老牌廠商思科打算用AI創造下一代安全架構 | 國家網路安全宣傳周展商專訪

2017年，大規模安全事件頻發，前有席捲全球的WannaCry病毒，後有重創烏克蘭的NotPetya。而無論是在情報分析，還是安全響應，思科在應對各種危機時都充當了中流砥柱的作用。趁著今年國家安全周的機會，我們有幸探訪了思科，聽聽這個曾經創造了網路的巨頭對網路安全的新思考。

如何大幅降低威脅響應時間

第一個新理念來自安全防禦思路的轉變。

無論是上面提到的NotPetya還是最近頻繁發生的Xshell、CCleaner被植入後門、Chrome拓展被劫持等事件都證明，黑客的手段多種多樣，既可以通過已知漏洞進行攻擊，也可以使用未公開的0day漏洞，甚至可以使用釣魚郵件進行攻擊。企業無法保證自己的系統一定沒有0day漏洞，也不能保證員工的安全意識100%無風險。因此在這樣攻防不對稱的條件下，想要建立一個完美的安全防禦方案幾乎不可能，而思科的新思路就是強調威脅檢測的重要性。

思科大中華區副總裁，安全業務總經理莊敬賢認為：

「攻擊者很容易突破傳統的安全防禦方案。所以，只是針對已知的威脅去做防禦，已經是過時的。我們更需要知道，如果是防禦被突破了之後，如何有效檢測與及時發現威脅。」

思科希望通過一個標準，判斷安全防禦是否有效。一個最好的標準就是：從未知的威脅突破網路，到有效地發現，有效地檢測，然後到響應，中間這個時間差是多少，即威脅「檢測時間（TTD，Time To Detect）」。如果業界都能統一用這個標準來判斷安全是否有效，可比性就很高了。思科稱，已經將威脅檢測時間均值降低到3.5小時，而行業平均時間為100-200天。

強化入侵後的檢測上，這便是思科的新思路。事實上，攻擊向量雖然廣泛，但無論黑客使用何種渠道攻陷計算機，入侵後的行為卻十分有限，基於入侵後行為的檢測相比之下更加可行。

開放的集成化架構產品

單點的產品是沒有辦法提供有效的安全的，因為不同的廠商之間無法做到有效的聯動，防護效果也就大打折扣，因此必須要有一個集成化的防禦架構。

正是基於這樣的思路，思科推出了自己的集成化的防禦架構產品，從效果來看，統一集成的解決方案更能有效地抵禦攻擊。

針對WannaCry、Nyetya這樣的勒索軟體所帶來的越來越嚴重的安全態勢，思科推出了一個思科安全解決方案包，裡面包含了一些基本入門的勒索軟體解決方案：首先，有思科的防火牆，有郵件防禦，用來做第一重防止入侵的防護；第二，就是利用思科Stealthwatch，通過網路異常行為分析系統去判斷有沒有異常的行為；第三，利用高級惡意軟體防禦（AMP）來阻止它們的傳播；最後，再加上思科安全服務，希望可以全方位地保障企業客戶免受勒索軟體的攻擊。

根據統計，平均一個企業採用的安全解決方案提供商多達20-30家。要利用這麼多單點防禦的產品有效地進行安全防禦，同時還要控制成本，這是非常困難的。但企業使用各類單點防禦的產品，其中的一個考量就是擔心使用集成化產品造成被綁定的問題。

因此，思科除了提供自己的集成化解決方案，同時還將平台開放。合作夥伴可以在平台的基礎上進行開發，比如開發DDoS防禦產品，然後連到思科的防禦架構。這樣既可以讓企業不受綁定，也可以保證安全產品中有效的配合。

用AI創造下一代網路架構

30多年前，思科用路由器、交換機構建了早期的互聯網。30多年後的今天，僅僅使用網路設備已經無法滿足企業的需求，思科提出構建新時代的互聯網架構——全智慧的網路。

思科全球副總裁，大中華區首席技術官曹圖強向大家介紹：這是一個利用機器學習和人工智慧，不斷自我學習、不斷自我調整、不斷自我演進、不斷自我保護的網路。

其實簡單來說，全智慧的網路就是通過DNA中心學習網路的意圖（Intent），不斷調整相應的網路架構和策略，即Intent-based Network Infrastructure，「基於意圖的網路架構」。我們可以認為，新的網路架構中加入了一個「大腦」，原本由人來進行的操作和調整被網路本身取代，變成了一個控制中心，包括大數據、策略的配備、自動化等。

這樣的網路架構能夠做的有很多，其中最重要的，是它改變了現有網路中的安全體系。新的網路架構可以智能地判斷網路中的安全威脅。而為了讓全智慧的網路更加安全，思科發明了能夠在加密流量中識別惡意軟體的技術，從加密流量中發現可用於識別惡意軟體的數據特性，從而幫助全智慧的網路更加精準地判斷出威脅。

合作構建安全生態

思科擁有目前全球最大的安全研究團隊——思科Talos。團隊由近300位安全研究人員和600名軟體工程師組成。在今年上半年的兩場重大勒索軟體事件中，思科Talos團隊也提供了非常詳盡及時的安全情報。根據ESG Research Survey的統計，思科的情報分析能力位列第一。

在安全威脅信息方面，業界都還是非常碎片化的，大家都是各自為營。安全廠商是分家的，但是建立一個安全的互聯網環境，能夠讓全社會受益。因此，2017年6月，思科Talos宣布與IBM X-Force展開合作，共同開展威脅情報研究，這意味著二者將進行一系列情報共享。思科雖然擁有強大的情報收集能力，但更希望通過與IBM的合作，建立更加完善的資料庫，共同打造安全生態鏈。

在與IBM團隊合作的同時，思科Talos也把安全信息定期與國家網信辦進行分享，希望國家網信辦通過思科Talos分析出來的最新的安全信息，能夠保護更多用戶。

除此之外，構建安全生態的環節中也包含對於安全人員的培養。今年6月，思科與中國教育部簽署了合作備忘錄，計劃在未來3年內為中國教育投入價值約5億元人民幣等值的課程、師資培訓、教學軟體、教學平台和硬體實驗室等資源，培養40萬人次以內的數字化創新人才。

正因如此，在網路安全周上，思科展台不僅受到了中共中央政治局常委、中央書記處書記、中央網路安全和信息化領導小組副組長劉雲山的參觀，還開設了思科安全互動課堂，為觀眾普及安全知識。

以開放的理念打造安全產品，構建安全生態——在今年的網路安全周上，思科帶來的不僅有「全智慧的網路」新產品，還有它對安全的新理念，下一個30年，互聯網會如何發展？安全問題會走向何方？思科的這些新理念給我們指明了可能的方向。

* 本文作者：Sphinx，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！