Symantec-Sicherheit: Legen Sie niemals einen Hacker an

Und wie die meisten seiner Kollegen in der Branche, macht er sich Sorgen um den Grad der Raffinesse des nächsten Sicherheitsangriffs und schaut, was sein Team tun muss, um die schlimmsten abzuwehren.

Aber der Unterschied ist, dass Mather für Symantec arbeitet. Als Chief Information Security Officer in einem Unternehmen für seine Antivirus-Produkte bekannt, steht er vor Herausforderungen, die besonders auf seine Rolle.

In einem Interview mit Asien, Mather zeigt, dass seine Firma wird mit einer Flut von Hacking-Angriffe überschwemmt, nur weil, was es ist. Einige dieser Versuche haben “ziemlich nah” bekommen, sagt er.

Er spricht auch darüber, wie er diese Herausforderungen bewältigt, warum er niemals ehemalige Hacker einstellen würde und warum die heutigen zahlreichen Compliance-Regulierungen der Sicherheit zugute kommen.

Mather: Ich habe Verantwortung für die Sicherheit unserer internen Netzwerke, aller unserer Extranets und unserer Partnerschaftsverbindungen. Ich habe die Verantwortung für die Sicherheit von Symantec, einem Unternehmen, das davon abhängig ist. Weil wir ein Security-Unternehmen sind, betreiben wir unsere Sicherheitsinfrastruktur auf Basis unserer eigenen Produkte. Mein Team wird schwer mit Beta-Tests und der tatsächlichen Bereitstellung dieser Produkte beteiligt.

Und weil wir wer sind, bekommen wir durchschnittlich 20 bis 30 Anregungen, Vorschläge oder Vorschläge – egal, wie Sie es nennen möchten – von Unternehmen auf wöchentlicher Basis, die uns bitten, ihr Unternehmen, ihre Technologie und so weiter zu kaufen. Nachdem die Geschäftsentwicklung Leute einen ersten Blick an ihm gehabt haben, werde ich innen genannt, um zu sehen, wenn ich die Technologie als Kunde kaufen würde. Was interessant ist, ist, dass ich viele kleine Unternehmen sehen kann, woran sie arbeiten. Viele von ihnen sind sehr klein und sehr neue Unternehmen. Einige von ihnen haben sehr modernste Technologie.

Eine weitere Komponente ist im Hinblick auf die Einhaltung von Audits, insbesondere die Sicherheit. So ist mein Team an der Spitze der Sicherheit, der Standards, der Architektur, der Politik und auf einer begrenzten Basis, einige betriebliche Aspekte der Produktprüfung und Audit-Compliance. Dazu gehört auch die Einhaltung gesetzlicher Vorschriften, so dass Sarbanes-Oxley unter die Verantwortung der IT-Abteilung fällt. Das ist ein großer Abfluss meiner Zeit.

Die Buchhaltungsskandale bei den Enrons und WorldComs führten zu Regelungen wie dem Sarbanes-Oxley Act (SOX). Neben Symantec ist die Einhaltung von Vorschriften auch für andere Unternehmen ein wichtiger Schwerpunkt in Sachen Sicherheit? Mather: Absolut. Die Einhaltung von Vorschriften ist zu einem großen Thema geworden. Es ist eine enorme Investition in Zeit und Ressourcen (in Bezug auf die Menschen), und die Kosten sind nicht unbedeutend. Sarbanes-Oxley für Symantec allein ist eine achtstellige Summe. Es ist eine Investition im Wert von mehreren Millionen Dollar.

Die Frage habe ich mit Vorschriften, während sie gut beabsichtigt sind, ist, dass Sie eine wahre Verbreitung von ihnen haben. Sie sind vom Sein eine gute Idee zum Sein eine Ablenkung gegangen, zu, was es jetzt ist, das eine Ablenkung auf Sicherheit ist. Die schiere Anzahl von ihnen ist tatsächlich schwächen Unternehmen, von denen viele müssen die Einhaltung mehrerer Vorschriften Compliance-Richtlinien. Das ist eine große Belastung für Unternehmen.

