【安全大咖說】思科全球產(chǎn)品管理高級(jí)總監(jiān)Kevin Skahill | FIT2019獨(dú)家專訪

本期「安全大咖說」主角是思科全球產(chǎn)品管理高級(jí)總監(jiān)Kevin Skahill先生。

在思科，Kevin領(lǐng)導(dǎo)安全解決方案團(tuán)隊(duì)完成整體安全解決方案，大幅簡(jiǎn)化網(wǎng)絡(luò)安全解決方案的部署和管理，推進(jìn)思科ISE與網(wǎng)絡(luò)基礎(chǔ)設(shè)施的系統(tǒng)級(jí)集成，目標(biāo)客戶包括園區(qū)、數(shù)據(jù)中心以及虛擬化設(shè)施。同時(shí)致力于實(shí)現(xiàn)BYOD、安全訪問和數(shù)據(jù)中心安全防護(hù)領(lǐng)域的業(yè)務(wù)增長(zhǎng)，管理第三方合作伙伴和制定實(shí)現(xiàn)策略。

在FIT 2019「全球高峰會(huì)」現(xiàn)場(chǎng)，他帶來了《數(shù)字化時(shí)代基于意圖的自動(dòng)化安全網(wǎng)絡(luò)架構(gòu)》主題演講。

Kevin在演講中表示,2018年是各種網(wǎng)絡(luò)攻擊手段迭起的一年，應(yīng)接不暇的網(wǎng)絡(luò)攻擊手段給企業(yè)安全運(yùn)營(yíng)造成了重大挑戰(zhàn)，傳統(tǒng)安全設(shè)備和安全解決方案在對(duì)抗各類不對(duì)等攻擊方面見效甚微，全新的挑戰(zhàn)和機(jī)遇帶來了新的業(yè)務(wù)需求。這樣的數(shù)字化時(shí)代背景下，思科提出了以信任和威脅為雙中心，通過基于意圖的自動(dòng)化安全網(wǎng)絡(luò)架構(gòu)來解決上述企業(yè)網(wǎng)絡(luò)安全痛點(diǎn)。

作為專注于成就互聯(lián)網(wǎng)的全球科技領(lǐng)導(dǎo)廠商，同時(shí)也是網(wǎng)絡(luò)安全領(lǐng)域的創(chuàng)新引領(lǐng)者，思科面對(duì)新的互聯(lián)網(wǎng)局勢(shì)提出了新的思路。思科相信零信任架構(gòu)將會(huì)成為未來網(wǎng)絡(luò)安全架構(gòu)的流行框架之一。從零信任出發(fā)，Kevin提到了“可信訪問”的安全架構(gòu)，同時(shí)輔以基于意圖的網(wǎng)絡(luò)策略加速“可信訪問”流程，得以更好、更快地幫助企業(yè)獲得安全能力，助力商業(yè)活動(dòng)的順利開展。

小編在大會(huì)的間隙對(duì)這位來自思科的安全專家進(jìn)行了專訪，聊了聊他對(duì)網(wǎng)絡(luò)安全行業(yè)態(tài)勢(shì)、技術(shù)的看法和思科的安全業(yè)務(wù)情況。在交流中小編發(fā)現(xiàn)他是一個(gè)親切又有趣的人，讓我們一起來看看節(jié)選自此次訪談的精彩看點(diǎn)吧！

新動(dòng)向：威脅態(tài)勢(shì)與合規(guī)

Kevin表示企業(yè)領(lǐng)域同個(gè)人用戶面臨的風(fēng)險(xiǎn)一樣，主要還是數(shù)據(jù)泄露和勒索軟件攻擊：

數(shù)據(jù)泄露對(duì)企業(yè)和個(gè)人造成的沖擊已經(jīng)不用過多解釋了，有很多實(shí)例擺在眼前。過去幾周，我們看到了一些影響很大的數(shù)據(jù)泄露事件，PII(個(gè)人身份信息)的泄露數(shù)量已達(dá)到千萬(wàn)級(jí)。而勒索軟件真的是一種“拒絕服務(wù)”攻擊。從攻擊者角度來說，勒索軟件攻擊并不是為了獲取有價(jià)值的數(shù)據(jù)，而是造成一種接管系統(tǒng)數(shù)據(jù)的現(xiàn)象，然后向受害者要錢。勒索軟件帶來的挑戰(zhàn)和風(fēng)險(xiǎn)正在不斷提升，隨著攻擊者對(duì)于目標(biāo)資產(chǎn)的了解越來越深入。勒索的費(fèi)用也根據(jù)資產(chǎn)的重要性水漲船高。當(dāng)攻擊者得知目標(biāo)系統(tǒng)高度重要后，價(jià)值300美元的比特幣就不能滿足他們的胃口了。

