2016年6月24-25日,由51CTO.com主办的【WOT2016企业安全技术峰会】在北京珠三角JW万豪酒店召开。自2012年以来,WOT品牌大会秉承专注技术、服务技术人员的理念已经成功举办九届,不仅积累了大量的专家资源,更获得了广大IT从业者和技术爱好者的认可和好评,并成为业界重要的技术分享及人脉拓展平台。
本次【WOT企业安全技术峰会】分为11大技术主题,分别是企业安全管理与运维、工控安全与物联网安全、大数据安全、移动Web与安全、云安全、CISSP开放创新论坛、金融与电子商务安全、威胁情报与攻击防护、漏洞挖掘与分析、安全测试与应急处理、技术管理专场。51CTO.com作为本次大会的主办方,将通过快速报道、现场专访与后期视频等多种形式,向广大用户全方位展示这场盛宴。
下面是大会主会场上来自思科的中国首席安全架构师徐洪涛先生带来的主题为数字经济变革下的安全防护思路的现场演讲实录。
思科中国首席安全架构师 徐洪涛
(演讲实录)
非常高兴有这样一个机会分享一下网络安全话题,今天分享这个话题是数字经济变革下如何做网络安全防护,我们现在进入一个数字化颠覆一个时代。万物互联,给我们生活带来了很多的便利,给工作带来的便利。在这个环境下实际上带来了很多的危机,有越来越多的攻击。思科本身也是发现了数字化颠覆的商机,这个环境下我们可能会面临更多的安全的隐患。所以,从思科来看,已经把网络安全作为公司首要发展方向。
今天我想跟大家共享一下,在数字化颠覆的时代,我们从哪几个方面做网络安全?主要从三个方面给大家做一个介绍。全面的可见性、有针对性防御威胁、共享一下统一平台的概念。实际上,做安全靠一个点安全平台很难去实现,可能要结合网络,结合安全设备,结合终端,结合主机,整个形成一套全面的安全体系。
这种大规模快速数字经济爆发不多讲,越来越多的商机,我们也是看到了全球角度来看,有很多公司出现,有很多行业标准出现。有很多的终端接入网络当中,接入互联网当中。今天看到的有接近150亿的终端接我们网络。我们预计到2020年,这个数字会达到500亿,2030年这个数字有5千亿,这个数字对我们来讲的确是一个很可怕的数字。
更多的终端接入对于我们来讲会面临更多的威胁,黑客有更多的攻击面。利益链驱动导致更多的黑客用不同的方式去入侵我们的系统,拿走我们的敏感信息。攻击方式也是变得越来越复杂,越来越有弹性。之前可能大家都是听说过这种软件,之前跟一个运营商合作,破获了一起很大的软件,就是这个软件的黑客基础架构。我们对于基础架构做了研究以后发现,这个基础架构做的相当的有弹性,在里面看到很多主件,有攻击服务器,有状态跟踪服务器,这个状态跟踪器就是跟踪前台这些服务器。发现的都是有问题,别的地方可以开启一个新的攻击服务器。这些方式是让我们更难以阻挡这些最新的东西。
很多的时候谈到了高级可持续攻击,在高级可持续攻击过程当中有一个技术发挥重要的作用,就是恶意软件,现在我们看到了很多这种大型攻击,重要的攻击事件,很难说有一种就是直接通过一些暴力手段进入用户网络。一般都是低调的方式,比如说,先用社会工程学一些工作。然后,获得某一些人的帐号,获得某一些人的邮件地址,发一个邮件,带一个恶意软件,这个人不小心点开邮件以后,主机可能会被种上一个恶意软件。这个时候远程控制他的主机,内网当中展开一系列的活动。直到获得足够的权限,获得足够的信息,我把这个信息泄露出去,这样可以得到最大化的一个竞争力。
恶意软件成为当今最大的一个威胁。实际上我们在很多的企业调查当中,有一半以上CSO已经认同这个观点,他们觉得恶意软件对于他们来讲真的是相当的可怕。
面对这么多的威胁,刚刚讲了思科已经发现了这个问题。所以,2013年开始,思科已经把整个网络安全作为公司头等要务。如果有关注思科,你们可能会发现。2013年到现在陆续思科已经投资接近了50亿美元,就是要在业界寻找最优安全公司。
