John Stewart ไม่ได้พูดถึงผู้บริหารองค์กรทั่วไปของคุณ เขากล่าวว่า บริษัท ซิสโก้ซิสเต็มส์ของเขาโชคดีเมื่อ ...

แต่อีกครั้งสจ๊วตมีมากขึ้น สิ่งสำคัญที่ต้องกังวล ในฐานะหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยเขาเป็นคนที่รับผิดชอบในการกำกับแนวทางปฏิบัติด้านความปลอดภัยของหน่วยธุรกิจและองค์กรของซิสโก้ ซึ่งหมายความว่าเขาจะได้รับสายเรียกเข้าเมื่อใดก็ตามที่มีข้อผิดพลาดด้านความปลอดภัยที่สำคัญในผลิตภัณฑ์ของ Cisco หรือหากแฮ็กเกอร์เข้าสู่เว็บไซต์ Cisco.com วิธีการที่เขาวางไว้มันเป็นหน้าที่ของเขาที่จะช่วยให้ผลิตภัณฑ์ของซิสโก้ปิดกั้นก่อนที่เขาจะถูกบังคับให้จัดการกับสิ่งที่เขาเรียกว่า "แพลตฟอร์มการเผาไหม้" - ข้อบกพร่องร้ายแรงหรือการโจมตีกับเราเตอร์ที่ใช้กันแพร่หลายมากที่สุดบนอินเทอร์เน็ต

บางที ซิสโก้ต้องการใครสักคนเช่นสจ๊วตเพื่อคัดเลือกข้อผิดพลาดที่ บริษัท เทคโนโลยีรายใหญ่รายอื่น ๆ ได้ดำเนินการด้านความปลอดภัย ตัวอย่างเช่น Microsoft ไมโครซอฟท์เริ่มมีทัศนคติที่ไม่เป็นมิตรต่อนักวิจัยด้านความมั่นคงและนักวิจารณ์ แต่ก็มีผลย้อนกลับและช่วยปั้นความรู้สึกที่ บริษัท ไม่สนใจข้อบกพร่องด้านความปลอดภัยแทนที่จะพยายามแก้ไขปัญหาดังกล่าว ไมโครซอฟท์กลับเปลี่ยนเส้นทาง แต่ไม่ถึงกับชื่อเสียงที่ได้รับความนิยมอย่างมาก

[อ่านเพิ่มเติม: กล่อง NAS ที่ดีที่สุดสำหรับสตรีมมิงสื่อและการสำรองข้อมูล]

ในระดับที่น้อยกว่านี้ซิสโก้ได้ทำการกลับรายการแบบเดียวกัน บริษัท โกรธแฮ็กเกอร์ในปี 2548 โดยฟ้องนักวิจัยไมค์ลินน์หลังจากที่เขาแสดงให้เห็นว่ามันเป็นไปได้ที่จะเรียกใช้ซอฟต์แวร์ shellcode ที่ไม่ได้รับอนุญาตลงบนเราเตอร์ของซิสโก้

แต่แทนที่จะเป็นยุคใหม่ของการแฮ็กซิสโก้ของซิสโก้ ความผิดปกติ การวิจัยของซิสโก้มีความเงียบสงบในอีกไม่กี่ปีข้างหน้า

สจ๊วตกล่าวว่าซิสโก้ "โชคดีนิดหน่อย" ในเรื่องที่ไม่มีการเปิดโปงความปลอดภัย แต่เขาก็ไม่ได้รับการยอมรับอย่างแน่นอน เขาเชิญ IDG News Service ไปยังสำนักงานซานโฮเซ่รัฐแคลิฟอร์เนียเพื่อพูดคุยถึงแนวความคิดคุกคามของซิสโก้ IDC News Service: ซิสโก้ได้รับความสนใจเป็นอย่างมากจาก Black Hat 2005. สิ่งที่คุณต้องทำในสิ่งต่างๆสามปีต่อมา? John Stewart: ส่วนหนึ่งของเหตุผลที่ทุกคนให้ความสนใจ ถูกวาดบนเราที่หมวกสีดำสามปีที่ผ่านมาเป็นเพราะเราสร้างเปลวไฟของตรงไปตรงมาทุกประเภทของปัญหาที่ซับซ้อนที่รู้สึกเหมือนซิสโก้ปราบปรามการสื่อสารและการวิจัย

