企業(yè)應(yīng)如何應(yīng)對2022年及以后的網(wǎng)絡(luò)安全挑戰(zhàn)，不斷上升的威脅級別、不斷變化的威脅策略以及日益復(fù)雜的IT網(wǎng)絡(luò)?安全領(lǐng)導(dǎo)者又該如何管理風(fēng)險以最大限度地提高企業(yè)的網(wǎng)絡(luò)安全態(tài)勢?在本文中，記者與Palo Alto Networks公司高級副總裁兼總經(jīng)理Anand Oswal討論了這些問題以及其他更多的內(nèi)容。

談話包括以下主題：

• 2022年及以后的網(wǎng)絡(luò)安全威脅環(huán)境。
• 管理網(wǎng)絡(luò)安全挑戰(zhàn)。
• 統(tǒng)一安全平臺的重要性。
• 零信任安全。
• 混合工作環(huán)境中對云原生安全性的需求。
• 用于管理安全的機(jī)器學(xué)習(xí)和自動化。
• 網(wǎng)絡(luò)安全威脅不斷演變的性質(zhì)。
• 對安全專業(yè)人士的建議。
• 對業(yè)務(wù)領(lǐng)導(dǎo)者和董事會成員的安全建議。

Anand Oswal，現(xiàn)任網(wǎng)絡(luò)安全公司Palo Alto Networks的高級副總裁兼總經(jīng)理，負(fù)責(zé)領(lǐng)導(dǎo)公司的“防火墻即平臺”(Firewall as a Platform)工作。

在此之前，他曾擔(dān)任思科“基于意圖的網(wǎng)絡(luò)”(Intent-Based Networking，IBN)團(tuán)隊(duì)的工程高級副總裁，負(fù)責(zé)構(gòu)建從交換、無線和路由到物聯(lián)網(wǎng)和云服務(wù)的整套平臺，這些平臺構(gòu)成了思科廣泛的企業(yè)網(wǎng)絡(luò)產(chǎn)品組合。

他擁有60多項(xiàng)美國專利，并獲得了印度浦那工程學(xué)院的電信學(xué)士學(xué)位，以及洛杉磯南加州大學(xué)的計算機(jī)網(wǎng)絡(luò)碩士學(xué)位。

采訪摘錄

2022年及以后的網(wǎng)絡(luò)安全威脅環(huán)境

Michael Krigsman：歡迎來自Palo Alto Networks的Anand Oswal。你能給我們概述一下如今的網(wǎng)絡(luò)威脅形勢嗎?

Anand Oswal：我認(rèn)為在網(wǎng)絡(luò)安全方面我們看到了三大趨勢。

第一個大家都很熟悉，即混合辦公模式將繼續(xù)存在。疫情大流行迫使我們居家辦公，現(xiàn)在，雖然我們開始重返辦公室，但尚未恢復(fù)常規(guī)的一周五天坐班模式。這種混合辦公模式必然會對安全性產(chǎn)生一定影響。

我們看到的第二個大趨勢是應(yīng)用程序遷移至云端。疫情大流行加速了企業(yè)的數(shù)字化轉(zhuǎn)型進(jìn)程，即便進(jìn)入“后疫情”時代，這種趨勢仍將繼續(xù)，并且預(yù)計會持續(xù)很長時間。

第三，也是最重要的一點(diǎn)，攻擊正變得越來越復(fù)雜且難以檢測。攻擊者正在使用我們在開發(fā)中也會用到的工具。他們不僅正在使用紅隊(duì)工具，還在利用人工智能和機(jī)器學(xué)習(xí)的力量。如此一來，這些攻擊只會變得更加復(fù)雜、隱蔽。

這三個趨勢對企業(yè)安全形勢具有重大影響。隨著用戶無處不在，威脅形勢正在加劇。

Michael Krigsman：攻擊者變得越來越老練和聰明，因此，阻止攻擊也變得更具挑戰(zhàn)性。

Anand Oswal：隨著應(yīng)用程序遷移至云端，當(dāng)我們訪問公有云中的應(yīng)用程序時，許多企業(yè)重新創(chuàng)建了軟件安全堆棧。如你所知，隨著遠(yuǎn)程勞動力的流行，IT開始爭先恐后地提升勞動者的生產(chǎn)力，并且在許多情況下，他們?yōu)檫h(yuǎn)程勞動力訪問云應(yīng)用程序重新創(chuàng)建了SaaS堆棧。

如今，隨著員工開始重返辦公室，IT有機(jī)會查看他們擁有的所有基礎(chǔ)架構(gòu)，在許多情況下，他們會發(fā)現(xiàn)存在三個不同的堆棧。這些不同的堆棧擁有不同的管理方式、不同的政策，并且會給出不同的安全結(jié)果。

現(xiàn)在，企業(yè)正在研究如何確保員工居家辦公和坐班都能擁有一致的安全性?如何獲得最佳員工體驗(yàn)?IT如何擁有獨(dú)特的管理體驗(yàn)?

