搞网络安全就是亡羊补牢？思科用 BDA 战略表示不是这样 | 品牌

这个世界上最出色的职业经理人之一，前思科 CEO 钱伯斯在去年的 Cisco Live 上，也是他 CEO 任上最后一次演讲中说了一个让人警醒的论断：当下超过 1/3 的企业在未来十年将难以存活，能够幸存的将是那些使其业务数字化、科技化的企业，然而数字化转型并不能保证企业高枕无忧，因为期间还有很多企业将在尝试转型中失败。

从今年开始，转型中的思科把原来的工程技术部门分拆为四大独立单元：安全、物联网与应用、云服务与平台以及网络。可以这么看，网络基础设施是思科崛起的基石，云服务是兵家必争之地，物联网是大势所趋，安全这一块的地位，反倒是看起来不那么显要，事实真的这样吗？

上次在《我们所处的网络环境是否足够的安全？》文章中提到了 “全数字化” 这个概念，而网络安全的在数字化转型中的意义不仅仅是一种盾牌型的防御，也不仅仅是 “必要的经营成本”，更是一种 “促进更大创新的竞争战略”。

好了，网络安全的意义不仅仅是保障数字化企业正常运转的盾，更是是驱动企业创新的，进取型的矛的概念已经普及完毕。那么，接着再来破除第二个直觉：网络安全就是亡羊补牢，把损失降到最小。

网络安全的现状是什么？

2016 年思科年度安全调研报告（Annual Security Report）评估了当前的威胁情报和网络安全趋势，一个基本现状是当今攻击者的攻击行动更加复杂、大胆和更具弹性，全球仅有 45% 的企业对其安全状况充满信心。

也许你已经看到了这样的新闻：Facebook 创始人及 CEO 扎克伯格的 Twitter 密码破解，被证实是 “dadada”，Google CEO Pichai 的 Quora 密码也被破解，这两位在科技界叱咤风云的人物都遭遇了网络安全问题，而且破解密码的是同一个黑客组织 OurMine。

事实证明，网络安全面前，不管是知名互联网公司高管，还是普通用户，都不存在一个绝对安全的领域，企业也同样如此。所以，我们就看到了 Facebook 创始人及 CEO 扎克伯格把自己电脑的摄像头和麦克风处都贴上了胶带，用物理方式防范黑客。

除了这种片段式的网络安全剪影，我们需要知道，目前的概况是怎样的。

2016 年思科年度安全调研报告的主要研究结果是：

信心下降，透明度增加：在接受调查的企业中，只有不到一半有信心确定网络攻击范围和修复损失。但是，绝大多数财务和业务部门高管一致认为，监管部门和投资者希望公司就未来的网络安全风险提供更大的透明度。这表明安全问题日益受到董事会的关注。

基础架构日趋老化：在 2014 年至 2015 年，表示其安全基础架构处于最新状态的企业数量下降了 10%。调查发现，92% 的互联网设备存在已知的漏洞。在进行分析的所有设备中，有三分之一不再享有厂商的支持或维护服务。

中小企业成为潜在的薄弱环节：随着越来越多的大型企业密切关注其供应链和中小企业合作伙伴关系，他们发现这些企业采用较少的威胁防御工具和相对简单的流程。例如，从 2014 年到 2015 年，使用网络安全程序的中小企业数量下降了 10% 以上。这种结构性缺陷将会给大型企业带来潜在风险。

外包持续增加：作为解决人才短缺的一种趋势，各型企业都逐渐意识到外包服务的价值，以平衡其安全产品组合。这些服务包括咨询、安全审计和事故响应等。中小企业通常缺乏保持有效安全状况的资源，他们正在通过外包来在一定程度上改善其安全手段，其外包比例在 2015 年高达 23%，相比上一年的 14% 增长显著。

服务器活动不断变化：网络犯罪分子已将攻击目标转移到不安全的服务器，例如用于 WordPress 的服务器，以支持其攻击活动，并利用社交媒体平台达到不可告人的目的。从 2015 年 2 月到 10 月，被犯罪分子使用的 WordPress 域的数量增长了 221%。

