思科安全技术顾问吴清伟:数字化时代的企业安全防护探讨

上海,中国的经济、金融、贸易、航运中心,一直以变革、创新引领着中国企业的发展。在“互联网+”浪潮下,上海企业首当其冲,这座城市,一直用信息化手段推动着企业的高速发展。2016年10月28日,企业网D1net携手上海CIO联盟共同举办的CIO沙龙活动在上海盛大举行,来自各行业的CIO共聚一堂,共同探讨各行业在互联网+实践方面的信息化实践,涵盖大数据实践、互联网风控等领域。

以下为:思科安全技术顾问吴清伟在上海CIO沙龙的演讲,题目是:《数字化时代的企业安全防护探讨》

主持人:就在上周,美国当地时间10月21日,一域名解析服务商Dyn遭受DDoS攻击,导致了美国大部分网站无法访问。调研显示,美国等发达国家对网络安全的投入占信息投入的20%以上,而我国不足2%,在如此严峻的大背景下,企业如何做好安全?下面有请思科安全技术顾问吴清伟,他给我们带来的演讲是数字化时代的安全防护探讨,谢谢。

吴清伟:大家下午好,今天和大家探讨一下就是数字化时代里企业如何去面对,在网络安全领域里思科有哪些思路?

大家可能会注意到,在数字化转型过程中有两个要点信息,一个是物联网建设会出现一个高潮时代,美国这次事件跟这个还真有紧密的联系,第二个,数字化经济过程中很多企业转型,包括把一些业务从线下搬到线上,把传统的手工方式转成自动化的处理方式,那带来的结果呢?毫无疑问,效率提高了,业务开展的成本降低了,但同时模式发生改变之后,很多新的攻击入口出现了。

美国这次攻击事件,跟以往的大规模的DDos攻击不太一样,因为发起的攻击设备,不是传统的PC终端,而利用的是IOT设备,换句话说物联网设备,比如现在我们城市里看到的各种摄像头,甚至家用路由器,IP打印机等等,这些设备成为攻击的肉鸡,这次是一个比较特别的情况,所以我们先谈一下这个事件的诱因。看起来就是说物联网IOT,我们叫Internet of Things,大家都在欢欣鼓舞地建设,但是安全问题似乎没有太重视。这个事件也给我们很多物联网行业的从业者提出一个警钟:IOT的安全问题是非常重要的。除了这个事件,我还想跟大家分享,近一年多时间里一直在发酵的一个事件,叫加密勒索软件。

先简单说一下这个事件的过程。它是一个很特别的恶意代码,这种恶意代码通过电脑终端感染之后,会把你的电脑文件加密,等你发现的时候文件就打不开了,那么这个时候,它会做一个信息提醒的方式,让这个使用者去缴纳赎金,缴纳赎金之后你才能获得解密的工具,完成解密。特别有意思的是为了防止追踪,它采用了比特币支付的方式,因为比特币没办法去把源头追踪出来,但是国内很多用户没有比特币账号,所以很多电子商务平台,就出现代付比特币的情况。

提到这个事件,我其实最惊讶的一个情况是,在我接触的用户当中, 95%的企业用户,都遇到过这种加密勒索软件的情况。很多人要么就系统重装了,要么就付钱了。这是我非常惊讶的一个问题,因为这意味着什么?第一个,我们的企业的用户安全意识没有到位;第二个,我们很多安全防护的措施解决方案,其实没有真正发挥作用。两个安全事件看到的一个趋势就是攻击的门槛越来越简单了。以加密勒索软件为例,它的攻击方式是在一个邮件里加一个附件,附件可能是一个木马程序或者恶意代码,使用者不小心点击运行了,就有可能造成加密。

从2011年开始,思科开始每年发布一个安全报告。思科2016年的安全报告,它针对我们刚刚提到的事件做了一个很好的归纳,有三点:第一点,网络攻击者的攻击手段越来越灵活,以前没有听说过勒索软件,现在有了。第二点,防御者就是使用者,现在没有特别好的方式去防御,像勒索软件这个事情,90%以上的用户都中招了,可见现在防护手段还没有找到一个特别好的方式。最后,如何去防御。思科提出来就是最重要的一点是的安全架构的设计,安全架构的设计是网络安全设计里边的一个关键点。

