【51CTO.com原創(chuàng)稿件】近日，2019北京網(wǎng)絡(luò)安全大會(huì)在國家會(huì)議中心成功舉行，思科安全CTO Bret Hartman受邀參會(huì)并發(fā)表了主題演講。會(huì)后，Bret Hartman接受了媒體采訪，就安全態(tài)勢、零信任等話題進(jìn)行了深入溝通。

思科安全CTO Bret Hartman

在進(jìn)入正文之前，我們先來介紹一下Bret Hartman是何許人也？他擁有麻省理工學(xué)院計(jì)算機(jī)科學(xué)與工程專業(yè)學(xué)士學(xué)位，以及馬里蘭大學(xué)計(jì)算機(jī)科學(xué)專業(yè)碩士學(xué)位。他在構(gòu)建信息安全架構(gòu)等方面擁有三十多年的豐富經(jīng)驗(yàn)，尤其在云、虛擬化、服務(wù)導(dǎo)向架構(gòu)和Web服務(wù)安全、策略制定和管理、以及安全建模和分析等方面多有建樹。在加入思科之前，他曾是RSA、EMC、IBM等大企業(yè)的高管。

2019年網(wǎng)絡(luò)安全態(tài)勢分析

分析當(dāng)前的安全態(tài)勢，Bret Hartman認(rèn)為，任何一個(gè)分散的、零信任的網(wǎng)絡(luò)環(huán)境，無論是數(shù)據(jù)中心、云端、還是分支機(jī)構(gòu)，都需要實(shí)現(xiàn)安全保障?，F(xiàn)在，安全防護(hù)服務(wù)已經(jīng)從云端配置擴(kuò)展到整個(gè)數(shù)據(jù)中心和應(yīng)用程序。也正因?yàn)閼?yīng)用被放在云端，所以需要在整個(gè)云端應(yīng)用中進(jìn)行安全保護(hù)。但云端安全防護(hù)仍面臨一系列挑戰(zhàn)，比如：應(yīng)用程序是如何由不同組件構(gòu)建，并在兩個(gè)或多個(gè)云平臺(tái)中安全跨平臺(tái)運(yùn)行；此外，應(yīng)用程序通常由企業(yè)外部的、獨(dú)立的程序研發(fā)團(tuán)隊(duì)構(gòu)建，協(xié)調(diào)這些外部團(tuán)隊(duì)和跨云平臺(tái)的安全性也是一項(xiàng)挑戰(zhàn)。

其次，萬物互聯(lián)時(shí)代，物聯(lián)網(wǎng)在給人們生活、工作帶來便利的同時(shí),也帶來了很多新的安全風(fēng)險(xiǎn)，智能設(shè)備從攻擊目標(biāo)轉(zhuǎn)變?yōu)楣艚缑妗Ｎ锫?lián)網(wǎng)設(shè)備基本不太可能安裝安全軟件。這意味著攻擊者可以長時(shí)間潛伏在那里，很難被發(fā)現(xiàn)。據(jù)了解，思科推出的物聯(lián)網(wǎng)威脅防御方案，可以在整個(gè)網(wǎng)絡(luò)中部署和執(zhí)行基于策略的網(wǎng)絡(luò)分區(qū)，通過將網(wǎng)絡(luò)進(jìn)行安全分區(qū)，來保護(hù)物聯(lián)網(wǎng)設(shè)備免受外部威脅；通過監(jiān)控內(nèi)部和外部網(wǎng)絡(luò)流量及時(shí)發(fā)現(xiàn)異常，確保通信安全；通過遠(yuǎn)程訪問管理，來保證對網(wǎng)絡(luò)的正常訪問。

此外，在數(shù)字商業(yè)時(shí)代，無處不在的辦公需求可能造成更大的攻擊面。為了應(yīng)對這一實(shí)際需求，思科去年收購了一家基于云的統(tǒng)一訪問安全保護(hù)和多因素身份驗(yàn)證的供應(yīng)商Duo Security。在用戶得到允許訪問應(yīng)用程序的授權(quán)之前，Duo會(huì)先驗(yàn)證用戶的身份和設(shè)備的健康狀況。

CISO如何更好的幫助企業(yè)做好網(wǎng)絡(luò)安全準(zhǔn)備

在此背景下，面對這些日益復(fù)雜的安全風(fēng)險(xiǎn)，Bret Hartman建議企業(yè)CISO可以準(zhǔn)備、協(xié)調(diào)、協(xié)作三大方面出發(fā)更好地為企業(yè)做好準(zhǔn)備。