我们应该怎么样做这个新时代下的网络安全设计?我提出来一个概念,就是无所不在的网络安全。我们做网络安全不可以有任何短板,无所不在意味着两个概念。
第一,无时不在。可能攻击发生过程当中都要做出相应防护,无论攻击发生之前,之中,还是之后,可能都是有相应技术来主导攻击。主导不了就是响应攻击,减少损失。这个是无时不在的概念。
第二方面,无处不在。在任何的地方都需要部署相应的安全方案,这个全球互联的时代已经没有安全边界,这个时候园区网,数据中心,终端,云环境,甚至网络当中都是需要安全的防护。整个安全是需要一个无所不在,无处不在,无时不在。
接下来从三个方面给大家介绍一下我们的一些经验,在网络安全防护当中一些经验。三个方面。
第一点,全面提高可见性。网络安全,是讲控制,防御危险。如果网络整个基本情况都不知道,你控制什么?防御什么?可能什么都看不清楚。这个是第一点。
第二点,如何有效地关注在危险上?最终目的就是要防御进入到网络的攻击,所做一切的努力都是为了威胁的防御。
第三点,统一的平台。我们如何能够把已有这些平台结合在一起,都是为这个网络安全贡献自己的力量?这一块是需要考虑的一个范畴。有一些时候没有足够资金。我们达到1+1大于2这样一个效果,先看一下全面可见性,是整个网络安全建设的基础,如果不了解一个网络,网络里面什么平台?什么主机?包括什么IP地址,什么都是不知道。安全策略一定是拍脑门出来的策略,对你来说没有太多的针对性。所以,做网络安全,做控制,所有的一切的一切都是一个全面的可见性,如何来获得这个可见性?目前业界有一个技术,中文意思是情景感知。是目前来讲提供全面可见性一个主流的安全技术。什么是情景感知?举一个例子,两个字符,如果两个单独字符,分不清楚是一个B还是13,如果前后关联一下,A和C之间就轻松就知道了,A和C之间就是B,12和14中间就是13。传统意义上靠一个地址确定终端时代已经过去了,现在准备识别一个终端从多个因素考虑,这个终端什么人在用,什么部门的,老板还是员工?这个终端是一个什么样子的终端?是一个笔记本电脑,还是一个IPHONE,还是电话,如果是医疗机构,到底是一个普通的终端?还是一个医疗设备?可能都是有一个全面的了解。包括这个终端是如何接到网络当中,是通过有线,无线,远程接入?北京?上海?现在在什么位置?什么时间。就是把这些确定出来一个终端,对于服务端也是一样。
现在就是讲云数据中心,如何防护?有很多重要信息资产放数据中心,这个时候需要全面可见性,这个服务器是一个虚机还是物理主机?上面什么漏洞?对外提供服务是用的什么?包括跑的应用,版本,这些都是有一个全面的了解。从终端对于服务端访问,传统意义上面来说,靠最基本的防火墙,现在大家都是提过一个概念。怎么去做控制?应用中这些流量到底是正常的?还是异常?传的文件是正常的文件还是恶意软件,这个都是需要知道,这个是本意情景感知的概念。
可能了解自己的网络不可以说,人工去查。技术角度有几种技术来考量,现在通用几个技术,一个是客户端技术,就是主机上面装客户端,主动扫描技术。第三,所谓的被动的流量,指纹分析技术,这些技术都是比较的广泛。我个人在这个里面都是比较的偏向与被动的指纹分析技术。因为这个技术对于终端完全的透明,并且靠实时流量分析来得出可见性,是整个实时一个概念,定期地扫描实时性更紧。这个是一个本地一个可见性。
除了本地的可见性,整个互联网是一个全球互联网,世界任何一个地方,任何一个时间发生的威胁,同时可能发生在我们身上,我们需要全球的安全情报的智慧帮助我们解决最新的其他地方曾经发现过的这些问题。这个其实就是一个安全大数据和安全情报分析一个概念。有一个本地的可见性,有了全球的可见性,我可能对于我的网络就可以做到了如指掌,知道网络当中一些基本情况,终端,应用,服务,流量,我也是知道我内部一些威胁的情况,这个时候我可能想怎么控制就做到怎么控制。
只有可见,才可以实现可防。很多人看到了网络一些基本情况,很高兴,这个是不足够的。目标是为了帮助我们更好判断危险,控制危险。五真正威胁防御是我们最终的目标,是可以帮助我们最大限度减少因为网络攻击造成的一些影响,造成的一些损失。