另一方面安全意识需要加强,用户选择产品,也面临复杂的环境,这些都是客观存在的,很多CIO也有切身的体会,现在,我想把思科安全防御的一些思路跟大家做一个分享,当然也希望大家能也给我们一些反馈,主要有三点:

第一点,在做安全防御中,强调全面的可视化;第二点,把安全防御作为一个重点;第三点,强调架构式的防御手段。

提到可见性,现在把可见性提到很高的一个层面,不管是各种安全厂商还是用户,都要求产品能够提供可见性。可见性具体来讲,包括什么呢?我们现在保护的是网络,网络里边可以看得见摸得着的,无非是几样东西,一个是客户端,客户端包括人员、设备。另一方面是服务器端,这两端我们要看到。除此之外,服务器端到客户端之间,可能有各种各样的访问行为,各种各样的应用程序,这些东西我们希望也能够看到,这是网络可见性的第一个层面。第二个层面,要能够看到网络中在这些终端应用人员的背后隐藏的安全漏洞。这个是至关重要的,因为所有的安全问题,最后都会把它归结到系统中产生的漏洞,或者叫系统中存在的漏洞被利用,所有的系统不管是软件硬件都有漏洞,我相信大家一定会承认我的这个讲法。如果没有漏洞,我们前面看到的IOT的事件、加密勒索软件的事件完全不会发生。如果我们能够尽最大可能地把漏洞限制在最小范围内,很多安全事件就可以避免了。当然漏洞是客观存在的,我们能做的就是尽可能减少这个漏洞给我们带来的伤害,所以可视化里边重要的一个方面,就是我们要能够看到存在的漏洞有哪些?一个方面从网络的维度,比如我们有一些安全产品,这是它的一个设备的界面,可以看到网络中有哪些主机操作系统,windows设备或者苹果设备,甚至还可以看到网络中有哪些应用。大家可能关心有没有国内的应用,其实很多社交的工具,聊天工具,或者网上的交易等等都可以看得到,这是思科设备现在已经能够呈现的。比如说我遇到网络阻塞的话,我可以看看,这个应用到底被哪个带宽,被哪个应用占用了。再有,从安全角度讲,网络中的安全漏洞有哪些,以及这些漏洞有没有被攻击者所利用?这个是我们以往很难做到的,但是现在我们已经有了一些技术手段,有一些实践,带来的效果也是非常不错的。像有一些攻击的源头,攻击的目标,都可以自动化地呈现出来,它对攻击的识别是自动化的。

另外还有一种情况,除了攻击行为以外,可能有一些看不见的。举个例子来说,可能大家听说过震网病毒,这是若干年前某两个大国之间发起的,在公共系统的网络战。那么震网病毒的发生过程是什么呢?就是内网的一台终端被感染了,然后它做为跳板,再去攻击其他的终端,最后攻击到网络的离心机,导致离心机报废。而这个行为是通过网络边界渗透进来,在内网之间。

从一个跳板,然后跳到另一台机器,最后达到攻击的目的。有人说这个APT攻击,高级可持续性威胁类型的攻击。而这种攻击,往往用传统的方式没法发现,但是我们也有一些手段,比如说让网络像传感器一样去感应,有没有异常的行为出现,这也是网络可视化的一个方面。

谈完了可视化,我们来看第二个关键点,关注威胁防御。现在很多网络设备都部署在用户的环境当中,比如防火墙、入侵检测、行为管理。大家说,难道我的设备不是关注威胁吗?其实这个理解是这样的,我们认为威胁和现有的大多数网络设备相比,有一点区别。很多安全设备都放在那儿,但是它往往是一个静态的工作模式,换句话说,就是它设好了一个规则,等待别人来攻击,但实际上,攻击者肯定不会按照它的这个设想去对它进行攻击或者入侵。往往利用新的漏洞,比如说零日漏洞,零日漏洞一旦出现,现有的系统还没有一个针对性的防护策略,设备放在那就形同虚设了。

