12月14日,FIT 2018 互联网安全创新大会现场:除了一场紧接一场的议题演讲、波澜迭起的高峰圆桌以及极客们的思维碰撞,这里也不缺少行业中的先行者们——慷慨地分享他们的观点和视野。
在本次会议的间歇,我们如约见到了来自思科的两位人物——全球安全事业部的产品高级副总裁 Jeff Reed 与思科大中华区副总裁、安全业务总经理庄敬贤,并与他们进行了访谈。
几分钟前,Jeff 刚刚在现场的全球高峰会上结束了题为《21世纪企业安全》的议题演讲。
“ 当前的全球局势下,企业如何寻求稳定的安全状态?企业怎样才能实现有效的安全防御和事件响应?深度学习和智能概念如何落地到安全业务上?思科又是如何应用这些新技术为企业安全保驾护航的,并将其融合在安全场景中?”
Jeff 细致地围绕以上内容逐步讲解,逻辑清晰的演讲风格,也为他赢得了踊跃的掌声。
稍作休息的片刻之后,他就告别听众、走下舞台,面带笑意地出现在了媒体采访区域。
和他并肩而行的另一位嘉宾,则是思科大中华区安全业务总经理庄敬贤。FreeBuf 有幸能够与他们在会议的间歇进行交谈,并小窥思科安全一路走来的过程中,在安全业务上所秉持的理念与愿景,他们的所思、所想与所成就的企业价值。
我们了解到,Jeff 毕业自斯坦福大学,现任思科全球安全事业部产品高级副总裁。而在此之前他曾在大型企业级软件公司担任高级职位,这些经历和现在在思科的 7 年都让他对行业现状、企业网络以及安全产品组合了如指掌。
我们便延续着 Jeff 当天的演讲主题,从当今的网络安全态势谈起。
Jeff 表示,当今的安全态势很难简单描述,完全可以用“非常具有挑战性”来形容。
“现在,我们的企业面临着很多不同的威胁:首先第一项挑战是,全新的安全态势之下,不同类型的网络攻击者是娴熟而有经验的。因此,全新类型的威胁层出不穷,安全研究员难以发现,也很难追踪。”
“而就是在这样的严峻的安全形势之下,安全领域人才同时也出现了很大的缺口,企业很难去吸引或者是留住安全专家。”
Jeff 表示,按照思科的估计,到 2020 年,短缺的安全专业人才数量将高达 180 万。所以在全球范围之内,在现有基础上还继续需要培养 200 万的安全人才,这也是所谓的挑战性的另一种诠释。
除此之外,综合来看的第三项挑战,则是目前的企业客户所面临的环境——企业的安全环境仍然非常复杂。多数企业现在的管理工具无法与原有的系统完美地集成,因此企业常常容易陷入难以管理的复杂情景之中。
那么思科在当前的安全形势下希望帮助企业做到什么?面对这个问题,Jeff 颇为认真地表示,
“我们希望做的,是为客户提供最全面的、最好的安全解决方案组合。这个组合能够覆盖企业的网络、终端、云等领域进行统一防护。”
从 Jeff 的表述中,我们可以发现,思科在安全业务上的愿景,不仅仅是解决企业客户在复杂环境中的安全威胁和困扰,他们还希望将各个层面的、不同的安全产品以最好的方式进行组织、整合到企业整体架构中,实现真正意义上的效率升级。
除了传统的安全产品和技术,当谈及安全产品的创新性时,Jeff 也表示,
“思科目前关注的是如何利用网络产品提供最高程度的可视性,同时我们也会致力于应用深度学习技术、以及人工智能帮助用户及时发现恶意软件的存在。”
当今安全市场上,产品纷繁复杂、各具特点,一如我们所了解的那样,思科一直也与其他厂商保持着“友好而激烈”的竞争关系。当我们问及思科安全产品所能带来的价值时,Jeff 却流露出自信的微笑,游刃有余给我们举出了一些事例:
“2 年之前,思科的威胁检测时间(TTD)是 40 小时,当时已经远远好于业界其他公司;但就在今年,思科已经成功将这一数字缩短到只要 3 个小时。”
在恶意软件防护方面,时间就如同生命。基于思科体系中能够收集和接触到的大量数据,思科能够尽可能地缩短检测时间,就可能领先一步为企业做好防护和响应。
Jeff 告诉我们,思科在 TTD 上的优势,也已经整合到了其他安全产品及解决方案中,如思科Firepower下一代防火墙、入侵防御系统(IPS)、邮件安全、Web安全、云安全、终端安全防御(AMP for Endpoints)。企业不仅能够在发现恶意软件的地方进行威胁情报的更新与分享,还能够为全球的网络、终端、邮件等提供威胁情报更新。
“未来,我觉得我们还可以应用机器学习、人工智能等新技术朝这个方向去做更多的努力,让思科现在所拥有的广泛、且覆盖不同领域的产品和解决方案,更加智能、更加有效。”
随着英国美国政府陆续发布 WannaCry 调查结果,这起席卷全球 150 多个国家的“勒索病毒”事件也正在迎来所谓的“故事的结局”。而当回溯到 5 月事件发生的时候,则可以看到思科安全在应对这起突变事件时在其中扮演的角色。
