2016年6月24-25日，由51CTO.com主辦的【WOT2016企業安全技術峰會】在北京珠三角JW萬豪酒店召開。自2012年以來，WOT品牌大會秉承專注技術、服務技術人員的理念已經成功舉辦九屆，不僅積累了大量的專家資源，更獲得了廣大IT從業者和技術愛好者的認可和好評，并成為業界重要的技術分享及人脈拓展平臺。

本次【WOT企業安全技術峰會】分為11大技術主題，分別是企業安全管理與運維、工控安全與物聯網安全、大數據安全、移動Web與安全、云安全、CISSP開放創新論壇、金融與電子商務安全、威脅情報與攻擊防護、漏洞挖掘與分析、安全測試與應急處理、技術管理專場。51CTO.com作為本次大會的主辦方，將通過快速報道、現場專訪與后期視頻等多種形式,向廣大用戶全方位展示這場盛宴。

下面是大會主會場上來自思科的中國首席安全架構師徐洪濤先生帶來的主題為數字經濟變革下的安全防護思路的現場演講實錄。

[[167793]]

思科中國首席安全架構師 徐洪濤

(演講實錄)

非常高興有這樣一個機會分享一下網絡安全話題，今天分享這個話題是數字經濟變革下如何做網絡安全防護，我們現在進入一個數字化顛覆一個時代。萬物互聯，給我們生活帶來了很多的便利，給工作帶來的便利。在這個環境下實際上帶來了很多的危機，有越來越多的攻擊。思科本身也是發現了數字化顛覆的商機，這個環境下我們可能會面臨更多的安全的隱患。所以，從思科來看，已經把網絡安全作為公司首要發展方向。

今天我想跟大家共享一下，在數字化顛覆的時代，我們從哪幾個方面做網絡安全?主要從三個方面給大家做一個介紹。全面的可見性、有針對性防御威脅、共享一下統一平臺的概念。實際上，做安全靠一個點安全平臺很難去實現，可能要結合網絡，結合安全設備，結合終端，結合主機，整個形成一套全面的安全體系。

這種大規模快速數字經濟爆發不多講，越來越多的商機，我們也是看到了全球角度來看，有很多公司出現，有很多行業標準出現。有很多的終端接入網絡當中，接入互聯網當中。今天看到的有接近150億的終端接我們網絡。我們預計到2020年，這個數字會達到500億，2030年這個數字有5千億，這個數字對我們來講的確是一個很可怕的數字。

更多的終端接入對于我們來講會面臨更多的威脅，黑客有更多的攻擊面。利益鏈驅動導致更多的黑客用不同的方式去入侵我們的系統，拿走我們的敏感信息。攻擊方式也是變得越來越復雜，越來越有彈性。之前可能大家都是聽說過這種軟件，之前跟一個運營商合作，破獲了一起很大的軟件，就是這個軟件的黑客基礎架構。我們對于基礎架構做了研究以后發現，這個基礎架構做的相當的有彈性，在里面看到很多主件，有攻擊服務器，有狀態跟蹤服務器，這個狀態跟蹤器就是跟蹤前臺這些服務器。發現的都是有問題，別的地方可以開啟一個新的攻擊服務器。這些方式是讓我們更難以阻擋這些最新的東西。

很多的時候談到了高級可持續攻擊，在高級可持續攻擊過程當中有一個技術發揮重要的作用，就是惡意軟件，現在我們看到了很多這種大型攻擊，重要的攻擊事件，很難說有一種就是直接通過一些暴力手段進入用戶網絡。一般都是低調的方式，比如說，先用社會工程學一些工作。然后，獲得某一些人的帳號，獲得某一些人的郵件地址，發一個郵件，帶一個惡意軟件，這個人不小心點開郵件以后，主機可能會被種上一個惡意軟件。這個時候遠程控制他的主機，內網當中展開一系列的活動。直到獲得足夠的權限，獲得足夠的信息，我把這個信息泄露出去，這樣可以得到最大化的一個競爭力。

惡意軟件成為當今最大的一個威脅。實際上我們在很多的企業調查當中，有一半以上CSO已經認同這個觀點，他們覺得惡意軟件對于他們來講真的是相當的可怕。

面對這么多的威脅，剛剛講了思科已經發現了這個問題。所以，2013年開始，思科已經把整個網絡安全作為公司頭等要務。如果有關注思科，你們可能會發現。2013年到現在陸續思科已經投資接近了50億美元，就是要在業界尋找最優安全公司。

