思科中國首席安全架構(gòu)師徐洪濤:數(shù)字經(jīng)濟(jì)變革下的安全防護(hù)思路
原創(chuàng)2016年6月24-25日,由51CTO.com主辦的【W(wǎng)OT2016企業(yè)安全技術(shù)峰會】在北京珠三角JW萬豪酒店召開。自2012年以來,WOT品牌大會秉承專注技術(shù)、服務(wù)技術(shù)人員的理念已經(jīng)成功舉辦九屆,不僅積累了大量的專家資源,更獲得了廣大IT從業(yè)者和技術(shù)愛好者的認(rèn)可和好評,并成為業(yè)界重要的技術(shù)分享及人脈拓展平臺。
本次【W(wǎng)OT企業(yè)安全技術(shù)峰會】分為11大技術(shù)主題,分別是企業(yè)安全管理與運(yùn)維、工控安全與物聯(lián)網(wǎng)安全、大數(shù)據(jù)安全、移動Web與安全、云安全、CISSP開放創(chuàng)新論壇、金融與電子商務(wù)安全、威脅情報與攻擊防護(hù)、漏洞挖掘與分析、安全測試與應(yīng)急處理、技術(shù)管理專場。51CTO.com作為本次大會的主辦方,將通過快速報道、現(xiàn)場專訪與后期視頻等多種形式,向廣大用戶全方位展示這場盛宴。
下面是大會主會場上來自思科的中國首席安全架構(gòu)師徐洪濤先生帶來的主題為數(shù)字經(jīng)濟(jì)變革下的安全防護(hù)思路的現(xiàn)場演講實錄。
思科中國首席安全架構(gòu)師 徐洪濤
(演講實錄)
非常高興有這樣一個機(jī)會分享一下網(wǎng)絡(luò)安全話題,今天分享這個話題是數(shù)字經(jīng)濟(jì)變革下如何做網(wǎng)絡(luò)安全防護(hù),我們現(xiàn)在進(jìn)入一個數(shù)字化顛覆一個時代。萬物互聯(lián),給我們生活帶來了很多的便利,給工作帶來的便利。在這個環(huán)境下實際上帶來了很多的危機(jī),有越來越多的攻擊。思科本身也是發(fā)現(xiàn)了數(shù)字化顛覆的商機(jī),這個環(huán)境下我們可能會面臨更多的安全的隱患。所以,從思科來看,已經(jīng)把網(wǎng)絡(luò)安全作為公司首要發(fā)展方向。
今天我想跟大家共享一下,在數(shù)字化顛覆的時代,我們從哪幾個方面做網(wǎng)絡(luò)安全?主要從三個方面給大家做一個介紹。全面的可見性、有針對性防御威脅、共享一下統(tǒng)一平臺的概念。實際上,做安全靠一個點(diǎn)安全平臺很難去實現(xiàn),可能要結(jié)合網(wǎng)絡(luò),結(jié)合安全設(shè)備,結(jié)合終端,結(jié)合主機(jī),整個形成一套全面的安全體系。
這種大規(guī)模快速數(shù)字經(jīng)濟(jì)爆發(fā)不多講,越來越多的商機(jī),我們也是看到了全球角度來看,有很多公司出現(xiàn),有很多行業(yè)標(biāo)準(zhǔn)出現(xiàn)。有很多的終端接入網(wǎng)絡(luò)當(dāng)中,接入互聯(lián)網(wǎng)當(dāng)中。今天看到的有接近150億的終端接我們網(wǎng)絡(luò)。我們預(yù)計到2020年,這個數(shù)字會達(dá)到500億,2030年這個數(shù)字有5千億,這個數(shù)字對我們來講的確是一個很可怕的數(shù)字。
