CSO dit que la sécurité de Cisco grandit

John Stewart ne parle pas comme votre dirigeant d'entreprise typique. Il a dit que son entreprise, Cisco Systems, a eu de la chance en matière de sécurité et que le marketing de Self-Defending Network de son entreprise a fait «un gros coup de tonnerre» sur ses produits.

Mais Stewart a encore plus des choses importantes à s'inquiéter. En tant que chef de la sécurité, il est responsable de la direction des pratiques de sécurité des entreprises et des unités commerciales de Cisco. Cela signifie qu'il reçoit l'appel chaque fois qu'il y a un bogue de sécurité important dans les produits de Cisco ou si les pirates informatiques accèdent au site Web de Cisco.com. Selon lui, c'est son travail d'aider à verrouiller les produits de Cisco avant qu'il ne soit obligé de faire face à ce qu'il appelle "la plate-forme de gravure" - une sérieuse faille ou attaque contre les routeurs les plus utilisés sur Internet. Cisco a besoin de quelqu'un comme Stewart, pour se tenir à l'écart des erreurs que d'autres grandes entreprises technologiques ont faites en matière de sécurité. Prenez Microsoft, par exemple. Microsoft a d'abord adopté une attitude hostile vis-à-vis des chercheurs et des critiques en matière de sécurité, mais cela a eu l'effet inverse et a aidé à donner l'impression que l'entreprise ignorait les bogues de sécurité plutôt que d'essayer de les résoudre. Microsoft a finalement inversé son cours, mais pas avant que sa réputation ne soit sérieusement atteinte.

[Plus d'informations: Les meilleures boîtes NAS pour le streaming et la sauvegarde des médias]

Cisco a opéré un revirement similaire. L'entreprise a irrité les pirates informatiques en 2005 en intentant une action contre le chercheur Mike Lynn après avoir montré comment il était possible d'exécuter un logiciel shellcode non autorisé sur un routeur Cisco.

Mais au lieu de lancer une nouvelle ère de piratage, une aberration. La recherche de Cisco était calme pour les prochaines années.

Stewart a déclaré que Cisco avait eu «un peu de chance» en ce sens qu'il n'avait pas connu de flambées de sécurité majeures, mais il ne prend rien pour acquis. Il a invité IDG News Service à son bureau de San Jose, en Californie, pour parler du paysage des menaces de Cisco. Voici une transcription révisée de l'interview.

Service de nouvelles d'IDG: Cisco a attiré beaucoup d'attention à Black Hat 2005. Quelle est votre opinion sur les choses, trois ans plus tard?

John Stewart: Une partie de la raison Il y a trois ans, Black Hat nous a peinturé parce que nous avions créé un véritable fléau, franchement toutes sortes de problèmes compliqués, qui donnait l'impression que Cisco supprimait la communication et la recherche.

Je pense que nous avons fait des bêtises, par exemple Remets le génie dans la bouteille, ce que tu ne peux pas faire. Nous essayions de le faire pour les bonnes raisons: la protection de la propriété intellectuelle et de nos clients. Mais la façon dont cela s'est déroulé a complètement échoué.

Et, à bien des égards, nous l'avons fait anonymement. C'était "un porte-parole de Cisco". Nous nous sommes cachés derrière un contexte d'anonymat, ce qui, je pense, a vraiment tout gâché.

C'est pourquoi j'ai personnellement sponsorisé Black Hat au niveau platine depuis. Parce que je pense que nous avions une expiation à faire et à faire, "Regardez, notre mauvais.C'était pas la façon de le faire."

IDGNS: Pourquoi pensez-vous que la recherche de Cisco s'est tari comme elle?

Stewart: Il y a plusieurs raisons. Premièrement, une grande partie de ce phénomène n'est pas une exploitation à distance, et une grande partie de ce que la recherche concerne dans n'importe quelle communauté est: «Comment le faites-vous à distance? La recherche de l'IRM [Information Risk Management], la recherche de Sebastian [Muniz, un chercheur avec Core Security Technologies], et dans une certaine mesure, la recherche de Michael Lynn, bien qu'elle ait une légère variante distante, n'est pas stable à distance. Et c'est là que se trouve le véritable jeu.

