

Ini adalah kejutan besar bahwa salah satu hal yang kami andalkan selama bertahun-tahun sekarang dapat dipecahkan. Ini mengingatkan kita pada masalah dengan SSL , SSH dan semua hal yang kita yakini secara mendasar. Semuanya telah menjadi "tidak layak" untuk kepercayaan kita.

Untuk masalah ini, kami mengidentifikasi sepuluh kerentanan. Dari sepuluh itu, sembilan di antaranya berbasis klien, jadi kami harus memperbaiki klien. Salah satunya terkait jaringan. Untuk yang satu itu, Cisco akan merilis patch. Masalahnya eksklusif untuk titik akses^{(access point)} , dan kami tidak perlu memperbaiki router dan sakelar.

Saya senang melihat bahwa Apple mendapatkan perbaikan mereka dalam kode beta^{(beta code)} sehingga perangkat klien mereka akan segera ditambal sepenuhnya. Windows sudah memiliki tambalan siap^{(patch ready)} , dll. Untuk Cisco , jalannya mudah: satu kerentanan pada titik akses kami dan kami akan merilis tambalan dan perbaikan.

Sampai semuanya diperbaiki, apa yang akan Anda sarankan agar pelanggan Anda lakukan untuk melindungi diri mereka sendiri?

Dalam beberapa kasus, Anda tidak perlu melakukan apa pun, karena terkadang enkripsi digunakan di dalam enkripsi. Misalnya, jika saya membuka situs web bank saya, itu menggunakan TLS atau SSL^{(TLS or SSL)} untuk keamanan komunikasi, yang tidak terpengaruh oleh masalah ini. Jadi, bahkan jika saya menggunakan WiFi yang terbuka lebar , seperti yang ada di Starbucks , itu tidak terlalu menjadi masalah. Di mana masalah dengan WPA2 ini lebih berperan adalah di sisi privasi^{(privacy side)} . Misalnya, jika saya pergi ke sebuah situs web dan saya tidak ingin orang lain mengetahuinya, sekarang mereka akan tahu karena WPA2 tidak efektif lagi.

Satu hal yang dapat Anda lakukan untuk mengamankan diri adalah menyiapkan koneksi VPN . Anda dapat terhubung ke nirkabel, tetapi hal berikutnya yang harus Anda lakukan adalah mengaktifkan VPN Anda . VPN baik - baik saja karena membuat terowongan terenkripsi melalui WiFi . Ini akan berfungsi sampai enkripsi VPN^{(VPN encryption)} juga diretas dan Anda perlu mencari solusi baru. 🙂.

Di pasar konsumen^{(consumer market)} , beberapa vendor keamanan menggabungkan VPN dengan antivirus dan suite keamanan total mereka. Mereka juga mulai mengedukasi konsumen bahwa tidak cukup lagi memiliki firewall, dan antivirus, Anda juga memerlukan VPN . Apa pendekatan Cisco mengenai keamanan untuk perusahaan? Apakah Anda juga secara aktif mempromosikan VPN sebagai lapisan perlindungan^{(protection layer)} yang diperlukan ?

VPN adalah bagian dari paket kami untuk perusahaan. Dalam keadaan normal, kami tidak berbicara tentang VPN dalam terowongan terenkripsi dan WPA2^{(tunnel and WPA2)} adalah terowongan terenkripsi. Biasanya, karena itu berlebihan dan ada overhead yang harus terjadi di sisi klien^{(client side)} untuk membuat semuanya bekerja dengan baik. Untuk sebagian besar, itu tidak layak. Jika saluran sudah dienkripsi, mengapa mengenkripsi lagi?

Dalam hal ini, ketika Anda tertangkap basah karena protokol keamanan WPA2^{(WPA2 security)} pada dasarnya rusak, kami dapat kembali menggunakan VPN , hingga masalah diperbaiki dengan WPA2 .

Tetapi meskipun demikian, di ruang intelijen^{(intelligence space)} , organisasi keamanan seperti jenis organisasi ^{(Defense type)}Departemen^(Department) Pertahanan , mereka telah melakukan ini selama bertahun-tahun. Mereka mengandalkan VPN , ditambah enkripsi nirkabel dan, sering kali aplikasi di tengah VPN mereka juga dienkripsi, jadi Anda mendapatkan enkripsi tiga arah, semuanya menggunakan berbagai jenis kriptografi. Mereka melakukan itu karena mereka "paranoid" sebagaimana mestinya. :))

Dalam presentasi Anda di Cisco Connect , Anda menyebutkan otomatisasi sebagai hal yang sangat penting dalam keamanan. Apa pendekatan yang Anda rekomendasikan untuk otomatisasi dalam keamanan?