我們應該怎么樣做這個新時代下的網絡安全設計?我提出來一個概念，就是無所不在的網絡安全。我們做網絡安全不可以有任何短板，無所不在意味著兩個概念。

第一，無時不在。可能攻擊發生過程當中都要做出相應防護，無論攻擊發生之前，之中，還是之后，可能都是有相應技術來主導攻擊。主導不了就是響應攻擊，減少損失。這個是無時不在的概念。

第二方面，無處不在。在任何的地方都需要部署相應的安全方案，這個全球互聯的時代已經沒有安全邊界，這個時候園區網，數據中心，終端，云環境，甚至網絡當中都是需要安全的防護。整個安全是需要一個無所不在，無處不在，無時不在。

接下來從三個方面給大家介紹一下我們的一些經驗，在網絡安全防護當中一些經驗。三個方面。

第一點，全面提高可見性。網絡安全，是講控制，防御危險。如果網絡整個基本情況都不知道，你控制什么?防御什么?可能什么都看不清楚。這個是第一點。

第二點，如何有效地關注在危險上?最終目的就是要防御進入到網絡的攻擊，所做一切的努力都是為了威脅的防御。

第三點，統一的平臺。我們如何能夠把已有這些平臺結合在一起，都是為這個網絡安全貢獻自己的力量?這一塊是需要考慮的一個范疇。有一些時候沒有足夠資金。我們達到1+1大于2這樣一個效果，先看一下全面可見性，是整個網絡安全建設的基礎，如果不了解一個網絡，網絡里面什么平臺?什么主機?包括什么IP地址，什么都是不知道。安全策略一定是拍腦門出來的策略，對你來說沒有太多的針對性。所以，做網絡安全，做控制，所有的一切的一切都是一個全面的可見性，如何來獲得這個可見性?目前業界有一個技術，中文意思是情景感知。是目前來講提供全面可見性一個主流的安全技術。什么是情景感知?舉一個例子，兩個字符，如果兩個單獨字符，分不清楚是一個B還是13，如果前后關聯一下，A和C之間就輕松就知道了，A和C之間就是B，12和14中間就是13。傳統意義上靠一個地址確定終端時代已經過去了，現在準備識別一個終端從多個因素考慮，這個終端什么人在用，什么部門的，老板還是員工?這個終端是一個什么樣子的終端?是一個筆記本電腦，還是一個IPHONE，還是電話，如果是醫療機構，到底是一個普通的終端?還是一個醫療設備?可能都是有一個全面的了解。包括這個終端是如何接到網絡當中，是通過有線，無線，遠程接入?北京?上海?現在在什么位置?什么時間。就是把這些確定出來一個終端，對于服務端也是一樣。

現在就是講云數據中心，如何防護?有很多重要信息資產放數據中心，這個時候需要全面可見性，這個服務器是一個虛機還是物理主機?上面什么漏洞?對外提供服務是用的什么?包括跑的應用，版本，這些都是有一個全面的了解。從終端對于服務端訪問，傳統意義上面來說，靠最基本的防火墻，現在大家都是提過一個概念。怎么去做控制?應用中這些流量到底是正常的?還是異常?傳的文件是正常的文件還是惡意軟件，這個都是需要知道，這個是本意情景感知的概念。

可能了解自己的網絡不可以說，人工去查。技術角度有幾種技術來考量，現在通用幾個技術，一個是客戶端技術，就是主機上面裝客戶端，主動掃描技術。第三，所謂的被動的流量，指紋分析技術，這些技術都是比較的廣泛。我個人在這個里面都是比較的偏向與被動的指紋分析技術。因為這個技術對于終端完全的透明，并且靠實時流量分析來得出可見性，是整個實時一個概念，定期地掃描實時性更緊。這個是一個本地一個可見性。

除了本地的可見性，整個互聯網是一個全球互聯網，世界任何一個地方，任何一個時間發生的威脅，同時可能發生在我們身上，我們需要全球的安全情報的智慧幫助我們解決最新的其他地方曾經發現過的這些問題。這個其實就是一個安全大數據和安全情報分析一個概念。有一個本地的可見性，有了全球的可見性，我可能對于我的網絡就可以做到了如指掌，知道網絡當中一些基本情況，終端，應用，服務，流量，我也是知道我內部一些威脅的情況，這個時候我可能想怎么控制就做到怎么控制。

只有可見，才可以實現可防。很多人看到了網絡一些基本情況，很高興，這個是不足夠的。目標是為了幫助我們更好判斷危險，控制危險。五真正威脅防御是我們最終的目標，是可以幫助我們最大限度減少因為網絡攻擊造成的一些影響，造成的一些損失。