更多的終端接入對于我們來講會面臨更多的威脅,黑客有更多的攻擊面。利益鏈驅(qū)動導(dǎo)致更多的黑客用不同的方式去入侵我們的系統(tǒng),拿走我們的敏感信息。攻擊方式也是變得越來越復(fù)雜,越來越有彈性。之前可能大家都是聽說過這種軟件,之前跟一個運(yùn)營商合作,破獲了一起很大的軟件,就是這個軟件的黑客基礎(chǔ)架構(gòu)。我們對于基礎(chǔ)架構(gòu)做了研究以后發(fā)現(xiàn),這個基礎(chǔ)架構(gòu)做的相當(dāng)?shù)挠袕椥裕诶锩婵吹胶芏嘀骷泄舴?wù)器,有狀態(tài)跟蹤服務(wù)器,這個狀態(tài)跟蹤器就是跟蹤前臺這些服務(wù)器。發(fā)現(xiàn)的都是有問題,別的地方可以開啟一個新的攻擊服務(wù)器。這些方式是讓我們更難以阻擋這些最新的東西。
很多的時候談到了高級可持續(xù)攻擊,在高級可持續(xù)攻擊過程當(dāng)中有一個技術(shù)發(fā)揮重要的作用,就是惡意軟件,現(xiàn)在我們看到了很多這種大型攻擊,重要的攻擊事件,很難說有一種就是直接通過一些暴力手段進(jìn)入用戶網(wǎng)絡(luò)。一般都是低調(diào)的方式,比如說,先用社會工程學(xué)一些工作。然后,獲得某一些人的帳號,獲得某一些人的郵件地址,發(fā)一個郵件,帶一個惡意軟件,這個人不小心點(diǎn)開郵件以后,主機(jī)可能會被種上一個惡意軟件。這個時候遠(yuǎn)程控制他的主機(jī),內(nèi)網(wǎng)當(dāng)中展開一系列的活動。直到獲得足夠的權(quán)限,獲得足夠的信息,我把這個信息泄露出去,這樣可以得到最大化的一個競爭力。
惡意軟件成為當(dāng)今最大的一個威脅。實際上我們在很多的企業(yè)調(diào)查當(dāng)中,有一半以上CSO已經(jīng)認(rèn)同這個觀點(diǎn),他們覺得惡意軟件對于他們來講真的是相當(dāng)?shù)目膳隆?/p>
面對這么多的威脅,剛剛講了思科已經(jīng)發(fā)現(xiàn)了這個問題。所以,2013年開始,思科已經(jīng)把整個網(wǎng)絡(luò)安全作為公司頭等要務(wù)。如果有關(guān)注思科,你們可能會發(fā)現(xiàn)。2013年到現(xiàn)在陸續(xù)思科已經(jīng)投資接近了50億美元,就是要在業(yè)界尋找最優(yōu)安全公司。
我們應(yīng)該怎么樣做這個新時代下的網(wǎng)絡(luò)安全設(shè)計?我提出來一個概念,就是無所不在的網(wǎng)絡(luò)安全。我們做網(wǎng)絡(luò)安全不可以有任何短板,無所不在意味著兩個概念。
第一,無時不在。可能攻擊發(fā)生過程當(dāng)中都要做出相應(yīng)防護(hù),無論攻擊發(fā)生之前,之中,還是之后,可能都是有相應(yīng)技術(shù)來主導(dǎo)攻擊。主導(dǎo)不了就是響應(yīng)攻擊,減少損失。這個是無時不在的概念。
第二方面,無處不在。在任何的地方都需要部署相應(yīng)的安全方案,這個全球互聯(lián)的時代已經(jīng)沒有安全邊界,這個時候園區(qū)網(wǎng),數(shù)據(jù)中心,終端,云環(huán)境,甚至網(wǎng)絡(luò)當(dāng)中都是需要安全的防護(hù)。整個安全是需要一個無所不在,無處不在,無時不在。
