總編下午茶:企業安全棋局的“宇宙流”
原創如果您是個圍棋愛好者,一定聽說過“宇宙流”。這是上世紀七八十年代日本超一流棋手武宮正樹先生創造的一種布局作戰方式,核心思想是重視外勢和中央,以總體作戰形成全局的優勢——在他之前,重視邊角的實利一直是圍棋的主流。可以說,“宇宙流”改變了一代人的圍棋理念。
在做一個安全采訪的時候想起“宇宙流”,多少有點怪異,但這的確是我在采訪思科大中華區安全業務總經理莊敬賢先生時,腦子里彈出的一種感覺。仔細回想起來,這種感覺并非毫無根據。
企業網絡安全棋局的變化與抉擇
一張圍棋盤361個點,世間沒有兩盤一模一樣的對弈,其復雜性不言而喻;企業IT系統經過數十年的發展,其觸角已經延展到企業業務體系的各個環節,枝繁葉茂、盤根錯節。這種情況下,企業的網絡是否足夠安全,已經沒有十幾年前看起來那么簡單了,其復雜性一點也不弱于一盤復雜的棋局。
莊敬賢認為,如今企業安全問題日益復雜,這里面有三方面的原因:
首先是全數字化顛覆已經大規模展開,移動終端迅猛增加——數據顯示,到2020年,網絡互聯設備總量將達到500億臺,這給企業安全帶來了不小的威脅。
第二個原因是企業在安全上的對手,也就是攻擊,越來越活躍。全數字化的時代,隨著云及互聯網的發展,攻擊面變得更多更廣,威脅的來源也更多,黑客已經不是業余去搞破壞了,現在的攻擊和威脅有產業化趨勢。
第三是企業IT產品、包括安全產品日益多元化,每個企業用戶平均會用到30到50個品牌的安全產品。在多品牌的環境下,產品間的互通性和開放性很差,網絡的復雜性隨之增加。
這三個元素給企業造成了新的安全挑戰。威脅格局是動態的,不是靜態的,企業客戶要面對的網絡安全防御新狀態,經常會陷入一種“安全有效性缺口”的狀態,即隨著企業投資的增大,防御力并不能線性上升,復雜性卻是指數級上升(參見下圖一)。用戶部署的安全產品能夠提供給用戶的防御力和其構成的復雜性之間存在的缺口,即是“安全有效性缺口”,會為企業客戶帶來成本、運營、人手方面的壓力。企業真正期望的,其實是防御力能夠隨著投資呈線性增長、而且增幅大于復雜性的結構(參見圖二)。
這就好像一盤棋局,如果糾纏于一城一地,那么雙方肯定在各個地方針鋒相對,相互纏繞;落子越多,棋局越復雜,威脅也就更大。
那么,有其他的策略選擇嗎?
既然無處不險,那就處處著眼
正如當年武宮正樹先生的“宇宙流”一樣,思科選擇的落子方向,是著眼全局、直奔中央的策略。
莊敬賢介紹說,思科安全解決方案的總體策略,就是著眼于“安全無處不在”的前提,建立一整套全新的防御架構。和傳統的安全防御理念相比,這種理念有兩個比較大的差異。
第一個差異是,思科認為安全防御不僅要覆蓋企業網絡的各個區域,更要覆蓋整個攻擊的周期,攻擊前、攻擊中、攻擊后都要有應對的方法。以前大部分安全解決方案都過分集中在攻擊前如何加固,并沒有關注在攻擊的過程當中和被攻擊之后如何應對——這是因為過去威脅沒有現在這么復雜,大部分企業相信只要把攻擊前的加固做好了就安全了,就不會被攻破了;而現在,再強的外圍防御也會被攻破,所以我們必須考慮一旦威脅攻擊進入到了內網當中,企業應該如何應對以及如何去減少負面影響。
第二個差異性是,思科相信有效的防御必須有最好的“可視性(Visibility)”,必須要看見威脅,才能防御。具體說來,首先就是要了解具體有哪些新的威脅,然后做出有效防御;其次是內部架構可視性的提高,了解到底發生了什么事——這其實就是“知己知彼”的意思了。
聽起來這個思路還是不錯的。我要求莊敬賢先生給我舉個實例。他給我展示了這張圖:
勒索軟件是最“流行”的威脅之一,無論是國內還是國外。勒索軟件的基本思路是三步,即植入、訪問、加密。首先,攻擊者用各種辦法(電子郵件、惡意網頁等)把勒索軟件植入到員工的筆記本或者系統里;第二步,攻擊者聯系攻擊的架構平臺,取得控制權或者拿到密鑰,然后從外部進行訪問;第三步,攻擊者加密你的文檔……這時企業再發現就已經太晚了。
針對勒索軟件這三個步驟,思科是如何防范的呢?
