在过去的一年中发生了很多安全事件,对于企业管理者来说:
- 最大的挑战是什么?
- 有哪些安全事件让他们彻夜难眠?
- 出现了哪些新的攻击和威胁?
- 有哪些应对方法及最佳实践?
思科最近发布的《思科2019年首席信息安全官(CISO)基准研究报告》,对以上难题做出了解答。
做安全:有基础,有信心
一说到思科,大家就会想到网络领域的领导者,仿佛思科等于整个互联网的基础架构。那么,思科为什么要做安全,思科做安全有哪些独到的优势?思科大中华区副总裁,安全事业部总经理卜宪录表示:
“当今网络和安全融合程度高达95%,随着物联网终端的大量出现,边界安全日益重要,在边界的路由器、交换机上面有很多安全的性能。这对于思科来说是最大的优势。”
卜宪录
思科大中华区副总裁、安全事业部总经理
第二,思科做安全是必然的选择。当今,客户要用网络,一定会选安全的网络,安全在某种程度上已经等同于网络安全了,这本身也说明网络和安全的相关度很高。所以思科做安全是能够保证在网络领域里不断巩固和强化优势,对于客户而言,也提供了一个最好的融合的解决方案。
第三,当今的安全已经不单纯是基础架构网络安全的问题,客户更多地迁移到公有云,带来了复杂的混合云的环境,客户还面临着多云的诱惑和选择,通常对客户来说,即便选择公有云,也会选择两到三家,把不同的应用、不同的基础架构逐步迁移过来。
在这个过程中,客户的挑战首先是怎样保证策略的一致性、访问的安全行和可视化。思科在这方面,有许多重大的投资,比如去年思科花费 23.5 亿美金收购的 Duo Security,还有之前收购的 CloudLock、Observable Networks、OpenDNS 等等,这些都是云安全领域里的领导者。这说明思科在网络安全传统优势之上,还在云安全领域里做了重大投资。
CISO:受到重视的同时
也面临诸多挑战
卜宪录表示,很多企业开始陆续把信息安全策略的制定和管理职能抽离出来,并设置了CISO这个位置。这是一个很好的趋势,但对于企业的 CISO 而言,承受着巨大的压力,这些压力主要来源于两点:
- 一是责任重大,一旦企业发生了大规模的数据泄露或遭受到了攻击,以致业务的停顿或宕机,对于CISO而言,不仅关乎自己的责任,也涉及到整个企业的声望。
- 二是对于企业 CISO 所带领的安全管理部门的人员,从数量、技能要求上也是很大的挑战,其中包括人才的紧缺、人员的流动性,应对业务的能力、技术提升的挑战。
除此之外,还有关于供应商碎片化,应用云化,部门孤岛等原因,也都是CISO承受的压力。
CISO 从传统的 IT 部门剥离出来后,除了巨大的压力,还面临着很多挑战。
首先是由于 CISO 无法独立工作,如何跟传统 IT 部门及网络部门密切合作,以及与各个业务部门之间的合作就变成了一个重点。据《思科 2019 年首席信息安全官(CISO)基准研究报告》的数据显示,95% 的受访者认为网络团队和安全团队之间协作程度非常高或者很高,从配合的紧密度来讲,网络部门和安全团队之间的合作程度也是很高的。
在团队协作中,IT 部门和业务部门之间的协作,IT 部门与网络部门、安全团队之间的协作,以及目前许多应用开发由于市场交付要求越来越高,敏捷开发,迭代速度非常快,此时,各个团队之间如何密切配合就变得尤为重要。安全团队和网络团队之间的协作如果不顺畅,攻击者就会有机可乘。
第二个挑战是 CISO 面对的架构层的挑战:技术和供应商的碎片化。众所周知,以往网络设备数量繁多,信息安全的技术也层出不穷,信息安全的供应商是碎片化的,一家企业会同时采用多种安全供应商,这对于 CISO 而言,如何有效地把各种安全产品整合在一起,并有效处理它们的报警信息,最后得出一个整体和具体的分析结果都是极具挑战的。
对此,《思科 2019 年首席信息安全官(CISO)基准研究报告》指出,企业应该从架构层面进行精简和整合,才能更有效地应对已知的威胁,更好地帮助企业发现未知威胁。