ฉันคิดว่าเนื้อหาที่เราทำสิ่งโง่เช่นพยายามที่จะ ใส่ผีกลับลงในขวดซึ่งคุณไม่สามารถทำ เราพยายามที่จะทำด้วยเหตุผลที่เหมาะสม: การคุ้มครองทรัพย์สินทางปัญญาและลูกค้าของเรา แต่วิธีการที่มันออกมาเพียงอย่างสมบูรณ์ไปด้านข้าง

และในหลายประการเราไม่ได้ระบุชื่อ "โฆษกของซิสโก้" เราซ่อนตัวอยู่หลังบริบทที่ไม่ระบุตัวตนซึ่งฉันคิดว่าจริงๆเป็นเรื่องที่แย่ทุกอย่าง

นี่คือเหตุผลที่ฉันเป็นผู้สนับสนุน Black Hat ในระดับแพลทินัมตั้งแต่นั้นเป็นต้นมา เพราะฉันคิดว่าเรามีการลบล้างบางอย่างเพื่อทำและไป "ดูไม่ดีของเรานั่นไม่ใช่วิธีที่จะทำอย่างนั้น"

IDGNS: ทำไมคุณคิดว่าการวิจัยของ Cisco แห้งไปเช่นนี้?

สจ๊วต: มีสองเหตุผล ประการแรกคือเรื่องนี้ไม่ได้เป็นการแสวงหาผลประโยชน์จากระยะไกลและการวิจัยเกี่ยวกับชุมชนต่างๆเป็นอย่างไร "คุณจะทำอย่างไรได้จากระยะไกล?" การค้นคว้าของ [Muniz, researcher with Core Security Technologies] ของ Sebastian และในระดับหนึ่งการวิจัยของ Michael Lynn แม้ว่าจะมีตัวแปรระยะไกลเพียงเล็กน้อย แต่ก็ไม่เสถียรจากระยะไกล และนี่คือเกมที่แท้จริง

คุณต้องหาทางที่จะทำได้โดยไม่ต้องนั่งอยู่บนคอนโซล และนั่นคือสิ่งที่พัฒนาการได้รับมากที่สุด: คุณจะทำอย่างไรได้บนคอนโซล - อย่างน้อยก็สำหรับ Cisco อีกด้วย

และสิ่งที่สองคือคุณต้องการให้ทำงาน คุณไม่ได้พยายามที่จะเคาะออกเพราะคุณต้องการเครือข่ายขึ้นเพื่อให้คุณสามารถไปถึงจุดสิ้นสุด ดังนั้นฉันคิดว่าเราจัดเรียงได้รับผ่านเพราะไม่มีใครต้องการลิงกับโครงสร้างพื้นฐานที่พวกเขากำลังใช้ เหมือนกับการตรึงฟรีเวย์ในขณะที่คุณกำลังพยายามจะไปยังเมืองอื่น นี่เป็นสิ่งที่น่ารังเกียจในการทำ

IDGNS: Microsoft ได้ให้ความสำคัญอย่างมากเกี่ยวกับการเปลี่ยนแปลง บริษัท เพื่อให้ความสำคัญเป็นอันดับแรก เรื่องราวของซิสโก้คืออะไร? โครงการรักษาความปลอดภัยได้รับการสร้างขึ้นอย่างไร?

