Jamey Heary من Cisco: المؤسسات التي تتعامل مع المعلومات الحساسة وتستخدم WiFi المشفرة و VPN والتطبيقات المشفرة

في 18 أكتوبر(October 18th) ، تمت دعوتنا إلى Cisco Connect 2017 . في هذا الحدث ، التقينا بالخبير الأمني (security expert) ​​جمي هيري(Jamey Heary) . وهو مهندس أنظمة(Systems Engineer) متميز في Cisco Systems حيث يقود فريق هندسة الأمن العالمي(Global Security Architecture Team) . يعد جامع (Jamey)مستشارًا ومهندسًا أمنيًا(security advisor and architect) موثوقًا للعديد من أكبر عملاء Cisco . وهو أيضًا مؤلف كتاب(book author) ومدون سابق في Network World(Network World blogger). تحدثنا معه حول الأمان في المؤسسة الحديثة ، وقضايا الأمان المهمة التي تؤثر على الشركات والمؤسسات ، وأحدث نقاط الضعف التي تؤثر على جميع الشبكات اللاسلكية والعملاء ( KRACK ). هذا ما كان يجب عليه قوله:

يتكون جمهورنا من المستخدمين النهائيين والمستخدمين التجاريين. للبدء ، وتقديم نفسك قليلاً ، كيف تصف وظيفتك في Cisco بطريقة غير متعلقة بالشركات؟

شغفي هو الأمن. ما أسعى للقيام به كل يوم هو تعليم عملائي والمستخدمين النهائيين حول الهندسة المعمارية. على سبيل المثال ، أتحدث عن منتج أمان(security product) وكيف يتكامل مع منتجات أخرى (خاصة بنا أو من جهات خارجية). لذلك أنا أتعامل مع بنية النظام(system architecture) من منظور أمني(security perspective) .

جامي هيري ، سيسكو

في تجربتك كخبير أمني(security expert) ، ما هي أهم التهديدات الأمنية للمؤسسة الحديثة؟

أكبرها هي الهندسة الاجتماعية وبرامج الفدية(engineering and ransomware) . يتسبب هذا الأخير في إحداث دمار في العديد من الشركات ، وسيزداد الأمر سوءًا نظرًا لوجود الكثير من الأموال فيه. ربما يكون هذا هو الشيء الأكثر ربحًا الذي توصل إليه منشئو البرامج الضارة.

لقد رأينا أن تركيز "الأشرار" ينصب على المستخدم النهائي. هو أو هي الحلقة الأضعف في الوقت الحالي. لقد حاولنا كصناعة لتدريب الناس ، لقد قامت وسائل الإعلام بعمل جيد في نشر الخبر حول كيفية حماية نفسك بشكل أفضل ، ولكن مع ذلك ، من التافه إلى حد ما إرسال بريد إلكتروني إلى شخص ما وجعله يأخذها الإجراء الذي تريده: انقر فوق ارتباط ، وافتح مرفقًا ، أيًا كان ما تريده.

التهديد الآخر هو المدفوعات عبر الإنترنت. سنستمر في رؤية التحسينات في الطرق التي تتخذ بها الشركات المدفوعات عبر الإنترنت ، ولكن حتى تنفذ الصناعة طرقًا أكثر أمانًا لتلقي المدفوعات عبر الإنترنت ، ستكون هذه المنطقة عامل مخاطرة(risk factor) كبير .

عندما يتعلق الأمر بالأمن ، فإن الأشخاص هم الحلقة الأضعف وأيضًا التركيز الأساسي للهجمات. كيف يمكننا التعامل مع هذه المشكلة ، حيث أن الهندسة الاجتماعية هي واحدة من التهديدات الأمنية الرئيسية؟

هناك الكثير من التكنولوجيا التي يمكننا تطبيقها. لا يوجد سوى الكثير الذي يمكنك القيام به لشخص ما ، خاصة في مجال يميل فيه بعض الأشخاص إلى أن يكونوا أكثر فائدة من غيرهم. على سبيل المثال ، في صناعة الرعاية الصحية(healthcare industry) ، يريد الناس فقط مساعدة الآخرين. لذا فأنت ترسل إليهم بريدًا إلكترونيًا ضارًا ، ومن المرجح أن ينقروا على ما ترسله إليهم أكثر من الأشخاص في الصناعات الأخرى ، كقسم شرطة(police department) .