管理網(wǎng)絡(luò)安全挑戰(zhàn)

Michael Krigsman：你發(fā)現(xiàn)客戶在試圖處理這種復(fù)雜的安全情況時，存在哪些類型的挑戰(zhàn)?

Anand Oswal：與我交談過的大多數(shù)客戶都有多個一直在使用的安全供應(yīng)商。當(dāng)他們查看其基礎(chǔ)設(shè)施時，他們希望做一些事情。

首先，你如何自動化你的日常工作?當(dāng)你添加新的SaaS應(yīng)用程序和新用戶時，如何自動執(zhí)行你正在應(yīng)用的策略?

其次，你如何確保以最佳方式使用支持平臺的所有功能?你的基礎(chǔ)設(shè)施是否具有正確的安全態(tài)勢?

第三，你如何確保在整個企業(yè)中實(shí)現(xiàn)用戶、應(yīng)用程序和網(wǎng)絡(luò)設(shè)備的零信任?

統(tǒng)一安全平臺的重要性

Michael Krigsman：既然平臺概念如此重要，你能否解釋一下平臺的實(shí)際含義，尤其是涉及到安全性時?

Anand Oswal：如果我把它分解成更多細(xì)節(jié)，可以把它想象成你有一個物理硬件防火墻，你擁有可以在虛擬機(jī)中部署的軟件防火墻，或者你擁有像SaaS中那樣的云交付安全性。

你希望你擁有的所有安全結(jié)構(gòu)，高級惡意軟件防御，針對命令控制、漏洞利用、DNS的防御等安全服務(wù)，始終應(yīng)用于Web應(yīng)用程序、非Web應(yīng)用程序、辦公室中的用戶、居家用戶，即使用戶在旅途中，且正在訪問位于公有云、私有云中的應(yīng)用程序，也沒有關(guān)系。

Michael Krigsman：可以這么說，所有的部分都被設(shè)計成一個更廣泛的單元一起工作。

Anand Oswal：你現(xiàn)在擁有一致的安全策略。當(dāng)netsec管理員為用戶定義策略時，你將定義一個策略。它基本上是在網(wǎng)絡(luò)安全的不同形式因素上實(shí)例化的：硬件形式因素、軟件形式因素或云交付形式因素(取決于你在哪種情況下使用的形式)。

零信任安全

Michael Krigsman：我們曾經(jīng)采訪過卡內(nèi)基梅隆大學(xué)軟件工程研究所CERT的負(fù)責(zé)人，他明確提出了零信任的通用概念，因?yàn)樗麄冋J(rèn)為這是非常重要的。

Anand Oswal：當(dāng)然。我們也從政府那里看到了這一點(diǎn)。他們要求我們實(shí)施零信任基礎(chǔ)設(shè)施。但在許多情況下，人們對它的含義以及如何駕馭這段旅程存在很多困惑。

我們需要擁有整個企業(yè)范圍內(nèi)的零信任：用戶、應(yīng)用程序、基礎(chǔ)設(shè)施。我們需要零例外的零信任。這并非易事!

Michael Krigsman：為此，安全專業(yè)人員需要在多大程度上采用一種新的心態(tài)，即零信任心態(tài)?這有多重要?