剛剛看到了全面的可見性，對于本地全面可見性給我們做判斷，提供了一些基礎。比如說，我們看到了郵件，我們看到外部訪問，我們看到終端所有這些屬性，有了這些做終端準入控制，做郵件控制變得很簡單。再加上安全情報提供的智能，讓安全判斷有了這種大腦的智慧。告訴我什么是對的，什么是好的，什么是壞的。這個時候對于網絡當中的幾乎所有的方方面面都是做出防護。比如說，對于郵箱，可以看到郵箱信息，可以看到附件屬性，可以看見鏈接屬性。對于終端準入，可以看到終端所有的屬性，所有的用戶，所有的健康狀態，我可以看到跟他相關所有的安全事件，這些結合起來會有一個真正的基于威脅終端準入控制。

所以，可見性和安全大數據結合起來可以給我們提供更好的一個威脅的防御。威脅防御也是看一下每一個發生階段，這里給大家介紹一下安全模型，所謂的安全模型。攻擊發生每一個階段都是有相應防護和響應的措施。比如說，在攻擊發生以我要做什么?就是全面可見性都是在攻擊發生以前做的。要了解網絡，看到所有的東西，把業界最新安全情報要了解。根據看到的東西我寫一個最小權限原則的策略。我加固一些服務器，流量，這些都是可以加固。最終目的就是加固防護措施，這個是攻擊發生以前做的。攻擊發生之中要做什么?有人對我進行攻擊了，這個時候充分利用剛剛的可見性所有的信息，安全大數據所有的信息。結合一些深度技術，把這些攻擊找出來。然后，擋住。如果這些攻擊存在一些變化，我有足夠的智慧可以覺察到這一點，我可以把它檢測出來阻擋住。這個是攻擊發生之中做的事情。沒有一個技術100%擋住攻擊，這一塊大家是認同的，攻擊沒有100%有效性概念。如果網絡真的被別人攻擊了，某一臺服務器被別人中上一個后門，這個時候做什么?就是要快速地做出響應，最短時間內找到問題，解決問題。找到問題，不僅僅是人可以做的事情，還有很多其他的技術，比如說，現在追溯技術，實時跟蹤技術，可以幫助我們在最短時間內找到那個當中有問題的機器，然后對它做出隔離，做出修復，這個是涵蓋整個攻擊發生周期的安全模型。不同安全技術都是要到模型當中。防火墻，包括主機加固這些技術主要用在攻擊發生以前，威脅防御，外部安全，郵件安全，這些技術主要是放在攻擊發生之中階段。惡意軟件防護，包括大數據關聯，關聯分析這些技術，可能在我們攻擊發生以后會起到一個很大的作用。這個是所謂的涵蓋攻擊發生整個生命周期這樣一個模型。

當然，我前面也是提到了惡意軟件是我們現在最大的一個威脅，所以，對于惡意軟件防護，對于每一個企業都是顯得相當重要。最早很多人也是部署了相應的防病毒的技術。這個跟病毒有一些區別，不會對電腦自身造成一些破壞，造成一些影響。更多是想遠程控制主機，拿走一些敏感的信息。比如說，典型的后門軟件，廣告軟件，以及一些惡意的瀏覽器的插件，他們其實都可以從你的電腦當中拿走很多的數據。對于這種惡意軟件，如果你靠一個簡單的特征來去識別，現在已經很難做到了。這個時候對于惡意軟件的防護，我們也是需要一個全球連防一個概念。做到一次發現，全球防護。同時，這個防護需要部署在網絡當中的任何的位置，做到無處不在的一個防護。可能各位之前都是聽說過，在美國的很多大企業發生的安全事件都是由惡意軟件來進入到網絡來實現的。包括我們看到的POS機上面有惡意軟件。所以，任何位置惡意軟件防護都不可以放松。