现在强调的专注威胁有一个重要内容,用孙子兵法来解释,就是知己知彼,我要知道别人攻击我,用什么方式攻击我,了解之后才能有效地去防御。

这里边有一个数据,前两天我们有一个100天和13小时两个两个数值。100天什么概念呢?就是根据这个权威机构一个调查显示,说一个用户,他遭受到一次网络攻击之后,那么他花多长时间能够发现被攻击了呢?平均时间100天。这100天好像太长了,我们现在可以通过一些解决方案,架构式的防御把它缩短到13小时。你发现得越早,可能你遇到的损失就越小了。

国外有一家机构叫NSS实验室,这是 2016年8月份的一个测试结果,拿出来跟大家做一个简单的分享。它并不是去检测有多少攻击被拦掉了、发现了,而是说一旦有攻击发生,系统花了多长时间去把这个攻击检测出来。这里边我们用一个红框表示几个重点数据跟大家做一个分享。

第一列就是说,在遇到一次攻击的时候,在一分钟之内,发现这个攻击的比例有多少,这是一个横向的厂商比测,思科做的好像也不是很高67,但是如果横向比较的话这个就是最高值了。这是一分钟,还可以看到3分钟5分钟等等。实际上这里边能够反映出来一个问题,就是整个行业现在对安全的关注已经开始往这个方向转变了。

前面提到一个热点,说我们现在做了很多安全设备,但是为什么不安全呢?其实现在看安全的一个趋势转变,就是说,大家这个对安全的比拼,已经从前端转到后端。所谓前端就是实实在在的设备,一个盒子放在那儿,防火墙设备、入侵检测设备、或者其他的终端安全设备,前端设备的差距越来越小,性能、端口、密度这些差距都不大,无非是一个硬件的成本问题,但是后端可能显得至关重要了。也就是说,原有的前端设备,它提供的是一个静态的防护。但是,后端可以通过一些智能安全服务来提供动态的防护,比如说遇到零日攻击的时候,后端像智能中心,可以通过大数据的分析、全球探针的采集,第一时间找到针对这种理论工具的解决方案。然后,动态地把这个策略给你的设备推送下去。这样就变成了一个前端后端的结合,这是我们看到一个趋势,所以后端的强大与否、有效与否,其实是决定网络安全防御的一个关键点,思科这样一个后端的防务,叫做安全智能中心,英文名字叫Tartarus。

Tartarus的名字有一个背后的故事:古希腊有一个神叫Tartarus,他每天的任务,就是保卫城墙的安全,说白了就是跑圈,用最原始的方法围着这个城墙绕圈,然后各个城门,不断的检查从不停息,那看看哪个地方有这种攻击者的存在,所以这个名字用在这里也算是恰如其份。

靠单一的产品去做加密勒索软件防御可能是不现实的,在这边希望能够给大家介绍架构式防御。在边界,可以通过防火墙的动态策略,到了应用层面,邮件里边带有勒索软件的附件,那能不能识别,能不能过滤?那到了内网之后怎么办呢?这个加密勒索软件很有意思,你的电脑被植入的时候还不可怕,因为他要加密的时候一定要连接到C2服务器上去,然后下载一个密钥,对你加密之后把密钥删掉,这时候你没有密钥了,解密也不可以了。回到前面说你的电脑被植入这个勒索软件了,没关系,只要阻断它跟C2的通信,加密勒索的行为也不会发生了。那这意味着说可以通过内网的异常行为监测,把终端的异常行为阻断掉。

我有一张图给大家看一下,就是如何通过架构式的部署来实现整体的安全防护。这个图里边包括两大块内容,一块是边界,一块是内部。内网的防护, NaaS和NaaE。我们谈安全的时候一定会说,有没有安全设备?其实我们忽略了一个重要的点:现有的网络设备,其实同样可以帮助我们去获得一个安全的防护,那就是NaaS要讲的事情。那NaaE是什么呢?我可以把网络设备作为检测威胁的一个手段,那检测的同时,我能不能再用它做一些防护,在不需要人工干预的情况下,自动的做一个防护。