接下來從三個方面給大家介紹一下我們的一些經(jīng)驗,在網(wǎng)絡(luò)安全防護(hù)當(dāng)中一些經(jīng)驗。三個方面。
第一點(diǎn),全面提高可見性。網(wǎng)絡(luò)安全,是講控制,防御危險。如果網(wǎng)絡(luò)整個基本情況都不知道,你控制什么?防御什么?可能什么都看不清楚。這個是第一點(diǎn)。
第二點(diǎn),如何有效地關(guān)注在危險上?最終目的就是要防御進(jìn)入到網(wǎng)絡(luò)的攻擊,所做一切的努力都是為了威脅的防御。
第三點(diǎn),統(tǒng)一的平臺。我們?nèi)绾文軌虬岩延羞@些平臺結(jié)合在一起,都是為這個網(wǎng)絡(luò)安全貢獻(xiàn)自己的力量?這一塊是需要考慮的一個范疇。有一些時候沒有足夠資金。我們達(dá)到1+1大于2這樣一個效果,先看一下全面可見性,是整個網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ),如果不了解一個網(wǎng)絡(luò),網(wǎng)絡(luò)里面什么平臺?什么主機(jī)?包括什么IP地址,什么都是不知道。安全策略一定是拍腦門出來的策略,對你來說沒有太多的針對性。所以,做網(wǎng)絡(luò)安全,做控制,所有的一切的一切都是一個全面的可見性,如何來獲得這個可見性?目前業(yè)界有一個技術(shù),中文意思是情景感知。是目前來講提供全面可見性一個主流的安全技術(shù)。什么是情景感知?舉一個例子,兩個字符,如果兩個單獨(dú)字符,分不清楚是一個B還是13,如果前后關(guān)聯(lián)一下,A和C之間就輕松就知道了,A和C之間就是B,12和14中間就是13。傳統(tǒng)意義上靠一個地址確定終端時代已經(jīng)過去了,現(xiàn)在準(zhǔn)備識別一個終端從多個因素考慮,這個終端什么人在用,什么部門的,老板還是員工?這個終端是一個什么樣子的終端?是一個筆記本電腦,還是一個IPHONE,還是電話,如果是醫(yī)療機(jī)構(gòu),到底是一個普通的終端?還是一個醫(yī)療設(shè)備?可能都是有一個全面的了解。包括這個終端是如何接到網(wǎng)絡(luò)當(dāng)中,是通過有線,無線,遠(yuǎn)程接入?北京?上海?現(xiàn)在在什么位置?什么時間。就是把這些確定出來一個終端,對于服務(wù)端也是一樣。
現(xiàn)在就是講云數(shù)據(jù)中心,如何防護(hù)?有很多重要信息資產(chǎn)放數(shù)據(jù)中心,這個時候需要全面可見性,這個服務(wù)器是一個虛機(jī)還是物理主機(jī)?上面什么漏洞?對外提供服務(wù)是用的什么?包括跑的應(yīng)用,版本,這些都是有一個全面的了解。從終端對于服務(wù)端訪問,傳統(tǒng)意義上面來說,靠最基本的防火墻,現(xiàn)在大家都是提過一個概念。怎么去做控制?應(yīng)用中這些流量到底是正常的?還是異常?傳的文件是正常的文件還是惡意軟件,這個都是需要知道,這個是本意情景感知的概念。
