信息來(lái)源：比特網(wǎng)

 

       如果您是個(gè)圍棋愛(ài)好者，一定聽(tīng)說(shuō)過(guò)“宇宙流”。這是上世紀(jì)七八十年代日本超一流棋手武宮正樹(shù)先生創(chuàng)造的一種布局作戰(zhàn)方式，核心思想是重視外勢(shì)和中央，以總體作戰(zhàn)形成全局的優(yōu)勢(shì)——在他之前，重視邊角的實(shí)利一直是圍棋的主流?？梢哉f(shuō)，“宇宙流”改變了一代人的圍棋理念。

       在做一個(gè)安全采訪的時(shí)候想起“宇宙流”，多少有點(diǎn)怪異，但這的確是我在采訪思科大中華區(qū)安全業(yè)務(wù)總經(jīng)理莊敬賢先生時(shí)，腦子里彈出的一種感覺(jué)。仔細(xì)回想起來(lái)，這種感覺(jué)并非毫無(wú)根據(jù)。

企業(yè)網(wǎng)絡(luò)安全棋局的變化與抉擇

       一張圍棋盤361個(gè)點(diǎn)，世間沒(méi)有兩盤一模一樣的對(duì)弈，其復(fù)雜性不言而喻;企業(yè)IT系統(tǒng)經(jīng)過(guò)數(shù)十年的發(fā)展，其觸角已經(jīng)延展到企業(yè)業(yè)務(wù)體系的各個(gè)環(huán)節(jié)，枝繁葉茂、盤根錯(cuò)節(jié)。這種情況下，企業(yè)的網(wǎng)絡(luò)是否足夠安全，已經(jīng)沒(méi)有十幾年前看起來(lái)那么簡(jiǎn)單了，其復(fù)雜性一點(diǎn)也不弱于一盤復(fù)雜的棋局。

莊敬賢認(rèn)為，如今企業(yè)安全問(wèn)題日益復(fù)雜，這里面有三方面的原因：

       首先是全數(shù)字化顛覆已經(jīng)大規(guī)模展開(kāi)，移動(dòng)終端迅猛增加——數(shù)據(jù)顯示，到2020年，網(wǎng)絡(luò)互聯(lián)設(shè)備總量將達(dá)到500億臺(tái)，這給企業(yè)安全帶來(lái)了不小的威脅。

       第二個(gè)原因是企業(yè)在安全上的對(duì)手，也就是攻擊，越來(lái)越活躍。全數(shù)字化的時(shí)代，隨著云及互聯(lián)網(wǎng)的發(fā)展，攻擊面變得更多更廣，威脅的來(lái)源也更多，黑客已經(jīng)不是業(yè)余去搞破壞了，現(xiàn)在的攻擊和威脅有產(chǎn)業(yè)化趨勢(shì)。

       第三是企業(yè)IT產(chǎn)品、包括安全產(chǎn)品日益多元化，每個(gè)企業(yè)用戶平均會(huì)用到30到50個(gè)品牌的安全產(chǎn)品。在多品牌的環(huán)境下，產(chǎn)品間的互通性和開(kāi)放性很差，網(wǎng)絡(luò)的復(fù)雜性隨之增加。

       這三個(gè)元素給企業(yè)造成了新的安全挑戰(zhàn)。威脅格局是動(dòng)態(tài)的，不是靜態(tài)的，企業(yè)客戶要面對(duì)的網(wǎng)絡(luò)安全防御新?tīng)顟B(tài)，經(jīng)常會(huì)陷入一種“安全有效性缺口”的狀態(tài)，即隨著企業(yè)投資的增大，防御力并不能線性上升，復(fù)雜性卻是指數(shù)級(jí)上升(參見(jiàn)下圖一)。用戶部署的安全產(chǎn)品能夠提供給用戶的防御力和其構(gòu)成的復(fù)雜性之間存在的缺口，即是“安全有效性缺口”，會(huì)為企業(yè)客戶帶來(lái)成本、運(yùn)營(yíng)、人手方面的壓力。企業(yè)真正期望的，其實(shí)是防御力能夠隨著投資呈線性增長(zhǎng)、而且增幅大于復(fù)雜性的結(jié)構(gòu)(參見(jiàn)圖二)。

       這就好像一盤棋局，如果糾纏于一城一地，那么雙方肯定在各個(gè)地方針?shù)h相對(duì)，相互纏繞;落子越多，棋局越復(fù)雜，威脅也就更大。

       那么，有其他的策略選擇嗎？

       既然無(wú)處不險(xiǎn)，那就處處著眼

       正如當(dāng)年武宮正樹(shù)先生的“宇宙流”一樣，思科選擇的落子方向，是著眼全局、直奔中央的策略。

莊敬賢介紹說(shuō)，思科安全解決方案的總體策略，就是著眼于“安全無(wú)處不在”的前提，建立一整套全新的防御架構(gòu)。和傳統(tǒng)的安全防御理念相比，這種理念有兩個(gè)比較大的差異。