报告显示,79% 的受访者表示,管理来自多个供应商产品的警报非常具有挑战性,这比 2018 年的 74% 有所增加。另外,由于时间、精力、架构分散度以及工具问题,企业当中的报警数量有超过一半是根本没有被处理过的。
当今,供应商的整合已经变成了一个趋势,2018 年 54% 的受访者在其环境中拥有 10 家或更少的供应商;在 2019 年,这一数字已上升至 63%。这不仅仅是安全产品技术之间的整合,也包括与基础架构、网络之间进一步整合。
第三个挑战是未知威胁。如何管理、发现未知威胁,如何应对这些未知的威胁本身就是一个很有挑战性的课题。以大家熟悉的垃圾邮件相关的未知威胁为例,邮件作为商业运营最常用的一个工作手段,很多未知威胁常常把邮件当成第一入口,这说明很多未知威胁其实是利用了一些已知的途径和手段去渗透。
所以思科给 CISO 的建议是,需要根据已知的已知去做决定,企业中已经部署了很多安全产品和解决方案,包括一些服务手段,要根据这些来做一个决定。另外,CISO 也要根据一些已知的未知去定一下安全策略、战略和发展方向。
对一些新技术的采纳,无论是云还是人工智能等新兴应用刚面世的时候,都存在着很多未知的东西,企业管理者知道这些技术存在一定的风险,如何有意识地提升这方面的能力就变得很重要。
此外,如何积极探索、了解行业发展的新趋势,了解业务发展的新动态,能够让安全技术,包括整个公司的安全意识、策略的制定能够随着趋势去跟踪和发展,不脱节、不停留在原有传统思维的限制当中,也对于应对未知的未知是很重要的。
新技术为网络安全
注入强心剂
云计算、人工智能等新技术非常火爆。思科对此有了一些新的发现。
首先是企业用户对于云的采纳程度,信心和准备情况都比去年有了提升,这说明经历了5-10年的时间,云计算这项技术已经日益成熟,信息安全的厂商针对云计算所开发的技术、产品和解决方案,也给客户更大的信心,使得他们能够迁移到混合云,甚至多云的环境当中去。
另外,虽然整体上关注的程度很高,但是对于机器学习、AI和自动化方面的依赖程度都略有下降。原因主要有两方面:
- 这些技术已经融合到产品当中,已不再仅仅做成一个独立的分支被分离出来,思科也有很多产品和解决方案已经内置了机器学习、人工智能、自动化的技术。
- 这些技术刚面世的时候,人们的期望值非常高,有的甚至以为这些能帮助解决一些根本性问题,随着近一两年的实践,大家发现还是需要人工介入,跟一些传统安全上的架构、策略的制定等等方面有效结合在一起才是最现实的方法。
这些新技术给网络安全带来了促进作用,思科很多技术都大规模应用了 AI、机器学习、区块链等。比如在邮件安全中,现在钓鱼邮件是很多企业面临的一个最大威胁,思科对大量的邮件进行大数据分析后,利用人工智能技术,得出很多模型,进而判断邮件是否安全。
此外,在可视化方面,思科基于对网络流量的理解,结合思科擅长的网络技术,提供一种网络可视化的手段。在数据中心中,让用户知道有多少应用在跑、都是什么应用、都是谁在访问数据中心、都做了什么动作。这些信息对于企业管理者来说,是做好网络安全的基础。
附:
《思科2019年首席信息安全官(CISO)基准研究报告》对CISO做了一些最佳实践的建议,是基于调查的,基于数据驱动分析得出来的结论:
- 通过将实用战略与网络保险和风险评估相结合,基于测得的安全结果制定安全预算,以指导您的采购、战略和管理决策。
- 企业可以采用业内经验证的流程,减少其暴露程度和受攻击程度。这些流程包括加强演练;采用严格的调查方法;并且了解最快的恢复方法。
- 了解业务案例的基本安全需求的唯一方法是在IT、网络、安全和风险/合规部门之间,跨越孤岛进行协作。
- 协同各种工具对事件的响应,以便加快从检测到响应的速度,并减少手动操作。
- 将威胁检测与访问保护相结合,以解决内部威胁,并与Zero Trust(零可信)等计划保持一致。
- 通过网络钓鱼培训、多因素身份验证、高级垃圾邮件过滤和DMARC,解决头号威胁来源,以防范商业电邮攻击。
来源:51CTO,作者:赵立京