“此外，物聯(lián)網(wǎng)的興起也帶來了巨大的安全挑戰(zhàn)，主要問題在于很多物聯(lián)網(wǎng)設(shè)備在設(shè)計(jì)之初重功能，輕安全，有時(shí)候連基本的安全防護(hù)能力都沒有，因而針對(duì)物聯(lián)網(wǎng)設(shè)備的攻擊面也將不斷擴(kuò)大。”Kevin如是說。

在這樣的企業(yè)網(wǎng)絡(luò)安全形勢(shì)和挑戰(zhàn)日益嚴(yán)峻的大背景下，歐盟通用數(shù)據(jù)保護(hù)法規(guī)(GDPR)正式實(shí)施，標(biāo)志著全球范圍內(nèi)的監(jiān)管機(jī)構(gòu)對(duì)于數(shù)據(jù)安全的治理正式拉開帷幕。為了避免更嚴(yán)重的后果發(fā)生，圍繞數(shù)據(jù)泄露的法律法規(guī)正在快速實(shí)施。企業(yè)面臨著看不見的威脅和看得見的監(jiān)管，維持最低限度的數(shù)據(jù)安全已經(jīng)不再可行，數(shù)據(jù)安全將變成互聯(lián)網(wǎng)企業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì)。

針對(duì)這樣的態(tài)勢(shì)，Kevin提出構(gòu)建以信任為中心和以威脅為中心相結(jié)合的雙軌方案：

企業(yè)合規(guī)的重點(diǎn)是確保要充分了解訪問敏感數(shù)據(jù)或PII的人員或設(shè)備，以信任為中心的解決方案的核心正是確保只提供授權(quán)訪問以降低風(fēng)險(xiǎn)，而以威脅為中心的安全能力則可快速識(shí)別和修復(fù)問題，滿足很多法規(guī)對(duì)于企業(yè)部署網(wǎng)絡(luò)安全修正和控制能力的硬性要求。

Kevin表示：

思科在這一塊的實(shí)踐歷史已經(jīng)很悠久了，通過構(gòu)建以威脅為中心的安全能力來保護(hù)企業(yè)中的工作負(fù)載、應(yīng)用和設(shè)備。思科安全解決方案將繼續(xù)保持最優(yōu)的發(fā)展能力和功能集成，無論是端點(diǎn)、網(wǎng)絡(luò)還是云端，我們都能提供全面的安全保護(hù)，特別是針對(duì)云端，我們有安全網(wǎng)關(guān)、Cisco Umbrella等產(chǎn)品，后者可在系統(tǒng)運(yùn)行時(shí)提供DNS層保護(hù)。在企業(yè)網(wǎng)絡(luò)中部署上述產(chǎn)品，既簡(jiǎn)單又能獲得強(qiáng)大的安全保障。

企業(yè)數(shù)字化轉(zhuǎn)型中的安全

IDC針對(duì)中國(guó)的一份調(diào)研顯示，超過40%的企業(yè)感受到了業(yè)務(wù)量增大、業(yè)務(wù)種類變多和客戶需要更好體驗(yàn)等業(yè)務(wù)上的巨大變化，這些變化給企業(yè)帶來了新的挑戰(zhàn)和機(jī)遇。企業(yè)也針對(duì)性地做出了如下創(chuàng)新：優(yōu)化業(yè)務(wù)系統(tǒng)、線上線下業(yè)務(wù);打通和組織架構(gòu)調(diào)整。

無論是大公司還是小公司，有一點(diǎn)非常明確：要想緊跟時(shí)代步伐，有力開展競(jìng)爭(zhēng)并保持獨(dú)特優(yōu)勢(shì)，組織必須實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型。

企業(yè)的未來將如何發(fā)展，取決于能否趕上人工智能、物聯(lián)網(wǎng)的爆炸式發(fā)展以及數(shù)據(jù)量的指數(shù)級(jí)增長(zhǎng)，在邁向多云世界時(shí)，成功應(yīng)對(duì)不斷增長(zhǎng)的網(wǎng)絡(luò)攻擊威脅。思科全數(shù)字化網(wǎng)絡(luò)架構(gòu)(思科 DNA)正是響應(yīng)這樣的趨勢(shì)而誕生的，該平臺(tái)不僅能夠提供實(shí)現(xiàn)全數(shù)字化的路線圖，還能幫助用戶快速獲得網(wǎng)絡(luò)自動(dòng)化和網(wǎng)絡(luò)安全的優(yōu)勢(shì)能力。