       第一個(gè)差異是，思科認(rèn)為安全防御不僅要覆蓋企業(yè)網(wǎng)絡(luò)的各個(gè)區(qū)域，更要覆蓋整個(gè)攻擊的周期，攻擊前、攻擊中、攻擊后都要有應(yīng)對(duì)的方法。以前大部分安全解決方案都過(guò)分集中在攻擊前如何加固，并沒(méi)有關(guān)注在攻擊的過(guò)程當(dāng)中和被攻擊之后如何應(yīng)對(duì)——這是因?yàn)檫^(guò)去威脅沒(méi)有現(xiàn)在這么復(fù)雜，大部分企業(yè)相信只要把攻擊前的加固做好了就安全了，就不會(huì)被攻破了;而現(xiàn)在，再?gòu)?qiáng)的外圍防御也會(huì)被攻破，所以我們必須考慮一旦威脅攻擊進(jìn)入到了內(nèi)網(wǎng)當(dāng)中，企業(yè)應(yīng)該如何應(yīng)對(duì)以及如何去減少負(fù)面影響。

       第二個(gè)差異性是，思科相信有效的防御必須有最好的“可視性(Visibility)”，必須要看見(jiàn)威脅，才能防御。具體說(shuō)來(lái)，首先就是要了解具體有哪些新的威脅，然后做出有效防御;其次是內(nèi)部架構(gòu)可視性的提高，了解到底發(fā)生了什么事——這其實(shí)就是“知己知彼”的意思了。

聽(tīng)起來(lái)這個(gè)思路還是不錯(cuò)的。我要求莊敬賢先生給我舉個(gè)實(shí)例。他給我展示了這張圖：

       勒索軟件是最“流行”的威脅之一，無(wú)論是國(guó)內(nèi)還是國(guó)外。勒索軟件的基本思路是三步，即植入、訪問(wèn)、加密。首先，攻擊者用各種辦法(電子郵件、惡意網(wǎng)頁(yè)等)把勒索軟件植入到員工的筆記本或者系統(tǒng)里;第二步，攻擊者聯(lián)系攻擊的架構(gòu)平臺(tái)，取得控制權(quán)或者拿到密鑰，然后從外部進(jìn)行訪問(wèn);第三步，攻擊者加密你的文檔……這時(shí)企業(yè)再發(fā)現(xiàn)就已經(jīng)太晚了。

針對(duì)勒索軟件這三個(gè)步驟，思科是如何防范的呢？

       首先，由于網(wǎng)站訪問(wèn)或者攻擊植入時(shí)基本都要經(jīng)過(guò)防火墻和DNS，所以可以利用OpenDNS阻止惡意鏈接的訪問(wèn)，包括數(shù)據(jù)向外傳輸?shù)淖钄唷５诙?，勒索軟件必須要有信息向外發(fā)布的過(guò)程，這時(shí)可以通過(guò)日常行為分析來(lái)檢測(cè)這樣的惡意活動(dòng)，然后抓出來(lái)進(jìn)行防御。如果這兩步都不成功的話，攻擊者做完訪問(wèn)拿到一個(gè)密鑰回來(lái)準(zhǔn)備進(jìn)行加密動(dòng)作時(shí)，惡意軟件防御機(jī)制就可以發(fā)現(xiàn)然后阻止。

       在整個(gè)過(guò)程中，思科高級(jí)惡意軟件防護(hù)其實(shí)是持續(xù)性的，任何一個(gè)文件進(jìn)來(lái)通過(guò)DNS和防火墻時(shí)都要進(jìn)行異常分析判斷，并保持持續(xù)跟蹤和監(jiān)控。當(dāng)發(fā)現(xiàn)有異常動(dòng)作的時(shí)候，系統(tǒng)就可以把它“抓”起來(lái)——這就是一個(gè)多層防御、覆蓋整個(gè)攻擊過(guò)程的防御。當(dāng)然，要想達(dá)到這種效果，需要多種產(chǎn)品的聯(lián)動(dòng)。在上面勒索軟件這個(gè)例子上，其實(shí)就有思科的四款產(chǎn)品(OpenDNS、高級(jí)惡意軟件防護(hù)、下一代防火墻、Stealthwatch)在同時(shí)運(yùn)作。

       莊敬賢同時(shí)強(qiáng)調(diào)，上述動(dòng)作其實(shí)是自動(dòng)進(jìn)行的，因?yàn)楝F(xiàn)在安全形勢(shì)越來(lái)越復(fù)雜，人員也是一個(gè)壓力的來(lái)源，包括人手不夠、技術(shù)水平不足等，所以自動(dòng)化一定是一個(gè)重要原則。