我这边有一张动态的图,可以给大家做一个演示。NaaS很简单,所有的网络都离不开交换机、路由器、防火墙这些设备,可以把这些设备作为一个探针点,把看到的网络行为信息吐出来,之后通过分析平台,把异常信息找出来。从某种程度它还有一个好处,就是做合规。金融行业里边经常会遇到合规需求,合规需求包括两块:一块是,从内网到外网的访问,还有一块是内网到内网,业内讲法就是南北流量和东西流量。南北流量方案已经有很多了,但是东西流量还不太成熟,而我们通过网络设备作为传感器,可以解决合规的问题,这是NaaS的另一个效果。

NaaE让网络平台实现动态的防护。还是回到刚才那个例子,假如有一个终端用户,被注入一个木马,之后它可能在网络里面就开始做一些探测、扫描,而这些事情靠人工方式去干预很困难。因为很难去定位终端、IP地址,这种情况下NaaE可以去把这种行为定位出来。比如一个不合规机器,去访问一些不该访问的资源,发现之后怎么办呢?直接把它从一个正常访问的区域隔离出来,隔离到它没有权限去访问资源的区域;可能用户被挂了一个木马程序,或者一个加密勒索软件,但是他自己不知道,系统分析的时候就可以会找到并隔离起来。这就是NaaE,通过网络平台来实现动态的防御。它也是我们最近一两年内与用户沟通的时候发现的,对用户帮助非常大而且用户非常感兴趣的一个架构式的解决方案。

谢谢大家。

本文转自d1net(转载)

时间: 2024-12-02 05:45:20

思科安全技术顾问吴清伟:数字化时代的企业安全防护探讨的相关文章

思科资深顾问马旻,解读金融私有云架设信息化金融之路(PPT下载)

话题 "金融私有云架设信息化金融之路" 正在线上讨论,关注 "思科联天下" 后回复F001即可参与,或发送邮件 minma@cisco.com 可与思科资深顾问马旻交流. 本文福利,在"大数据文摘"后台回复"思科",可得4个干货文档 自互联网金融以强势的姿态进入大众视线以来,金融行业的关注度持续升温.不同以往的是,IT 技术开始被更广泛地关注,大数据.云计算等技术被火热推崇. 金融行业需要什么样的数据中心?是否也要采用混合云?

诚品书店吴清友:感谢上天让我赔了15年的钱

文/诚品书店创始人,正和岛岛邻 吴清友 诚品书店连续亏损15年,对于商学院来说这可能不是一个好的案例.但却让诚品书店创始人吴清友明白了一个道理:企业家们最好是能赚取心安理得的利润,只有"利"他之后,才能赚取真正属于自己的财富. 诚品书店 每一个生命来到这个世上都有他的功课,我们每个人都有不同的因缘.对我而言,经历了上天赐给我的先天性心血管疾病,经历了年少的贫困,虽然非常幸运地在工作了十几年后获得了丰厚的财富,但在30多岁时我开始反省生命. 上世纪50年代,我出生在台湾省西南沿海地区,是

商业数字化时代,企业数据分析要理智

文章讲的是商业数字化时代,企业数据分析要理智,以数据分析结果为导向的运营思路可以帮助公司决策者优化决定,但是过犹不及,纷繁复杂的数据分析也许也会扰乱决策制定.有时候,去繁就简,才能更好地利用数据,看清海量数据背后隐藏的商业秘密. 先说说到底什么是数据分析? 数据分析是基于商业目的,有目的的进行收集.整理.加工和分析数据,提炼有价信息的一个过程. 其过程概括起来主要包括:明确分析目的与框架.数据收集.数据处理.数据分析.数据展现和撰写报告等6个阶段.      1.明确分析目的与框架 一个分析项目

