思科莊敬賢:數字化時代,安全新生態
責編:rhliu |2016-06-29 12:54:32莊敬賢:各位領導,各位專家,大家早上好。再一次代表主辦單位歡迎大家來到今天的大會,我也想歡迎大家來到數字化時代,安全新生態。
安全新生態其實代表一個核心的問題,很實在的一個核心問題,我們現在的網絡環境是否足夠安全,在座代表你們企業的專家有沒有天天想到這個問題,是否足夠安全?一個非常簡單的問題,可是我認為答案沒有那么簡單。為什么?首先我認為有三個方面讓剛才那個問題不好回答:第一數字化顛覆,大規模的展開。到2020年網絡物聯設備的總量會到5千億臺,孕育著19萬億美元的業務機會;第二我們安全的對手,就是黑客越來越活躍,攻擊面更廣,現在我們企業的環境攻擊面更廣,有了云,有了我們手機的平臺,攻擊面越來越廣,威脅越來越多。大家每一天打開報紙、雜志,都可以看到新的一些威脅攻擊到我們企業,攻擊的復雜度也提高了很多;第三從安全產業來看,作為安全產業的一分子,我們都在這個里面,但是安全企業數量激增,可是互通性差,開放性差。這三個層面帶來現在一個很新的安全挑戰,是我們以前都沒有面對的。業務的模型在變化,動態的威脅格局,還有復雜分散的安全產業。
這是我們現在面對的很現實、很真實的一個安全防御的狀態,防御能力倍增,復雜問題堆積如山。今天我希望跟大家探討一個安全有效性的缺口問題,現在我們確實是面對一個安全有效性的缺口。首先防御的產品越來越多,防御的技術越來越多,可是防御的有效率其實是隨著在企業內部有的安全產品的數量會有一個遞減。你產品越多,其實有效的防御力會低一些,因為很多的平臺可能有重復重疊的功能。可是企業里面的產品越多,就會大大提升復雜性,包括管理的復雜性,包括成本的復雜性。中間就是我們現在企業面對的一個非常現實的,非常嚴重的缺口,我們是希望目標看到這兩條線,就是我們的防御力可以按比率提高,可是復雜性可以被控制在防御力提高的幾率以下,是可以控制的。
那么怎么去做呢?我們認為我們要彌補這個安全的缺口,主要分為三個未來我們發展的重點:
第一我們必須有網絡的技術,在企業里面必須有一個集成化。
不同的產品應該可以互聯互通,這個對于我們來講業界我們可以導致一個新生態,在廠家和廠家之間可以導致一個新生態很好的機會。思科在這方面也是看到了這是會跟國內廠家合作的一個很好的機會,可以集成我們的技術給到企業客戶。
第二是整合。
數量很高的單一產品,我們做過一個調查訪問,發現中外的廠家一般在他們企業里面的安全產品平均都有30到50個,這個是非常非常復雜的問題。必須要整合,整合就代表說單一產品必須要有一個整體的架構來防御威脅。
第三是必須要自動化。
現在我們還是比較有賴于人手,可是網絡安全的人員是非常缺的,技術層面也是有偏差,所以我們必須要用技術來做自動化。
我們思科安全提倡一個很重要的理念,就是安全應該是無處不在的,我們要實現真正的安全防御,必須要有最好的產品組合。還有更重要的,是一個集成化的架構方法。我們還有兩個差異化比較大的戰略在安全防御技術上:
第一我們認為安全防御必須要覆蓋整個攻擊的周期,不管是攻擊之前、攻擊過程中和攻擊后都要覆蓋。我認為大部分企業還是偏重攻擊前的防御,加固的防御。可是現在我們看到,再強的外圍防御都會被突破,未來防御的重點是你被突破之后,在被攻擊的過程當中有沒有有效的可以簡短這個發現,可以有效的阻擋,還有被攻擊后能不能有效的定位攻擊的來源,做出相對的改變,這是未來防御的關鍵。