刚刚看到了全面的可见性,对于本地全面可见性给我们做判断,提供了一些基础。比如说,我们看到了邮件,我们看到外部访问,我们看到终端所有这些属性,有了这些做终端准入控制,做邮件控制变得很简单。再加上安全情报提供的智能,让安全判断有了这种大脑的智慧。告诉我什么是对的,什么是好的,什么是坏的。这个时候对于网络当中的几乎所有的方方面面都是做出防护。比如说,对于邮箱,可以看到邮箱信息,可以看到附件属性,可以看见链接属性。对于终端准入,可以看到终端所有的属性,所有的用户,所有的健康状态,我可以看到跟他相关所有的安全事件,这些结合起来会有一个真正的基于威胁终端准入控制。
所以,可见性和安全大数据结合起来可以给我们提供更好的一个威胁的防御。威胁防御也是看一下每一个发生阶段,这里给大家介绍一下安全模型,所谓的安全模型。攻击发生每一个阶段都是有相应防护和响应的措施。比如说,在攻击发生以我要做什么?就是全面可见性都是在攻击发生以前做的。要了解网络,看到所有的东西,把业界最新安全情报要了解。根据看到的东西我写一个最小权限原则的策略。我加固一些服务器,流量,这些都是可以加固。最终目的就是加固防护措施,这个是攻击发生以前做的。攻击发生之中要做什么?有人对我进行攻击了,这个时候充分利用刚刚的可见性所有的信息,安全大数据所有的信息。结合一些深度技术,把这些攻击找出来。然后,挡住。如果这些攻击存在一些变化,我有足够的智慧可以觉察到这一点,我可以把它检测出来阻挡住。这个是攻击发生之中做的事情。没有一个技术100%挡住攻击,这一块大家是认同的,攻击没有100%有效性概念。如果网络真的被别人攻击了,某一台服务器被别人中上一个后门,这个时候做什么?就是要快速地做出响应,最短时间内找到问题,解决问题。找到问题,不仅仅是人可以做的事情,还有很多其他的技术,比如说,现在追溯技术,实时跟踪技术,可以帮助我们在最短时间内找到那个当中有问题的机器,然后对它做出隔离,做出修复,这个是涵盖整个攻击发生周期的安全模型。不同安全技术都是要到模型当中。防火墙,包括主机加固这些技术主要用在攻击发生以前,威胁防御,外部安全,邮件安全,这些技术主要是放在攻击发生之中阶段。恶意软件防护,包括大数据关联,关联分析这些技术,可能在我们攻击发生以后会起到一个很大的作用。这个是所谓的涵盖攻击发生整个生命周期这样一个模型。
当然,我前面也是提到了恶意软件是我们现在最大的一个威胁,所以,对于恶意软件防护,对于每一个企业都是显得相当重要。最早很多人也是部署了相应的防病毒的技术。这个跟病毒有一些区别,不会对电脑自身造成一些破坏,造成一些影响。更多是想远程控制主机,拿走一些敏感的信息。比如说,典型的后门软件,广告软件,以及一些恶意的浏览器的插件,他们其实都可以从你的电脑当中拿走很多的数据。对于这种恶意软件,如果你靠一个简单的特征来去识别,现在已经很难做到了。这个时候对于恶意软件的防护,我们也是需要一个全球连防一个概念。做到一次发现,全球防护。同时,这个防护需要部署在网络当中的任何的位置,做到无处不在的一个防护。可能各位之前都是听说过,在美国的很多大企业发生的安全事件都是由恶意软件来进入到网络来实现的。包括我们看到的POS机上面有恶意软件。所以,任何位置恶意软件防护都不可以放松。
对于恶意软件防护,我们可能需要从几个方面去考虑。第一方面,快速地检测,实时的检测,现在恶意软件一般来讲普遍采用云治理概念,云端,进行一个检测。这个里面还有一个技术跟大家重点提一下,如何跟踪这种恶意软件?传统很多技术都是做什么呢?如果一个软件进入到你的网络,你要判断他是好是坏?如果是坏的,可能你会把它扔掉,如果这个时候还不知道是好还是坏,一般的做法是什么?让这个软件进入到我们的网络。那么,万一某一天这个软件真的被发现是一个恶意软件,已经控制了内网当中很多的机器,可能就无能无力。