Cisco CSO: Enterprise Security and the Global Value Chain (CxOTalk #356)
Ali onda opet, Stewart ima više važne stvari za brigu. Kao glavni časnik za sigurnost, on je čovjek odgovoran za usmjeravanje sigurnosnih praksi Cisco korporativnih i poslovnih jedinica. To znači da dobiva poziv svaki put kada postoji važna sigurnosna greška u Ciscovim proizvodima ili ako hakeri trebaju pogoditi Cisco.com web stranicu. Način na koji ga stavlja, njegov je posao pomoći pri zaključavanju Ciscovih proizvoda prije nego što je prisiljen suočiti se s onim što on naziva "gorućom platformom" - ozbiljnim nedostatkom ili napadom najčešće korištenih usmjerivača na Internetu.
Možda Cisco treba nekoga poput Stewarta, kako bi izbjegao pogreške koje su druge važne tehnološke tvrtke učinile za sigurnost. Uzmi primjerice Microsoft. Microsoft je prvo ušao u neprijateljski stav prema istraživačima i kritikima sigurnosti, ali to je potisnulo i pomoglo da utječe na dojam da je tvrtka ignorirala sigurnosne greške umjesto da ih pokušava popraviti. Microsoft je naposljetku preokrenuo svoj put, ali ne sve dok njegov ugled nije ozbiljno pogodio.
[Daljnje čitanje: Najbolji NAS kutije za streaming i backup medija]
Stewart je izjavio da je Cisco "malo sretan" po tome što nije imao velike sigurnosne procese, ali ne uzima ništa zdravo za gotovo. Pozvao je IDG News Service svom San Joseu u Kaliforniji kako bi razgovarao o Ciscovoj prijetnji.
IDG News Service: Cisco je dobio puno pozornosti u Black Hatu 2005. Kakva je vaša odluka o stvarima, tri godine kasnije?
John Stewart: Dio razloga sve pažnje je naslikao na nas u Black Hatu prije tri godine zato što smo stvorili žestoku, iskreno svu vrstu složenih problema, koji su se osjećali kao da Cisco suzbija komunikaciju i istraživanja. Mislim da smo se složno činili neke gluposti, poput pokušaja stavite natrag u bočicu, što ne možete učiniti. Pokušavali smo to učiniti iz pravih razloga: zaštita intelektualnog vlasništva i naših kupaca. Ali kako se to dogodilo, potpuno je otišao na stranu.
I, u mnogo čemu, učinili smo to anonimno. Bio je to "glasnogovornik tvrtke Cisco". Nekako smo se sakrili iza jednog anonimnog konteksta, za koji mislim da je doista sve glupo.
Zato sam osobno sponzorirala Black Hat na platinskoj razini od tada. Jer mislim da smo imali neko pomirenje da radimo i idemo: "Gledajte, naše loše, to nije način da to učinimo."
IDGNS: Zašto mislite da se Cisco istraživanja suši kao da je to učinio?
Stewart: Postoji nekoliko razloga. Prvo je, puno toga nije daljnja eksploatacija, a mnogo toga o čemu se radi u nekoj zajednici jest "Kako to raditi na daljinu?" Istraživanje IRM-a [Sebastian's [Muniz, istraživač s Core Security Technologies], i do određenog stupnja, istraživanje Michaela Lynna, iako je imalo laganu daljinsku varijantu, nije stabilno udaljeno. I to je stvarna igra.
Morate shvatiti način da ga dobijete bez da se nalazite na konzoli. I to je ono što je većina razvoja bila oko: kako to učiniti na konzoli - barem za Ciscu.
A druga stvar je da želite da to radi. Ne pokušavate ga ukloniti jer vam je potrebna mreža tako da možete doći do krajnje točke. Stoga mislim da imamo nekakav prolazak jer nitko ne želi majmun s infrastrukturom koju koriste. To je kao da zavaravate autocestu dok pokušavate otići u drugi grad. To je vrsta glupo učiniti.
IDGNS: Microsoft je bio vrlo javan o tome kako su promijenili tvrtku kako bi sigurnost bila prioritet. Koja je priča na Ciscu? Kako je izgrađen sigurnosni program?
Stewart: Vjerojatno smo bili u istom prostoru. Mnoge tvrtke, uključujući i naše, počele su s gradnjom stvari koje su prve riješile probleme komunikacije i zatim razmišljajući o sigurnosti komunikacija nakon toga.
Prije pet godina bili smo u borbi s tvrtkom, timom. Uglavnom u poslovima informacijske sigurnosti. Bili smo organizacija "ne", toranj slonovače. To je opasno mjesto jer trebam biti savjetodavna ruka za ispunjavanje, a ne sudac.