可能了解自己的網(wǎng)絡(luò)不可以說,人工去查。技術(shù)角度有幾種技術(shù)來考量,現(xiàn)在通用幾個技術(shù),一個是客戶端技術(shù),就是主機(jī)上面裝客戶端,主動掃描技術(shù)。第三,所謂的被動的流量,指紋分析技術(shù),這些技術(shù)都是比較的廣泛。我個人在這個里面都是比較的偏向與被動的指紋分析技術(shù)。因為這個技術(shù)對于終端完全的透明,并且靠實時流量分析來得出可見性,是整個實時一個概念,定期地掃描實時性更緊。這個是一個本地一個可見性。
除了本地的可見性,整個互聯(lián)網(wǎng)是一個全球互聯(lián)網(wǎng),世界任何一個地方,任何一個時間發(fā)生的威脅,同時可能發(fā)生在我們身上,我們需要全球的安全情報的智慧幫助我們解決最新的其他地方曾經(jīng)發(fā)現(xiàn)過的這些問題。這個其實就是一個安全大數(shù)據(jù)和安全情報分析一個概念。有一個本地的可見性,有了全球的可見性,我可能對于我的網(wǎng)絡(luò)就可以做到了如指掌,知道網(wǎng)絡(luò)當(dāng)中一些基本情況,終端,應(yīng)用,服務(wù),流量,我也是知道我內(nèi)部一些威脅的情況,這個時候我可能想怎么控制就做到怎么控制。
只有可見,才可以實現(xiàn)可防。很多人看到了網(wǎng)絡(luò)一些基本情況,很高興,這個是不足夠的。目標(biāo)是為了幫助我們更好判斷危險,控制危險。五真正威脅防御是我們最終的目標(biāo),是可以幫助我們最大限度減少因為網(wǎng)絡(luò)攻擊造成的一些影響,造成的一些損失。
剛剛看到了全面的可見性,對于本地全面可見性給我們做判斷,提供了一些基礎(chǔ)。比如說,我們看到了郵件,我們看到外部訪問,我們看到終端所有這些屬性,有了這些做終端準(zhǔn)入控制,做郵件控制變得很簡單。再加上安全情報提供的智能,讓安全判斷有了這種大腦的智慧。告訴我什么是對的,什么是好的,什么是壞的。這個時候?qū)τ诰W(wǎng)絡(luò)當(dāng)中的幾乎所有的方方面面都是做出防護(hù)。比如說,對于郵箱,可以看到郵箱信息,可以看到附件屬性,可以看見鏈接屬性。對于終端準(zhǔn)入,可以看到終端所有的屬性,所有的用戶,所有的健康狀態(tài),我可以看到跟他相關(guān)所有的安全事件,這些結(jié)合起來會有一個真正的基于威脅終端準(zhǔn)入控制。
所以,可見性和安全大數(shù)據(jù)結(jié)合起來可以給我們提供更好的一個威脅的防御。威脅防御也是看一下每一個發(fā)生階段,這里給大家介紹一下安全模型,所謂的安全模型。攻擊發(fā)生每一個階段都是有相應(yīng)防護(hù)和響應(yīng)的措施。比如說,在攻擊發(fā)生以我要做什么?就是全面可見性都是在攻擊發(fā)生以前做的。要了解網(wǎng)絡(luò),看到所有的東西,把業(yè)界最新安全情報要了解。根據(jù)看到的東西我寫一個最小權(quán)限原則的策略。我加固一些服務(wù)器,流量,這些都是可以加固。最終目的就是加固防護(hù)措施,這個是攻擊發(fā)生以前做的。攻擊發(fā)生之中要做什么?有人對我進(jìn)行攻擊了,這個時候充分利用剛剛的可見性所有的信息,安全大數(shù)據(jù)所有的信息。結(jié)合一些深度技術(shù),把這些攻擊找出來。然后,擋住。