إذن لدينا هذه المشكلة ، لكن يمكننا استخدام التكنولوجيا. أحد الأشياء التي يمكننا القيام بها هو التجزئة ، والتي يمكن أن تقلل بشكل كبير من سطح الهجوم(attack surface) المتاح لأي مستخدم نهائي. نحن نطلق على هذا " عدم الثقة(zero trust) ": عندما يتصل المستخدم بشبكة الشركة(company network) ، تفهم الشبكة من هو المستخدم ، وما هو دوره في المؤسسة ، والتطبيقات التي يحتاج المستخدم للوصول إليها ، وسوف تفهم جهاز المستخدم و ما هو الوضع الأمني(security posture) ​​للآلة ، إلى مستوى مفصل للغاية. على سبيل المثال ، يمكنه حتى أن يخبرنا بأشياء مثل انتشار تطبيق لدى المستخدم. الانتشار(Prevalence) هو شيء وجدنا أنه فعال ، ويعني عدد الأشخاص الآخرين في العالم الذين يستخدمونه(world use)هذا التطبيق ، وكم في منظمة معينة. في Cisco ، نقوم بإجراء هذا التحليل من خلال التجزئة: نأخذ تجزئة لتطبيق ما ، ولدينا الملايين من نقاط النهاية ، وسوف يعودون ويقولون: "معدل الانتشار على هذا التطبيق هو 0.0001٪". يحسب معدل الانتشار(Prevalence) مقدار استخدام التطبيق في العالم ثم في مؤسستك. يمكن أن يكون كلا الإجراءين جيدًا جدًا في معرفة ما إذا كان هناك شيء مشكوك فيه للغاية ، وما إذا كان يستحق إلقاء نظرة فاحصة عليه.

لديك سلسلة مقالات مثيرة للاهتمام في Network World حول أنظمة إدارة الأجهزة المحمولة(Mobile Device Management) ( MDM ). ومع ذلك ، في السنوات الأخيرة ، يبدو أن هذا الموضوع قد تمت مناقشته بشكل أقل. هل يتباطأ اهتمام الصناعة بمثل هذه الأنظمة؟ ما الذي يحدث من وجهة نظرك؟

حدثت أشياء قليلة ، أحدها أن أنظمة MDM أصبحت مشبعة إلى حد ما في السوق. تقريبًا(Almost) لدى جميع عملائي الكبار نظام واحد من هذا القبيل. الشيء الآخر الذي حدث هو أن لوائح الخصوصية وعقلية الخصوصية(privacy mindset) للمستخدمين قد تغيرت بحيث لم يعد الكثير من الناس يقدمون أجهزتهم الشخصية (الهاتف الذكي أو الجهاز اللوحي ، إلخ) لمؤسستهم ويسمحون بتثبيت برنامج MDM . (MDM software)إذن لدينا هذه المنافسة: تريد المؤسسة الوصول الكامل إلى الأجهزة التي يستخدمها موظفوها حتى تتمكن من تأمين نفسها وأصبح الموظفون يقاومون هذا النهج بشدة. هناك معركة مستمرة بين الجانبين. لقد رأينا أن انتشارتختلف أنظمة MDM(MDM) من شركة إلى أخرى ، اعتمادًا على ثقافة الشركة وقيمها(company culture and values) ، وكيف تريد كل مؤسسة معاملة موظفيها.

هل يؤثر ذلك على اعتماد برامج مثل إحضار (Bring)جهازك(BYOD) الخاص ( BYOD(Device) ) للعمل؟

نعم ، هذا صحيح تمامًا. ما يحدث ، في الغالب ، هو أن الأشخاص الذين يستخدمون أجهزتهم الخاصة على شبكة الشركة ، يستخدمونها في منطقة خاضعة لسيطرة شديدة. مرة أخرى(Again) ، يأتي دور التجزئة. إذا أحضرت جهازي الخاص إلى شبكة الشركة ، فربما يمكنني الوصول إلى الإنترنت ، وبعض خادم الويب(web server) الداخلي للشركة ، ولكن بأي حال من الأحوال ، سأكون قادرًا على الوصول إلى خوادم قاعدة البيانات ، أو التطبيقات الهامة لشركتي أو الخاصة بها البيانات الهامة ، من هذا الجهاز. هذا شيء نقوم به برمجيًا في Cisco حتى يتمكن المستخدم من الذهاب إلى حيث يحتاج إليه في شبكة الشركة(company network) ولكن ليس إلى حيث لا تريد الشركة أن يذهب المستخدم ، من جهاز شخصي.

