维端网CISO,首席信息安全官,又称IT安全主管,企业信息安全的达标、管理以及保障,皆归于其帐下。
认识CISO的职责,用“压”与“警”二字形容极为贴切。
所谓“压”,源于CISO日趋倍增的压力:职责重大,涉及业务有序运作,关乎企业形象声望;所谓“警”,即要保持提升安全管理能力的同时,还必须做到提升应对安全事件的预警意识。
由此,CISO们内心信奉着一条真理:“是故圣人不治已病治未病,不治已乱治未乱,此之谓也–预防重于治病,预防重于治乱。”
的确,既然风险必然存在,预防中做到一力拒守在信息安全领域至关重要!因为在任何信息威胁前,做到心中有数,以防不测绝非易事。
好在长久以来,与之相伴的重要伙伴—思科,围绕安全信息与保护屏障两大利器,让“防患未然”一词变得尤为真切实际。
在数据观察中做“安全信息”引路人
事实上,思科早在十几年前于深耕安全市场时便注意到CISO的预判意识,随即用接下来的时间梳理打造了思科网络安全信息平台,并保持着不间断发布网络安全报告的工作。
在这个日后被业界信奉为“网络安全绝对坐标”的思科网络安全报告系列,穿插了思科数据隐私基准研究、首席信息安全官(CISO)基准研究报告以及思科威胁报告等系列“胜经”。
无数从中受益的企业、CISO以及安全技术人员,于十几年间达成一个共识—思科网络安全系列报告是机构组织内部应对安全威胁不可或缺的“安全信息”引路人。
“过去十几年,思科有着应对安全演进的大量经验与丰富实践,并基于此提炼出海量权威的安全和威胁情报信息,形成报告,全面详细地介绍威胁形势及其对组织的影响”。思科大中华区副总裁,安全事业部总经理卜宪录于思科2019网络安全最新报告(简称:思科安全报告)发布之际如是说。
据悉,今次发布的最新思科安全报告深度与广度颇为引人关注:这已是其第 12 年针对网络安全形势进行研究总结;第5年对数千名安全领导者进行基准研究;18个国家/地区的 3200 多名安全领导者参与调查;针对安全领域从企业到技术人员进行科学细分,分门别类推出调研结果。
其中,作为思科安全报告系列的重头戏–思科首席信息安全官 (CISO) 基准研究报告(简称:CISO报告)基于挑战与威胁,直观而有力地向CISO们献言献策,紧密地与企业业务安全策略关联起来。
卜宪录基于报告先于应对策略总结了CISO所面对的业务挑战:
一、协作防御:CISO与相关信息化部门密切合作的必要性愈发凸显–从观点数据上看,95%的受访者认为网络团队和安全团队之间协作程度非常高或很高;从能力需求上观察,随着应用开发要求陡增,敏捷开发迭代速度加快,业务团队与安全团队在业务能力上正走向交叉借力,精准协作的统一团队发展状态中,避免孤军作战,聚焦协同防御。
二、架构整合:企业信息化架构亟待有效精简与科学整合去应对已知威胁,并为防御未知威胁打好基础。这一判断主要来源于两个趋势:2018年54%的受访企业拥有10家或更少的供应商,今年该数字上升至63%;管理来自多个供应商产品的警报日趋凸显,其比2018年的74%占比有所增加。另外,由于时间、精力、架构分散度以及工具问题,企业当中的报警数量有超过一半未被处理。思科由此判断,安全产品技术之间需要整合,基础架构、网络更需要与之进一步整合。
三、预知威胁:未知威胁通过已知途径进行渗透成常态。基于此,根据一些已知的未知去定一下安全策略、战略和发展方向成为应对之道。
“处于云与人工智能等新兴技术当道的时代,了解业务发展的新动态,并推动安全技术,包括企业整体安全意识、策略能够随着趋势发展,不脱节、不停留在原有传统思维的限制当中,极为重要。”卜宪录强调。
实际上,从报告得出的以上挑战中不难发现,无论是协作防御、架构整合亦或是预知威胁,其实都在强调一个关键核心—预见为先,不打无准备之战!
