从收购Blue Coat和Skycure看赛门铁克如何做云安全

距离去年以46.5亿美元重金收购Blue Coat不到一年，赛门铁克又在今年7月，完成了对跨平台移动威胁防御厂商Skycure这一同样得到业界广泛关注的收购，并计划借此发力BYOD安全领域。

今年10月，赛门铁克就在其传统强项“终端安全”上，整合Blue Coat和Skycure的各家能力所长发布了加入诸多新安全能力的SEP最新版本14.1，以及更全面的云时代下终端安全解决方案——Endpoint Security for the Cloud Generation。

不难看出，赛门铁克这个名副其实的安全巨人，在努力保持终端安全技术优势的同时，其安全能力也正在向云端延伸。

一、“以平台为中心” 将安全能力从终端向云延伸

赛门铁克看来，只有单点部署、功能全面（可以无缝衔接本地与云端，定位所有攻击向量）的平台型安全产品，在应对复杂的终端威胁时才会是有效的。而SEP显然就是这样一个平台。

在SEP 14.1发布之初，赛门铁克就宣称其最新版本是“超越目前所有竞争者”的终端安全产品，原因就在于SEP新增加的安全能力。以下四点最为突出：

1. 跨操作系统的移动威胁防御

在宣布完成对移动安全厂商Skycure的收购后不到四个月的时间，Skycure最为突出的移动威胁防御能力便以最快速度整合到了赛门铁克SEP的最新版本中，为企业和个人提供iOS等主流操作系统的有效移动设备威胁防御能力。

工作网络中的平板和移动设备数量一直在快速增长，仅去年一年，赛门铁克就发现超过600个新的iOS和安卓操作系统漏洞，检测到了超过1840万个移动端恶意软件。移动端的安全防护一直是赛门铁克的重点，特别是随着BYOD的普及，移动端的应用和数据更加岌岌可危。结合Skycure的移动威胁防御技术，新版SEP可以在不破坏终端用户的体验和隐私的前提下，帮助超过10亿终端用户应对最新的安全威胁。

2. 利用欺骗技术和人工智能降低误报率

赛门铁克是首个在终端安全产品中部署蜜罐等欺骗技术的安全厂商。随着SEP14.1的发布，全球超过1.75亿个终端上部署了该欺骗技术。在终端环境中部署的带有欺骗性的诱饵文件、文件夹和注册表，可以引诱攻击者进入，使其在虚假的企业资产和信息环境中进行无意义的搜索。安全团队会在第一时间收到告警，在攻击者逃逸或发觉之前，找出防御的方法。

同时，为了更好的利用赛门铁克多年积累的安全数据，人工智能也参与到海量数据的检索和分析中。专门训练的AI引擎，会从二十余个不同的维度来分析程序的行为，辅助安全分析师更快地、更准确地做出判断。

3. 集成EDR确保对威胁做出有效响应

攻击发现后，如何以最短的时间做出有效的响应至关重要。集成的EDR（终端检测与响应）功能有两点：一是记录终端所有的行为数据，包括用户曾访问的网站、下载的文档、攻击发生时的相关数据等，为帮助查找诸如无文件等新型攻击提供额外信息；二是通过预置的响应手册，在响应流程方面向安全人员提供业内最佳实践，帮助降低响应成本。

4. 结合CASB应对云端安全挑战

无论是在云端的数据治理还是威胁防护，CASB（云访问安全代理）的应用都是核心。赛门铁克的云时代终端安全解决方案中，除了囊括所有SEP的最新功能以外，也加入了CASB、安全网关等云安全能力，帮助用户更安全的访问云端数据。

SEP通过CloudSOC可与整合Blue Coat能力后的CASB进行集成，帮助终端云服务使用者对云端应用有更深层次的可见性，并结合Blue Coat的安全网关、赛门铁克的数据防泄漏等产品实现对影子数据的自动化管控。

二、影子数据已成重大云安全威胁 应对重点在于数据治理

赛门铁克在今年5月发布的年度安全威胁报告(ISTR)中提到，目前虽然诸如Office365等云服务使用广泛，但企业对用户可能存在安全隐患的行为却重视度不足。企业CIO对使用中的云应用数量认识远不及实际数量，这导致近1/4的“影子数据”(即在IT不知情的情况下或未经IT同意而存储在云端的企业数据) ，据赛门铁克的CloudSOC统计，在云端被不加任何安全策略限制地共享。

赛门铁克CloudSOC在2016下半年收集的数据显示，云应用和云服务的使用量和滥用量以及通过云端存储并分享的数据量都在不断上升。在企业IT系统中被使用云应用的数量平均为928个，这其中包括协作类（前三为：Office365、Google、Dropbox）、业务支持类（前三为：GitHub、Salesforce、Zendesk）和个人类 （前三为：Facebook、LinkedIN、Youtube）等，而企业CIO所了解到的使用中的云应用只有不到40个。这无疑会导致某些必要的用于规范用户使用云服务行为的策略与流程匮乏。

在这25%的被随意共享的影子数据中，有3%包含例如个人身份信息 (PII)、支付卡信息 (PCI) 、受保护的健康信息 (PHI)等有合规要求的保密数据。同时，赛门铁克还发现，66%的高风险用户在云端的用户行为显示主动泄露数据的企图，包括频繁的文件预览、数据下载和帐户共享等行为。 这不仅存在着极大的敏感数据泄露隐患，云端的数据安全合规问题，尤其是在各国诸如GDPR(《通用数据保护条例》)等数据安全条例已在逐步开始施行的当下，因违反而带来的经济损失对企业而言不可小觑。

数据治理的核心在于数据分类

随着企业上云的加速和云服务使用的普及，威胁和安全的对抗只会愈演愈烈。在赛门铁克看来，仅仅依靠要求员工使用可靠的云应用是不能解决问题的。为了防止敏感数据泄露，除了终端的安全访问和行为监控外，企业还需要做的是对云端数据的治理。这不仅需要满足当地政府的监管要求，基于和主流云厂商的合作而实现的对混合云的适配，还有强大的数据分类能力的支持。

企业在制定数据安全策略时，需要了解企业内不同数据的不同价值，对其重要程度进行区分，制定不同的安全策略，并使用不同的工具进行保护。虽然企业能够制定出适用所有数据的统一分类策略，但为了避免人为划分的标准不一致，仍需要利用数据分类技术对数据进行自动识别并分类。

基于赛门铁克DLP产品原有的Information Centric Tagging技术，数据分类一直是其强项，并包括了对中文的支持。而对于云端的数据治理，通过与Blue Coat的CASB在数据分类、DLP、加密和令牌化等方面的能力整合，结合人工智能和机器学习技术，赛门铁克能够实现对云端用户行为甚至案例更强的安全检测能力。

安全牛评

无论是在中国，还是在全球，安全问题已经成为了给企业上云进程喊“刹车”的重要因素。去年重金收购Blue Cota后，赛门铁克终端安全与云安全并重的战略意图已经十分明显。今年，整合最新CASB能力后的终端安全解决方案的发布，是一个更加强力的佐证。虽然公有云的时代还未完全到来，但中国仍有庞大的针对混合云的安全需求。未来，随着更多厂商甚至云服务商的涉足，云安全市场的竞争会更加激烈。