對于惡意軟件防護，我們可能需要從幾個方面去考慮。第一方面，快速地檢測，實時的檢測，現在惡意軟件一般來講普遍采用云治理概念，云端，進行一個檢測。這個里面還有一個技術跟大家重點提一下，如何跟蹤這種惡意軟件?傳統很多技術都是做什么呢?如果一個軟件進入到你的網絡，你要判斷他是好是壞?如果是壞的，可能你會把它扔掉，如果這個時候還不知道是好還是壞，一般的做法是什么?讓這個軟件進入到我們的網絡。那么，萬一某一天這個軟件真的被發現是一個惡意軟件，已經控制了內網當中很多的機器，可能就無能無力。現在比較新的一個技術，可以對這種軟件進行一個實時跟蹤。一個軟件進入到網絡里面，如果還沒有發現是一個惡意軟件，你可以讓他進去，需要對他進行一個實時跟蹤，兩天以后，發現這個軟件很多人對他進行分析了，發現是一個惡意軟件，這個時候是需要調住之前的傳統軌跡，什么機器碰過這個軟件，這個都是網絡當中一次被感染的主機。需要快速去察看一下他們，找到問題，解決問題。這個技術是幫助我們可以快速地找到之前曾經錯過那些攻擊，可以錯過那些威脅。這樣幫助把響應時間從業界平均看到的，有100天左右做小到兩天之內。這個是惡意軟件防護，對于我們來講現在是一個相當重要的這樣一個范疇。

最后，想跟大家分享一個統一平臺的概念。我碰到很多的客戶，現在如果想做網絡安全的時候，第一步想到加一個防火墻，加一個入侵防御，這些技術的確在我們企業的網絡安全當中起不少的作用。但是，網絡安全是整網安全，網絡安全，網絡安全，離開網絡，單談安全做的就是不夠的。所以，網絡基礎平臺是安全建設必須要依賴平臺。舉一個例子，這個例子各位都是比較的熟悉，一個黑客進入網絡，第一步做什么?就是網絡當中找一個目標主機。不一定有多大權限。但是一定有漏洞，通過漏洞，我可以導入這樣一個惡意軟件，這個時候可以控制這個主機，后面所有的工作都是在網絡內部來進行的。比如說，網絡內部實現一個掃描，全線的提升。 控制主機繁殖，我需要的信息。我這個攻擊基本上前一個階段就算完成了。我會把這些信息通過一些合法的手段傳到外面，這樣的話我拿到敏感信息，我可以往外賣錢，可以獲得很高經濟利益。這個供給整個過程來看，第一步跨越網絡邊界，網絡邊界沒有實現這個防護，后續幾步所有的行為都是在網絡內部做的。很多安全設備很難去發現，這個時候怎么辦?可以很好地去利用內網網絡技術架構平臺。內網當中的交換器，幫助你們實現整個內網這種安全的防護。

其實網絡基礎架構真的可以對于網絡安全做的更多，現在我見到的絕大多數客戶沒有意識到這一點。我們看一下，網絡技術架構給我們網絡安全提供哪些?

第一點，隔離，隔離這一塊大家做的相對多一些，這些虛擬陸游交換做隔離。但是，網絡安全的隔離S靠網絡設備隔離，可以做的更好。比如說，現在我們提的很熱一個技術，就是微分割技術。通過這些技術實際上可以利用網絡平臺來對不同的用戶終端，不同用戶的組，不同的終端的安全組進行隔離。就像前面講的情景感知技術。可以看到下面所有的終端不同的屬性。我基于這些屬性可以是不同得分組，在網絡的平臺上可以基于分組做控制，而不是一些簡單的基于IP地址進行控制。就是讓整個內網控制更靈活，不同的人員普遍有不同的局限，不同的人員使用不同的設備，可能還有另外的局限。這個是第一點網絡設備可以幫助我們做微分割的控制。

第二點，網絡設備作為我們的傳感器。什么設備看到整網所有的流量?防火墻看不到，有虛擬化平臺，有虛擬化交換機是可以看到所有的網絡的流量。這些流量到底是正常?還是異常?可以把其他的一些信息弄出來，基于行為的分析。分析完了以后，我知道什么呢?這個終端是異常，這個終端做掃描，這個終端被別人攻擊。這個基于流量這種行為分析來得到。網絡設備在這個其中扮演一個非常重要的角色，是我的信息來源。同時，網絡設備也可以作為威脅快速緩解這種設備執行器。發現這個終端有問題，發現服務器在遭受攻擊怎么辦?邊界設備上面做新策略，有時候并不一定起到多大的作用。這個時候可以快速利用網絡設備，我發現終端有問題，我可以快速地對你進行隔離，利用最底層交換機進行隔離，給你最小權限，對你進行隔離。發現問題以后是最好的一個威脅緩解的平臺。

思科是業界最大的一個網絡基礎架構這樣一個提供商，思科安全解決方案可能是會涵蓋所有的網絡技術平臺，加上原有一些安全的平臺，思科平臺已經對網絡安全未來做了一些準備。比如說，在這種上面。我們交換機，路由器，提供更多，如果你有一個終端接入交換機上面，交換機有個能力自動判斷出來是一個PC機還是一個IP電話，還有一個打印機，接到無線控制器，是IOS，還是一個安卓，根據廠商的判斷三星還是華為?