Otomatisasi akan menjadi kebutuhan dengan cepat karena kita, sebagai manusia, tidak dapat bergerak cukup cepat untuk menghentikan pelanggaran dan ancaman keamanan. Seorang pelanggan memiliki 10.000 mesin yang dienkripsi oleh ransomware dalam 10 menit. Tidak mungkin secara manusiawi Anda dapat bereaksi terhadap itu, jadi Anda memerlukan otomatisasi.

Pendekatan^{(approach today)} kami hari ini tidak seberat yang seharusnya, tetapi ketika kami melihat sesuatu yang mencurigakan, perilaku yang tampak seperti pelanggaran, sistem keamanan kami memberi tahu jaringan untuk memasukkan perangkat atau pengguna itu ke karantina. Ini bukan api penyucian; Anda masih dapat melakukan beberapa hal: Anda masih dapat mengakses internet atau mendapatkan data dari server manajemen patch . ^{(patch management)}Anda tidak sepenuhnya terisolasi. Di masa depan, kami mungkin harus mengubah filosofi itu dan mengatakan: setelah Anda dikarantina, Anda tidak memiliki akses apa pun karena Anda terlalu berbahaya bagi organisasi Anda.

Bagaimana Cisco menggunakan otomatisasi dalam portofolio produk keamanannya?

Di area tertentu, kami menggunakan banyak otomatisasi. Misalnya, di Cisco Talos , grup riset ancaman^{(threat research group)} kami , kami mendapatkan data telemetri dari semua widget keamanan kami dan banyak data lainnya dari sumber lain. Grup Talos^{(Talos group)} menggunakan pembelajaran mesin^{(machine learning)} dan kecerdasan buatan untuk memilah jutaan catatan setiap hari. Jika Anda melihat kemanjuran dari waktu ke waktu di semua produk keamanan kami, sungguh menakjubkan, di semua uji kemanjuran pihak ketiga.

Apakah penggunaan serangan DDOS melambat?

Sayangnya, DDOS sebagai metode serangan^{(attack method)} masih hidup dan sehat, dan semakin buruk. Kami telah menemukan bahwa serangan DDOS cenderung ditargetkan pada jenis perusahaan tertentu. Serangan tersebut digunakan baik sebagai umpan dan sebagai senjata serangan^{(attack weapon)} utama . Ada juga dua jenis serangan DDOS : volumetrik dan^{(volumetric and app)} berbasis aplikasi. Volumetrik menjadi tidak terkendali jika Anda melihat angka terbaru tentang berapa banyak data yang dapat mereka hasilkan untuk menjatuhkan seseorang. Ini konyol.

Salah satu jenis korporasi yang menjadi sasaran serangan DDOS adalah korporasi ritel, biasanya pada musim liburan^{(holiday season)} ( Black Friday akan datang!). Jenis perusahaan lain yang menjadi sasaran serangan DDOS adalah perusahaan yang bekerja di area kontroversial, seperti minyak dan gas^{(oil and gas)} . Dalam kasus ini, kita berurusan dengan orang-orang yang memiliki alasan etis dan moral tertentu, yang memutuskan untuk DDOS sebuah organisasi atau lainnya karena mereka tidak setuju dengan apa yang mereka lakukan. Orang-orang seperti itu melakukan ini untuk suatu tujuan, untuk suatu tujuan, dan bukan untuk uang yang terlibat.

Orang-orang membawa ke organisasi mereka tidak hanya perangkat mereka sendiri tetapi juga sistem cloud mereka sendiri ( OneDrive , Google Drive , Dropbox , dll.) Ini mewakili risiko keamanan^{(security risk)} lain untuk organisasi. Bagaimana sistem seperti Cisco Cloudlock menangani masalah ini?

Cloudlock melakukan dua hal mendasar: pertama, memberi Anda audit atas semua layanan cloud yang digunakan. Kami mengintegrasikan Cloudlock dengan produk web kami sehingga semua log web dapat dibaca oleh Cloudlock . Itu akan memberi tahu Anda ke mana semua orang dalam organisasi akan pergi. Jadi Anda tahu bahwa banyak orang menggunakan Dropbox mereka sendiri , misalnya.