如果這些攻擊存在一些變化,我有足夠的智慧可以覺察到這一點(diǎn),我可以把它檢測出來阻擋住。這個是攻擊發(fā)生之中做的事情。沒有一個技術(shù)100%擋住攻擊,這一塊大家是認(rèn)同的,攻擊沒有100%有效性概念。如果網(wǎng)絡(luò)真的被別人攻擊了,某一臺服務(wù)器被別人中上一個后門,這個時候做什么?就是要快速地做出響應(yīng),最短時間內(nèi)找到問題,解決問題。找到問題,不僅僅是人可以做的事情,還有很多其他的技術(shù),比如說,現(xiàn)在追溯技術(shù),實時跟蹤技術(shù),可以幫助我們在最短時間內(nèi)找到那個當(dāng)中有問題的機(jī)器,然后對它做出隔離,做出修復(fù),這個是涵蓋整個攻擊發(fā)生周期的安全模型。不同安全技術(shù)都是要到模型當(dāng)中。防火墻,包括主機(jī)加固這些技術(shù)主要用在攻擊發(fā)生以前,威脅防御,外部安全,郵件安全,這些技術(shù)主要是放在攻擊發(fā)生之中階段。惡意軟件防護(hù),包括大數(shù)據(jù)關(guān)聯(lián),關(guān)聯(lián)分析這些技術(shù),可能在我們攻擊發(fā)生以后會起到一個很大的作用。這個是所謂的涵蓋攻擊發(fā)生整個生命周期這樣一個模型。
當(dāng)然,我前面也是提到了惡意軟件是我們現(xiàn)在最大的一個威脅,所以,對于惡意軟件防護(hù),對于每一個企業(yè)都是顯得相當(dāng)重要。最早很多人也是部署了相應(yīng)的防病毒的技術(shù)。這個跟病毒有一些區(qū)別,不會對電腦自身造成一些破壞,造成一些影響。更多是想遠(yuǎn)程控制主機(jī),拿走一些敏感的信息。比如說,典型的后門軟件,廣告軟件,以及一些惡意的瀏覽器的插件,他們其實都可以從你的電腦當(dāng)中拿走很多的數(shù)據(jù)。對于這種惡意軟件,如果你靠一個簡單的特征來去識別,現(xiàn)在已經(jīng)很難做到了。這個時候?qū)τ趷阂廛浖姆雷o(hù),我們也是需要一個全球連防一個概念。做到一次發(fā)現(xiàn),全球防護(hù)。同時,這個防護(hù)需要部署在網(wǎng)絡(luò)當(dāng)中的任何的位置,做到無處不在的一個防護(hù)。可能各位之前都是聽說過,在美國的很多大企業(yè)發(fā)生的安全事件都是由惡意軟件來進(jìn)入到網(wǎng)絡(luò)來實現(xiàn)的。包括我們看到的POS機(jī)上面有惡意軟件。所以,任何位置惡意軟件防護(hù)都不可以放松。
對于惡意軟件防護(hù),我們可能需要從幾個方面去考慮。第一方面,快速地檢測,實時的檢測,現(xiàn)在惡意軟件一般來講普遍采用云治理概念,云端,進(jìn)行一個檢測。這個里面還有一個技術(shù)跟大家重點(diǎn)提一下,如何跟蹤這種惡意軟件?傳統(tǒng)很多技術(shù)都是做什么呢?如果一個軟件進(jìn)入到你的網(wǎng)絡(luò),你要判斷他是好是壞?如果是壞的,可能你會把它扔掉,如果這個時候還不知道是好還是壞,一般的做法是什么?讓這個軟件進(jìn)入到我們的網(wǎng)絡(luò)。那么,萬一某一天這個軟件真的被發(fā)現(xiàn)是一個惡意軟件,已經(jīng)控制了內(nèi)網(wǎng)當(dāng)中很多的機(jī)器,可能就無能無力。