王永

對于企業(yè)管理者來講，包括CISO（首席信息安全官）而言，最大的挑戰(zhàn)是什么？安全！近幾年頻發(fā)的安全事件已經(jīng)讓眾多企業(yè)CISO徹夜難眠——雖然企業(yè)應(yīng)對安全威脅的技術(shù)和手段都在逐年升級，但是整體的安全形勢依舊嚴(yán)峻。

“在2019年的報(bào)告中，思科針對受眾的變化把報(bào)告分成三部分：《2019年思科數(shù)據(jù)隱私基準(zhǔn)研究》、《2019年思科首席信息安全官（CISO）基準(zhǔn)研究報(bào)告》以及《2019年思科威脅報(bào)告》?！?思科大中華區(qū)副總裁，安全事業(yè)部總經(jīng)理卜憲錄在接受筆者的采訪時(shí)表示，這是思科連續(xù)第 12 年發(fā)布關(guān)于網(wǎng)絡(luò)安全形勢的研究結(jié)果，也是我們第五年對數(shù)千名安全領(lǐng)導(dǎo)者進(jìn)行基準(zhǔn)研究。

CISO成為企業(yè)網(wǎng)絡(luò)安全構(gòu)建的重要角色

事實(shí)上，很多企業(yè)為更好的應(yīng)對未知的安全威脅，已經(jīng)陸續(xù)把信息安全策略的制定和管理職能抽離出來，并設(shè)置了CISO的職位。作為企業(yè)安全防范大閘的第一關(guān)，企業(yè)CISO必須要擁有足夠豐富的安全防范意識(shí)，同時(shí)整個(gè)團(tuán)隊(duì)也要具備應(yīng)對業(yè)務(wù)的能力和技術(shù)的專業(yè)性。

CISO從傳統(tǒng)的IT部門抽離出來面對三個(gè)層面的挑戰(zhàn)：首先，CISO無法獨(dú)立工作，必須要與傳統(tǒng)的IT部門以及網(wǎng)絡(luò)部門密切合作。數(shù)據(jù)顯示，95%的受訪者認(rèn)為網(wǎng)絡(luò)團(tuán)隊(duì)和安全團(tuán)隊(duì)之間協(xié)作程度擁有非常好的合作信號(hào)。

其次，CISO要處理過去企業(yè)遺留下的安全隱患——技術(shù)和供應(yīng)商的碎片化問題?！耙酝W(wǎng)絡(luò)設(shè)備數(shù)量繁多，信息安全的技術(shù)也層出不窮，信息安全的供應(yīng)商是碎片化的，一家企業(yè)會(huì)同時(shí)采用多種安全供應(yīng)商，”卜憲錄表示，對于CISO而言，如何有效地把各種安全產(chǎn)品整合在一起，并有效處理它們的報(bào)警信息，得出一個(gè)整體和具體的分析結(jié)果都是極具挑戰(zhàn)的。

毫無疑問，在安全領(lǐng)域最大的挑戰(zhàn)是不斷有新的威脅出現(xiàn)，與之伴隨的是新的技術(shù)解決方案、廠商以及產(chǎn)品。但是根據(jù)在《2019年思科CISO基準(zhǔn)研究報(bào)告》中的統(tǒng)計(jì)表明，其中超過50%的報(bào)警信息是根本沒有被看過也沒有被處理過的。一方面是因?yàn)樾畔⒘窟^多，包括很多誤報(bào)信息，企業(yè)的安全技術(shù)人員并不能有效處理，另一方面是來自于技術(shù)層面的挑戰(zhàn)，怎樣才能把不同產(chǎn)品發(fā)出的警告標(biāo)準(zhǔn)化？

對此，卜憲錄的建議是盡量精簡和整合，把更多的時(shí)間和精力拿去關(guān)注真正的事情以及可能發(fā)生的未知威脅。

最后是來自未知的威脅。如何管理、發(fā)現(xiàn)未知威脅，如何應(yīng)對這些未知的威脅是一個(gè)很有挑戰(zhàn)性的課題。

報(bào)告顯示，未知威脅是當(dāng)下企業(yè)非常關(guān)注的安全問題，而且很多未知威脅其實(shí)是利用了一些已知的途徑和手段去滲透，比如電子郵件，在垃圾郵件常常藏有惡意鏈接。

基于調(diào)查以及數(shù)據(jù)驅(qū)動(dòng)分析，《2019年思科CISO基準(zhǔn)研究報(bào)告》為CISO提出最佳實(shí)踐的建議：通過將實(shí)用戰(zhàn)略與網(wǎng)絡(luò)保險(xiǎn)和風(fēng)險(xiǎn)評估相結(jié)合，基于測得的安全結(jié)果制定安全預(yù)算，以指導(dǎo)采購、戰(zhàn)略和管理決策。同時(shí)企業(yè)可以采用業(yè)內(nèi)經(jīng)驗(yàn)證的流程，減少其暴露程度和受攻擊程度。這些流程包括加強(qiáng)演練；采用嚴(yán)格的調(diào)查方法；并且了解最快的恢復(fù)方法。

除此之外，CISO還應(yīng)了解業(yè)務(wù)案例的基本安全需求的唯一方法是在IT、網(wǎng)絡(luò)、安全和風(fēng)險(xiǎn)/合規(guī)部門之間，跨越孤島進(jìn)行協(xié)作。協(xié)同各種工具對事件的響應(yīng)，以便加快從檢測到響應(yīng)的速度，并減少手動(dòng)操作。并將威脅檢測與訪問保護(hù)相結(jié)合，以解決內(nèi)部威脅，與Zero Trust（零可信）等計(jì)劃保持一致。通過網(wǎng)絡(luò)釣魚培訓(xùn)、多因素身份驗(yàn)證、高級垃圾郵件過濾和DMARC，解決頭號(hào)威脅來源，以防范商業(yè)電郵攻擊。