Vous devez trouver un moyen de l'intégrer sans être sur la console. Et c'est ce que la plupart des développements ont été autour: comment le faites-vous sur la console - au moins pour Cisco, de toute façon.

Et la deuxième chose est, vous voulez que cela fonctionne. Vous n'essayez pas de l'éliminer parce que vous avez besoin du réseau pour pouvoir atteindre le point final. Donc, je pense que nous obtenons en quelque sorte un laissez-passer parce que personne ne veut singe avec l'infrastructure qu'ils utilisent. C'est comme visser l'autoroute pendant que vous essayez d'aller dans une autre ville. C'est une sorte de truc loufoque à faire.

IDGNS: Microsoft a été très public sur la façon dont ils ont changé l'entreprise pour faire de la sécurité une priorité. Quelle est l'histoire de Cisco? Comment s'est déroulé le programme de sécurité?

Stewart: Nous étions probablement dans le même espace. De nombreuses entreprises, y compris la nôtre, ont commencé par construire d'abord des solutions qui ont permis de résoudre les problèmes de communication, puis de réfléchir à la sécurité des communications.

Il y a cinq ans, nous combattions l'entreprise, mon équipe. Surtout dans le secteur de la sécurité de l'information. Nous étions le "non", la tour d'ivoire. C'est un endroit dangereux parce que je crois que nous devrions être un organe consultatif d'exécution et non un arbitre.

Nous avons donc beaucoup changé et nous avons commencé à injecter des choses, par exemple: «Vous allez avoir de l'expertise dans votre domaine. Nous n'allons pas être au milieu, de sorte que vous pouvez investir l'expertise pour ce dont vous avez besoin et nous ne vous soutenons pas ou vous ralentir. "

La deuxième chose - - on ne peut pas le sous-estimer - est-ce que nous nous préparions en 2002 à lancer des réseaux autodéfensifs qui - comme lui ou comme un slogan - sont effectivement un gros coup de tonnerre sur le front.

IDGNS: Comme Linux incassable d'Oracle? Stewart: En fait, Mary Ann Davidson chez Oracle m'a laissé une note et m'a dit: "Merci beaucoup d'avoir trouvé un slogan qui enlève la pression sur ce que nous avons fait" [rires] comme si j'avais quelque chose à voir avec l'annonce.

Et puis troisièmement, nous avons vraiment eu une empreinte de pas grandissante. Nous nous sommes habitués dans de plus en plus d'endroits, et franchement pour penser que nous n'avons jamais imaginé que nous serions utilisés pour. Nous sommes en train de faire la transition vers les communications sur les soins de santé, nous faisons la transition des communications de site à site pour les militaires. Nous faisons toutes ces choses extravagantes auxquelles nous n'avions pas pensé à l'époque il y a 20 ans.

IDGNS: Avez-vous fait quelque chose comme un cycle de développement sécurisé ou avez-vous changé la façon dont vous construisiez les produits?

Stewart: Nous ne sommes pas mûrs dans ce domaine. Nous sommes dans la phase adolescente maladroite. Nous testons à la fin du processus de développement et nous déterminons à partir de ces données comment revenir en arrière dans le processus de définition. Maintenant, une définition arrive de toute façon. Ainsi, par exemple, il existe des exigences de base pour chaque produit que nous avons construit. Cependant, je dis toujours qu'il y a beaucoup à apprendre. Quand vous pensez que vous avez raison et que vous le construisez et que vous le testez, les leçons tirées du test devraient bénéficier à la prochaine chose que vous construisez.

Nous n'avons pas encore adopté un cycle de développement sécurisé comme Microsoft. Nous n'avons pas réussi à égaliser de façon méthodique et cohérente toutes les lignes de produits, et c'est pourquoi je dis que nous sommes dans cette phase adolescente difficile.