現(xiàn)在比較新的一個技術(shù),可以對這種軟件進(jìn)行一個實時跟蹤。一個軟件進(jìn)入到網(wǎng)絡(luò)里面,如果還沒有發(fā)現(xiàn)是一個惡意軟件,你可以讓他進(jìn)去,需要對他進(jìn)行一個實時跟蹤,兩天以后,發(fā)現(xiàn)這個軟件很多人對他進(jìn)行分析了,發(fā)現(xiàn)是一個惡意軟件,這個時候是需要調(diào)住之前的傳統(tǒng)軌跡,什么機(jī)器碰過這個軟件,這個都是網(wǎng)絡(luò)當(dāng)中一次被感染的主機(jī)。需要快速去察看一下他們,找到問題,解決問題。這個技術(shù)是幫助我們可以快速地找到之前曾經(jīng)錯過那些攻擊,可以錯過那些威脅。這樣幫助把響應(yīng)時間從業(yè)界平均看到的,有100天左右做小到兩天之內(nèi)。這個是惡意軟件防護(hù),對于我們來講現(xiàn)在是一個相當(dāng)重要的這樣一個范疇。
最后,想跟大家分享一個統(tǒng)一平臺的概念。我碰到很多的客戶,現(xiàn)在如果想做網(wǎng)絡(luò)安全的時候,第一步想到加一個防火墻,加一個入侵防御,這些技術(shù)的確在我們企業(yè)的網(wǎng)絡(luò)安全當(dāng)中起不少的作用。但是,網(wǎng)絡(luò)安全是整網(wǎng)安全,網(wǎng)絡(luò)安全,網(wǎng)絡(luò)安全,離開網(wǎng)絡(luò),單談安全做的就是不夠的。所以,網(wǎng)絡(luò)基礎(chǔ)平臺是安全建設(shè)必須要依賴平臺。舉一個例子,這個例子各位都是比較的熟悉,一個黑客進(jìn)入網(wǎng)絡(luò),第一步做什么?就是網(wǎng)絡(luò)當(dāng)中找一個目標(biāo)主機(jī)。不一定有多大權(quán)限。但是一定有漏洞,通過漏洞,我可以導(dǎo)入這樣一個惡意軟件,這個時候可以控制這個主機(jī),后面所有的工作都是在網(wǎng)絡(luò)內(nèi)部來進(jìn)行的。比如說,網(wǎng)絡(luò)內(nèi)部實現(xiàn)一個掃描,全線的提升。 控制主機(jī)繁殖,我需要的信息。我這個攻擊基本上前一個階段就算完成了。我會把這些信息通過一些合法的手段傳到外面,這樣的話我拿到敏感信息,我可以往外賣錢,可以獲得很高經(jīng)濟(jì)利益。這個供給整個過程來看,第一步跨越網(wǎng)絡(luò)邊界,網(wǎng)絡(luò)邊界沒有實現(xiàn)這個防護(hù),后續(xù)幾步所有的行為都是在網(wǎng)絡(luò)內(nèi)部做的。很多安全設(shè)備很難去發(fā)現(xiàn),這個時候怎么辦?可以很好地去利用內(nèi)網(wǎng)網(wǎng)絡(luò)技術(shù)架構(gòu)平臺。內(nèi)網(wǎng)當(dāng)中的交換器,幫助你們實現(xiàn)整個內(nèi)網(wǎng)這種安全的防護(hù)。
其實網(wǎng)絡(luò)基礎(chǔ)架構(gòu)真的可以對于網(wǎng)絡(luò)安全做的更多,現(xiàn)在我見到的絕大多數(shù)客戶沒有意識到這一點(diǎn)。我們看一下,網(wǎng)絡(luò)技術(shù)架構(gòu)給我們網(wǎng)絡(luò)安全提供哪些?