“宇宙流”不簡(jiǎn)單 生態(tài)鏈?zhǔn)顷P(guān)鍵

       如同下棋看重的是最終的勝負(fù)而不是一時(shí)的痛快，企業(yè)網(wǎng)絡(luò)安全防御重要的不是過(guò)程或者理念，而是結(jié)果。當(dāng)年武宮正樹(shù)雖然震動(dòng)業(yè)界，但也并不是雄霸天下戰(zhàn)無(wú)不勝，問(wèn)題就在于這種風(fēng)格也有自己的局限性——一旦大模樣不成功，那就一敗涂地。

       思科的安全體系如何打破這種局限性呢？莊敬賢表示，那就是對(duì)企業(yè)整體性、全局性的著眼和統(tǒng)一防御的高要求。

       思科這套安全理念的思路，最大的優(yōu)勢(shì)其實(shí)就是整體性。莊敬賢對(duì)記者坦承，就單一產(chǎn)品而言，思科的每個(gè)產(chǎn)品都不弱——除了稱雄市場(chǎng)十幾年的防火墻，思科的安全軟件和威脅情報(bào)儲(chǔ)備也是業(yè)內(nèi)一流;但更關(guān)鍵的是，思科強(qiáng)調(diào)的是重點(diǎn)，不是單一去看每一個(gè)產(chǎn)品有沒(méi)有競(jìng)爭(zhēng)力，而是如何“有效地把最好的各種產(chǎn)品整合為一個(gè)架構(gòu)，提供給企業(yè)做總體的防御，這就是思科安全核心的競(jìng)爭(zhēng)力”。

       但福禍相依，優(yōu)勢(shì)的背后就是命門。在異構(gòu)化平臺(tái)已經(jīng)成為現(xiàn)實(shí)的今天，不是每個(gè)企業(yè)都能從頭開(kāi)始、一次性地全部采用思科的所有產(chǎn)品。這種情況下，對(duì)其他友商產(chǎn)品的適用和共享互通就成了一個(gè)關(guān)鍵性因素——如果思科的“大腦”無(wú)法調(diào)動(dòng)其他品牌產(chǎn)品的“肢體”，再好的理念也無(wú)法帶來(lái)真正的防御能力。但，這個(gè)問(wèn)題似乎不是僅靠思科就能全部解決的。

       我直接問(wèn)莊敬賢：現(xiàn)在共享互動(dòng)的進(jìn)展如何？

       莊敬賢沒(méi)有直接回答我，他說(shuō)，思科的各方面產(chǎn)品都是基于標(biāo)準(zhǔn)化的，同時(shí)他們開(kāi)放自己的平臺(tái)，為產(chǎn)品的集成整合做好準(zhǔn)備。目前已經(jīng)有了不少企業(yè)和思科達(dá)成了互聯(lián)互動(dòng)的合作。

       莊敬賢同時(shí)補(bǔ)充說(shuō)，其實(shí)無(wú)論是國(guó)外還是國(guó)內(nèi)，各個(gè)廠商都看到未來(lái)有效的安全防御必須是架構(gòu)防御，要建立一個(gè)生態(tài)鏈，要互相合作。合作有兩個(gè)層面，一個(gè)是平臺(tái)和生態(tài)鏈的合作，一個(gè)是威脅情報(bào)互通。目前，思科的Talos在全世界各地都有很多合作伙伴，也已經(jīng)開(kāi)展了一些情報(bào)的交換和互通，已經(jīng)能做到具有一定的集成和整合，并真正做到有效防御。

       我能感覺(jué)到，這段表達(dá)，有思科的決策，更有思科的期待。

       而就在剛剛結(jié)束本次采訪后，思科全球宣布計(jì)劃收購(gòu)CloudLock公司。CloudLock是一家總部設(shè)于美國(guó)馬薩諸塞州沃爾瑟姆的私營(yíng)云安全公司，專門致力于云訪問(wèn)安全代理(CASB)技術(shù)，圍繞云服務(wù)中的用戶行為和敏感數(shù)據(jù)為企業(yè)提供可見(jiàn)性和分析服務(wù)，包括SaaS、IaaS和PaaS。此次收購(gòu)將進(jìn)一步增強(qiáng)思科的安全產(chǎn)品組合，依托思科的“安全無(wú)處不在”戰(zhàn)略，為企業(yè)提供從云到網(wǎng)絡(luò)再到終端的全面保護(hù)。CloudLock公司的云訪問(wèn)安全代理(CASB)技術(shù)可幫助企業(yè)了解和監(jiān)控云應(yīng)用中的用戶行為和敏感數(shù)據(jù)，提供更出色的可見(jiàn)性、合規(guī)性和威脅防護(hù)能力，無(wú)論這些應(yīng)用是否由企業(yè)IT部門創(chuàng)建。

       這似乎是對(duì)“共享互動(dòng)的進(jìn)展”這個(gè)問(wèn)題的一個(gè)很不錯(cuò)的補(bǔ)充答案吧。