全球最大的网络设备制造商思科,今年下半年首次提出其全新基于意图(intent-based)的网络架构——全智慧网络。即通过机器学习、人工智能、自动化技术与传统的网络和安全技术的结合,实现网络持续的自我学习、自我调整和自我保护,以适应网络架构和安全需求的快速变化。随着网络的复杂性与日俱增,其重塑网络愿景的重要基石,思科认为,是无处不在的安全。
作为网络设备领导厂商,却有着近20亿美元的年安全业务营收的思科,今年在安全领域又有哪些“新动向”值得我们关注?
一、思科2017年中网络安全报告发布
今年7月,思科发布了其2017年年中网络安全报告。通过分析思科安全团队已知的安全威胁和漏洞,以及所采取的缓解和防护措施,提高企业对威胁态势的认知和安全防护能力。
以下三个方面值得重点关注:
1. 服务破坏型(DeOS)攻击
虽然通过勒索软件等犯罪工具获得经济收入,仍是大多数攻击者的主要目标,但有部分攻击者已经有能力和倾向在攻击过程中锁定系统并破坏数据。虽然服务破坏型攻击的具体实现方式,受制于攻击者的动机和技术能力,但借助日益崛起且仍存在大量安全缺陷的物联网设备,无疑会加剧此类攻击活动的影响。
对于已拥有多家安全供应商的企业而言,防御的关键在于减少分散、独立的安全防御工具,而着眼于多层次的整体安全架构。同时,针对攻击的不同阶段,以网络、邮件等为切入点,注重对恶意行为的检测、缓解、阻断以及快速响应等能力的建设。
2. 威胁检测时间(TTD)
安全防御没有银弹,一旦被攻击者成功入侵,防御的重点就在于,企业如何最短的时间内,有效地检测出威胁的存在、定位并具有针对性的变更安全策略。
如何衡量企业安全能力的“有效性”?思科定义了平均威胁检测时间(TTD)这一指标,即从发生入侵到发现威胁之间的时间窗。
利用在全球部署安全产品的遥测数据,针对不同威胁,思科给出了从恶意代码在终端运行到被确定为威胁之间的时间,并持续跟踪以判断企业在与安全威胁的对抗中,安全有效性以及对抗态势的变化。
数据显示,思科平均TTD中值由2016年11月39.2小时,持续波动下降,到今年5月,已缩短至3.5小时。企业也可照此方法衡量安全供应商防御能力的有效性。
要明确的是,虽然许多恶意软件已为安全界所知,但因攻击者为保持恶意软件活跃度和牟利能力,而快速更新其使用的混淆技术,使得企业仍需要较长时间才能识别出新的变种。这种威胁快速演变的趋势,也已经成为一种常态。
排名前20恶意软件的TTD中值
3. 集成式安全架构
据统计,38%的企业有10家以上安全供应商,50%企业使用10种以上安全产品。受限于企业内部安全人员的能力,且各产品间缺乏有效的集成,企业安全运营总成本上升的同时,不断增加的复杂性也让企业在面对威胁时无法进行有效的防御。
安全供应商应提供集成式安全方案,将企业内部安全架构简化到可管理但有效的水平。这即意味着,安全厂商应利用其最有效的单点安全防护产品间的联动,实现协同防御,以提供简单、开放、自动的安全平台。这对安全服务提供商的主要挑战在于,如何集成其安全工具和流程以获得最大的有效性,并减少企业所拥有服务和工具的扩张。
二、参展国家网络安全宣传周
作为参展今年9月在上海举办的国家网络安宣传周网络安全成就展的仅有的两家外企之一,思科展台接受了中共中央政治局常委、中央书记处书记、中央网络安全和信息化领导小组副组长刘云山的参观,并重点展示了其网络流量可视化(StealthWatch)、高级恶意软件防护(AMP)、云WEB安全平台(Umbrella)和威胁情报研究团队(Talos)的能力。
思科全球副总裁、大中华区首席技术官曹图强(右)向刘云山(左)汇报思科集成架构安全与服务方案
思科在今年6月,发布了其最新在网络流数据层面的安全技术的重大突破,即无需解密就可以通过Talos提供的安全情报和机器学习技术,在兼顾用户隐私的前提下进行加密元数据流量模式的分析,以检测隐藏在加密流量中的恶意软件,且误报率小于0.01%。
无论是开篇提到的全智慧网络,还是在安全领域的应用,思科网络流量的可视化能力,都是其核心支撑。