第一點(diǎn),隔離,隔離這一塊大家做的相對多一些,這些虛擬陸游交換做隔離。但是,網(wǎng)絡(luò)安全的隔離S靠網(wǎng)絡(luò)設(shè)備隔離,可以做的更好。比如說,現(xiàn)在我們提的很熱一個技術(shù),就是微分割技術(shù)。通過這些技術(shù)實際上可以利用網(wǎng)絡(luò)平臺來對不同的用戶終端,不同用戶的組,不同的終端的安全組進(jìn)行隔離。就像前面講的情景感知技術(shù)。可以看到下面所有的終端不同的屬性。我基于這些屬性可以是不同得分組,在網(wǎng)絡(luò)的平臺上可以基于分組做控制,而不是一些簡單的基于IP地址進(jìn)行控制。就是讓整個內(nèi)網(wǎng)控制更靈活,不同的人員普遍有不同的局限,不同的人員使用不同的設(shè)備,可能還有另外的局限。這個是第一點(diǎn)網(wǎng)絡(luò)設(shè)備可以幫助我們做微分割的控制。
第二點(diǎn),網(wǎng)絡(luò)設(shè)備作為我們的傳感器。什么設(shè)備看到整網(wǎng)所有的流量?防火墻看不到,有虛擬化平臺,有虛擬化交換機(jī)是可以看到所有的網(wǎng)絡(luò)的流量。這些流量到底是正常?還是異常?可以把其他的一些信息弄出來,基于行為的分析。分析完了以后,我知道什么呢?這個終端是異常,這個終端做掃描,這個終端被別人攻擊。這個基于流量這種行為分析來得到。網(wǎng)絡(luò)設(shè)備在這個其中扮演一個非常重要的角色,是我的信息來源。同時,網(wǎng)絡(luò)設(shè)備也可以作為威脅快速緩解這種設(shè)備執(zhí)行器。發(fā)現(xiàn)這個終端有問題,發(fā)現(xiàn)服務(wù)器在遭受攻擊怎么辦?邊界設(shè)備上面做新策略,有時候并不一定起到多大的作用。這個時候可以快速利用網(wǎng)絡(luò)設(shè)備,我發(fā)現(xiàn)終端有問題,我可以快速地對你進(jìn)行隔離,利用最底層交換機(jī)進(jìn)行隔離,給你最小權(quán)限,對你進(jìn)行隔離。發(fā)現(xiàn)問題以后是最好的一個威脅緩解的平臺。
思科是業(yè)界最大的一個網(wǎng)絡(luò)基礎(chǔ)架構(gòu)這樣一個提供商,思科安全解決方案可能是會涵蓋所有的網(wǎng)絡(luò)技術(shù)平臺,加上原有一些安全的平臺,思科平臺已經(jīng)對網(wǎng)絡(luò)安全未來做了一些準(zhǔn)備。比如說,在這種上面。我們交換機(jī),路由器,提供更多,如果你有一個終端接入交換機(jī)上面,交換機(jī)有個能力自動判斷出來是一個PC機(jī)還是一個IP電話,還有一個打印機(jī),接到無線控制器,是IOS,還是一個安卓,根據(jù)廠商的判斷三星還是華為?
當(dāng)然,還有很多認(rèn)證信息,不同的用戶的信息,還有很多流量信息,這些都是可以提煉到。所以,網(wǎng)絡(luò)設(shè)備可以提供很大的一個可視化。有了可視化,結(jié)合威脅情報,加上很細(xì)一些分析。比如說,基于指紋的分析,剛剛介紹了一下,每一個終端,每一個應(yīng)用都是有自己的一些指紋的特性,只要對一些數(shù)據(jù)包進(jìn)行足夠的提煉都是可以分析出其中一些指紋的信息,判斷出這個終端到底是什么?這個數(shù)據(jù)到底代表的是什么應(yīng)用?行為的分析,有時候數(shù)據(jù)中心怎么辦?怎么找到有問題的主機(jī)?可以基于行為做一些事情。對于采樣信息,我可以看一下這個人的行為到底是正常的?還是異常的?正常行為是量子,這些行為有什么特征?我看到了他在不停掃描其他的機(jī)器,這些都是所謂的行為的特性。