Was also wirklich passieren muss, ist eine Harmonisierung dieser Anforderungen … Sehr selten arbeiten die Unternehmen an einem Standort. Wie viele Banken hier in Singapur nicht nur nach den Vorschriften der örtlichen Währungsbehörden, sondern auch nach Übersee, die Basel II, SOX in den USA unterliegen, und voraussichtlich den Anforderungen der EU-Richtlinie über die Datenschutzrichtlinie, wenn sie tätig sind, nicht nachkommen müssen in Europa? Wie viele verschiedene Regime sind sie ausgesetzt?

Sicherstellen, dass Enron, WorldCom und all diese anderen nicht wieder passieren, ist eine sehr gute Sache. Aber es gibt einen besseren Weg, dies zu tun.

Gibt es Richtlinien für Symantec, die sich von anderen Unternehmen unterscheiden, die nicht sicher sind? Mather: Nein, so weit wie scopewise, ich bin sicher, wir sind sehr ähnlich zu anderen Unternehmen. Was die Granularität anbetrifft, sind wir wahrscheinlich weit fester als andere Unternehmen, denn Sicherheit ist unser Geschäft. Die Möglichkeit eines Zwischenfalls für uns ist viel gravierender als für andere Unternehmen. Eine Sicherheitsverletzung für jemanden in der Einzelhandelsbranche hat wahrscheinlich nicht die gleiche Bedeutung, wie es für Symantec und die Schäden an unserer Marke und die Schäden, die sie tun würde, um unsere Kunden, die bereit sind, uns zu vertrauen haben.

Heißt das, dass du nachts nicht schläfst? Mather: Nein, ich schlafe nachts. Es bedeutet nur, ich habe viel zu denken, bevor ich schlafen gehe.

Ist Automatisierung helfen, die Sorgen zu verringern ?, Mather: Absolut. Wo immer möglich, wollen wir automatisieren, und wir automatisieren. Es geht darum, wie Sie all diese Automatisierung koordinieren, insbesondere im Hinblick auf die Berichterstattung und die Korrelation der Ereignisse. Aber wenn Sie eine Gelegenheit haben, wollen Sie immer zu automatisieren für ein paar Gründe.

Die Leute machen gerne freie Tage, wie Wochenenden und Nächte. Oder sie krank werden gelegentlich oder sie gehen auf Urlaub manchmal. Das ist gut, aber wenn Sie versuchen, Konsistenz zu gewährleisten, müssen Sie immer noch in der Lage, laufen (das Netzwerk sicher) unabhängig. Und lassen Sie uns nicht kid selbst … wann denken Sie, dass die meisten elektronischen Einbrüche bei Firmen auftreten? Nächte und Wochenenden, natürlich.

Automatisierung ist eine gute Sache, nicht nur wegen des Timings, sondern auch um sicherzustellen, dass Sie konsistent in Ihrer Prüfung und Kontrollen sind. Hat mein Stockholmer Büro die gleichen Konfigurationen wie das, was wir hier in Singapur setzen? Haben die Leute an den beiden Standorten verstehen, Englisch in dem Maße, dass sie tatsächlich verstehen (wie Sie durchführen), die meisten Unternehmen heute nicht einmal wissen, wer in ihrem Netzwerk und kann nicht sagen, Sie mit Sicherheit, wenn dieser Benutzer sein sollte Auf dem System, gleiche Konfigurationen und Einstellungen? Und wenn ich sage, um Mitternacht GMT laufen, was bedeutet das für alle? Wen zog ich um 3 Uhr morgens gegen die Bürozeiten eines anderen an?

Security, FBI verhaftet angebliche Mitglieder von Crackas mit Attitude für Hacking US gov’t Beamten, Security, WordPress fordert die Nutzer zu aktualisieren Jetzt kritische Sicherheitslücken zu beheben

So gibt es eine Reihe von Gründen, warum Sie automatisieren möchten. Es ist effizienter, es ist konsequenter, und daher ist die Integrität der Tests viel höher.