趨于完善的安全理念和架構(gòu)設(shè)計(jì)

在《2019年思科威脅報(bào)告》中，2019年從目標(biāo)轉(zhuǎn)變上思科關(guān)注三部分：物聯(lián)網(wǎng)、移動(dòng)平臺(tái)以及供應(yīng)鏈。

“以VPNFilter為例，VPNFilter是針對物聯(lián)網(wǎng)設(shè)備的一個(gè)典型攻擊，該病毒以路由器為目標(biāo)，去年有54個(gè)國家的50萬臺(tái)設(shè)備受到影響?！彼伎拼笾腥A區(qū)網(wǎng)絡(luò)安全事業(yè)部技術(shù)總監(jiān)徐洪濤表示，黑客攻擊瞄向移動(dòng)平臺(tái)也在發(fā)生變化，過去攻擊者常常以手機(jī)和PC等終端作為主攻目標(biāo)，現(xiàn)在它們改為攻擊MDM平臺(tái)，通過控制該平臺(tái)再控制其管轄下的所有設(shè)備。

在徐洪濤看來，這幾起關(guān)鍵事件的攻擊手段主要有三個(gè)特征：搶頭條式的攻擊方式、低調(diào)合作以及潛伏隱蔽的攻擊方式。

隨著越來越多的企業(yè)用戶深受的網(wǎng)絡(luò)威脅的危害，思科曾預(yù)測2018年會(huì)是勒索軟件大規(guī)模爆發(fā)的一年，事實(shí)也確實(shí)如此。不過徐洪濤表示，這一情況在2019年將會(huì)發(fā)生巨大變化，勒索軟件正在以新的威脅方式出現(xiàn)——加密挖礦軟件。主要體現(xiàn)在勒索軟件雖然很暴力、且直截了當(dāng)，直接把電腦加密并勒索錢財(cái)，但攻擊者真正能收到贖金的并不多。

徐洪濤表示，“為了幫助用戶更好地了解最新威脅信息和防御的最佳實(shí)踐，除‘年度威脅報(bào)告外，思科還推出了‘每月熱點(diǎn)威脅報(bào)告和‘Talos每周威脅匯總。其中‘每月熱點(diǎn)威脅報(bào)告，涵蓋不同類別的熱點(diǎn)威脅信息，同時(shí)重點(diǎn)介紹阻止這些威脅的領(lǐng)先方案；Talos每周發(fā)布的威脅匯總，還會(huì)免費(fèi)公開全球主要的惡意軟件的形態(tài)、特征，以及文件的特征、IP的特征等。”

或許大家會(huì)好奇，是什么支撐思科提供每月、每周的安全分析？其實(shí)這源自于其背后全球最大的安全研究團(tuán)隊(duì)——思科Talos。

據(jù)了解，思科Talos團(tuán)隊(duì)由業(yè)界領(lǐng)先的網(wǎng)絡(luò)安全專家組成，他們分析評估黑客活動(dòng)、入侵企圖、惡意軟件以及漏洞的最新趨勢，同時(shí)這個(gè)團(tuán)隊(duì)得到了Snort、ClamAV、Senderbase.org和Spamcop.net社區(qū)的龐大資源支持，使得它成為網(wǎng)絡(luò)安全行業(yè)最大的安全研究團(tuán)隊(duì)，專門為思科客戶、產(chǎn)品和服務(wù)提供卓越的保護(hù)。思科Talos擁有思科無可匹敵的豐富遙測數(shù)據(jù)：借助上百萬個(gè)遙測代理、4個(gè)全球數(shù)據(jù)中心、超過100家威脅情報(bào)合作伙伴以及1100個(gè)威脅捕獲程序。

為了完善安全理念和架構(gòu)設(shè)計(jì)，思科在安全領(lǐng)域的投資從未停止。2018年，思科花費(fèi)23.5億美元收購互聯(lián)網(wǎng)安全公司Duo Security，用于加強(qiáng)對Zero Trust方案的完善。顯然，思科對于安全的規(guī)劃有著明確而清晰的方向。

寫在最后

隨著邊界的模糊、應(yīng)用的復(fù)雜，移動(dòng)、云等新因素出現(xiàn)后，思科在最新的理念和架構(gòu)設(shè)計(jì)上也有一些變化。傳統(tǒng)防護(hù)的思路是以威脅為中心的防御，不過太過被動(dòng)，為此思科新增一個(gè)維度——Zero Trust（零可信），任何設(shè)備、用戶、應(yīng)用或者數(shù)據(jù)，都必須要一次一授權(quán)，最大限度地降低未知威脅侵入的可能性。

卜憲錄提醒企業(yè)用戶要警惕隨著安全產(chǎn)品生命周期的迭代，可能面臨的新的安全問題和潛在風(fēng)險(xiǎn)。他同時(shí)強(qiáng)調(diào)：“正是為了應(yīng)對這種層出不窮的新的挑戰(zhàn)，過去的二十多年中，思科一直在持續(xù)加強(qiáng)研發(fā)創(chuàng)新，一直持續(xù)地致力于將安全和網(wǎng)絡(luò)基礎(chǔ)架構(gòu)相融合，讓網(wǎng)絡(luò)變得更智慧更安全。思科在網(wǎng)絡(luò)和安全技術(shù)領(lǐng)域多年的積累和持續(xù)創(chuàng)新是思科承諾給用戶的最重要的安全保障?！?/p>