Hal kedua yang dilakukan Cloudlock adalah semuanya terbuat dari API yang berkomunikasi dengan layanan cloud. Dengan cara ini, jika pengguna menerbitkan dokumen perusahaan^{(company document)} di Box , Box segera mengatakan ke Cloudlock bahwa dokumen baru telah tiba dan harus melihatnya. Jadi kita akan melihat dokumen tersebut, mengkategorikannya, mengetahui profil risiko^{(risk profile)} dari dokumen tersebut, serta apakah dokumen tersebut telah dibagikan kepada orang lain atau tidak. Berdasarkan hasil, sistem akan menghentikan pembagian dokumen tersebut melalui Box atau mengizinkannya.

Dengan Cloudlock Anda dapat menetapkan aturan seperti: "ini tidak boleh dibagikan dengan siapa pun di luar perusahaan. Jika ya, matikan berbagi." Anda juga dapat melakukan enkripsi sesuai permintaan, berdasarkan kekritisan setiap dokumen. Oleh karena itu, jika pengguna akhir^{(end user)} tidak mengenkripsi dokumen bisnis^{(business document)} penting , saat mempostingnya di Box , Cloudlock akan memaksa enkripsi dokumen itu secara otomatis.

Kami ingin berterima kasih kepada Jamey Heary untuk wawancara ini dan jawaban jujurnya. Jika Anda ingin berhubungan, Anda dapat menemukannya di Twitter^{(on Twitter)} .

Di akhir artikel ini, bagikan pendapat Anda tentang topik yang kita diskusikan, menggunakan opsi komentar yang tersedia di bawah.

Jamey Heary from Cisco: Organizations that work with sensitive information, use encrypted WiFi, VPN, and encrypted apps

On October 18th, we were invited to Cisco Connect 2017. At this event, we met with security expert Jamey Heary. He is a Distinguished Systems Engineer at Cisco Systems where he leads the Global Security Architecture Team. Jamey is a trustеd security advisor and architect for many of Ciscо's largest customers. He is also a book author and a former Network World blogger. We talked with him about security in the modern enterprise, the significant security issues that are impaсting bυsinesses and organizations, and thе latest vulnerabilities that affect all wireless networks and clients (KRACK). Here is what he had to say:

Our audience is composed both of end-users and business users. To get started, and introduce yourself a bit, how would you describe your job at Cisco, in a non-corporate way?

My passion is security. What I strive to do every day is teach my customers and end-users about architecture. For example, I talk about a security product and how it integrates with other products (our own or from third parties). Therefore I deal with system architecture from a security perspective.

In your experience as a security expert, what are the most significant security threats to the modern enterprise?

The big ones are social engineering and ransomware. The latter wreaks devastation in so many companies, and it is going to get worse because there is so much money in it. It is probably the most lucrative thing that malware creators figured out how to do.

We've seen that the focus of the "bad guys" is on the end-user. He or she is the weakest link right now. We have tried as an industry to train people, the media has done a good job at getting the word out on how you could protect yourself better, but still, it is fairly trivial to send somebody a targeted e-mail and get them to take an action you want: click a link, open an attachment, whatever it is that you want.

The other threat is online payments. We are going to continue to see enhancements in the ways companies take payments online but, until the industry implements more secure ways to take payments online, this area is going to be a huge risk factor.

When it comes to security, people are the weakest link and also the primary focus of attacks. How could we cope with this issue, since social engineering is one of the leading security threats?

There is a lot of technology that we can apply. There is only so much you can do for a person, especially in an industry where some people tend to be more helpful than others. For example, in the healthcare industry, people just want to help others. So you send them a malicious e-mail, and they are more likely to click on what you send them than people in other industries, as a police department.

So we have this problem, but we can use technology. One of the things we can do is segmentation, which can drastically reduce the attack surface that is available to any end-user. We call this "zero trust": when a user connects to the company network, the network understands who the user is, what his or her role is in the organization, what applications the user needs to access, it will understand the user's machine and what is the security posture of the machine, to a very detailed level. For example, it can even tell things like the prevalence of an application the user has. Prevalence is something we found effective, and it means how many other people in the world use this application, and how many in a given organization. At Cisco, we do this analysis through hashing: we take a hash of an application, and we have millions of end-points, and they will come back and say: "the prevalence on this app is 0.0001%". Prevalence calculates how much an app is used in the world and then in your organization. Both of these measures can be very good at figuring out if something is very suspect, and whether it deserves to take a closer look at.

You have an interesting series of articles in the Network World about Mobile Device Management (MDM) systems. However, in recent years, this subject seems to be discussed less. Is the industry's interest in such systems slowing down? What is happening, from your perspective?