第二我們會提倡可視度的重要性。可是度的重要性有兩個方面,一方面除了剛才提到的外圍防御以外,內網的防御非常重要,要做到內網的鯡魚,必須要提高內網的可視度。能看見的威脅才是可以防御的前提,所以你要先提高企業內部的可視性。另一方面,你們也需要非常強的安全情報,去協助每一個企業做防護。每一個企業需要知道世界各地正在有哪些威脅,受到哪些威脅,受到哪些攻擊,能看到才能防御。
思科安全的與眾不同之處是我們的集成架構,可以大大減低復雜性,減低營運的復雜性和運營的成本,網絡、終端、云的安全統一管理,更重要的是統一的威脅情報。在這里我介紹一下思科的情報中心,在全世界我們有250個情報人員,天天去研究威脅攻擊,還會去研究黑客的組織。我們是希望做到在他沒有發動攻擊之前,我們就可以知道,可以預先做防御。
現在面臨一個非常普遍的攻擊是勒索軟件。我認為有兩類企業,一類是已經被勒索軟件攻擊了,另外一類是已經被攻擊,只是沒有被發現。所以在中國我們也看到,除了國外以外,中國也是一個特別嚴重的攻擊。一般的勒索軟件都會從電郵釣魚的方法進來,現在電郵釣魚的方法大家知道是非常厲害的,它可以避開你們很多的一些管理,也吸引到你的注意力。我剛才說,可能是用你老板的名字發給你的,或者是提到一些你非常關心的,包括你的公司,包括有一些支付的方面,你一打開就會受到感染。
先簡單介紹一下勒索軟件,其實這個概念很簡單,勒索軟件要攻擊你,基本上分為四個步驟:第一是首先他要突破你的外圍,有一個很普遍的做法就是利用惡意黏結的廣告或者是網站,你點進去,或者你進那個網站,惡意的代碼就會被植入你的企業里面。植入之后,必須要做黏結,包括拿密鑰,都要跑到外面去,拿到密鑰和黏結之后,就會植入那個勒索的軟件,加密你的文件。我們看到80%的勒索軟件都是從郵件這邊進攻的,直接植入勒索軟件。當你的文件被加密的時候,對不起,已經是太晚了。勒索軟件你沒有辦法用單一的產品完全去避免,必須是要用一個整體的架構有效的防御勒索軟件。包括在他要做黏結的時候,從網站,從廣告,必須要有一個有效的DNS的防御系統,他進入DNS做訪問,我們就用DNS作為第一個關口的防御。必須要有一個很強的防火墻來阻擋黏結,還要阻擋惡意軟件的下載。
接下來如果那個攻擊還是進來的話,還是不能避免的話,我們必須要再進一步的阻擋它對黑客架構的訪問,在訪問的過程當中把它阻擋下來。包括他們的訪問一般都會經過DNS,所以DNS的防御非常非常重要。有時候看簽名是沒有辦法完全可以防御到的,我們必須也要看行為來判斷。所以行為的分析很重要,比如說我們看到一些網絡異常的行為,比如說要訪問一個不好的網站黑客的架構,我們可以發現阻擋。
如果攻擊還是有效的突破第二層訪問的防御,他拿到這個密鑰,他拿到這個惡意軟件,我們必須要有一個有效的惡意軟件的防御系統去持續跟蹤,持續發現。當發現到這個仍然是一個惡意軟件的時候,要去加密的過程當中,把它發現,把它阻擋。郵件是一樣的道理,必須要有一個有效的郵件防御跟一個高級的惡意軟件防御在終端,在網絡去總體的防御勒索軟件。我相信有效去防御APT也好,勒索軟件也好,必須要結合架構的防御,架構里面需要包括非常強的OpenDNS的防御,下一代防火墻的防御,高級惡意軟件的防御,還有異常行為分析的工具,總體的來用一個架構覆蓋整個網絡終端跟云的平臺。
思科未來會繼續承諾大量投資在網絡安全里面,今天我們的網絡安全團隊有超過5千個人是做網絡安全的,我們過去投入了50億美金,未來是收購合并,還有自己研發、集成網絡安全的產品。我們也承諾,未來跟國家,跟國家的企業合作,打造一個網絡安全的生態。我希望可以繼續和大家合作,集合我們思科在國外和國內的經驗,跟大家一起有效的防御網絡安全,謝謝各位!
上一篇:李雨航:國際網絡安全實踐