當然，還有很多認證信息，不同的用戶的信息，還有很多流量信息，這些都是可以提煉到。所以，網絡設備可以提供很大的一個可視化。有了可視化，結合威脅情報，加上很細一些分析。比如說，基于指紋的分析，剛剛介紹了一下，每一個終端，每一個應用都是有自己的一些指紋的特性，只要對一些數據包進行足夠的提煉都是可以分析出其中一些指紋的信息，判斷出這個終端到底是什么?這個數據到底代表的是什么應用?行為的分析，有時候數據中心怎么辦?怎么找到有問題的主機?可以基于行為做一些事情。對于采樣信息，我可以看一下這個人的行為到底是正常的?還是異常的?正常行為是量子，這些行為有什么特征?我看到了他在不停掃描其他的機器，這些都是所謂的行為的特性。

當然，有了可見性，有了安全智能，下一步就是執行，安全平臺上面做，網絡平臺上面做。思科也是有一個技術，就是什么呢?不想多提，就是這個技術真正的把安全組的概念帶入到網絡平臺，網絡平臺沒有必要一定基于IP地址做一些控制，可以基于安全組，可以基于安全組標簽做。把你的網絡分成了動態的安全組。這種網絡基礎平臺可以幫你進行一些微分割的控制。

安全來講，把可見性，威脅防御，包括統一平臺，給大家過了一下。安全行業很熱。

軟件起了一個相當重要的一個作用，很多情況通過軟件很細的分析給我們提供一些相應的可見性和防護。在這一塊思科也是把軟件作為自己很重要一個方向，我們只有通過軟件才可以提升我們整體防御這種靈活性。現在你會看到，這個網絡現在變得很多樣性。單單靠盒子很難做到面面俱到，要把防護放到里面，要放到虛擬化數據中心里面。所以，有很多的軟件，你可以放盒子里面，還是放到虛擬化平臺里面，都是顯得得心應手。

這是我最后一頁了。之前也是跟大家講過，思科目前已經把網絡安全作為我們整個公司的頭等要務，不知道大家對于思科了解多少?我們之前的一位先生現在已經退休了，他來公司目前只有一個角色，就是網絡安全，只看中整個公司網絡安全的業務發展。所以，思科在這里也向各位承諾，網絡安全行業我們會繼續朝著4個目標去邁進。

第一，簡單。 我們致力于讓這個簡單對于用戶來講，不是對于廠商來講，需要做很多的工作。對于用戶來講，我們會讓他做簡單，比如說，現在很新的一些技術。比如說，不知道各位有沒有聽說過?IOC，感染指數概念，跟終端安全相關事件做很好的關聯。最后，判斷出來這個可能性多大，給你直接呈現，網絡當中12345這些機器有問題，這個就是IOC技術，幫助網絡安全變得簡單。這邊舉一個例子，剛剛講了可見性，發現這個機器是一個機器，上面是開服務，是開什么端口。有別的平臺發現這個機器中了一個惡意軟件，一個惡意軟件，傳給這個機器。然后，緊接著，我發現這個機器節朝著外面一個僵尸網絡發起一個連接，一關聯，這個主動朝外被別人控制。這個就是明確信號，應該趕緊處理這個。

第二開放，思科平臺已經開放所有的接口，有很多的開發愛好者，還有很多其他的開元平臺，我們會繼續讓他開元，繼續讓所有的愛好者可以共同地來努力，來提高開元的威脅防御基礎架構的能力。

第三，自動，很多安全設備目前沒有足夠的接口，我們講了自動化對于我們用戶也是顯得非常的重要，現在我們講就把網絡變得自動化。可能有一個業務來部署過來，我整個網絡一條命令都是部署結束。安全也是一樣的，只要業務來了，你想部署這個業務，我可能一鍵讓網絡和安全全部部署完畢。安全實際上已經成為了我們業務推進的一個驅動力，而不是業務推進的一個阻力。

第四，高效。剛剛已經講了很多的可見性，安全大數據，幫助我們自動高效地去防御威脅。這些都是思科的安全的一個承諾。

我的內容就是這些，謝謝大家。

以上是51CTO.com記者從【WOT企業安全技術峰會】一線為您帶來的精彩報道。一大波精彩內容報道正在襲來，敬請持續關注!