现在比较新的一个技术,可以对这种软件进行一个实时跟踪。一个软件进入到网络里面,如果还没有发现是一个恶意软件,你可以让他进去,需要对他进行一个实时跟踪,两天以后,发现这个软件很多人对他进行分析了,发现是一个恶意软件,这个时候是需要调住之前的传统轨迹,什么机器碰过这个软件,这个都是网络当中一次被感染的主机。需要快速去察看一下他们,找到问题,解决问题。这个技术是帮助我们可以快速地找到之前曾经错过那些攻击,可以错过那些威胁。这样帮助把响应时间从业界平均看到的,有100天左右做小到两天之内。这个是恶意软件防护,对于我们来讲现在是一个相当重要的这样一个范畴。
最后,想跟大家分享一个统一平台的概念。我碰到很多的客户,现在如果想做网络安全的时候,第一步想到加一个防火墙,加一个入侵防御,这些技术的确在我们企业的网络安全当中起不少的作用。但是,网络安全是整网安全,网络安全,网络安全,离开网络,单谈安全做的就是不够的。所以,网络基础平台是安全建设必须要依赖平台。举一个例子,这个例子各位都是比较的熟悉,一个黑客进入网络,第一步做什么?就是网络当中找一个目标主机。不一定有多大权限。但是一定有漏洞,通过漏洞,我可以导入这样一个恶意软件,这个时候可以控制这个主机,后面所有的工作都是在网络内部来进行的。比如说,网络内部实现一个扫描,全线的提升。 控制主机繁殖,我需要的信息。我这个攻击基本上前一个阶段就算完成了。我会把这些信息通过一些合法的手段传到外面,这样的话我拿到敏感信息,我可以往外卖钱,可以获得很高经济利益。这个供给整个过程来看,第一步跨越网络边界,网络边界没有实现这个防护,后续几步所有的行为都是在网络内部做的。很多安全设备很难去发现,这个时候怎么办?可以很好地去利用内网网络技术架构平台。内网当中的交换器,帮助你们实现整个内网这种安全的防护。
其实网络基础架构真的可以对于网络安全做的更多,现在我见到的绝大多数客户没有意识到这一点。我们看一下,网络技术架构给我们网络安全提供哪些?
第一点,隔离,隔离这一块大家做的相对多一些,这些虚拟陆游交换做隔离。但是,网络安全的隔离S靠网络设备隔离,可以做的更好。比如说,现在我们提的很热一个技术,就是微分割技术。通过这些技术实际上可以利用网络平台来对不同的用户终端,不同用户的组,不同的终端的安全组进行隔离。就像前面讲的情景感知技术。可以看到下面所有的终端不同的属性。我基于这些属性可以是不同得分组,在网络的平台上可以基于分组做控制,而不是一些简单的基于IP地址进行控制。就是让整个内网控制更灵活,不同的人员普遍有不同的局限,不同的人员使用不同的设备,可能还有另外的局限。这个是第一点网络设备可以帮助我们做微分割的控制。
第二点,网络设备作为我们的传感器。什么设备看到整网所有的流量?防火墙看不到,有虚拟化平台,有虚拟化交换机是可以看到所有的网络的流量。这些流量到底是正常?还是异常?可以把其他的一些信息弄出来,基于行为的分析。分析完了以后,我知道什么呢?这个终端是异常,这个终端做扫描,这个终端被别人攻击。这个基于流量这种行为分析来得到。网络设备在这个其中扮演一个非常重要的角色,是我的信息来源。同时,网络设备也可以作为威胁快速缓解这种设备执行器。发现这个终端有问题,发现服务器在遭受攻击怎么办?边界设备上面做新策略,有时候并不一定起到多大的作用。这个时候可以快速利用网络设备,我发现终端有问题,我可以快速地对你进行隔离,利用最底层交换机进行隔离,给你最小权限,对你进行隔离。发现问题以后是最好的一个威胁缓解的平台。
思科是业界最大的一个网络基础架构这样一个提供商,思科安全解决方案可能是会涵盖所有的网络技术平台,加上原有一些安全的平台,思科平台已经对网络安全未来做了一些准备。比如说,在这种上面。我们交换机,路由器,提供更多,如果你有一个终端接入交换机上面,交换机有个能力自动判断出来是一个PC机还是一个IP电话,还有一个打印机,接到无线控制器,是IOS,还是一个安卓,根据厂商的判断三星还是华为?