“思科高级恶意软件防护(AMP)解决方案,能够在全球出现第一起安全泄露事件的一个小时以内,在终端、网络进行威胁情报的分享。其实,在3月14日漏洞被揭露的当天,思科就为企业用户所有的防火墙、入侵防御系统(IPS)都提供了针对该漏洞的补丁。” “而当一个月之后,‘影子经纪人’小组发布源自于 Eternal Blue 和 Double Pulsar 的漏洞利用程序,思科同样对此进行了拦截。使用思科网络或者终端防护的安全解决方案,客户都能在这种攻击中得到非常好的保护。”
除此之外,使用思科 Umbrella 云安全解决方案也同样无需担心。思科 Umbrella 能够在15分钟之内将该攻击类型的属性添加到勒索软件中,将 kill switch 域转移到恶意软件类别并进行拦截。即使用户没有使用思科网络或者终端防护的解决方案,也不用担心在攻击中受到殃及。而到了 WannaCry 大规模爆发的当天,思科Talos第一时间向公众发布了一系列文章,进行了全面的技术分析,阐释了勒索软件原理,帮助广大用户免受勒索软件侵害。
而这些迅速的情报分享、事件响应以及防护措施,也体现了思科方面对安全业务的重视,Jeff 告诉我们,思科的安全业务在整体业务中的重要性非常之高。全球安全支出不断增长,安全业务已然也成为了目前思科整体业务中成长速度最快的业务。
其实 Freebuf 此前就有关注过思科在安全业务上的动态:如 2015 年对 OpenDNS 、Lancope,到在 2016 年的 CloudLock 、以及 2017 年的 Observable Networks 等等……
“我可以分享一些数据,在过去的 4 年中,思科投入了超过 40亿美元,进行安全相关业务的收购。而思科用于安全领域研发的费用已经是 4 年前的 2 倍之多。 思科的高级管理层以及董事会都对安全业务非常关注,大家都认为这对于思科来讲,是绝好的发展机会,而且思科将可以在全球范围内做更多的事情。”
思科早在 1994 年就进入了中国市场,希望把全球领先的技术和实战经验带来中国。当我们问及思科安全业务在中国的展望与蓝图时,思科大中华区副总裁、安全业务总经理庄敬贤给出了详细的作答:
“首先,思科一直在密切配合国家安全发展的方向与战略,配合国家网信办的工作,为中国做出贡献。比如,安全人才培养,将全球的威胁情报分享到国内,这些都是从国家层面来说思科希望做到的贡献。” “其次,从企业的层面来说,思科希望解决企业所面临的最新网络安全问题。过去采取边际防御或者防御网的理念来看待安全防御。但在全新的安全态势环境下,再强的防御也逐步会被突破,如何更快检测、定位和响应这些威胁,思科希望慢慢帮助企业转变安全观念。”
从 1994 年到即将到来的 2018 年,24 年间 IT 的变革如同润物无声的细雨,无时无刻不在发生。庄敬贤表示,如今企业的整体架构正在发生变化。移动网络的用户,会从不同的地区连接不同的数据中心、以及云服务。思科想要做的——是**帮助企业面向最新架构的要求,来构建企业安全防御体系**。
“我们会提供最完善的、最好的单点防御产品,但是单点防御产品必须有联防,必须整合到企业安全的完整架构之中。”
当谈及未来与发展的话题时,庄敬贤表示,思科一方面会在大中华区深化全球网络安全情报的共享,另一方面会继续加强安全人才和企业安全意识的培训。
其实,就在 FIT采访的前一天,庄敬贤和 Jeff 才从武汉回来。12月13日,思科在武汉配合了国家网信办的计划和要求,在国家网络安全人才与创新基地建设了中国武汉 Cyber Range 电子攻防实验室。
通过分享思科计算机安全事件响应团队(CSIRT)的实战经验,把世界各地最新的攻击的场景带来中国,让中国的学院或者企业利用这个平台进行攻防的演练,从而提升网络安全能力。
值得一题的是,今年的互联网安全创新大会的WitAwards评选揭幕上,年度技术变革奖也由思科 Stealthwatch摘得。
随着企业的数字化比例越来越高,加密流量的迅速增长成为困扰企业的一大问题。相当数量的服务和应用程序都在使用流量加密来保护传输的数据,2016 年有超过 40% 的网站对流量加密,比去年同期增长了 90% 以上。按照 Gartner 的估计,到 2019 年,超过 80% 的网络流量会以加密方式传输。
加密技术为网络层面的在线交易和业务服务都提供了更高的隐私和安全性:移动应用、云应用和网络应用都在依靠良好的加密机制、密钥以及数字证书来保证安全和用户信任。然而,从企业角度来看,威胁实施方面却也在应用加密方法来躲避检测,保护恶意进程。
而思科 Stealthwatch 中,它们运用的 Stealthwatch **加密流量分析技术**则可以在无需对加密流量解密的情况下,运用网络感知分析方法识别隐藏在加密流量中的恶意软件。在具体实现时,该系统针对加密流量内部的元数据进行机器学习算法分析,准确定位加密流量中的恶意模式,实现更快更精准的判断。
Stealthwatch 加密流量分析技术在遵循密码加密的前提下,充分利用现有的网络框架,帮助企业快速确定可能受到感染的设备和用户,最终提升企业面对安全事件时的响应速度和水平,也因此摘得 WitAwards评选的年度技术变革奖。