思科可支持上述加密网络流数据安全分析的StealthWatch方案,来自对专注网络层的行为分析和威胁可视Lancope的收购。通过将思科已部署网络和安全设备作为监测点对网络流量中的异常进行监测,并可集成思科的身份服务引擎(ISE),以提供更深层次的网络可见性,快速发现网络中的威胁。
同时,今年7月末对Observable Networks的收购,也将在StealthWatch中融入基于原生云的机器学习技术,以提供对AWS等云端流量的威胁发现能力。
而在EDR领域,思科终端高级恶意软件防护(AMP for Endpoint)在去年年末发布后也开始快速抢占市场,并获得了今年IDC终端安全市场“领导者”和NSS Lab最快完成泄露检测的推荐。结合思科Talos团队和沙箱技术(Threat Grid)的支持,AMP for Endpoint可更快的发现并阻止隐藏在终端的安全威胁,并能够对所有进入终端的文件进行持续的分析和文件活动记录。
而2015年8月被思科以6.35亿美元完成收购的OpenDNS,除了向思科“贡献”了一位新的安全业务负责人David Ulevitch(前OpenDNS的创始人兼首席执行官)外,还基于OpenDNS在DNS和IP层的数据和能力积累以及Talos和AMP的URL和文件信誉数据,提供了在恶意链接建立前(包括与C&C服务器通信)的云端阻断能力——Umbrella。并能通过API与企业现有SIEM、CASB等威胁检测平台做集成,进行自动化的数据交互和快速响应。
拥有足够的数据源,是思科目前最大的优势。这种全球化的数据视野,使得威胁研究人员通过大数据分析获得大量高价值安全情报,而这可以帮助思科尽早防御全球蔓延的威胁。
“一次发现,全球防御”,是思科拥有的全球最大安全研究团队Talos所提供的威胁情报支持,在思科安全能力中具体体现。而这种能力,也会和国内有关机构,定期进行安全情报数据的共享。
三、广泛的开放与合作
1. 与IBM安全的强强联合
今年6月,思科与IBM安全宣布为应对日益增长的全球网络犯罪威胁,将在产品、服务和威胁情报三方面展开密切合作,以提升双方客户的安全水平。而这其中最引人瞩目的,当属两家在威胁情报领域的强强联手。
据ESG Research Survey在2016年10月对企业级网络安全情报提供商的排名统计,客户认为能提供最有效威胁情报的前5名厂商,依次是思科、IBM安全、微软、赛门铁克和迈克菲。而此次思科Talos与IBM X-Force团队将在威胁情报研究和重大网络安全事件的协调处理这两方面展开密切合作,帮助双方企业客户减少威胁检测和规避所需要的时间。
在产品方面,包括思科的NGFW、NGIPS等产品能力会在IBM Security App Exchange中以与IBM QRadar进行集成的方式开放;IBM X-Force Exchange也会与思科的沙箱进行集成,扩展安全分析师所能关联到的历史和实时威胁情报数据。在服务方面,思科安全平台所提供的服务也将被加进IBM托管安全服务团队,并借助IBM的公有云实现。
2. 安全人才培养
无法弥补安全人才重大缺口,一直是限制企业安全能力的一大瓶颈。
今年6月,思科与中华人民共和国教育部共同签署了关于数字化创新人才培养的合作备忘录,计划在未来3年投入价值5亿人民币课程、师资培训、教学软件、教学平台和硬件实验室等,用于本科和高等职业教育这两个领域40万高端数字化创新(包括安全人才)培养目标。
除此以外,思科还将联合教育部在线教育研究中心,共同选择一批精品课程和教学名师,进行在线协作教育,促进中国的优质教育资源与“一带一路”沿线国家院校的共享。
安全牛评
对于拥有全球约5000人的专业安团队和近300名专职威胁研究员的思科来说,安全已经成为这个全球最大网络设备提供商最重要的业务之一。对于整个安全行业而言,面对日益严峻的全球化安全威胁,对安全能力建设的重视,以及跨政府的合作至关重要。思科这样具有强大技术实力的外国厂商能够参与到国家网络安全宣传周这样的活动中,这也是国家“开放与创新”政策的一种体现。
相关阅读