思科推出新一代互联网边界防火墙,助力企业兼顾性能与安全

近日,思科(NASDAQ:CSCO)推出了思科Firepower 2100系列新一代防火墙(NGFW),全面应对安全瓶颈问题.2100系列产品专为需要执行大量敏感交易的企业而设计,例如银行和零售企业等.该系列产品旨在帮助企业实现最长正常运行时间,并为关键业务功能和数据提供可靠保护.该系列产品将有力解决性能与防护难以兼得这一行业难题,可凭借全新的可扩展架构.以及使吞吐量增长200%的性能提升,全面消除从互联网边界到数据中心的瓶颈. 思科还提升了产品所需工具的效率与威胁防御能力,进一步简化了从设备到

诚品书店吴清友:熬过赔钱的15年在经营生命

作为一家书店,诚品不仅做到了业内名声响亮,更成为了台湾的地标景点之一.但是,这样一家备受欢迎的书店都是不赚钱的.是什么让诚品创造出这样的奇迹"?核心经验:1.只有充分展现了对他人有利之后,诚品才有资格在这个社会拥有存在的正当性,才开始有一些经济性的利益;2.诚品进入了零售业的第三个阶段--购物和体验之外,顾客和读者能够共同参与的空间文化;3.诚品人要爱艺术.爱阅读.爱工作.爱加班.要不爱钱,这是诚品书店能活下来的原因之一.诚品书店原本是我生命里的偶然,但现在它却成了我生命里的必修,或者说是我的最

吴方伟博士:百度大数据激发未来银行活力

人类正进入全新的大数据时代,大数据正在改变人们的认知和行为方式,进而推进银行提供服务方式的变革.大数据既给银行业带来巨大挑战,也为其业务拓展和产品创新带来重大机遇.银行一直是运用信息技术最为积极的部门.银行业与信息技术的结合大致分为三个阶段:首先是发端于1970年代的银行业务电子化:其次是1990年代开始兴起的网络化,代表性的成果就是 网上银行:如今则是2010年后互联网公司掀起的互联网金融浪潮.在如今的第三次技术革命浪潮中,互联网公司借助技术实现资金供需双方的资金融通.在该模式下,银行.券商和

天润融通吴强:电商企业的托管型呼叫中心服务

一个电子商务企业要想成功,呼叫中心是必不可少的组件,它甚至会发挥至关重要的作用,说呼叫中心已经成为众多电商企业的"生命线"也丝毫不夸张.但许多企业并没有能力耗费巨资和人力.物力自建呼叫中心,这就给了呼叫中心托管市场很大的空间.天润融通就是于2006年首创了托管型呼叫中心,近年来业务发展得如火如荼,为一大批中小电商企业带去了巨大帮助. 应时而生 2003年时供职于一家国企的吴强,曾参与了公司呼叫中心系统建设的项目,并担任项目主管经理.那是一个全国性的客服中心项目,设置了320个坐席,规模

世纪佳缘吴琳光:国内企业一年内赴美IPO仍困难

世纪佳缘联席CEO 吴琳光 和讯科技消息 12月10日,世纪佳缘联席CEO吴琳光日前做客和讯http://www.aliyun.com/zixun/aggregation/35031.html">科技频道<高端访谈>栏目时表示,目前资本市场较为寒冷,但世纪佳缘没有收到直接冲击,因为婚恋需求作为基本需求是一直存在的. 吴琳光表示,投资者选择投资对象通常会考虑三个问题,分别为:首先看市场是不是足够大:其次一定要投市场的领军人物:第三,看可持续发展能力. 吴琳光还认为,现在开始一年以

思科高管:男女比例失衡妨碍美国企业竞争力

新浪科技讯 北京时间9月18日上午消息,思科开发战略与业务部门高级副总裁凯西·希尔(Kathy Hill)周五在亚太经合组织会议上表示,科技行业女性员工不足将不利于美国企业的全球竞争力. 希尔称,企业应该调整政策,加大对女性员工的培训,以确保两性平衡.希尔说:"科技应该发挥其作用.科技行业创造的价值超过其他行业,我们还在创造就业."根据美国商务部的统计数据,在美国女性就业人数占全国就业人数的比例达到50%左右,但在科学.技术.工程等岗位,女性就业人员比例不足25%. 美国国务卿希拉里·