行業(yè)動態(tài)

思科安全——企業(yè)安全棋局的“宇宙流”

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2016-07-13    瀏覽次數(shù):
 

信息來源:比特網(wǎng)

 

       如果您是個(gè)圍棋愛好者,一定聽說過“宇宙流”。這是上世紀(jì)七八十年代日本超一流棋手武宮正樹先生創(chuàng)造的一種布局作戰(zhàn)方式,核心思想是重視外勢和中央,以總體作戰(zhàn)形成全局的優(yōu)勢——在他之前,重視邊角的實(shí)利一直是圍棋的主流??梢哉f,“宇宙流”改變了一代人的圍棋理念。

       在做一個(gè)安全采訪的時(shí)候想起“宇宙流”,多少有點(diǎn)怪異,但這的確是我在采訪思科大中華區(qū)安全業(yè)務(wù)總經(jīng)理莊敬賢先生時(shí),腦子里彈出的一種感覺。仔細(xì)回想起來,這種感覺并非毫無根據(jù)。

企業(yè)網(wǎng)絡(luò)安全棋局的變化與抉擇

       一張圍棋盤361個(gè)點(diǎn),世間沒有兩盤一模一樣的對弈,其復(fù)雜性不言而喻;企業(yè)IT系統(tǒng)經(jīng)過數(shù)十年的發(fā)展,其觸角已經(jīng)延展到企業(yè)業(yè)務(wù)體系的各個(gè)環(huán)節(jié),枝繁葉茂、盤根錯節(jié)。這種情況下,企業(yè)的網(wǎng)絡(luò)是否足夠安全,已經(jīng)沒有十幾年前看起來那么簡單了,其復(fù)雜性一點(diǎn)也不弱于一盤復(fù)雜的棋局。

莊敬賢認(rèn)為,如今企業(yè)安全問題日益復(fù)雜,這里面有三方面的原因:

       首先是全數(shù)字化顛覆已經(jīng)大規(guī)模展開,移動終端迅猛增加——數(shù)據(jù)顯示,到2020年,網(wǎng)絡(luò)互聯(lián)設(shè)備總量將達(dá)到500億臺,這給企業(yè)安全帶來了不小的威脅。

       第二個(gè)原因是企業(yè)在安全上的對手,也就是攻擊,越來越活躍。全數(shù)字化的時(shí)代,隨著云及互聯(lián)網(wǎng)的發(fā)展,攻擊面變得更多更廣,威脅的來源也更多,黑客已經(jīng)不是業(yè)余去搞破壞了,現(xiàn)在的攻擊和威脅有產(chǎn)業(yè)化趨勢。

       第三是企業(yè)IT產(chǎn)品、包括安全產(chǎn)品日益多元化,每個(gè)企業(yè)用戶平均會用到30到50個(gè)品牌的安全產(chǎn)品。在多品牌的環(huán)境下,產(chǎn)品間的互通性和開放性很差,網(wǎng)絡(luò)的復(fù)雜性隨之增加。

       這三個(gè)元素給企業(yè)造成了新的安全挑戰(zhàn)。威脅格局是動態(tài)的,不是靜態(tài)的,企業(yè)客戶要面對的網(wǎng)絡(luò)安全防御新狀態(tài),經(jīng)常會陷入一種“安全有效性缺口”的狀態(tài),即隨著企業(yè)投資的增大,防御力并不能線性上升,復(fù)雜性卻是指數(shù)級上升(參見下圖一)。用戶部署的安全產(chǎn)品能夠提供給用戶的防御力和其構(gòu)成的復(fù)雜性之間存在的缺口,即是“安全有效性缺口”,會為企業(yè)客戶帶來成本、運(yùn)營、人手方面的壓力。企業(yè)真正期望的,其實(shí)是防御力能夠隨著投資呈線性增長、而且增幅大于復(fù)雜性的結(jié)構(gòu)(參見圖二)。

       這就好像一盤棋局,如果糾纏于一城一地,那么雙方肯定在各個(gè)地方針鋒相對,相互纏繞;落子越多,棋局越復(fù)雜,威脅也就更大。

       那么,有其他的策略選擇嗎?