Gibt es Bereiche, die Sie einfach nicht wohl fühlen Automatisierung? Mather: Zwei gemeinsame Bereiche in der Regel kommen. Eines davon ist die Automatisierung der Patching von Servern. Die technische Leistungsfähigkeit besteht. Das Problem ist, mit Servern, vor allem diejenigen, die geschäftskritische Anwendungen, können Sie vertrauen, dass Sie in der Lage, Patch ohne tatsächlich brechen Ihre Anwendung? Und für die meisten Unternehmen leider die Antwort darauf ist immer noch “nein”. In der Tat wird es wahrscheinlich “nein” für eine Weile sein. So ist es immer noch ein Fall der manuellen Prüfung der Patch zuerst und dann rollen sie aus.

Ein weiterer Bereich, wo es noch eine Zurückhaltung zu automatisieren ist im Hinblick auf die Antwort. Meine Firewall und IDS (Intrusion Detection System) haben einen Angriff erkannt. Vertraue ich darauf, dass es diesen Angriff ordnungsgemäß klassifiziert oder kategorisiert hat und es nicht stattdessen legitimen Verkehr ausschaltet? War es ein falsch positiv?

Jeder spricht über falsche Negative, aber die Leute achten nicht auf falsche Positives, mit einer Ausnahme davon, und das ist Spam. Falsche Positives werden auch ein Problem für die Menschen. Sie können legitimen Verkehr nehmen und falsch klassifizieren, dass als Angriff.

Eines der Probleme mit Sicherheitspolitik ist, dass sie hart sein können, um durchzusetzen. Wie setzen Sie dann ein System um, das sozusagen durchgesetzt wird? Zum Beispiel Werkzeuge, die Geräte für die neuesten Patches scannen, bevor sie Zugriff auf das Netzwerk erhalten. Können sie das helfen? Mather: Noch niemand ist da. Wenn Sie zu einer Analogie führen, die Cisco Systems mit NAC (Network Admission Control) oder Microsoft mit Quarantäne hat, sind diese auf dem richtigen Weg. Wir sind ein Teilnehmer in Cisco’s NAC. Wir teilen dieses Ziel und arbeiten mit Cisco und anderen Anbietern zusammen, um diese Realität zu verwirklichen.

Welche Werkzeuge wie das zunächst tun wird, ist eine große Verbesserung gegenüber dem, was wir heute haben. Aber um ehrlich zu sein, aus meiner Sicht, es ist immer noch begrenzt. Idealerweise würden wir viel weiter gehen. Zunächst einmal müssen Sie eine Möglichkeit haben, alle Arten von Geräten über das Netzwerk zu erkennen. Aus grundsätzlichen Infrastrukturgründen ist das heute nicht immer möglich. Wenn Sie dies tun können, wenn Sie alle Geräte erkennen können, die verbinden, dann müssen Sie zwei andere Dinge zu tun.

Nr. 1: universelle Authentifizierung und Autorisierung haben. Die meisten Unternehmen heute noch nicht einmal wissen, wer in ihrem Netzwerk und kann nicht sagen, Sie mit einer Sicherheit – geschweige denn können sie bestimmen – wenn dieser Benutzer auf diesem System sein sollte. Das ist sehr schwer zu tun.

Zweitens müssen Sie den Zustand des Gerätes bestimmen. Das sind hohe Befehle. Und denken Sie daran, wir reden nicht nur über Desktops und Laptops. Heute sprechen wir über PDAs und Handys. Im nächsten Jahr werden wir wahrscheinlich reden über meine Uhr Authentifizierung in das Netzwerk. Der Formfaktor wird sich ändern. Und diese laufen auf, wie viele Betriebssysteme, die Verbindung über, wie viele verschiedene Medien?

