约翰斯图尔特不会像你典型的公司高管那样说话。他表示,他的公司思科系统在安全方面很幸运,他的公司的自卫网络营销推动已经在其产品上形成了一个“大公牛”。但是,斯图尔特再次拥有更多重要的事情要担心。作为首席安全官,他是负责指导思科企业和业务部门安全实践的人员。这意味着只要思科产品存在重要的安全漏洞,或者黑客击中了Cisco.com网站,他就会接到电话。他的方式是,他的工作是在他被迫处理他所谓的“燃烧平台”之前帮助锁定思科的产品 - 这是对互联网上使用最广泛的路由器的严重缺陷或攻击。
也许思科需要像斯图尔特这样的人来避开其他主要科技公司在安全方面犯下的错误。以微软为例。微软首先对安全研究人员和评论家抱有敌意的态度,但是这种反作用并帮助强化了公司忽视安全漏洞而不是试图修复安全漏洞的印象。微软最终扭转了局面,但直到声誉遭受重创。[
] [更多阅读:媒体流和备份的最佳NAS机箱]
斯图尔特说,思科一直“有点幸运”,因为它没有发生重大安全事件,但他没有把任何事情视为理所当然。他邀请IDG新闻服务部门前往加利福尼亚州圣何塞办公室,讨论思科威胁形势。
IDG新闻服务:思科在Black Hat 2005中受到了很多关注。三年后,你的事情会发生什么?
John Stewart:部分原因是所有关注的原因在三年前我们在黑帽子上被描绘出来是因为我们制造了一场暴风雪,坦率地说,各种各样的复杂问题,感觉像思科一样压制了沟通和研究。
我认为我们做了一些愚蠢的事情,比如试图把精灵放回瓶子里,这是你不能做的。我们试图以正确的理由去做:保护知识产权和我们的客户。但是它是如何完全横向发展的。
而且,在许多方面,我们都是匿名的。这是“思科的一位发言人。”我们隐藏在一个匿名背景之下,我认为它真的欺骗了一切。
这就是为什么我个人曾经以铂金级别赞助过黑帽。因为我认为我们有一些可以去做的事情,“看,我们不好,那不是做这件事的方法。”
IDGNS:你为什么认为思科的研究干得像这样?
斯图尔特:有几个原因。首先,很多这不是远程开发,而且任何社区的研究都是关于“你如何远程执行?”。 IRM的[信息风险管理]研究,塞巴斯蒂安的[Muniz,核心安全技术研究员]研究,在一定程度上,迈克尔林恩的研究虽然有一个微小的偏远变体,但它不是稳定的远程。这就是真正的游戏所在。
你必须找出一种方法,让它不用在控制台上。这就是大部分开发工作的原因:无论如何,至少对于思科来说,你如何在控制台上做到这一点
第二件事是,你希望它能够工作。你并没有试图将它淘汰,因为你需要网络,所以你可以到达终点。所以我认为我们得到了一个通行证,因为没有人想要使用他们正在使用的基础设施。这就像在试图去一个不同的城市时搞砸高速公路一样。这是一件愚蠢的事情。
IDGNS:微软一直非常公开他们如何改变公司的安全优先级。思科的故事是什么?安全计划是如何建立的?
斯图尔特:我们可能在同一个空间。许多公司,包括我们自己的公司,都是先从事建设工作,解决沟通问题,然后再考虑通信后的安全。大约五年前,我们一直在与公司,我的团队作斗争。主要在信息安全业务。我们是“不”的组织,象牙塔。这是一个危险的地方,因为我认为我们应该成为咨询履行机构,而不是裁决机构。“所以我们改变了很多,我们开始注入东西,比如”你将会在你的专业知识我们甚至不会处于中间位置,这样,您就可以将所需的专业知识投入到您所需要的内容中,而我们不会阻止您或让您进入更慢的位置。“
第二件事 - - 这是不容小觑的 - 我们是否在2002年准备推出自卫网络,它像 - 或者把它当作口号讨厌 - 实际上是对我们前额的一个大大的盯防。
IDGNS:像Oracle的坚不可摧的Linux一样吗?
Stewart:事实上,Mary Ann Davidson在甲骨文给我写了一封便条,并说:“非常感谢你提出一个口号,以减轻我们所做的压力” [笑]好像我和这个消息有什么关系。
然后,第三,我们确实有一个足迹增长。我们在越来越多的地方使用,并坦率地认为我们从来没有想过我们会被用于。我们正在过渡医疗保健通讯,我们正在为军队过渡站点间通信。我们正在做所有这些20年前我们并没有考虑过的事情。
IDGNS:你们是否采取了类似于采用安全开发生命周期或改变产品制造方式的方式?
Stewart :我们在这方面还不成熟。我们处于尴尬的青少年阶段。我们正在开发过程的最后阶段进行测试,我们正在从这些数据中找出如何进入定义过程。无论如何,现在都有一些定义。因此,例如,我们构建的每个产品都有一些基准要求。但是,我仍然认为有很多东西需要学习。当你认为自己做得对,并且构建它并对其进行测试时,测试中的知识应该有益于你构建的下一个东西。
我们还没有像Microsoft那样采用安全的开发生命周期。我们没有以一种非常一致的方法衡量的方式在所有产品线上平等地对待,这就是为什么我说我们处于这个尴尬的青少年阶段。