       既然無處不險(xiǎn),那就處處著眼

       正如當(dāng)年武宮正樹先生的“宇宙流”一樣,思科選擇的落子方向,是著眼全局、直奔中央的策略。

莊敬賢介紹說,思科安全解決方案的總體策略,就是著眼于“安全無處不在”的前提,建立一整套全新的防御架構(gòu)。和傳統(tǒng)的安全防御理念相比,這種理念有兩個(gè)比較大的差異。

       第一個(gè)差異是,思科認(rèn)為安全防御不僅要覆蓋企業(yè)網(wǎng)絡(luò)的各個(gè)區(qū)域,更要覆蓋整個(gè)攻擊的周期,攻擊前、攻擊中、攻擊后都要有應(yīng)對的方法。以前大部分安全解決方案都過分集中在攻擊前如何加固,并沒有關(guān)注在攻擊的過程當(dāng)中和被攻擊之后如何應(yīng)對——這是因?yàn)檫^去威脅沒有現(xiàn)在這么復(fù)雜,大部分企業(yè)相信只要把攻擊前的加固做好了就安全了,就不會被攻破了;而現(xiàn)在,再強(qiáng)的外圍防御也會被攻破,所以我們必須考慮一旦威脅攻擊進(jìn)入到了內(nèi)網(wǎng)當(dāng)中,企業(yè)應(yīng)該如何應(yīng)對以及如何去減少負(fù)面影響。

       第二個(gè)差異性是,思科相信有效的防御必須有最好的“可視性(Visibility)”,必須要看見威脅,才能防御。具體說來,首先就是要了解具體有哪些新的威脅,然后做出有效防御;其次是內(nèi)部架構(gòu)可視性的提高,了解到底發(fā)生了什么事——這其實(shí)就是“知己知彼”的意思了。

聽起來這個(gè)思路還是不錯的。我要求莊敬賢先生給我舉個(gè)實(shí)例。他給我展示了這張圖:

       勒索軟件是最“流行”的威脅之一,無論是國內(nèi)還是國外。勒索軟件的基本思路是三步,即植入、訪問、加密。首先,攻擊者用各種辦法(電子郵件、惡意網(wǎng)頁等)把勒索軟件植入到員工的筆記本或者系統(tǒng)里;第二步,攻擊者聯(lián)系攻擊的架構(gòu)平臺,取得控制權(quán)或者拿到密鑰,然后從外部進(jìn)行訪問;第三步,攻擊者加密你的文檔……這時(shí)企業(yè)再發(fā)現(xiàn)就已經(jīng)太晚了。

針對勒索軟件這三個(gè)步驟,思科是如何防范的呢?

       首先,由于網(wǎng)站訪問或者攻擊植入時(shí)基本都要經(jīng)過防火墻和DNS,所以可以利用OpenDNS阻止惡意鏈接的訪問,包括數(shù)據(jù)向外傳輸?shù)淖钄?。第二步,勒索軟件必須要有信息向外發(fā)布的過程,這時(shí)可以通過日常行為分析來檢測這樣的惡意活動,然后抓出來進(jìn)行防御。如果這兩步都不成功的話,攻擊者做完訪問拿到一個(gè)密鑰回來準(zhǔn)備進(jìn)行加密動作時(shí),惡意軟件防御機(jī)制就可以發(fā)現(xiàn)然后阻止。

       在整個(gè)過程中,思科高級惡意軟件防護(hù)其實(shí)是持續(xù)性的,任何一個(gè)文件進(jìn)來通過DNS和防火墻時(shí)都要進(jìn)行異常分析判斷,并保持持續(xù)跟蹤和監(jiān)控。當(dāng)發(fā)現(xiàn)有異常動作的時(shí)候,系統(tǒng)就可以把它“抓”起來——這就是一個(gè)多層防御、覆蓋整個(gè)攻擊過程的防御。當(dāng)然,要想達(dá)到這種效果,需要多種產(chǎn)品的聯(lián)動。在上面勒索軟件這個(gè)例子上,其實(shí)就有思科的四款產(chǎn)品(OpenDNS、高級惡意軟件防護(hù)、下一代防火墻、Stealthwatch)在同時(shí)運(yùn)作。

       莊敬賢同時(shí)強(qiáng)調(diào),上述動作其實(shí)是自動進(jìn)行的,因?yàn)楝F(xiàn)在安全形勢越來越復(fù)雜,人員也是一個(gè)壓力的來源,包括人手不夠、技術(shù)水平不足等,所以自動化一定是一個(gè)重要原則。