أهم مشكلة أمنية(security issue) على رادار الجميع هي " KRACK " ( إعادة تثبيت المفتاح AttaCK(Key Reinstallation AttaCK) ) ، والتي تؤثر على جميع عملاء الشبكة والأجهزة التي تستخدم نظام تشفير WPA2(WPA2 encryption) . ما الذي تفعله Cisco لمساعدة عملائها في حل هذه المشكلة؟

إنها مفاجأة كبيرة أن أحد الأشياء التي اعتمدنا عليها لسنوات أصبح قابلاً للتصدع الآن. إنه يذكرنا بالمشكلات المتعلقة بـ SSL و SSH وجميع الأشياء التي نؤمن بها بشكل أساسي. أصبحت جميعها "لا تستحق" ثقتنا.

بالنسبة لهذه المشكلة ، حددنا عشر نقاط ضعف. من بين هؤلاء العشرة ، تسعة منهم تعتمد على العميل ، لذلك علينا إصلاح العميل. واحد منهم مرتبط بالشبكة. لذلك ، ستصدر Cisco تصحيحات. المشكلات خاصة بنقطة الوصول(access point) ، ولا يتعين علينا إصلاح أجهزة التوجيه والمحولات.

لقد سررت برؤية Apple حصلت على إصلاحاتها في التعليمات البرمجية التجريبية(beta code) ، لذا سيتم تصحيح أجهزتها العميلة بالكامل قريبًا. Windows لديه بالفعل تصحيح جاهز(patch ready) ، إلخ. بالنسبة لشركة Cisco(Cisco) ، الطريق مباشر: ثغرة واحدة في نقاط الوصول الخاصة بنا وسنقوم بإصدار تصحيحات وإصلاحات.

حتى يتم إصلاح كل شيء ، ما الذي تنصح عملاءك بفعله لحماية أنفسهم؟

في بعض الحالات ، لا تحتاج إلى فعل أي شيء ، لأنه في بعض الأحيان يتم استخدام التشفير داخل التشفير. على سبيل المثال ، إذا انتقلت إلى موقع الويب الخاص بالمصرف الذي أتعامل معه ، فإنه يستخدم TLS أو SSL(TLS or SSL) لأمان الاتصالات ، والذي لا يتأثر بهذه المشكلة. لذا ، حتى لو كنت أتصفح شبكة WiFi مفتوحة على مصراعيها ، مثل تلك الموجودة في Starbucks ، فلا يهم كثيرًا. حيث يأتي دور هذه المشكلة مع WPA2 في جانب الخصوصية(privacy side) . على سبيل المثال ، إذا ذهبت إلى موقع ويب ولا أريد أن يعرف الآخرون ذلك ، فسيعرفون الآن لأن WPA2 لم يعد فعالاً بعد الآن.

شيء واحد يمكنك القيام به لتأمين نفسك هو إعداد اتصالات VPN . يمكنك الاتصال بشبكة لاسلكية ، ولكن الشيء التالي الذي عليك فعله هو تشغيل VPN الخاص بك . شبكة VPN جيدة لأنها تنشئ نفقًا مشفرًا يمر عبر WiFi . ستعمل حتى يتم اختراق تشفير VPN(VPN encryption) أيضًا وتحتاج إلى اكتشاف حل جديد. 🙂

في السوق الاستهلاكية(consumer market) ، يقوم بعض بائعي خدمات الأمن بتجميع VPN مع برامج مكافحة الفيروسات ومجموعات الحماية الكاملة. لقد بدأوا أيضًا في توعية المستهلكين بأنه لم يعد كافيًا أن يكون لديك جدار حماية ، ومكافحة فيروسات ، فأنت بحاجة أيضًا إلى VPN . ما هو نهج Cisco فيما يتعلق بأمان المؤسسة؟ هل تقوم أيضًا بترويج VPN بشكل نشط (VPN)كطبقة حماية(protection layer) ضرورية ؟

