信息來源：比特網(wǎng)

 

       如果您是個圍棋愛好者，一定聽說過“宇宙流”。這是上世紀七八十年代日本超一流棋手武宮正樹先生創(chuàng)造的一種布局作戰(zhàn)方式，核心思想是重視外勢和中央，以總體作戰(zhàn)形成全局的優(yōu)勢——在他之前，重視邊角的實利一直是圍棋的主流?？梢哉f，“宇宙流”改變了一代人的圍棋理念。

       在做一個安全采訪的時候想起“宇宙流”，多少有點怪異，但這的確是我在采訪思科大中華區(qū)安全業(yè)務總經(jīng)理莊敬賢先生時，腦子里彈出的一種感覺。仔細回想起來，這種感覺并非毫無根據(jù)。

企業(yè)網(wǎng)絡安全棋局的變化與抉擇

       一張圍棋盤361個點，世間沒有兩盤一模一樣的對弈，其復雜性不言而喻;企業(yè)IT系統(tǒng)經(jīng)過數(shù)十年的發(fā)展，其觸角已經(jīng)延展到企業(yè)業(yè)務體系的各個環(huán)節(jié)，枝繁葉茂、盤根錯節(jié)。這種情況下，企業(yè)的網(wǎng)絡是否足夠安全，已經(jīng)沒有十幾年前看起來那么簡單了，其復雜性一點也不弱于一盤復雜的棋局。

莊敬賢認為，如今企業(yè)安全問題日益復雜，這里面有三方面的原因：

       首先是全數(shù)字化顛覆已經(jīng)大規(guī)模展開，移動終端迅猛增加——數(shù)據(jù)顯示，到2020年，網(wǎng)絡互聯(lián)設備總量將達到500億臺，這給企業(yè)安全帶來了不小的威脅。

       第二個原因是企業(yè)在安全上的對手，也就是攻擊，越來越活躍。全數(shù)字化的時代，隨著云及互聯(lián)網(wǎng)的發(fā)展，攻擊面變得更多更廣，威脅的來源也更多，黑客已經(jīng)不是業(yè)余去搞破壞了，現(xiàn)在的攻擊和威脅有產(chǎn)業(yè)化趨勢。

       第三是企業(yè)IT產(chǎn)品、包括安全產(chǎn)品日益多元化，每個企業(yè)用戶平均會用到30到50個品牌的安全產(chǎn)品。在多品牌的環(huán)境下，產(chǎn)品間的互通性和開放性很差，網(wǎng)絡的復雜性隨之增加。

       這三個元素給企業(yè)造成了新的安全挑戰(zhàn)。威脅格局是動態(tài)的，不是靜態(tài)的，企業(yè)客戶要面對的網(wǎng)絡安全防御新狀態(tài)，經(jīng)常會陷入一種“安全有效性缺口”的狀態(tài)，即隨著企業(yè)投資的增大，防御力并不能線性上升，復雜性卻是指數(shù)級上升(參見下圖一)。用戶部署的安全產(chǎn)品能夠提供給用戶的防御力和其構成的復雜性之間存在的缺口，即是“安全有效性缺口”，會為企業(yè)客戶帶來成本、運營、人手方面的壓力。企業(yè)真正期望的，其實是防御力能夠隨著投資呈線性增長、而且增幅大于復雜性的結構(參見圖二)。

       這就好像一盤棋局，如果糾纏于一城一地，那么雙方肯定在各個地方針鋒相對，相互纏繞;落子越多，棋局越復雜，威脅也就更大。

       那么，有其他的策略選擇嗎？

       既然無處不險，那就處處著眼

       正如當年武宮正樹先生的“宇宙流”一樣，思科選擇的落子方向，是著眼全局、直奔中央的策略。

莊敬賢介紹說，思科安全解決方案的總體策略，就是著眼于“安全無處不在”的前提，建立一整套全新的防御架構。和傳統(tǒng)的安全防御理念相比，這種理念有兩個比較大的差異。

       第一個差異是，思科認為安全防御不僅要覆蓋企業(yè)網(wǎng)絡的各個區(qū)域，更要覆蓋整個攻擊的周期，攻擊前、攻擊中、攻擊后都要有應對的方法。以前大部分安全解決方案都過分集中在攻擊前如何加固，并沒有關注在攻擊的過程當中和被攻擊之后如何應對——這是因為過去威脅沒有現(xiàn)在這么復雜，大部分企業(yè)相信只要把攻擊前的加固做好了就安全了，就不會被攻破了;而現(xiàn)在，再強的外圍防御也會被攻破，所以我們必須考慮一旦威脅攻擊進入到了內網(wǎng)當中，企業(yè)應該如何應對以及如何去減少負面影響。

       第二個差異性是，思科相信有效的防御必須有最好的“可視性(Visibility)”，必須要看見威脅，才能防御。具體說來，首先就是要了解具體有哪些新的威脅，然后做出有效防御;其次是內部架構可視性的提高，了解到底發(fā)生了什么事——這其實就是“知己知彼”的意思了。

聽起來這個思路還是不錯的。我要求莊敬賢先生給我舉個實例。他給我展示了這張圖：

       勒索軟件是最“流行”的威脅之一，無論是國內還是國外。勒索軟件的基本思路是三步，即植入、訪問、加密。首先，攻擊者用各種辦法(電子郵件、惡意網(wǎng)頁等)把勒索軟件植入到員工的筆記本或者系統(tǒng)里;第二步，攻擊者聯(lián)系攻擊的架構平臺，取得控制權或者拿到密鑰，然后從外部進行訪問;第三步，攻擊者加密你的文檔……這時企業(yè)再發(fā)現(xiàn)就已經(jīng)太晚了。