思科全數(shù)字化網(wǎng)絡(luò)架構(gòu)是一款開放且可擴(kuò)展的軟件驅(qū)動(dòng)型架構(gòu)，基于全面虛擬化、自動(dòng)化設(shè)計(jì)、全面分析、基于云的服務(wù)管理、各層開放和可擴(kuò)展且可編程這五個(gè)原則設(shè)計(jì)的。對(duì)于思科DNA的安全能力，Kevin通過一句話給出了清晰的說明：

思科DNA的核心思想是實(shí)現(xiàn)業(yè)務(wù)的數(shù)字化，使得用戶能夠?qū)Ｗ⒂诮Y(jié)果，依托網(wǎng)絡(luò)達(dá)成業(yè)務(wù)目標(biāo)。從安全角度來看，思科DNA提供的安全能力主要是基于意圖的自動(dòng)化訪問控制策略，支持從宏觀與微觀兩個(gè)切入點(diǎn)實(shí)現(xiàn)網(wǎng)絡(luò)隔離。

普通企業(yè)和需要高安全環(huán)境的組織架構(gòu)來說，對(duì)于流量的橫向移動(dòng)有著不同的要求，此外又要滿足外部環(huán)境變化時(shí)(比如員工登錄的地理位置發(fā)生了變化)，企業(yè)網(wǎng)絡(luò)策略始終能夠徹底驗(yàn)證用戶信息和設(shè)備，實(shí)現(xiàn)無縫跟隨，能夠做到這一點(diǎn)的關(guān)鍵是通過基于意圖的網(wǎng)絡(luò)策略實(shí)現(xiàn)了動(dòng)態(tài)的可信訪問控制。

思科安全業(yè)務(wù)發(fā)展

思科在網(wǎng)絡(luò)安全領(lǐng)域的收購(gòu)案頻出，最近Duo Security又被納入麾下。安全業(yè)務(wù)已經(jīng)成為思科最重要的利潤(rùn)增長(zhǎng)點(diǎn)。當(dāng)前，思科已經(jīng)將安全功能內(nèi)置到其全系列產(chǎn)品中，這一方面提高了思科本身的競(jìng)爭(zhēng)力，另一方面也對(duì)獨(dú)立安全廠商業(yè)務(wù)形成了巨大的擠出效應(yīng)。

對(duì)于思科安全業(yè)務(wù)的未來發(fā)展，Kevin強(qiáng)調(diào)：

思科關(guān)注的重點(diǎn)是構(gòu)建最佳的可持續(xù)發(fā)展能力和高度集成的方案，高度集成的解決方案可以幫助企業(yè)和組織節(jié)約獲得安全能力的時(shí)間。企業(yè)在網(wǎng)絡(luò)建設(shè)方面投入大量資金，首先要確保網(wǎng)絡(luò)安全，但網(wǎng)絡(luò)安全并不是終極目標(biāo)，它是一個(gè)過程，要融入到企業(yè)網(wǎng)絡(luò)中的每個(gè)層面、每個(gè)節(jié)點(diǎn)。

思科始終關(guān)切企業(yè)的網(wǎng)絡(luò)安全及其已有的安全投資，我們對(duì)企業(yè)和組織在安全方面的資產(chǎn)形態(tài)和部署很了解，這背后是思科的強(qiáng)大安全技術(shù)與數(shù)以百計(jì)不同領(lǐng)域的合作伙伴。無論是思科還是第三方的產(chǎn)品，我們都希望端到端的整合更加方便，這有助于實(shí)現(xiàn)以威脅為中心和以信任為中心相結(jié)合的解決方案。

未來，我們會(huì)以強(qiáng)大的思科安全能力為依托，進(jìn)一步簡(jiǎn)化企業(yè)網(wǎng)絡(luò)中安全能力的獲得方式。在過去幾年里，我們看到越來越多的行業(yè)“獨(dú)角獸”走到一起。全球市場(chǎng)的趨勢(shì)就是如此，企業(yè)會(huì)隨著時(shí)間的推移慢慢整合。因此，讓這兩家企業(yè)在合二為一時(shí)輕松合并現(xiàn)有解決方案很關(guān)鍵。思科不僅僅引領(lǐng)網(wǎng)絡(luò)安全領(lǐng)域的發(fā)展，如何幫助企業(yè)輕松實(shí)現(xiàn)網(wǎng)絡(luò)安全也是未來的努力方向。

內(nèi)容來源: FreeBuf 作者:Freddy