تعد VPN(VPN) جزءًا من حزمنا للمؤسسات. في الظروف العادية ، لا نتحدث عن VPN داخل نفق مشفر و WPA2(tunnel and WPA2) نفق مشفر. عادة ، لأنه مبالغة وهناك عبء يجب أن يحدث من جانب العميل(client side) لجعل كل شيء يعمل بشكل جيد. بالنسبة للجزء الأكبر ، لا يستحق كل هذا العناء. إذا كانت القناة مشفرة بالفعل ، فلماذا يتم تشفيرها مرة أخرى؟

في هذه الحالة ، عندما تعلق بسروالك بسبب تعطل بروتوكول أمان WPA2(WPA2 security) بشكل أساسي ، يمكننا الرجوع إلى VPN ، حتى يتم إصلاح المشكلات باستخدام WPA2 .

لكن بعد قولي هذا ، في مجال الاستخبارات(intelligence space) ، المنظمات الأمنية مثل نوع وزارة الدفاع (Defense type)،(Department) كانوا يفعلون ذلك منذ سنوات. يعتمدون على VPN ، بالإضافة إلى التشفير اللاسلكي ، وفي كثير من الأحيان تكون التطبيقات الموجودة في منتصف VPN الخاصة(VPN) بهم مشفرة أيضًا ، لذلك تحصل على تشفير ثلاثي ، وكل ذلك باستخدام أنواع مختلفة من التشفير. يفعلون ذلك لأنهم "بجنون العظمة" كما ينبغي. :))

في عرضك التقديمي في Cisco Connect ، ذكرت الأتمتة باعتبارها مهمة جدًا في الأمان. ما هو نهجك الموصى به للأتمتة في الأمن؟

ستصبح الأتمتة مطلبًا سريعًا لأننا ، كبشر ، لا يمكننا التحرك بسرعة كافية لوقف الانتهاكات والتهديدات الأمنية. كان لدى العميل 10.000 جهاز تم تشفيرها بواسطة برامج الفدية الضارة في 10 دقائق. لا توجد وسيلة بشرية يمكنك من خلالها الرد على ذلك ، لذا فأنت بحاجة إلى الأتمتة.

نهجنا اليوم(approach today) ليس ثقيلًا كما يجب أن يصبح ، ولكن عندما نرى شيئًا مريبًا ، سلوك يبدو وكأنه خرق ، فإن أنظمة الأمان لدينا تطلب من الشبكة وضع هذا الجهاز أو هذا المستخدم في الحجر الصحي. هذا ليس مطهر. لا يزال بإمكانك القيام ببعض الأشياء: لا يزال بإمكانك الذهاب إلى الإنترنت أو الحصول على البيانات من خوادم إدارة التصحيح . (patch management)أنت لست معزولا تماما. في المستقبل ، قد نضطر إلى تغيير هذه الفلسفة ونقول: بمجرد أن يتم عزلك ، لن يكون لديك أي وصول لأنك تشكل خطرًا كبيرًا على مؤسستك.

كيف تستخدم Cisco الأتمتة في محفظتها من منتجات الأمان؟

في مناطق معينة ، نستخدم الكثير من الأتمتة. على سبيل المثال ، في Cisco Talos ، مجموعة أبحاث التهديدات(threat research group) الخاصة بنا ، نحصل على بيانات القياس عن بُعد من جميع أدوات الأمان لدينا والعديد من البيانات الأخرى من مصادر أخرى. تستخدم مجموعة Talos(Talos group) التعلم الآلي(machine learning) والذكاء الاصطناعي لفرز ملايين السجلات كل يوم. إذا نظرت إلى الفعالية بمرور الوقت في جميع منتجاتنا الأمنية ، فهذا أمر مذهل ، في جميع اختبارات فعالية الجهات الخارجية.

هل يتباطأ استخدام هجمات DDOS ؟

لسوء الحظ ، فإن DDOS كطريقة هجوم(attack method) ما زالت حية وبصحة جيدة ، وهي تزداد سوءًا. لقد وجدنا أن هجمات DDOS تميل إلى أن تكون موجهة نحو أنواع معينة من الشركات. يتم استخدام مثل هذه الهجمات كشراك وكسلاح هجوم(attack weapon) أساسي . يوجد أيضًا نوعان من هجمات DDOS : الحجمي والتطبيقات(volumetric and app) المعتمدة. لقد خرج الحجم عن نطاق السيطرة إذا نظرت إلى أحدث الأرقام لمقدار البيانات التي يمكن أن تولدها لإنزال شخص ما. أنه أمر مثير للسخرية.