Zato smo ga puno promijenili i počeli smo ubrizgavati stvari kao što je: "Imat ćete stručnost u svojem nećemo biti ni u sredini pa na taj način možete uložiti stručnost za ono što vam je potrebno i nećemo vas držati ili spuštati. "
Druga stvar - - to se ne može podcijeniti - jesmo li se pripremili 2002. godine kako bi pokrenuli samoobrane mreže koje, kao što to zanima ili mrzimo kao slogan, učinkovito predstavljaju veliko smeće na našem čelu.
IDGNS: Kao Oracleov neraskidivi Linux? Stewart: Zapravo, Mary Ann Davidson, preko Oraclea, odbacio je poruku i rekao: "Hvala vam što ste došli s sloganom koji podnosi pritisak od onoga što smo učinili" [smijeh] kao da imam nikakve veze s najavom.
A onda treće, doista smo imali stopu rasta. Upotrijebili smo se na sve više mjesta i iskreno se mislimo da nikada nismo zamišljali da bi nam se koristili. Prebacujemo komunikaciju za zdravstvenu zaštitu, prebacujemo komunikaciju web-lokacije za vojsku. Radimo sve te divlje stvari koje prije 20 godina nismo razmišljali u to vrijeme.
IDGNS: Jeste li učinili nešto poput usvajanja sigurnog životnog ciklusa razvoja ili promijenili način na koji ste izgradili proizvode?
Stewart: Nismo zreli u ovome. U nesretnoj smo tinejdžerskoj fazi. Testiramo na kraju procesa razvoja i od tih podataka otkrivamo kako se ide natrag u proces definiranja. Sada se ipak dogodi neka definicija. Na primjer, postoje osnovni zahtjevi svakog proizvoda koji smo izgradili. Međutim, još uvijek kažem da ima puno toga za naučiti. Kada mislite da ste to ispravno i gradi ga, a vi ga testirate, učenja iz testa bi trebala imati koristi sljedeću stvar koju gradite.
Još nismo usvojili siguran životni ciklus razvoja kao što je Microsoft. Nismo se jednako prikovali na sve linije proizvoda u vrlo dosljednom metodološkom mjerljivom smislu i zato kažem da smo u toj neugodnoj tinejdžerskoj fazi.
Dobavljač radi neku regrutaciju ovog tjedna za beta test 11g R2, ali inače nema planova za izradu bilo najave, rekao je Andrew Mendelsohn, viši potpredsjednik poslužiteljskih tehnologija. rekao je u intervjuu nakon keynote adrese u ponedjeljak.
"Mi ćemo napraviti 11g XE, ali to će biti negdje nakon 11g R2 vremenskog okvira", dodao je Mendelsohn, koji nadgleda razvoj Oracle baze podataka. Odbio je pružiti čvrste datume za oba izdavanja.
Odjel za energiju treba financirati više projekata gledajući alternativnu energiju i klimatske promjene, rekao je Gordon. "Ne možete pogoditi loptu ako ne okrećete šišmiš", rekao je na konferenciji za novinare. "Mnogo od odbora biti će na poboljšanju konkurentnosti SAD-a, rekao je Gordon u četvrtak. Odbor će uložiti dodatna sredstva za Zakon o udruživanju u Americi, zakona koji je usvojen u kolovozu 2007. koji je odobrio povećanje državnih sredstava za temeljna istraživanja znanos
Dio komiteta matematike i znanosti fokus će biti na pronalaženju načina za zapošljavanje žena i manjinskih učenika na području matematike i znanosti, rekao je Gordon. Te su skupine "nedovoljno zastupljene" u američkim matematičkim i znanstvenim poljima, rekao je. "Ako želite dobiti najbrži bang za svoj novac, to je dostizanje i usredotočujući se na programe za žene i manjine", rekao je.
"(S) razina podataka koja bi bila ograničena ... zapravo to ne možete učiniti." Tehnički nije moguće ", rekao je Hamoui. predstavlja oko 30 posto poslovanja AdMob, priznao je Hamoui. Tvrtka radi na planovima za slučaj opasnosti u slučaju da se Apple pukne, ali Apple to može učiniti ako to odabere, rekao je. "Nadamo se da ćemo pronaći rješenje", rekao je Hamoui.
Spektar tih ograničenja izazvao je neizvjesnost izdavačima i oglašivačima koji pokušavaju saznati više o pravilima i kako će utjecati na oglašavanje, Rekao je Hamoui. U prošlom je mjesecu zalupio iAd politiku na Googleovom blogu.