Few things have happened, one of which is that MDM systems have become fairly saturated in the market. Almost all of my larger customers have one such system in place. The other thing that has happened is that the privacy regulations and the privacy mindset of users have changed such that many people no longer give their personal device (smartphone, tablet, etc.) to their organization and allow an MDM software to get installed. So we have this competition: the enterprise wants to have full access to the devices that are used by their employees so that it can secure itself and the employees have become very resistant to this approach. There is this constant battle between the two sides. We have seen that the prevalence of MDM systems varies from company to company, depending on the company culture and values, and how each organization wants to treat its employees.

Does this affect the adoption of programs like Bring Your Own Device (BYOD) to work?

Yes, it totally does. What is happening, for the most part, is that people that are using their own devices on the corporate network, use them in a very controlled area. Again, segmentation comes into play. If I bring my own device to the corporate network, then maybe I can access the internet, some internal corporate web server, but by no means, I am going to be able to access the database servers, the critical apps of my company or its critical data, from that device. That's something that we do programmatically at Cisco so that the user gets to go where it needs to in the company network but not where the company doesn't want the user to go, from a personal device.

The hottest security issue on everyone's radar is "KRACK" (Key Reinstallation AttaCK), affecting all network clients and equipment using the WPA2 encryption scheme. What is Cisco doing to help their customers with this problem?

It is a huge surprise that one of the things that we relied on for years is now crackable. It reminds us of the issues with SSL, SSH and all the things that we fundamentally believe in. All of them have become "not worthy" of our trust.

For this issue, we identified ten vulnerabilities. Of those ten, nine of them are client-based, so we have to fix the client. One of them is network related. For that one, Cisco is going to release patches. The issues are exclusive to the access point, and we don't have to fix routers and switches.

I was delighted to see that Apple got their fixes in beta code so their client devices will soon be fully patched. Windows already has a patch ready, etc. For Cisco, the road is straightforward: one vulnerability on our access points and we are going to release patches and fixes.

Until everything gets fixed, what would you recommend your customers do to protect themselves?

In some cases, you don't need to do anything, because sometimes encryption is used inside encryption. For example, if I go to my bank's website, it uses TLS or SSL for communications security, which isn't affected by this issue. So, even if I am going through a wide-open WiFi, like the one at Starbucks, it doesn't matter as much. Where this issue with WPA2 comes more into play is on the privacy side. For example, if I go to a website and I don't want others to know that, now they are going to know because WPA2 is not effective anymore.

One thing you can do to secure yourself is set up VPN connections. You can connect to wireless, but the next thing you have to do is turn on your VPN. The VPN is just fine because it creates an encrypted tunnel going through the WiFi. It will work until the VPN encryption gets hacked too and you need to figure out a new solution. 🙂

On the consumer market, some security vendors are bundling VPN with their antivirus and total security suites. They are also starting to educate consumers that it is no longer enough to have a firewall, and an antivirus, you also need a VPN. What is Cisco's approach regarding security for the enterprise? Do you also actively promote VPN as a necessary protection layer?

VPN is part of our packages for the enterprise. In normal circumstances, we don't talk about VPN within an encrypted tunnel and WPA2 is an encrypted tunnel. Usually, because it is overkill and there is overhead that has to happen on the client side to make it all work well. For the most part, it is not worth it. If the channel is already encrypted, why encrypt it again?

In this case, when you are caught with your pants down because the WPA2 security protocol is fundamentally broken, we can fall back on VPN, until the issues get fixed with WPA2.

But having said that, in the intelligence space, security organizations like a Department of Defense type of organization, they've been doing this for years. They rely on VPN, plus wireless encryption and, a lot of times the applications in the middle of their VPN are also encrypted, so you get a three-way encryption, all using different types of cryptography. They do that because they are "paranoid" as they should be. :))

In your presentation at Cisco Connect, you mentioned automation as being very important in security. What is your recommended approach for automation in security?

Automation will become a requirement quickly because we, as humans, we can't move fast enough to stop security breaches and threats. A customer had 10.000 machines encrypted by ransomware in 10 minutes. There is no way humanly possible that you can react to that, so you need automation.

Our approach today is not as heavy-handed as it might have to become but, when we see something suspicious, behavior that seems like a breach, our security systems tell the network to put that device or that user into quarantine. This isn't purgatory; you can still do some stuff: you can still go to the internet or get data from the patch management servers. You are not totally isolated. In the future, we might have to change that philosophy and say: once you are quarantined, you don't have any access because you are too dangerous for your organization.