首先,由于網站訪問或者攻擊植入時基本都要經過防火墻和DNS,所以可以利用OpenDNS阻止惡意鏈接的訪問,包括數據向外傳輸的阻斷。第二步,勒索軟件必須要有信息向外發布的過程,這時可以通過日常行為分析來檢測這樣的惡意活動,然后抓出來進行防御。如果這兩步都不成功的話,攻擊者做完訪問拿到一個密鑰回來準備進行加密動作時,惡意軟件防御機制就可以發現然后阻止。
在整個過程中,思科高級惡意軟件防護其實是持續性的,任何一個文件進來通過DNS和防火墻時都要進行異常分析判斷,并保持持續跟蹤和監控。當發現有異常動作的時候,系統就可以把它“抓”起來——這就是一個多層防御、覆蓋整個攻擊過程的防御。當然,要想達到這種效果,需要多種產品的聯動。在上面勒索軟件這個例子上,其實就有思科的四款產品(OpenDNS、高級惡意軟件防護、下一代防火墻、Stealthwatch)在同時運作。
莊敬賢同時強調,上述動作其實是自動進行的,因為現在安全形勢越來越復雜,人員也是一個壓力的來源,包括人手不夠、技術水平不足等,所以自動化一定是一個重要原則。
“宇宙流”不簡單生態鏈是關鍵
如同下棋看重的是最終的勝負而不是一時的痛快,企業網絡安全防御重要的不是過程或者理念,而是結果。當年武宮正樹雖然震動業界,但也并不是雄霸天下戰無不勝,問題就在于這種風格也有自己的局限性——一旦大模樣不成功,那就一敗涂地。
思科的安全體系如何打破這種局限性呢?莊敬賢表示,那就是對企業整體性、全局性的著眼和統一防御的高要求。
思科這套安全理念的思路,最大的優勢其實就是整體性。莊敬賢對記者坦承,就單一產品而言,思科的每個產品都不弱——除了稱雄市場十幾年的防火墻,思科的安全軟件和威脅情報儲備也是業內一流;但更關鍵的是,思科強調的是重點,不是單一去看每一個產品有沒有競爭力,而是如何“有效地把最好的各種產品整合為一個架構,提供給企業做總體的防御,這就是思科安全核心的競爭力”。
但福禍相依,優勢的背后就是命門。在異構化平臺已經成為現實的今天,不是每個企業都能從頭開始、一次性地全部采用思科的所有產品。這種情況下,對其他友商產品的適用和共享互通就成了一個關鍵性因素——如果思科的“大腦”無法調動其他品牌產品的“肢體”,再好的理念也無法帶來真正的防御能力。但,這個問題似乎不是僅靠思科就能全部解決的。
我直接問莊敬賢:現在共享互動的進展如何?
莊敬賢沒有直接回答我,他說,思科的各方面產品都是基于標準化的,同時他們開放自己的平臺,為產品的集成整合做好準備。目前已經有了不少企業和思科達成了互聯互動的合作。
莊敬賢同時補充說,其實無論是國外還是國內,各個廠商都看到未來有效的安全防御必須是架構防御,要建立一個生態鏈,要互相合作。合作有兩個層面,一個是平臺和生態鏈的合作,一個是威脅情報互通。目前,思科的Talos在全世界各地都有很多合作伙伴,也已經開展了一些情報的交換和互通,已經能做到具有一定的集成和整合,并真正做到有效防御。
我能感覺到,這段表達,有思科的決策,更有思科的期待。
而就在剛剛結束本次采訪后,思科全球宣布計劃收購CloudLock公司。CloudLock是一家總部設于美國馬薩諸塞州沃爾瑟姆的私營云安全公司,專門致力于云訪問安全代理(CASB)技術,圍繞云服務中的用戶行為和敏感數據為企業提供可見性和分析服務,包括SaaS、IaaS和PaaS。此次收購將進一步增強思科的安全產品組合,依托思科的“安全無處不在”戰略,為企業提供從云到網絡再到終端的全面保護。CloudLock公司的云訪問安全代理(CASB)技術可幫助企業了解和監控云應用中的用戶行為和敏感數據,提供更出色的可見性、合規性和威脅防護能力,無論這些應用是否由企業IT部門創建。
這似乎是對“共享互動的進展”這個問題的一個很不錯的補充答案吧。
