Почти год Джон Стюарт проработал CSO (Chief
Security Officer) в компании Cisco. Под его началом
команда из 60 человек, профессионалов
компьютерной безопасности, отвечающих за
построений ИТ архитектуры, политику
безопасности, аудит и расследование инцидентов.
Они ответственны за защиту 48.000 работников
компании во всем мире. Сегодня предлагаем
вам беседу с этим человеком.
Какие проблемы сейчас стоят перед
службой безопасности Cisco?
За последние полтора года мы начали
регистрировать усиливающиеся атаки против
нашей сети. Особенно они заметны по концам
квартала, кто-то пытается придушить нашу
систему электронной торговли DoS атаками.
Это действительно открыло нам глаза.
Как вы справляетесь с такими атаками?
Мы используем Cisco Riverhead, сейчас уже Cisco Guard,
так как мы купили компанию, для
блокирования атак. К тому же у нас хорошие
отношения с провайдерами - At&T, MCI, Sprint - так
что у нас достаточная полоса пропускания.
Мы работаем с ними в случае возникновения
атак над их эффективной фильтрацией.
Безопасность это управления ситуацией в
случае ее возникновения.
Как ваша команда взаимодействует с
остальной Cisco?
В случае внутренних ИТ проектов это
стандартное общение между руководством и
ИТ персоналом плюс нас часто используют как
советников.
Какие не-Cisco продукты и сервисы вы
используете?
У нас антивирусы McAfee, Symantec и Trend Micro. Мы
хотим тестировать технологии, которые
работают с нашими продуктами. Мы
обеспечиваем идентификацию и управление
паролями, аудит доступа. Один из продуктов
это CA Netegrity, где нами с партнерами созданы
комплексные наборы правил. У нас так же
используется платформа Qualys для
сканирования уязвимостей и Arbor Peakflow для
слежения за отклонениями в сети и вне ее.
Работа CSO подразумевает написание
политик безопасности. Работаете ли вы с
юридическим департаментом над этим?
Да, у Cisco есть внутренние и внешние
эксперты по разным областям мира, скажем
таким как Европа или Азия. Когда мы пишем
политику мы хотим легкого ее прохождения
так как она принимается каждый год. Нет
никакого контроля Сети. Мы ожидаем что наши
работники делают правильные вещи.
Около двух лет назад у Cisco украли
исходники IOS. Как продвигается
расследование?
Я не могу обсуждать этот случай. Мы
продолжаем работу с органами.
А что вы думаете об обнаружении утечки
данных (термин extrusion detection применяется в
противовес intrusion detection), мониторинге
исходящих соединений с чувствительным
содержанием?
Это интересно и мы экспериментируем с
этим. Есть вещь которую мы разработали в
наших дата-центрах для использования теми
кто пишет код. Каждый видит лишь то, что ему
нужно и над чем он работает, нечто вроде
старой технологии X Windows. Можно ли по прежнем
сделать скриншот? Да. Можно ли его записать?
Да. Но система не позволяет передавать
файлы. Мы разработали эту систему на основе ClearCase View Server
и виртуальной сетевой работы с десктопом.
Cisco определяет правила для своих
внутренних нужд, а как вы взаимодействуете
с партнерами которые работают через
Интернет или в онлайне?
Если это аутсорсинг разработок или
производства мы контрактом обговариваем
условия для обеих сторон. Мы определяем
список условий, например вид соединений
между компаниями. Мы перечисляем список
спецификаций для хоста и сервера. Было бы
нечестно если бы мы диктовали технологии.
Но соглашение предусматривает проведение
аудита безопасности под надзором Cisco.
Большинство времени аутсорсинговые
компании проводят аудит сами, а мы -
наблюдаем за ним. Во многих странах по всему
миру бизнес-партнерам мы даем инженерные
данные, необходимые для их работы. И мы же
обеспечиваем управление идентификацией и
паролями, наблюдением за доступом.