思科CEO錢伯斯(John Chambers)最後一次以行政總裁身份,出席Cisco Live用戶大會。從1991年起,錢伯斯從出任CEO超過二十年,思科每年營業額從十二億美元,2014年達四百七十億美元,公認為全球最佳CEO之一。
七月錢伯斯退位,繼任CEO為羅賓斯(Chuck Robbins)。羅賓斯一再強調,他的要務是必須安排思科優先次序,並尋求客戶未來三年內所需。他相信未來二十年,業務機會比錢伯斯在位更多;包括了數以億計物件連接上網,形成所謂「萬物互聯」(Internet of Everything)。但同時IT保安考驗也愈益嚴峻。思科的首要任務,必須簡化方案,減低保安整合成本。
簡化方案,1+1=3
保安市場分散,不同環節產品,出自不同廠商。錢伯斯說,未來單一產品IT保安公司前景困難。客戶花了七成半預算,整合不同產品,這種情況無以為繼,市場會出現鞏固。思科亦發展全面性方案,令保安無處不在,減低成本和複雜性。
錢伯斯說:「思科策略是建立保安架構(Architecture),不再集中單一產品。長遠而言,只有架構才取得IT保安最終勝利,東湊西拼不同產品結果,時間花在整合,保安仍千瘡百孔。」
錢伯斯強調IT保安要全盤方案,不能靠一項產品;只靠單一產品的IT保安廠商,遲早陷於困境。傳統IT保安思維,乃守住外圍(Edge)或主機(Host)。思科則是「從點至面」防禦,佈署於各環節上。思科提出了「持續性守禦」(Attack Continuum),以「威脅為核心保安模式」(Threat centric security model)想法。類似架構部分從收購SourceFire新一代入侵防禦(NGIPS)獲得啟發;推廣至整個網絡。即使病毒突破外圍保護,仍可追溯再隔離惡意程式。
思科已將SourceFire技術,加入整合服務路由器和ASA防火牆,加入追溯功能,推出新一代進階惡意程式防護(Advanced Malware Protection, AMP),配合新成立保安研究情報組織Talos即時更新,緊密整合,作出實時性保護。
整合NAC及Netflow
思科提出新理念,以「網絡作為感應器」(Network as a sensor)和「網絡作為防禦者」(Network as an enforcer)。思科通過本身「網絡存取控制」(Network Access Control,NAC)技術身份識別服務引擎 (Identity Services Engine,ISE),配合網絡設備,取得統計偵察入侵。NAC原用於控制登入點;包括無線接入、自擁設備(BYOD)、VPN登入,結合Netflow後,用戶從點到點各項動作,均一目瞭然。
思科以第三方廠商Lancope的StealthWatch方案,整合Netflow和ISE。Netflow記錄了流量來龍去脈;加入身份、登入位址、登入設備資料,快速判斷入侵。Lancope提供功能,跟傳統NAC大廠NetScout相若。但思科整合了NAC、Lancope和現存Netflow資料,令整合更簡單,成本更低。
惡意程式擴散必然通過網絡,思科分析工具Netflow,內建於IOS作業系統。思科路由和交換設備,一直以Netflow分析流量,也不增加設備負荷。每天,思科從網絡設備的Netflow,蒐集達150萬次攻擊,超過130億條Netflow和350GB紀錄,通過大數據分析,可從偏離歷史數據流量和登入細節,比對之下獲結論,理論上更準確。
機器學習偵察入侵
去年,思科成立了Managed Security Services(MSS)幫助客戶整合保安設備,MSS副總裁Tom Powledge表示,MSS幫助客戶充份利用思科資源保護,也整合第三方廠商設備。保安中心(SOC)作全天侯監察,即時發出警告。MSS部署思科新一代「認知威脅防禦」(Cognitive Threat Analytics,CTA),以設備「在場」(On Premise)部署,長遠也可於雲端上遠端偵察。
思科利用了Hadoop大數據,以統計模型和機器學習,加上Talos的保安情報,可準確向客戶報告入侵情況,比SIEM更精確。SIEM只偵察已知的通作模式,CTA則準確判斷未知攻擊。Powledge說,SIEM缺點是難以部署,速度太慢,誤鳴(False Alarm)嚴重,客戶已怨聲載道;反之CTA命中率極高,幾乎百發百中。「MSS成立雖短,最近一名零售客戶的防毒和IPS全沒預兆,MSS已發出收銀銷售終端(POS)的人侵警報,阻止另一次Target事件。」
思科投資機器學習,包括著名大數據分析廠商Platfora,以高速分析大數據,短時期從海量數據,大海撈計獲蛛絲螞跡,因此效果更勝SIEM。機器學習,或者「認知計算」,已有取代SIEM之勢。類似IBM的Watson認知運算,亦正運用機器學習,提高偵察入侵準確性。
發現入侵後,思科TrustSec技術,可透過專屬的安全標籤SGT,加上ISE的NAC架構,可配合思科設備,即時隔離入侵擴散;但問題在於,TrustSec部署複雜,非一般企業所能負擔,也須全盤部署思科特定的交換設備,長遠大概只有待思科SDN架構ACI方案,加入第三方的支援,並簡化部署難度,才能更廣泛推廣即時的入侵隔離功能。
沒有留言:
發佈留言