◆準(zhǔn)備：組織可以通過演習(xí)來不斷完善的篩查手段，使其更加嚴(yán)格完善，熟練掌握最便捷的恢復(fù)方法，從而采用經(jīng)過驗(yàn)證的流程來減少漏洞和暴露的風(fēng)險(xiǎn)。

◆協(xié)調(diào)：協(xié)調(diào)跨不同工具的事件響應(yīng)，以便更快地從檢測到響應(yīng)，并減少手動(dòng)操作

◆協(xié)作：了解業(yè)務(wù)案例的基礎(chǔ)安全需求的僅有方法是在IT、網(wǎng)絡(luò)、安全和風(fēng)險(xiǎn)/合規(guī)部之間進(jìn)行跨部門合作。

構(gòu)建零信任模型，讓網(wǎng)絡(luò)安全賦能 IT 轉(zhuǎn)型

近年來，越來越多的企業(yè)向云端遷移，也正如前文Bret Hartman分析所言，云端安全防護(hù)十分重要且面臨挑戰(zhàn)。這兩年，隨著網(wǎng)絡(luò)攻擊演變的更加高端復(fù)雜，零信任模型變得愈加流行，在云端應(yīng)用零信任模型提升安全能力的話題不斷。

在會(huì)議當(dāng)日的演講中，Bret Hartman也談到了零信任。他認(rèn)為，不同公司對零信任有不同的定義，零信任并不是絕對的不信任，而是在網(wǎng)絡(luò)空間中向用戶證明它的可信性。零信任打破了原有對用戶的默認(rèn)信任機(jī)制，尋求證明用戶、設(shè)備、應(yīng)用和行為的可信性，而且對每個(gè)用戶的信任驗(yàn)證是持續(xù)的。

在思科看來，零信任的愿景是讓網(wǎng)絡(luò)安全賦能 IT 轉(zhuǎn)型，讓用戶任何時(shí)候從任何設(shè)備連接到任何應(yīng)用程序時(shí)，都能實(shí)現(xiàn)安全訪問。

Bret Hartman在采訪中向記者表示，零信任的模式有很多益處。比如：防止網(wǎng)絡(luò)內(nèi)的威脅橫向移動(dòng)；解決"內(nèi)部 = 默認(rèn)可信"這種不再有效的舊模式；降低未經(jīng)授權(quán)訪問的風(fēng)險(xiǎn)；對可疑訪問進(jìn)行更精準(zhǔn)檢測；改善最終用戶體驗(yàn)和整體工作效率；確保訪問關(guān)鍵工作資源指令的真實(shí)性；改善最終用戶體驗(yàn)和整體工作效率等。他還指出，企業(yè)需要根據(jù)工作團(tuán)隊(duì)、工作負(fù)載和工作場所/環(huán)境的實(shí)際情況來實(shí)現(xiàn)零信任。

展望未來，云安全仍是思科安全關(guān)注的重點(diǎn)領(lǐng)域

當(dāng)記者問及思科安全未來的發(fā)展規(guī)劃，Bret Hartman表示："向云端轉(zhuǎn)移是安全行業(yè)相對較大的增長領(lǐng)域，也是思科安全的一大重點(diǎn)領(lǐng)域。"

隨著越來越多的應(yīng)用程序遷移到云端，以及聯(lián)網(wǎng)設(shè)備的不斷增加，企業(yè)開始重新考慮安全策略，將安全保障工作擴(kuò)展到云端。洞察這一趨勢的思科，近年來在云上的動(dòng)作不斷，比如與AWS簽下為用戶提供集成平臺(tái)的協(xié)議，幫助用戶在私有數(shù)據(jù)中心和AWS云上更方便地搭建、保護(hù)和連接Kubernetes集群。

再比如思科推出的云交付網(wǎng)絡(luò)安全服務(wù)Cisco Umbrella可以保護(hù)任何設(shè)備上的用戶，保護(hù)用戶免于訪問惡意的域名、IP和URL。無論用戶是在在線還是離線狀態(tài)，它都可以有效攔截任何端口或協(xié)議上的惡意流量。

"面向未來，我們希望持續(xù)提供契合用戶需求的產(chǎn)品，保護(hù)網(wǎng)絡(luò)、端點(diǎn)、應(yīng)用程序和云。不僅如此，我們以信任驗(yàn)證為基礎(chǔ)，以保證對的人才能獲得訪問權(quán)限。并且，在思科Talos威脅情報(bào)支持下，簡化安全管理操作，有效阻止更多的威脅，確保組織的安全。" Bret Hartman最后總結(jié)說。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請注明原文作者和出處為51CTO.com】