为此,基于报告数据、调研结果以及业界反馈三大维度,CISO报告提出以下建议:
实用战略需与网络风险评估相结合,基于安全评估结果制定安全预算,以指导企业机构的采购、战略和管理决策;
企业可以采用业内经验证的流程(加强演练、严格的调查方法、了解最快的恢复方法),减少其暴露程度和受攻击程度;
在IT、网络、安全和风险/合规部门之间,跨越孤岛进行协作;
协同各种工具对事件的响应,以便加快从检测到响应的速度,并减少手动操作;
将威胁检测与访问保护相结合,以解决内部威胁,并与Zero Trust等计划保持一致;
通过网络钓鱼培训、多因素身份验证、高级垃圾邮件过滤和DMARC,解决头号威胁向量,以防范商业电邮攻击。
由此可见,在任何一项建议中,皆离不开具有预见性的准备与有效防护策略的相互结合,而始终贯穿两者之间正是以协作取代孤立、整合安全工具与应用以及预知威胁三大关键要点。
基于场景提供安全信息参考
再从安全威胁具象化与场景化出发,思科发布的另一份重要安全报告–2019思科威胁报告则进一步分析了威胁攻击的手段和技术,为受众防御实践带来极具价值的参考。
通过该报告,思科回顾了2018年全球发生的五个重要案例,以及其认为在2019年会持续发酵的攻击手段和技术。值得注意的是,2019年安全目标转变上,思科主要关注三部分:物联网、移动平台、供应链。
这主要是源于三个著名攻击事件(VPNFilter、MDM平台以及奥运会毁灭者)事件所产生的深远影响。
在思科看来,上述安全事件也凸显了攻击手段的几个鲜明特征:
一是抢头条攻击:例如 “奥运会毁灭者”直接让平昌冬奥会现场无线中断,售票网站无法访问,损失巨大。
二是低调合作:通过分销恶意软件,帮助后者侵入网络资源中。例如通过电子邮件/垃圾邮件发送病毒。
三是潜伏隐蔽的攻击:其除向受害者进行勒索,还可植入挖矿软件,利用用户的机器资源去获取非法利益。
对攻击手段特征归纳,思科仍不忘强调其背后数据分析的重要性– 除了年度威胁报告,思科还推出了每月热点威胁,其中包含了全球最常见威胁详细分析,比如加密挖矿软件、SMB蠕虫的回归、电子欺诈、色情欺诈等,以及包含应对措施且不断更新的思科安全解决方案。
思科的另一诚意在于,如果每月热点威胁分析仍不能为受众提供更为精准的判断,其还推出Talos每周威胁汇总,思科将免费公开每周全球主要恶意软件的形态、特征等。用户甚至不需要思科的平台,任何企业都可以利用这些特征在第三方平台上去做防御。由此,思科的情报共享价值彰显无遗。
而为思科提供情报的Talos团队则被业界视为居功至伟的功臣,其由顶级网络安全专家团队负责评估黑客活动、入侵企图、恶意软件以及漏洞的最新趋势。该团队同时得到了Snort、ClamAV、Senderbase.org和Spamcop.net社区的庞大资源支持,使得它成为网络安全行业最大的安全研究团队,也为思科的安全研究和安全产品服务提供了强大的后盾支持。
在资源数据上,Talos 还拥有丰富的遥测数据:借助上百万个遥测代理、4个全球数据中心、超过100家威胁情报合作伙伴以及1100个威胁捕获程序,实现全方位安全威胁监测;由超过250位安全研究人员和600名软件工程师组成的专业行动队已经是目前全球最大威胁情报组织;更值得重申的是,自从2015年11月以来,思科将威胁平均检测时间(TTD)缩短至2017年5月的约3.5小时,而业界的基准是100天到200天。
在保护屏障扩展中诠释精简安全
上述两份关键报告实即是思科网络安全坐标下的“安全信息”保障,而保护屏障则聚焦在其无处不在的防护架构之上:安全管理响应平台涵盖监测、调查以及修复环节;安全防护机制贯穿从终端、云、网络及应用全架构平台;以及世界一流的威胁情报中心-Talos团队的高效协作。
而上述屏障发挥的强大威力在防御VPNFilte攻击、MDM平台恶意行为检测以及预先发觉 “奥运会毁灭者”的变种攻击上都立下了汉马功劳。
事实上,随着边界模糊、应用日趋复杂以及移动技术、云计算等新兴趋势的加速演变,思科顺势而为,在传统保护屏障的基础之上新增 “Zero Trust”信任验证机制,即不论用何种移动终端设备,也不论是哪种用户类型,在其对不同应用发起访问的时候,都会呈现一次性授权,这意味着威胁将会随时会被验证是否为合法用户,是否具有合法的权限来访问一个特定的应用,获取一份特定的数据。
卜宪录强调,虽然架构在扩展,机制在增加,但思科仍然在朝着融合与精简的安全防护屏障上发力,而最为受益的就是思科的用户,因为后者在多种终端、各种云架构以及与之适配的安全机制共同形成的解决方案下,正从安全与网络的可视化、应用智能化、管理轻量化中看到前所未有的便利与安宁,而与之伴随的“绝对安全坐标”—思科网络安全报告系列仍在整合八方信息,为抵御新一轮未知威胁时刻做着准备。