針對勒索軟件這三個步驟，思科是如何防范的呢？

       首先，由于網(wǎng)站訪問或者攻擊植入時基本都要經(jīng)過防火墻和DNS，所以可以利用OpenDNS阻止惡意鏈接的訪問，包括數(shù)據(jù)向外傳輸?shù)淖钄?。第二步，勒索軟件必須要有信息向外發(fā)布的過程，這時可以通過日常行為分析來檢測這樣的惡意活動，然后抓出來進行防御。如果這兩步都不成功的話，攻擊者做完訪問拿到一個密鑰回來準備進行加密動作時，惡意軟件防御機制就可以發(fā)現(xiàn)然后阻止。

       在整個過程中，思科高級惡意軟件防護其實是持續(xù)性的，任何一個文件進來通過DNS和防火墻時都要進行異常分析判斷，并保持持續(xù)跟蹤和監(jiān)控。當發(fā)現(xiàn)有異常動作的時候，系統(tǒng)就可以把它“抓”起來——這就是一個多層防御、覆蓋整個攻擊過程的防御。當然，要想達到這種效果，需要多種產(chǎn)品的聯(lián)動。在上面勒索軟件這個例子上，其實就有思科的四款產(chǎn)品(OpenDNS、高級惡意軟件防護、下一代防火墻、Stealthwatch)在同時運作。

       莊敬賢同時強調，上述動作其實是自動進行的，因為現(xiàn)在安全形勢越來越復雜，人員也是一個壓力的來源，包括人手不夠、技術水平不足等，所以自動化一定是一個重要原則。

“宇宙流”不簡單 生態(tài)鏈是關鍵

       如同下棋看重的是最終的勝負而不是一時的痛快，企業(yè)網(wǎng)絡安全防御重要的不是過程或者理念，而是結果。當年武宮正樹雖然震動業(yè)界，但也并不是雄霸天下戰(zhàn)無不勝，問題就在于這種風格也有自己的局限性——一旦大模樣不成功，那就一敗涂地。

       思科的安全體系如何打破這種局限性呢？莊敬賢表示，那就是對企業(yè)整體性、全局性的著眼和統(tǒng)一防御的高要求。

       思科這套安全理念的思路，最大的優(yōu)勢其實就是整體性。莊敬賢對記者坦承，就單一產(chǎn)品而言，思科的每個產(chǎn)品都不弱——除了稱雄市場十幾年的防火墻，思科的安全軟件和威脅情報儲備也是業(yè)內一流;但更關鍵的是，思科強調的是重點，不是單一去看每一個產(chǎn)品有沒有競爭力，而是如何“有效地把最好的各種產(chǎn)品整合為一個架構，提供給企業(yè)做總體的防御，這就是思科安全核心的競爭力”。

       但福禍相依，優(yōu)勢的背后就是命門。在異構化平臺已經(jīng)成為現(xiàn)實的今天，不是每個企業(yè)都能從頭開始、一次性地全部采用思科的所有產(chǎn)品。這種情況下，對其他友商產(chǎn)品的適用和共享互通就成了一個關鍵性因素——如果思科的“大腦”無法調動其他品牌產(chǎn)品的“肢體”，再好的理念也無法帶來真正的防御能力。但，這個問題似乎不是僅靠思科就能全部解決的。

       我直接問莊敬賢：現(xiàn)在共享互動的進展如何？

       莊敬賢沒有直接回答我，他說，思科的各方面產(chǎn)品都是基于標準化的，同時他們開放自己的平臺，為產(chǎn)品的集成整合做好準備。目前已經(jīng)有了不少企業(yè)和思科達成了互聯(lián)互動的合作。

       莊敬賢同時補充說，其實無論是國外還是國內，各個廠商都看到未來有效的安全防御必須是架構防御，要建立一個生態(tài)鏈，要互相合作。合作有兩個層面，一個是平臺和生態(tài)鏈的合作，一個是威脅情報互通。目前，思科的Talos在全世界各地都有很多合作伙伴，也已經(jīng)開展了一些情報的交換和互通，已經(jīng)能做到具有一定的集成和整合，并真正做到有效防御。

       我能感覺到，這段表達，有思科的決策，更有思科的期待。

       而就在剛剛結束本次采訪后，思科全球宣布計劃收購CloudLock公司。CloudLock是一家總部設于美國馬薩諸塞州沃爾瑟姆的私營云安全公司，專門致力于云訪問安全代理(CASB)技術，圍繞云服務中的用戶行為和敏感數(shù)據(jù)為企業(yè)提供可見性和分析服務，包括SaaS、IaaS和PaaS。此次收購將進一步增強思科的安全產(chǎn)品組合，依托思科的“安全無處不在”戰(zhàn)略，為企業(yè)提供從云到網(wǎng)絡再到終端的全面保護。CloudLock公司的云訪問安全代理(CASB)技術可幫助企業(yè)了解和監(jiān)控云應用中的用戶行為和敏感數(shù)據(jù)，提供更出色的可見性、合規(guī)性和威脅防護能力，無論這些應用是否由企業(yè)IT部門創(chuàng)建。

       這似乎是對“共享互動的進展”這個問題的一個很不錯的補充答案吧。