Zero-Day-Attacken scheinen immer näher zu werden, eine Realität. Wie sollen wir das ansprechen? Mather: Oh, das ist sehr real. Und es ist nicht nur die Tatsache, dass ein Angriff aus ist, und es gibt keinen Patch dafür. Es ist die Tatsache, dass die Exploit bereits existiert, und niemand weiß, die Anfälligkeit war da.

Wenn Sie den Bedrohungslebenszyklus hier betrachten, gibt es zwei Zeitverzögerungen. Erstens, die Zeit, wenn eine Schwachstelle entdeckt wird und ein Patch zur Verfügung gestellt. Zweitens, die Zeit, in der die Schwachstelle entdeckt wird – die möglicherweise nicht die gleiche ist wie die Zeit, die sie öffentlich angekündigt hat -, wenn der Exploit verfügbar ist. Und das ist der, der schrumpft. Eine Zero-Day-Exploit ist die Exploit kommt, bevor die Anfälligkeit ist sogar angekündigt.

Es war einmal so, dass der Patch den Exploit bezwang. Die Zeitdifferenz zwischen den beiden ist wesentlich geschrumpft. Und jetzt in vielen Fällen haben Sie Glück, wenn der Patch tatsächlich schlägt die Exploit, geschweige denn die Zeit, die es braucht, um die Patch-Anwendung, die in einem Unternehmen kann beträchtlich sein.

Persönlich, was sind Sie am meisten Sorgen über? Nicht wissen, was alle Schwachstellen sind, oder nicht in der Lage, mit einem Patch kommen, bevor der Exploit zur Verfügung steht? Mather: Nein, meine Sorge ist eigentlich etwas anderes. Meine Sorge ist, dass es einen anspruchsvollen Angriff gibt, der verschiedene Angriffsmethoden kombiniert. Denken Sie daran, dass wir, die Sicherheitsexperten, seit Jahren gepredigt haben Verteidigung in der Tiefe. Und die ganze Idee von dem ist, Zeit zu kaufen, damit, wenn etwas durch eine Schicht Verteidigung erhält, Sie an dieser Stelle nicht völlig weit geöffnet sind. Etwas anderes verlangsamt es oder stoppt es, um Ihnen Zeit zu kaufen, bis Sie vielleicht einen Patch anwenden können, zum Beispiel.

Aber wenn Sie einen Kombinations-Angriff, einen ein-zwei-Punsch, erhalten, die effektiv durch Ihre Verteidigung, dann Ihr Unternehmen gerade bekam KOed (ausgeklopft). Das ist meine Sorge. Es braucht etwas Raffinesse zu tun, einige Koordination, um tatsächlich so etwas wie weg zu ziehen. Aber das kommt.

Nehmen Sie zum Beispiel Würmer, die nicht mehr einfach als Würmer verwendet werden. Sie werden jetzt verwendet, um in SMTP-Engines zu verbreiten, die dann verwendet werden, um Spam zu senden. Denken Sie für einen Moment darüber nach. Diese Idee, dass Hacker haben sich selbst reformiert – ich kaufe es nicht, nicht im geringsten, verwendet, um Mail-Engines für Spam-Zwecke zu verbreiten … es ist irgendwie interessant, ehrlich zu sein – zu schlecht, es ist illegal.

In einer perversen Weise, es tatsächlich zeigt eine Art von Business-Sinn von den Hackern. Wenn ich ein Spammer bin, muss ich mich nicht mehr darum kümmern, ein Hotmail-Konto zu öffnen und 10 Millionen E-Mails durch dieses Konto zu stauen, bevor Microsoft mich herunterschaltet. Jetzt kann ich zu einem Hacker gehen, ihn zu einem Virus zu schreiben, dass 15.000 Systeme weltweit kompromittiert und verwenden Sie jedes dieser kompromittierten Systemen zu senden 1000 E-Mails eine Stunde pro Tag. Nicht nur das, weil es kompromittiert ist und ich es jetzt besitze oder es vom Virenschreiber bezahle, kann ich es immer wieder benutzen. Das ist ein perfektes Beispiel für die Erhöhung der Raffinesse bei Angriffen.

