第二回 コメント欄���YouTuber�当�るゲーム�色々��ん���】 -
John Stewartは、あなたの典型的な企業の役員のように話しません。シスコシステムズは、セキュリティに関しては幸運なことに、自社の自己防衛型ネットワークマーケティングプッシュは、自社の製品に大きな邪眼を描いていることを幸運にも伝えていると述べています。
心配する重要なこと。最高セキュリティ責任者として、彼はシスコの企業およびビジネスユニットのセキュリティ実務を指揮する責任者です。つまり、シスコの製品に重大なセキュリティバグがある場合や、ハッカーがCisco.comのWebサイトにアクセスした場合にはいつでも電話を受けることができます。シスコの製品をロックダウンする前に、自分が「燃えているプラットフォーム」と呼ばれるものに対処する前に、シスコの製品をロックすることが彼の仕事です。インターネット上で最も広く使われているルータに対する深刻な欠陥や攻撃です。
シスコでは、他の主要技術企業がセキュリティに関して行った間違いを明確にするために、Stewartのような人が必要です。例えば、マイクロソフトを取る。マイクロソフトは最初セキュリティー研究者や批評家に対して敵対的な態度を取ったが、それは逆行し、セキュリティバグを修正しようとするよりもセキュリティバグを無視していたという印象を強める助けとなった。マイクロソフトは結局のところ、その過程を逆転させたが、その評判が深刻な打撃を受けるまでではなかった。
小規模で、シスコは同様の逆転を行った。同社は2005年に、シスコルータで不正なシェルコードソフトウェアを実行する方法を示した後、研究者のマイク・リン氏を訴えてハッカーたちを怒らせた。
しかし、Ciscoのハッキングの新しい時代を迎えるのではなく、マイク・リンのエピソードは収差シスコの調査は今後数年間は静かです。
シスコは、セキュリティが大幅に強化されていないという点で「少し運が良かった」と述べていますが、何も取っていません。彼はIDG News Serviceをカリフォルニア州サンノゼのオフィスに招待し、シスコの脅威の風景について語りました。
IDGのニュースサービス:ブラックハット2005でシスコの注目を集めました.3年後のあなたの取り組みは?
John Stewart:すべての注目の理由の一部3年前にブラックハットで私たちに描かれたのは、シスコがコミュニケーションと研究を抑制していたような、あらゆる種類の複雑な問題を率直に爆発させたからです。
あなたがすることはできません、ボトルに戻ってジネイを入れてください。正しい理由で知的財産と顧客を保護するために、私たちはそれをしようとしていました。しかし、それがどうやって出てきたかは、完全に横向きになりました。そして、多くの点で匿名で行っています。それは「シスコの広報担当者」でした。
これが私が個人的にブラックハットをプラチナレベルで後援した理由です。
IDGNS:シスコの研究はなぜそれほど乾燥したと思われるのですか?
IDGNSは、スチュワート:いくつかの理由があります。第一に、これは遠隔地からの搾取ではなく、どのコミュニティでもどのような研究が行われているかは、「遠隔地ではどうしますか?」ということです。 IRMの[情報リスク管理]の研究、セバスチャンの[Muniz、Core Security Technologiesの研究者]の研究、そしてある程度、マイケル・リンの研究では、わずかなリモート・バリアントがあったが、リモートでは安定していない。そしてそれが実際のゲームがある場所です。
あなたはコンソールにいなくてもそれを入手する方法を見つけなければなりません。そして、これは開発の大部分であり、コンソールではどうしていますか。少なくともシスコの場合は、とにかくです。
そしてもう一つは、動作させたいということです。エンドポイントに到達できるようにネットワークが必要なので、ノックアウトしようとしていません。だから私は、誰も彼らが使用しているインフラストラクチャーでサルを望んでいないので、我々は合格を得ると思う。それは、あなたが別の都市に行くことを試みている間、高速道路を台無しにするようなものです。それはやりたいことのようなものです。
IDGNS:マイクロソフトは、セキュリティを優先させるために会社をどのように変更したかについて非常に知らされています。シスコの話は何ですか?セキュリティプログラムはどのように構築されましたか?
Stewart:おそらく同じ場所にいました。私たちを含む多くの企業は、最初にコミュニケーションの問題を解決した後、通信の安全性について考え始めました。
約5年前、私たちはチームと戦っていました。主に情報セキュリティ事業に従事。私たちは象牙の塔である「いいえ」組織でした。それは危険な場所です。なぜなら、私たちの取り組みは、裁定人ではなく、司法判断者ではなく、相談の充足の腕でなければならないからです。
私たちは多くのことを変えて、 "あなたに専門知識を持つ私たちはあなたが必要とするものに対して専門知識を投資することができ、あなたを抱きしめたり、あなたをより遅い立場に導くことはできません」。
- それは過小評価することはできません - 私たちは2002年に自衛隊のネットワークを立ち上げる準備を整えていました。それはスローガンのように、あるいはそれをスローガンとして嫌うことは、効果的には額に大きな目を向けることです。
IDGNS:オラクルの壊れやすいLinuxと同様?
スチュワート:オレゴン州のメアリー・アン・デイヴィッドソンが、私がメモを落として、「私たちがやったことから圧力をかけるスローガンを考えてくれてありがとう」と言いました。 [笑い]私は発表とは何か関係があるかのように。
そして、第三に、実際に足跡が成長した。私たちはますます多くの場所で慣れてきました。そして、率直に言って私たちは私たちが使用されることは想像もできなかったと考えています。私たちはヘルスケアのコミュニケーションを変えており、軍のサイト間通信を移行しています。
IDGNS:安全な開発ライフサイクルを採用したり、製品の作り方を変えたりしましたか?
Stewart私たちはこれで成熟していません。私たちは厄介な十代の段階にあります。私たちは開発プロセスの終わりにテストを行っており、そのデータから定義プロセスにどのように後退しているのかを把握しています。とにかくいくつかの定義が起こります。たとえば、私たちが構築したすべての製品のベースライン要件がいくつかあります。しかし、私はまだ学ぶべきことがたくさんあると言います。
Microsoftは、まだマイクロソフトのような安全な開発ライフサイクルを採用していないのです。私たちは、すべての製品ラインに均等に組織的に測定可能な方法で均等に釘付けにされていません。そのため、私たちはその厄介な十代の段階にいると言います。