Anand Oswal：我認(rèn)為這非常重要，因?yàn)樗麄兩钤谶@個用戶無處不在、應(yīng)用程序無處不在的新世界中，他們真的希望確保擁有一致的安全性。

Michael Krigsman：當(dāng)然，這種方法與我們過去管理安全的方式非常不同。

Anand Oswal：是的，這是非常不同的，而且安全形勢本身也在發(fā)生變化。這是唯一一個擁有活躍對手的行業(yè)，有點(diǎn)像“貓捉老鼠”的游戲，你必須努力跟上這個行業(yè)的發(fā)展步伐。

以惡意軟件為例，我們看到的95%的惡意軟件都是現(xiàn)有惡意軟件的變體。

我不需要去云中處理一切，再回來做出決策，甚至更新我的簽名。我現(xiàn)在能夠在平臺本身上實(shí)時利用機(jī)器學(xué)習(xí)的強(qiáng)大功能做到這一點(diǎn)?，F(xiàn)在我只需通過靜態(tài)分析完成分析，就可以保護(hù)95%的流量。

對于需要更多動態(tài)分析的一小部分，即全新的惡意軟件，我可以使用云輔助功能，但仍然可以在單通道架構(gòu)中實(shí)時執(zhí)行。

這里要注意的兩個關(guān)鍵原則是，我們需要“實(shí)時”(real-time)行事、內(nèi)聯(lián)(inline)行事，因?yàn)椴荒茏尩谝粋€人受到攻擊、被黑客入侵。這就是業(yè)界所說的“零號病人”(patient zero)。我們也想防止從未見過的攻擊。我們希望防止第一個被各種事物(包括網(wǎng)絡(luò)釣魚、惡意軟件等)感染的人。

Michael Krigsman：正如你之前所描述的，所有這一切都源于越來越復(fù)雜的攻擊者，他們正在利用人工智能、機(jī)器學(xué)習(xí)及類似技術(shù)。

Anand Oswal：是的，直到不久前，幾乎45%的網(wǎng)絡(luò)釣魚攻擊都未被發(fā)現(xiàn)。你必須更新新的機(jī)制，我們在Palo Alto Networks率先采用了這種方式，當(dāng)時我們宣布了高級URL過濾、高級威脅預(yù)防，以確保我們能夠防止和保護(hù)客戶免受前所未有的攻擊。

混合工作環(huán)境中對云原生安全性的需求

Michael Krigsman：混合辦公環(huán)境產(chǎn)生了大量端點(diǎn)，考慮到安全問題，我們需要怎么做?

Anand Oswal：你需要一種平臺方法，需要同類最佳的單一產(chǎn)品，但你也需要它們完全集成，以便可以共享數(shù)據(jù)智能。

我再進(jìn)一步解釋一下，我的意思是，你在辦公室有一個物理硬件防火墻，而當(dāng)你正在訪問云中的一些應(yīng)用程序，你有一個軟件防火墻作為前端;當(dāng)你在家時，可以通過SASE基礎(chǔ)設(shè)施訪問公有云或私有云中的應(yīng)用程序。

現(xiàn)在，無論是你的威脅預(yù)防、文件沙盒、URL過濾、DNS攻擊防護(hù)、數(shù)據(jù)和SaaS安全，且無論你身在何處，你都希望獲得一致的安全體驗(yàn)。

最后，你還希望為netsec管理員提供獨(dú)特且一致的體驗(yàn)，因此你需要一種平臺方法，無論你身在何處，訪問什么以及應(yīng)用程序位于何處，基本上都可以為你提供一致的安全體驗(yàn)或數(shù)據(jù)駐留。

用于管理安全的機(jī)器學(xué)習(xí)和自動化

Michael Krigsman：用戶如何知道采取哪些正確的策略以確保他們得到充分保護(hù)?

Anand Oswal：這就是人工智能和機(jī)器學(xué)習(xí)的用武之地。我的意思是用于網(wǎng)絡(luò)安全的人工智能操作。

你不能再繼續(xù)手動更新策略。因?yàn)槿缒闼?，SaaS應(yīng)用程序正呈爆炸式增長，用戶也在爆炸式增長，你根本無法手動執(zhí)行此操作。

這就是人工智能和機(jī)器學(xué)習(xí)發(fā)揮作用的地方，我們能做的就是自動創(chuàng)建策略。在某些情況下，我們會自動創(chuàng)建策略，netsec管理員可以查看并應(yīng)用它。

第二件事是，你還希望確保持續(xù)進(jìn)行最佳實(shí)踐評估。以Palo Alto為例，我們有280項(xiàng)最佳實(shí)踐檢查清單來應(yīng)用下一代防火墻。

你要做的最后一件事是假設(shè)場景。我的意思是幫助我們的客戶了解如果他們啟用某些新的安全功能會發(fā)生什么。例如，如果他們啟用解密會發(fā)生什么?如果他們啟用惡意軟件會發(fā)生什么?很多時候，特性或功能被啟用是因?yàn)楣芾韱T不確定如果他們這樣做會發(fā)生什么。

Michael Krigsman：你提出了一個有趣的觀點(diǎn)。你說不希望用戶進(jìn)行手動更改、手動設(shè)置。這是為什么?