أحد أنواع الشركات التي تستهدفها هجمات DDOS هو تلك الموجودة في البيع بالتجزئة ، عادةً خلال موسم العطلات(holiday season) ( الجمعة السوداء(Black Friday) قادمة!). النوع الآخر من الشركات التي تستهدفها هجمات DDOS هي تلك التي تعمل في مجالات مثيرة للجدل ، مثل النفط والغاز(oil and gas) . في هذه الحالة ، نحن نتعامل مع أشخاص لديهم أسباب أخلاقية ومعنوية معينة ، والذين يقررون DDOS منظمة أو أخرى لأنهم لا يتفقون مع ما يفعلونه. يفعل هؤلاء الأشخاص هذا من أجل سبب ، ولغرض ، وليس من أجل المال الذي ينطوي عليه الأمر.

لا يجلب الأشخاص إلى مؤسساتهم أجهزتهم الخاصة فحسب ، بل أيضًا أنظمتهم السحابية ( OneDrive و Google Drive و Dropbox وما إلى ذلك) وهذا يمثل خطرًا أمنيًا(security risk) آخر للمؤسسات. كيف يتعامل نظام مثل Cisco Cloudlock مع هذه المشكلة؟

يقوم Cloudlock بأمرين(Cloudlock) أساسيين: أولاً ، يمنحك تدقيقًا لجميع الخدمات السحابية التي يتم استخدامها. نقوم بدمج Cloudlock مع منتجات الويب الخاصة بنا بحيث يمكن قراءة جميع سجلات الويب بواسطة Cloudlock . سيخبرك هذا إلى أين يتجه الجميع في المنظمة. لذا فأنت تعلم أن الكثير من الأشخاص يستخدمون Dropbox الخاص بهم ، على سبيل المثال.

الشيء الثاني الذي يقوم به Cloudlock هو أنه مصنوع بالكامل من API التي تتواصل مع الخدمات السحابية. بهذه الطريقة ، إذا نشر مستخدم مستند شركة(company document) على Box ، فإن Box يقول على الفور لـ Cloudlock أن مستندًا جديدًا قد وصل وأنه يجب أن يلقي نظرة عليه. لذلك سننظر في المستند ، ونصنفه ، ونكتشف ملف تعريف مخاطر(risk profile) المستند ، وكذلك هل تمت مشاركته مع آخرين أم لا. بناءً على النتائج ، سيوقف النظام مشاركة ذلك المستند من خلال Box أو يسمح به.

باستخدام Cloudlock ، يمكنك تعيين قواعد مثل: "لا ينبغي أبدًا مشاركة هذا مع أي شخص خارج الشركة. إذا كان الأمر كذلك ، فقم بإيقاف تشغيل المشاركة." يمكنك أيضًا إجراء التشفير عند الطلب ، بناءً على مدى أهمية كل مستند. لذلك ، إذا لم يقم المستخدم النهائي(end user) بتشفير مستند عمل(business document) مهم ، عند نشره على Box ، فإن Cloudlock سيفرض(Cloudlock) تشفير ذلك المستند تلقائيًا.

 

نود أن نشكر Jamey Heary على هذه المقابلة وإجاباته الصريحة. إذا كنت ترغب في التواصل معه ، فيمكنك العثور عليه على Twitter(on Twitter) .

في نهاية هذه المقالة ، شارك برأيك حول الموضوعات التي ناقشناها ، باستخدام خيارات التعليق المتاحة أدناه.



رغد السهلي

About the author

أنا مبرمج كمبيوتر منذ أكثر من 15 عامًا. تكمن مهاراتي في تطوير التطبيقات البرمجية وصيانتها ، فضلاً عن تقديم الدعم الفني لتلك التطبيقات. لقد قمت أيضًا بتدريس برمجة الكمبيوتر لطلاب المدارس الثانوية ، وأنا حاليًا مدرس محترف.


Related posts