“宇宙流”不簡單 生態(tài)鏈?zhǔn)顷P(guān)鍵

       如同下棋看重的是最終的勝負(fù)而不是一時(shí)的痛快,企業(yè)網(wǎng)絡(luò)安全防御重要的不是過程或者理念,而是結(jié)果。當(dāng)年武宮正樹雖然震動業(yè)界,但也并不是雄霸天下戰(zhàn)無不勝,問題就在于這種風(fēng)格也有自己的局限性——一旦大模樣不成功,那就一敗涂地。

       思科的安全體系如何打破這種局限性呢?莊敬賢表示,那就是對企業(yè)整體性、全局性的著眼和統(tǒng)一防御的高要求。

       思科這套安全理念的思路,最大的優(yōu)勢其實(shí)就是整體性。莊敬賢對記者坦承,就單一產(chǎn)品而言,思科的每個(gè)產(chǎn)品都不弱——除了稱雄市場十幾年的防火墻,思科的安全軟件和威脅情報(bào)儲備也是業(yè)內(nèi)一流;但更關(guān)鍵的是,思科強(qiáng)調(diào)的是重點(diǎn),不是單一去看每一個(gè)產(chǎn)品有沒有競爭力,而是如何“有效地把最好的各種產(chǎn)品整合為一個(gè)架構(gòu),提供給企業(yè)做總體的防御,這就是思科安全核心的競爭力”。

       但福禍相依,優(yōu)勢的背后就是命門。在異構(gòu)化平臺已經(jīng)成為現(xiàn)實(shí)的今天,不是每個(gè)企業(yè)都能從頭開始、一次性地全部采用思科的所有產(chǎn)品。這種情況下,對其他友商產(chǎn)品的適用和共享互通就成了一個(gè)關(guān)鍵性因素——如果思科的“大腦”無法調(diào)動其他品牌產(chǎn)品的“肢體”,再好的理念也無法帶來真正的防御能力。但,這個(gè)問題似乎不是僅靠思科就能全部解決的。

       我直接問莊敬賢:現(xiàn)在共享互動的進(jìn)展如何?

       莊敬賢沒有直接回答我,他說,思科的各方面產(chǎn)品都是基于標(biāo)準(zhǔn)化的,同時(shí)他們開放自己的平臺,為產(chǎn)品的集成整合做好準(zhǔn)備。目前已經(jīng)有了不少企業(yè)和思科達(dá)成了互聯(lián)互動的合作。

       莊敬賢同時(shí)補(bǔ)充說,其實(shí)無論是國外還是國內(nèi),各個(gè)廠商都看到未來有效的安全防御必須是架構(gòu)防御,要建立一個(gè)生態(tài)鏈,要互相合作。合作有兩個(gè)層面,一個(gè)是平臺和生態(tài)鏈的合作,一個(gè)是威脅情報(bào)互通。目前,思科的Talos在全世界各地都有很多合作伙伴,也已經(jīng)開展了一些情報(bào)的交換和互通,已經(jīng)能做到具有一定的集成和整合,并真正做到有效防御。

       我能感覺到,這段表達(dá),有思科的決策,更有思科的期待。

       而就在剛剛結(jié)束本次采訪后,思科全球宣布計(jì)劃收購CloudLock公司。CloudLock是一家總部設(shè)于美國馬薩諸塞州爾瑟姆的私營云安全公司,專門致力于云訪問安全代理(CASB)技術(shù),圍繞云服務(wù)中的用戶行為和敏感數(shù)據(jù)為企業(yè)提供可見性和分析服務(wù),包括SaaS、IaaS和PaaS。此次收購將進(jìn)一步增強(qiáng)思科的安全產(chǎn)品組合,依托思科的“安全無處不在”戰(zhàn)略,為企業(yè)提供從云到網(wǎng)絡(luò)再到終端的全面保護(hù)。CloudLock公司的云訪問安全代理(CASB)技術(shù)可幫助企業(yè)了解和監(jiān)控云應(yīng)用中的用戶行為和敏感數(shù)據(jù),提供更出色的可見性、合規(guī)性和威脅防護(hù)能力,無論這些應(yīng)用是否由企業(yè)IT部門創(chuàng)建。

       這似乎是對“共享互動的進(jìn)展”這個(gè)問題的一個(gè)很不錯的補(bǔ)充答案吧。

 
 

上一篇:2016年07月13日 聚銘安全速遞

下一篇:Android應(yīng)用存儲安全與加固