当然,还有很多认证信息,不同的用户的信息,还有很多流量信息,这些都是可以提炼到。所以,网络设备可以提供很大的一个可视化。有了可视化,结合威胁情报,加上很细一些分析。比如说,基于指纹的分析,刚刚介绍了一下,每一个终端,每一个应用都是有自己的一些指纹的特性,只要对一些数据包进行足够的提炼都是可以分析出其中一些指纹的信息,判断出这个终端到底是什么?这个数据到底代表的是什么应用?行为的分析,有时候数据中心怎么办?怎么找到有问题的主机?可以基于行为做一些事情。对于采样信息,我可以看一下这个人的行为到底是正常的?还是异常的?正常行为是量子,这些行为有什么特征?我看到了他在不停扫描其他的机器,这些都是所谓的行为的特性。
当然,有了可见性,有了安全智能,下一步就是执行,安全平台上面做,网络平台上面做。思科也是有一个技术,就是什么呢?不想多提,就是这个技术真正的把安全组的概念带入到网络平台,网络平台没有必要一定基于IP地址做一些控制,可以基于安全组,可以基于安全组标签做。把你的网络分成了动态的安全组。这种网络基础平台可以帮你进行一些微分割的控制。
安全来讲,把可见性,威胁防御,包括统一平台,给大家过了一下。安全行业很热。
软件起了一个相当重要的一个作用,很多情况通过软件很细的分析给我们提供一些相应的可见性和防护。在这一块思科也是把软件作为自己很重要一个方向,我们只有通过软件才可以提升我们整体防御这种灵活性。现在你会看到,这个网络现在变得很多样性。单单靠盒子很难做到面面俱到,要把防护放到里面,要放到虚拟化数据中心里面。所以,有很多的软件,你可以放盒子里面,还是放到虚拟化平台里面,都是显得得心应手。
这是我最后一页了。之前也是跟大家讲过,思科目前已经把网络安全作为我们整个公司的头等要务,不知道大家对于思科了解多少?我们之前的一位先生现在已经退休了,他来公司目前只有一个角色,就是网络安全,只看中整个公司网络安全的业务发展。所以,思科在这里也向各位承诺,网络安全行业我们会继续朝着4个目标去迈进。
第一,简单。 我们致力于让这个简单对于用户来讲,不是对于厂商来讲,需要做很多的工作。对于用户来讲,我们会让他做简单,比如说,现在很新的一些技术。比如说,不知道各位有没有听说过?IOC,感染指数概念,跟终端安全相关事件做很好的关联。最后,判断出来这个可能性多大,给你直接呈现,网络当中12345这些机器有问题,这个就是IOC技术,帮助网络安全变得简单。这边举一个例子,刚刚讲了可见性,发现这个机器是一个机器,上面是开服务,是开什么端口。有别的平台发现这个机器中了一个恶意软件,一个恶意软件,传给这个机器。然后,紧接着,我发现这个机器节朝着外面一个僵尸网络发起一个连接,一关联,这个主动朝外被别人控制。这个就是明确信号,应该赶紧处理这个。
第二开放,思科平台已经开放所有的接口,有很多的开发爱好者,还有很多其他的开元平台,我们会继续让他开元,继续让所有的爱好者可以共同地来努力,来提高开元的威胁防御基础架构的能力。
第三,自动,很多安全设备目前没有足够的接口,我们讲了自动化对于我们用户也是显得非常的重要,现在我们讲就把网络变得自动化。可能有一个业务来部署过来,我整个网络一条命令都是部署结束。安全也是一样的,只要业务来了,你想部署这个业务,我可能一键让网络和安全全部部署完毕。安全实际上已经成为了我们业务推进的一个驱动力,而不是业务推进的一个阻力。
第四,高效。刚刚已经讲了很多的可见性,安全大数据,帮助我们自动高效地去防御威胁。这些都是思科的安全的一个承诺。
我的内容就是这些,谢谢大家。
以上是51CTO.com记者从【WOT企业安全技术峰会】一线为您带来的精彩报道。一大波精彩内容报道正在袭来,敬请持续关注!