Stewart: พวกเราน่าจะอยู่ในพื้นที่เดียวกัน หลาย บริษัท รวมทั้งของเราเองเริ่มจากการสร้างสิ่งแรกที่แก้ไขปัญหาด้านการสื่อสารแล้วคิดถึงความปลอดภัยในการติดต่อสื่อสารในภายหลัง

ประมาณห้าปีที่ผ่านมาเรากำลังต่อสู้กับ บริษัท ทีมของฉัน ส่วนใหญ่อยู่ในธุรกิจรักษาความปลอดภัยข้อมูล เราคือ "ไม่" องค์กรหอคอยงาช้าง นี่เป็นสถานที่ที่อันตรายมากเพราะต้องใช้เวลาเราควรจะเป็นแขนสมรรถนะให้คำปรึกษาไม่ใช่ผู้ตัดสินดังนั้นเราจึงเปลี่ยนไปมากและเราก็เริ่มฉีดยาเช่น "คุณจะมีความชำนาญในเรื่องของคุณ ทีมเราจะไม่ได้อยู่ตรงกลางดังนั้นวิธีที่คุณสามารถลงทุนความเชี่ยวชาญสำหรับสิ่งที่คุณต้องการและเราไม่ได้ถือคุณขึ้นหรือนำคุณไปในตำแหน่งที่ช้าลง "

สิ่งที่สอง - - เราไม่สามารถคาดเดาได้ว่ากำลังเตรียมตัวให้พร้อมในปีพ. ศ. 2545 เพื่อเปิดตัวเครือข่ายป้องกันตัวเองซึ่งชอบหรือเกลียดมันเป็นสโลแกนอย่างมีประสิทธิภาพคือภาพใหญ่ของวัวที่หน้าผากของเรา

Stewart: ในความเป็นจริง Mary Ann Davidson ที่ Oracle ทำให้ฉันทราบและกล่าวว่า "ขอบคุณมากที่มากับสโลแกนที่ใช้แรงกดดันกับสิ่งที่เราได้ทำไป" IDGNS: เช่น Linux ที่ไม่สามารถแตกได้ของ Oracle? [หัวเราะ] ราวกับว่าฉันมีส่วนเกี่ยวข้องกับการประกาศ

แล้วที่สามเรามีรอยเท้าโตขึ้น เราได้ใช้ในสถานที่มากขึ้นและตรงไปตรงมาสำหรับคิดว่าเราไม่เคยคิดว่าเราจะใช้สำหรับ เรากำลังเปลี่ยนแปลงการสื่อสารเพื่อการดูแลสุขภาพเรากำลังเปลี่ยนการสื่อสารระหว่างไซต์กับไซต์สำหรับทหาร เรากำลังทำทุกสิ่งที่ป่าเหล่านี้เกิดขึ้นเมื่อ 20 ปีที่แล้วเราไม่ได้คิดถึงเรื่องนี้ในเวลานั้น

IDGNS: คุณทำอะไรเช่นใช้วงจรการพัฒนาที่มีการรักษาความปลอดภัยหรือเปลี่ยนวิธีที่คุณสร้างผลิตภัณฑ์หรือไม่? Stewart: เราไม่ได้เป็นผู้ใหญ่ในเรื่องนี้ เราอยู่ในช่วงวัยรุ่นที่น่าอึดอัดใจ เรากำลังทดสอบในตอนท้ายของกระบวนการพัฒนาและเรากำลังหาข้อมูลเหล่านี้ว่าคุณจะย้อนกลับไปสู่กระบวนการนิยามอย่างไร ตอนนี้คำนิยามบางอย่างเกิดขึ้นแล้ว ตัวอย่างเช่นมีข้อกำหนดพื้นฐานสำหรับผลิตภัณฑ์ทุกตัวที่เราสร้างขึ้น อย่างไรก็ตามผมยังบอกว่ามีอะไรให้เรียนรู้บ้าง เมื่อคุณคิดว่าคุณมีสิทธิ์และสร้างและทดสอบแล้วบทเรียนที่ได้จากการทดสอบจะเป็นประโยชน์ต่อสิ่งที่คุณสร้างต่อไป

เรายังไม่ได้ใช้วงจรการพัฒนาที่มีความปลอดภัยเช่น Microsoft เราไม่ได้ตอกขึ้นอย่างเท่าเทียมกันในทุกสายผลิตภัณฑ์ในวิธีการวัดที่สอดคล้องกันอย่างเป็นระบบและนั่นเป็นเหตุผลที่ผมบอกว่าเราอยู่ในช่วงวัยรุ่นที่น่าอึดอรงใจ