Anand Oswal：很多數(shù)據(jù)可以佐證這種觀點(diǎn)。在策略配置中發(fā)生的導(dǎo)致某種安全性中斷的錯誤，超過90%都是由手動配置引發(fā)的。雖說它可能并非有意的，但卻切切實(shí)實(shí)地發(fā)生了。

Michael Krigsman：對于那些一直在手動執(zhí)行此操作，自信不會犯錯，且排斥機(jī)器的安全人員，你有什么看法?

Anand Oswal：不可否認(rèn)，這種做法以前是有效的。因?yàn)楫?dāng)時需要執(zhí)行的策略數(shù)量、應(yīng)用程序數(shù)量都很少;用戶都在辦公室工作;應(yīng)用程序也都位于數(shù)據(jù)中心。然而現(xiàn)在，你可能或多或少地在云中擁有一些應(yīng)用程序。

可以說，現(xiàn)在的我們生活在一個完全不同的世界。威脅范圍越來越廣;用戶無處不在;應(yīng)用程序位于多云環(huán)境中;員工不僅擁有IT批準(zhǔn)的設(shè)備，還擁有自己的設(shè)備，且可以從任何地方法訪問應(yīng)用程序。

這是一種非常復(fù)雜的情況，而且每天還會有新的應(yīng)用程序在增加。使用自動化策略可以有效地減少錯誤，然后讓安全架構(gòu)師能夠投身于其他更具價值的事務(wù)中。

Michael Krigsman：該平臺基于機(jī)器學(xué)習(xí)和自動化，因此其目標(biāo)是減少配置錯誤，同時讓部署速度大大加快，是嗎?

Anand Oswal：是的，絕對是，而且還能夠預(yù)測事物，即使是與安全無關(guān)的事情。例如，說明某個防火墻使用了多少帶寬。然后，根據(jù)在企業(yè)中看到的使用模式，預(yù)測防火墻在未來六個月、九個月會發(fā)生什么。

無需員工每天手動查看可用內(nèi)存，我就能夠自動獲悉“內(nèi)存達(dá)到了80%的閥值或更多”，然后可以更好地進(jìn)行規(guī)劃。

Michael Krigsman：我認(rèn)為平臺方法意味著，由于各個部分緊密集成、緊密耦合，因此你可以在整個環(huán)境中獲得無縫視圖。

Anand Oswal：確實(shí)，考慮到應(yīng)用程序可能部署在本地數(shù)據(jù)中心和云端，以及持續(xù)存在的混合辦公模式，你需要在整個企業(yè)中獲得這種可見性。

網(wǎng)絡(luò)安全威脅不斷演變的性質(zhì)

Michael Krigsman：你對安全威脅的性質(zhì)及其發(fā)展方向有何看法?

Anand Oswal：正如我所說，不僅安全團(tuán)隊(duì)正在使用越來越多的人工智能和機(jī)器學(xué)習(xí)的力量，攻擊者也在使用Cobalt Strike等紅隊(duì)工具。

關(guān)于攻擊者在網(wǎng)絡(luò)中橫向移動時會發(fā)生什么情況，已經(jīng)在Colonial Pipeline攻擊事件中得出了答案。此外，在Log4j事件中也發(fā)生了某些漏洞橫向傳播的情況。

我認(rèn)為我們不能再假設(shè)攻擊者總是來自外部。它確實(shí)大多來自外部，但也有很多橫向移動的威脅。你需要構(gòu)建你的平臺、基礎(chǔ)設(shè)施，以確保能夠持續(xù)驗(yàn)證網(wǎng)絡(luò)活動，并真正確保自己在各個方面都安全。

對安全專業(yè)人士的建議

Michael Krigsman：我們需要討論組織應(yīng)該做什么。讓我們從安全專家開始。你對安全專業(yè)人士有什么建議?