How is Cisco using automation in its portfolio of security products?

In certain areas, we use a lot of automation. For example, in Cisco Talos, our threat research group, we get telemetry data from all our security widgets and a ton of other data from other sources. The Talos group uses machine learning and artificial intelligence to sort through millions of records every single day. If you look at the efficacy over time in all of our security products, it is amazing, in all the third-party efficacy tests.

Is the use of DDOS attacks slowing down?

Unfortunately, DDOS as an attack method is alive and well, and it is getting worse. We have found that DDOS attacks tend to be targeted towards certain types of corporations. Such attacks are used both as a decoy and as the primary attack weapon. There are also two types of DDOS attacks: volumetric and app based. The volumetric has gotten out of control if you look at the latest numbers of how much data they can generate to take somebody down. It is ridiculous.

One type of corporations that are targeted by DDOS attacks is those in retail, usually during the holiday season (Black Friday is coming!). The other kind of companies that get targeted by DDOS attacks is those that work in controversial areas, like oil and gas. In this case, we are dealing with people who have a particular ethical and moral cause, who decide to DDOS an organization or another because they don't agree with what they are doing. Such people do this for a cause, for a purpose, and not for the money involved.

People bring into their organizations not only their own devices but also their own cloud systems (OneDrive, Google Drive, Dropbox, etc.) This represents another security risk for organizations. How is a system like Cisco Cloudlock dealing with this issue?

Cloudlock does two fundamental things: first, it is giving you an audit of all the cloud services that are being used. We integrate Cloudlock with our web products so that all the web logs can be read by Cloudlock. That will tell you where everybody in the organization is going. So you know that a lot of people are using their own Dropbox, for example.

The second thing that Cloudlock does is that it is all made of API's that communicate with cloud services. This way, if a user published a company document on Box, Box immediately says to Cloudlock that a new document has arrived and it should take a look at it. So we will look at the document, categorize it, figure out the risk profile of the document, as well as has it been shared with others or not. Based on the results, the system will either stop the sharing of that document through Box or allow it.

With Cloudlock you can set rules like: "this should never be shared with anyone outside the company. If it is, turn the sharing off." You can also do encryption on demand, based on the criticality of each document. Therefore, if the end user did not encrypt a critical business document, when posting it on Box, Cloudlock will force the encryption of that document automatically.

We would like to thank Jamey Heary for this interview and his candid answers. If you want to get in touch, you can find him on Twitter.

At the end of this article, share your opinion about the subjects that we discussed, using the commenting options available below.

Related posts

• 8 langkah untuk memaksimalkan keamanan router ASUS Anda atau ASUS Lyra mesh WiFi

• Keamanan siber melalui pendidikan: Simulasi Perlindungan Interaktif Kaspersky

• Iklan PowerLinks membahayakan jutaan pembaca, dari publikasi besar seperti The Verge, Vice News, dan lainnya

• Penghargaan - Produk antivirus paling populer tahun 2017

• Apa yang baru di Pembaruan Windows 10 November 2019?

• Keamanan untuk semua orang - Meninjau F-Secure Freedome VPN

• Penghargaan: Produk antivirus paling populer tahun 2018

• Keamanan untuk semua orang - Bagaimana kami meninjau produk keamanan

• Keamanan untuk semua orang - Meninjau Kaspersky Secure Connection VPN

• 4 aplikasi yang membantu Anda mendiagnosis kesehatan perangkat Android Anda

• Tentang InPrivate and Incognito. Apa private browsing? Which browser adalah yang terbaik?

• 9 kriteria penting untuk digunakan saat memilih perangkat lunak antivirus Anda

• 12+ alasan mengapa Anda harus mendapatkan Pembaruan Windows 10 April 2018

• 8 hal yang dapat Anda lakukan dengan ESET EndPoint Encryption (DESlock+)

• Apa yang aman Mode?

• Apakah ReadyBoost Berfungsi? Apakah Ini Meningkatkan Kinerja untuk PC yang Lebih Lambat?

• Keamanan untuk semua orang - Meninjau VPN TunnelBear 3 untuk Windows

• 3 Alasan mengapa memasukkan kode QR di Windows 10 BSOD adalah ide yang buruk

• Windows 11 SUCKS: 7 Alasan mengapa Anda mungkin tidak menyukainya

• Apa yang baru di Pembaruan Windows 10 Mei 2019? 13 fitur baru!