思科:正在趋于完善的网络安全体系
2019-05-24王永
王永
对于企业管理者来讲,包括CISO(首席信息安全官)而言,最大的挑战是什么?安全!近几年频发的安全事件已经让众多企业CISO彻夜难眠——虽然企业应对安全威胁的技术和手段都在逐年升级,但是整体的安全形势依旧严峻。
“在2019年的报告中,思科针对受众的变化把报告分成三部分:《2019年思科数据隐私基准研究》、《2019年思科首席信息安全官(CISO)基准研究报告》以及《2019年思科威胁报告》。” 思科大中华区副总裁,安全事业部总经理卜宪录在接受笔者的采访时表示,这是思科连续第 12 年发布关于网络安全形势的研究结果,也是我们第五年对数千名安全领导者进行基准研究。
CISO成为企业网络安全构建的重要角色
事实上,很多企业为更好的应对未知的安全威胁,已经陆续把信息安全策略的制定和管理职能抽离出来,并设置了CISO的职位。作为企业安全防范大闸的第一关,企业CISO必须要拥有足够丰富的安全防范意识,同时整个团队也要具备应对业务的能力和技术的专业性。
CISO从传统的IT部门抽离出来面对三个层面的挑战:首先,CISO无法独立工作,必须要与传统的IT部门以及网络部门密切合作。数据显示,95%的受访者认为网络团队和安全团队之间协作程度拥有非常好的合作信号。
其次,CISO要处理过去企业遗留下的安全隐患——技术和供应商的碎片化问题。“以往网络设备数量繁多,信息安全的技术也层出不穷,信息安全的供应商是碎片化的,一家企业会同时采用多种安全供应商,”卜宪录表示,对于CISO而言,如何有效地把各种安全产品整合在一起,并有效处理它们的报警信息,得出一个整体和具体的分析结果都是极具挑战的。
毫无疑问,在安全领域最大的挑战是不断有新的威胁出现,与之伴随的是新的技术解决方案、厂商以及产品。但是根据在《2019年思科CISO基准研究报告》中的统计表明,其中超过50%的报警信息是根本没有被看过也没有被处理过的。一方面是因为信息量过多,包括很多误报信息,企业的安全技术人员并不能有效处理,另一方面是来自于技术层面的挑战,怎样才能把不同产品发出的警告标准化?
对此,卜宪录的建议是尽量精简和整合,把更多的时间和精力拿去关注真正的事情以及可能发生的未知威胁。
最后是来自未知的威胁。如何管理、发现未知威胁,如何应对这些未知的威胁是一个很有挑战性的课题。
报告显示,未知威胁是当下企业非常关注的安全问题,而且很多未知威胁其实是利用了一些已知的途径和手段去渗透,比如电子邮件,在垃圾邮件常常藏有恶意链接。
基于调查以及数据驱动分析,《2019年思科CISO基准研究报告》为CISO提出最佳實践的建议:通过将实用战略与网络保险和风险评估相结合,基于测得的安全结果制定安全预算,以指导采购、战略和管理决策。同时企业可以采用业内经验证的流程,减少其暴露程度和受攻击程度。这些流程包括加强演练;采用严格的调查方法;并且了解最快的恢复方法。
除此之外,CISO还应了解业务案例的基本安全需求的唯一方法是在IT、网络、安全和风险/合规部门之间,跨越孤岛进行协作。协同各种工具对事件的响应,以便加快从检测到响应的速度,并减少手动操作。并将威胁检测与访问保护相结合,以解决内部威胁,与Zero Trust(零可信)等计划保持一致。通过网络钓鱼培训、多因素身份验证、高级垃圾邮件过滤和DMARC,解决头号威胁来源,以防范商业电邮攻击。
趋于完善的安全理念和架构设计
在《2019年思科威胁报告》中,2019年从目标转变上思科关注三部分:物联网、移动平台以及供应链。
“以VPNFilter为例,VPNFilter是针对物联网设备的一个典型攻击,该病毒以路由器为目标,去年有54个国家的50万台设备受到影响。”思科大中华区网络安全事业部技术总监徐洪涛表示,黑客攻击瞄向移动平台也在发生变化,过去攻击者常常以手机和PC等终端作为主攻目标,现在它们改为攻击MDM平台,通过控制该平台再控制其管辖下的所有设备。
在徐洪涛看来,这几起关键事件的攻击手段主要有三个特征:抢头条式的攻击方式、低调合作以及潜伏隐蔽的攻击方式。
随着越来越多的企业用户深受的网络威胁的危害,思科曾预测2018年会是勒索软件大规模爆发的一年,事实也确实如此。不过徐洪涛表示,这一情况在2019年将会发生巨大变化,勒索软件正在以新的威胁方式出现——加密挖矿软件。主要体现在勒索软件虽然很暴力、且直截了当,直接把电脑加密并勒索钱财,但攻击者真正能收到赎金的并不多。
徐洪涛表示,“为了帮助用户更好地了解最新威胁信息和防御的最佳实践,除‘年度威胁报告外,思科还推出了‘每月热点威胁报告和‘Talos每周威胁汇总。其中‘每月热点威胁报告,涵盖不同类别的热点威胁信息,同时重点介绍阻止这些威胁的领先方案;Talos每周发布的威胁汇总,还会免费公开全球主要的恶意软件的形态、特征,以及文件的特征、IP的特征等。”
或许大家会好奇,是什么支撑思科提供每月、每周的安全分析?其实这源自于其背后全球最大的安全研究团队——思科Talos。
据了解,思科Talos团队由业界领先的网络安全专家组成,他们分析评估黑客活动、入侵企图、恶意软件以及漏洞的最新趋势,同时这个团队得到了Snort、ClamAV、Senderbase.org和Spamcop.net社区的庞大资源支持,使得它成为网络安全行业最大的安全研究团队,专门为思科客户、产品和服务提供卓越的保护。思科Talos拥有思科无可匹敌的丰富遥测数据:借助上百万个遥测代理、4个全球数据中心、超过100家威胁情报合作伙伴以及1100个威胁捕获程序。
为了完善安全理念和架构设计,思科在安全领域的投资从未停止。2018年,思科花费23.5亿美元收购互联网安全公司Duo Security,用于加强对Zero Trust方案的完善。显然,思科对于安全的规划有着明确而清晰的方向。
写在最后
随着边界的模糊、应用的复杂,移动、云等新因素出现后,思科在最新的理念和架构设计上也有一些变化。传统防护的思路是以威胁为中心的防御,不过太过被动,为此思科新增一个维度——Zero Trust(零可信),任何设备、用户、应用或者数据,都必须要一次一授权,最大限度地降低未知威胁侵入的可能性。
卜宪录提醒企业用户要警惕随着安全产品生命周期的迭代,可能面临的新的安全问题和潜在风险。他同时强调:“正是为了应对这种层出不穷的新的挑战,过去的二十多年中,思科一直在持续加强研发创新,一直持续地致力于将安全和网络基础架构相融合,让网络变得更智慧更安全。思科在网络和安全技术领域多年的积累和持续创新是思科承诺给用户的最重要的安全保障。”