當(dāng)然,有了可見性,有了安全智能,下一步就是執(zhí)行,安全平臺上面做,網(wǎng)絡(luò)平臺上面做。思科也是有一個技術(shù),就是什么呢?不想多提,就是這個技術(shù)真正的把安全組的概念帶入到網(wǎng)絡(luò)平臺,網(wǎng)絡(luò)平臺沒有必要一定基于IP地址做一些控制,可以基于安全組,可以基于安全組標(biāo)簽做。把你的網(wǎng)絡(luò)分成了動態(tài)的安全組。這種網(wǎng)絡(luò)基礎(chǔ)平臺可以幫你進(jìn)行一些微分割的控制。
安全來講,把可見性,威脅防御,包括統(tǒng)一平臺,給大家過了一下。安全行業(yè)很熱。
軟件起了一個相當(dāng)重要的一個作用,很多情況通過軟件很細(xì)的分析給我們提供一些相應(yīng)的可見性和防護(hù)。在這一塊思科也是把軟件作為自己很重要一個方向,我們只有通過軟件才可以提升我們整體防御這種靈活性。現(xiàn)在你會看到,這個網(wǎng)絡(luò)現(xiàn)在變得很多樣性。單單靠盒子很難做到面面俱到,要把防護(hù)放到里面,要放到虛擬化數(shù)據(jù)中心里面。所以,有很多的軟件,你可以放盒子里面,還是放到虛擬化平臺里面,都是顯得得心應(yīng)手。
這是我最后一頁了。之前也是跟大家講過,思科目前已經(jīng)把網(wǎng)絡(luò)安全作為我們整個公司的頭等要務(wù),不知道大家對于思科了解多少?我們之前的一位先生現(xiàn)在已經(jīng)退休了,他來公司目前只有一個角色,就是網(wǎng)絡(luò)安全,只看中整個公司網(wǎng)絡(luò)安全的業(yè)務(wù)發(fā)展。所以,思科在這里也向各位承諾,網(wǎng)絡(luò)安全行業(yè)我們會繼續(xù)朝著4個目標(biāo)去邁進(jìn)。
第一,簡單。 我們致力于讓這個簡單對于用戶來講,不是對于廠商來講,需要做很多的工作。對于用戶來講,我們會讓他做簡單,比如說,現(xiàn)在很新的一些技術(shù)。比如說,不知道各位有沒有聽說過?IOC,感染指數(shù)概念,跟終端安全相關(guān)事件做很好的關(guān)聯(lián)。最后,判斷出來這個可能性多大,給你直接呈現(xiàn),網(wǎng)絡(luò)當(dāng)中12345這些機(jī)器有問題,這個就是IOC技術(shù),幫助網(wǎng)絡(luò)安全變得簡單。這邊舉一個例子,剛剛講了可見性,發(fā)現(xiàn)這個機(jī)器是一個機(jī)器,上面是開服務(wù),是開什么端口。有別的平臺發(fā)現(xiàn)這個機(jī)器中了一個惡意軟件,一個惡意軟件,傳給這個機(jī)器。然后,緊接著,我發(fā)現(xiàn)這個機(jī)器節(jié)朝著外面一個僵尸網(wǎng)絡(luò)發(fā)起一個連接,一關(guān)聯(lián),這個主動朝外被別人控制。這個就是明確信號,應(yīng)該趕緊處理這個。
第二開放,思科平臺已經(jīng)開放所有的接口,有很多的開發(fā)愛好者,還有很多其他的開元平臺,我們會繼續(xù)讓他開元,繼續(xù)讓所有的愛好者可以共同地來努力,來提高開元的威脅防御基礎(chǔ)架構(gòu)的能力。
第三,自動,很多安全設(shè)備目前沒有足夠的接口,我們講了自動化對于我們用戶也是顯得非常的重要,現(xiàn)在我們講就把網(wǎng)絡(luò)變得自動化。可能有一個業(yè)務(wù)來部署過來,我整個網(wǎng)絡(luò)一條命令都是部署結(jié)束。安全也是一樣的,只要業(yè)務(wù)來了,你想部署這個業(yè)務(wù),我可能一鍵讓網(wǎng)絡(luò)和安全全部部署完畢。安全實際上已經(jīng)成為了我們業(yè)務(wù)推進(jìn)的一個驅(qū)動力,而不是業(yè)務(wù)推進(jìn)的一個阻力。
第四,高效。剛剛已經(jīng)講了很多的可見性,安全大數(shù)據(jù),幫助我們自動高效地去防御威脅。這些都是思科的安全的一個承諾。
我的內(nèi)容就是這些,謝謝大家。
以上是51CTO.com記者從【W(wǎng)OT企業(yè)安全技術(shù)峰會】一線為您帶來的精彩報道。一大波精彩內(nèi)容報道正在襲來,敬請持續(xù)關(guān)注!