Anand Oswal：對于安全專業(yè)人士，我認(rèn)為有幾件事非常重要。首先，你是否從零信任的角度考慮你的基礎(chǔ)設(shè)施?你是否擁有一個統(tǒng)一的策略基礎(chǔ)架構(gòu)，無論用戶和設(shè)備位于何處，你的工作負(fù)載都可以應(yīng)用該基礎(chǔ)架構(gòu)?

你如何確保跟上行業(yè)中出現(xiàn)的新威脅?你是否確保能夠獲得針對惡意軟件、網(wǎng)絡(luò)釣魚、命令和控制連接的高級防護(hù)?

你的基礎(chǔ)架構(gòu)是否有太多分散的供應(yīng)商?你是否擁有集成且行業(yè)最佳的方法?你是否正在與你擁有的不同單點(diǎn)產(chǎn)品共享情報?

這些都是安全專業(yè)人員在決定如何設(shè)計和構(gòu)建安全基礎(chǔ)架構(gòu)時需要考慮的重要事項(xiàng)。

對業(yè)務(wù)領(lǐng)導(dǎo)者和董事會成員的安全建議

Michael Krigsman：接下來，對于業(yè)務(wù)領(lǐng)導(dǎo)者和董事會，你有什么建議?

Anand Oswal：我要對他們說的最重要的事情是，審查他們擁有的安全供應(yīng)商的路線圖。他們是否擁有最具創(chuàng)新性的路線圖來防止遭受未來的攻擊?你在基礎(chǔ)架構(gòu)中擁有的各個組件的集成程度如何?你在分享情報嗎?你是否正在為你的企業(yè)構(gòu)建更安全的產(chǎn)品?

擁有大量分散的安全供應(yīng)商實(shí)際上會導(dǎo)致糟糕的安全結(jié)果，而非更好的安全結(jié)果。你如何確保使用集成且行業(yè)最佳的單個組件，以便能夠在整個企業(yè)中共享智能和一致的安全性?

總而言之，這些能夠幫助他們降低運(yùn)營成本、配置成本和基礎(chǔ)設(shè)施管理成本。

Michael Krigsman：環(huán)境的簡單性實(shí)際上在這里非常重要。

Anand Oswal：是的，簡單性非常重要。當(dāng)然，集成性也非常重要。只有集成且一流的單一組件才更易于管理，從而降低運(yùn)營復(fù)雜度和運(yùn)營成本。

Michael Krigsman：我認(rèn)為，對于許多業(yè)務(wù)人士來說，真正的噩夢是他們認(rèn)為自己的安全態(tài)勢強(qiáng)大、嚴(yán)密、到位，然后在攻擊和數(shù)據(jù)泄露事件發(fā)生后，他們才發(fā)現(xiàn)事情并沒有自己想象得那般好。那么，業(yè)務(wù)領(lǐng)導(dǎo)者應(yīng)該如何確保這種情況永遠(yuǎn)不會發(fā)生呢?

Anand Oswal：我認(rèn)為有兩件事情非常重要。一是大多數(shù)受到攻擊的企業(yè)通常擁有產(chǎn)品中的所有安全功能，但沒有適當(dāng)?shù)貑⒂眠@些服務(wù)。最重要的是要確保并非“買到即止”，一定要激活它!

或者你可能確實(shí)使用了它，但你是否以適當(dāng)?shù)姆绞绞褂昧怂?例如，你是否為其制定任何政策?

Michael Krigsman：本質(zhì)上，該平臺正在檢查環(huán)境以幫助確保沒有遺漏任何東西。

Anand Oswal：該平臺將會告訴你哪些服務(wù)已啟用，哪些服務(wù)尚未啟用。對于你啟用的服務(wù)，你是否激活并適當(dāng)?shù)厥褂盟鼈?，這意味著它們將幫助你充分使用所有可利用的功能，如果你還沒有做到，它會一步步地告訴你如何實(shí)現(xiàn)。

Michael Krigsman：最后，你有什么想要補(bǔ)充的想法嗎?

Anand Oswal：我來總結(jié)一下吧。隨著用戶、應(yīng)用程序和數(shù)據(jù)無處不在，威脅形勢正在加劇。你需要在整個企業(yè)中擁有一致的安全性;需要擁有一流且集成的單點(diǎn)產(chǎn)品，以確保訪問任何應(yīng)用程序、數(shù)據(jù)的任何用戶始終是安全的;你還需要確保他們擁有最佳的用戶體驗(yàn)，且IT或netsec擁有最佳的管理員體驗(yàn)。