Mather: Ich mache mir Sorgen, weil ich nicht weiß, was ich nicht weiß, aber ich weiß nicht, was ich weiß. Ich bin auch besorgt, weil, aufgrund der Stuhl, dass ich sitzen, wir sind ganz das Ziel. Wir bekommen riesige Mengen an elektronischen Trash geworfen bei uns, nur weil, wer wir sind.

Wie viel Mülleimer würde das genau sein? Mather: Beim letzten Mal habe ich aufgehört, bei 2.001 (Angriffe pro Tag) zu zählen. Heute sind nicht alle sehr anspruchsvoll. Viele dieser, ganz ehrlich, sind ziemlich ungebildet, vermutlich von einigen so genannten Skriptkiddies, die ein Skript an uns abfeuern. Aber es ist genug für die Protokolle und Sensoren, um es aufzuzeichnen, und genug, um dort eine Warnung drauf zu sein. Es ist nicht so sehr, dass ich zu handeln, aber es ist mehr als nur ein Ereignis.

Aber einige von ihnen, wir sahen und dachten: “Wow, das ist interessant. Dieser Typ kam ziemlich nah. Denken Sie darüber nach, was passiert wäre, wenn dies geändert wurde … das hätte wahrscheinlich geholfen. ” Das wird beängstigend.

Und manchmal sehen Sie es nicht wieder, weil sie nicht erkennen, wie nah sie sind. Andere Male, es zeigt sich wieder. Wir können sehen, dass dies geschieht, und es ist nicht nur uns, verschiedene andere Sensing-Netzwerke da draußen auch sehen, dass. Virus-Autoren versuchen, eine Version eines Virus und legte es da draußen. Auf den ersten Versuch, könnte es nicht überall gehen und verbreiten sich sehr schnell. Drei Wochen später ist es wieder als neue und verbesserte Version und eine, die sich ausbreitet. Sie haben ein Problem korrigiert, und sie werden immer besser. Das ist kein ungewöhnliches Szenario überhaupt.

Was haben Sie im Sinn, die diese sogenannten Kombinationsangriffe verhindern könnten? Ist Bewusstsein die beste Verteidigung? Mather: Bewusstsein ist eins, aber Verteidigung in der Tiefe ist, was Sie tun müssen.

So wirklich, wie Sie nachts schlafen? Mather: Nun, es gibt nur so viel können Sie tun.

Werden Sie Hacker zu Ihrem Team beitreten? Weißt du, also kannst du sie von der Straße abholen? Mather: Nein, absolut nicht, absolut nicht. Würde nicht einmal berühren sie mit einem 10-Fuß-pole.

Du glaubst nicht, dass du sie ändern kannst? Mather: Nein, auch nicht. Es könnte nicht weniger Pflege. Geh einfach hier raus. Nicht einmal die klugen … nicht einmal mit ihnen reden. Das ist nicht die Art von Menschen, die wir wollen. Und diese Idee, dass sie sich selbst reformiert haben – ich kaufe es nicht, nicht im Geringsten.

Hacker werden Hacker? Mather: Ja, ich denke schon, ja. Es gibt nicht viele gute Talente da draußen, aber ehrlich, ich finde keinen Grund, diese Leute einzustellen. Es gibt Talent, wenn Sie es suchen, obwohl es teuer sein kann manchmal, weil, um ehrlich zu sein, es ist nicht genug, um zu gehen.

Eileen Yu aus Asien berichtete aus Singapur.

Umdenken Sicherheit Grundlagen: Wie über die FUD zu bewegen

? M2M Markt springt zurück in Brasilien

FBI verhaftet angebliche Mitglieder von Crackas mit Haltung für das Hacken US gov’t Beamte

WordPress fordert Benutzer auf jetzt zu aktualisieren kritische Sicherheitslücken zu aktualisieren