思科：正在趨于完善的網絡安全體系

王永

對于企業管理者來講，包括CISO（首席信息安全官）而言，最大的挑戰是什么？安全！近幾年頻發的安全事件已經讓眾多企業CISO徹夜難眠——雖然企業應對安全威脅的技術和手段都在逐年升級，但是整體的安全形勢依舊嚴峻。

“在2019年的報告中，思科針對受眾的變化把報告分成三部分：《2019年思科數據隱私基準研究》、《2019年思科首席信息安全官（CISO）基準研究報告》以及《2019年思科威脅報告》。” 思科大中華區副總裁，安全事業部總經理卜憲錄在接受筆者的采訪時表示，這是思科連續第 12 年發布關于網絡安全形勢的研究結果，也是我們第五年對數千名安全領導者進行基準研究。

CISO成為企業網絡安全構建的重要角色

事實上，很多企業為更好的應對未知的安全威脅，已經陸續把信息安全策略的制定和管理職能抽離出來，并設置了CISO的職位。作為企業安全防范大閘的第一關，企業CISO必須要擁有足夠豐富的安全防范意識，同時整個團隊也要具備應對業務的能力和技術的專業性。

CISO從傳統的IT部門抽離出來面對三個層面的挑戰：首先，CISO無法獨立工作，必須要與傳統的IT部門以及網絡部門密切合作。數據顯示，95%的受訪者認為網絡團隊和安全團隊之間協作程度擁有非常好的合作信號。

其次，CISO要處理過去企業遺留下的安全隱患——技術和供應商的碎片化問題?！耙酝W絡設備數量繁多，信息安全的技術也層出不窮，信息安全的供應商是碎片化的，一家企業會同時采用多種安全供應商，”卜憲錄表示，對于CISO而言，如何有效地把各種安全產品整合在一起，并有效處理它們的報警信息，得出一個整體和具體的分析結果都是極具挑戰的。

毫無疑問，在安全領域最大的挑戰是不斷有新的威脅出現，與之伴隨的是新的技術解決方案、廠商以及產品。但是根據在《2019年思科CISO基準研究報告》中的統計表明，其中超過50%的報警信息是根本沒有被看過也沒有被處理過的。一方面是因為信息量過多，包括很多誤報信息，企業的安全技術人員并不能有效處理，另一方面是來自于技術層面的挑戰，怎樣才能把不同產品發出的警告標準化？

對此，卜憲錄的建議是盡量精簡和整合，把更多的時間和精力拿去關注真正的事情以及可能發生的未知威脅。

最后是來自未知的威脅。如何管理、發現未知威脅，如何應對這些未知的威脅是一個很有挑戰性的課題。

報告顯示，未知威脅是當下企業非常關注的安全問題，而且很多未知威脅其實是利用了一些已知的途徑和手段去滲透，比如電子郵件，在垃圾郵件常常藏有惡意鏈接。

基于調查以及數據驅動分析，《2019年思科CISO基準研究報告》為CISO提出最佳實踐的建議：通過將實用戰略與網絡保險和風險評估相結合，基于測得的安全結果制定安全預算，以指導采購、戰略和管理決策。同時企業可以采用業內經驗證的流程，減少其暴露程度和受攻擊程度。這些流程包括加強演練；采用嚴格的調查方法；并且了解最快的恢復方法。

除此之外，CISO還應了解業務案例的基本安全需求的唯一方法是在IT、網絡、安全和風險/合規部門之間，跨越孤島進行協作。協同各種工具對事件的響應，以便加快從檢測到響應的速度，并減少手動操作。并將威脅檢測與訪問保護相結合，以解決內部威脅，與Zero Trust（零可信）等計劃保持一致。通過網絡釣魚培訓、多因素身份驗證、高級垃圾郵件過濾和DMARC，解決頭號威脅來源，以防范商業電郵攻擊。

趨于完善的安全理念和架構設計

在《2019年思科威脅報告》中，2019年從目標轉變上思科關注三部分：物聯網、移動平臺以及供應鏈。

“以VPNFilter為例，VPNFilter是針對物聯網設備的一個典型攻擊，該病毒以路由器為目標，去年有54個國家的50萬臺設備受到影響。”思科大中華區網絡安全事業部技術總監徐洪濤表示，黑客攻擊瞄向移動平臺也在發生變化，過去攻擊者常常以手機和PC等終端作為主攻目標，現在它們改為攻擊MDM平臺，通過控制該平臺再控制其管轄下的所有設備。

在徐洪濤看來，這幾起關鍵事件的攻擊手段主要有三個特征：搶頭條式的攻擊方式、低調合作以及潛伏隱蔽的攻擊方式。

隨著越來越多的企業用戶深受的網絡威脅的危害，思科曾預測2018年會是勒索軟件大規模爆發的一年，事實也確實如此。不過徐洪濤表示，這一情況在2019年將會發生巨大變化，勒索軟件正在以新的威脅方式出現——加密挖礦軟件。主要體現在勒索軟件雖然很暴力、且直截了當，直接把電腦加密并勒索錢財，但攻擊者真正能收到贖金的并不多。

徐洪濤表示，“為了幫助用戶更好地了解最新威脅信息和防御的最佳實踐，除‘年度威脅報告外，思科還推出了‘每月熱點威脅報告和‘Talos每周威脅匯總。其中‘每月熱點威脅報告，涵蓋不同類別的熱點威脅信息，同時重點介紹阻止這些威脅的領先方案；Talos每周發布的威脅匯總，還會免費公開全球主要的惡意軟件的形態、特征，以及文件的特征、IP的特征等?！?/p>

或許大家會好奇，是什么支撐思科提供每月、每周的安全分析？其實這源自于其背后全球最大的安全研究團隊——思科Talos。

據了解，思科Talos團隊由業界領先的網絡安全專家組成，他們分析評估黑客活動、入侵企圖、惡意軟件以及漏洞的最新趨勢，同時這個團隊得到了Snort、ClamAV、Senderbase.org和Spamcop.net社區的龐大資源支持，使得它成為網絡安全行業最大的安全研究團隊，專門為思科客戶、產品和服務提供卓越的保護。思科Talos擁有思科無可匹敵的豐富遙測數據：借助上百萬個遙測代理、4個全球數據中心、超過100家威脅情報合作伙伴以及1100個威脅捕獲程序。

為了完善安全理念和架構設計，思科在安全領域的投資從未停止。2018年，思科花費23.5億美元收購互聯網安全公司Duo Security，用于加強對Zero Trust方案的完善。顯然，思科對于安全的規劃有著明確而清晰的方向。

寫在最后

隨著邊界的模糊、應用的復雜，移動、云等新因素出現后，思科在最新的理念和架構設計上也有一些變化。傳統防護的思路是以威脅為中心的防御，不過太過被動，為此思科新增一個維度——Zero Trust（零可信），任何設備、用戶、應用或者數據，都必須要一次一授權，最大限度地降低未知威脅侵入的可能性。

卜憲錄提醒企業用戶要警惕隨著安全產品生命周期的迭代，可能面臨的新的安全問題和潛在風險。他同時強調：“正是為了應對這種層出不窮的新的挑戰，過去的二十多年中，思科一直在持續加強研發創新，一直持續地致力于將安全和網絡基礎架構相融合，讓網絡變得更智慧更安全。思科在網絡和安全技術領域多年的積累和持續創新是思科承諾給用戶的最重要的安全保障。”