基于浏览器的数据泄漏：虽然恶意浏览器扩展通常被安全团队认为是低级别的威胁，但它们一直是潜在的重大数据泄漏来源，影响着超过 85% 的企业。广告软件、恶意广告甚至是普通网站或讣告栏都会给那些不经常更新软件的用户造成损失。

DNS 盲点：近 92% 的 “已知不良” 恶意软件被发现使用 DNS 作为主要手段。这通常是一个安全 “盲点”，因为安全团队和 DNS 专家通常在公司内不同的 IT 部门工作，彼此间的交流不够紧密。

检测时间需要更短：行业预计检测网络犯罪的时间为 100 至 200 天，这令人无法接受。自 2015 年思科年中安全报告发布以来，思科进一步将此数字从 46 小时缩短到了 17.5 小时。缩短检测时间已经证明能够最大限度地减少网络攻击损失，降低风险及对全球客户与基础设施的影响。

信任至关重要：随着企业日益采用数字化战略来支持其运营，数据、设备、传感器和服务的总量带来了对透明度、诚信和客户责任的新需求。

为什么说网络安全不是亡羊补牢

“安全现在变得越来越战略性而不是战术性”，思科全球副总裁、思科大中华区 CTO 曹图强认为，早期服务于企业客户时，需要向客户证明我的产品是安全的，而今则要向客户证明你的业务运行环境是安全的，而这种安全绝不是一个产品和一个解决方案能够实现的。

越是渴望变革的企业，在数字化转型的过程中越是跑得快。思科将这种企业比喻成超级跑车。车开在路上，威胁无处不在，可能来自于外部，也可能来自于车子内部。越是好的跑车越离不开可靠的安全防护系统，比如安全带、安全气囊、限速雷达、防抱死系统、电子制动分配装置、车辆稳定控制系统等等。

安全之于数字化转型的企业就像超级跑车里的安全防护系统，跑得越快，越不能忽视安全。在数字化转型的赛道上疾驰不仅要有超强马力， 还必须有完善的安全预警和防护策略，才能确保顺利、安全、快速的抵达终点。

在思科内部有一个 Talos 团队，包括 ClamAV 团队和一些标准的安全工具书的作者中最知名的安全专家，都是 Talos 的成员。这个团队同时得到了 Snort、ClamAV、senderbase.org 和 spamcop.net 社区的庞大资源支持，使得它成为网络安全行业最大的安全研究团队。他们分析评估黑客活动、入侵企图、恶意软件以及漏洞的最新趋势。

因而，现阶段的网络安全，其实更应该包括防患于未然，而不仅仅是竖一堵墙壁防御进攻，墙壁破了之后集中力量困住敌人，消灭敌人，收拾残局。

这种配套的布局，就类似上面所说的，跑车的安全放出系统不仅仅需要安全带，安全气囊，还需要限速雷达、防抱死系统、电子制动分配装置、车辆稳定控制系统等等。安全带，安全气囊是保护撞车后的人身安全，而限速雷达、防抱死系统、电子制动分配装置、车辆稳定控制系统这些则是防止撞车发生的关键。

什么是 BDA 战略

我们已经明白了网络安全不仅仅是保护企业的的盾，更是助力企业创新的矛，我们也知道了网络安全要防患于未然，以 “威胁为中心”，那么就应该知道思科为扩展网络和整个攻击过程（包括攻击前、攻击中和攻击后，即 Before-During-After）开发和实施防护措施，即 BDA 战略。

攻击前： 当今攻击者，对防御者所努力保护的基础设施有着更多的了解。要在攻击发生之前有效防御，企业需要对其环境拥有全面可见性，这包括但不限于物理和虚拟主机、操作系统、应用、服务、协议、用户、内容和网络行为，实现超越攻击者的信息优势。防御者需要切实部署安全解决方案，以根据目标价值、攻击的合法性和历史记录，更好地了解基础设施存在的风险。

攻击中： 传统安全技术只能根据攻击自身的单一数据点，检测某个时间点的攻击，无法应对高级攻击。思科提供具有安全性的基础设施和具备上下文信息掌握能力的可行方法——将历史模式和全球攻击情报集合并关联至整个扩展网络的数据，进而提供上下文信息，并判断是主动攻击、渗透和勘测，或者只是背景噪音，利用实时洞察将智能自动化与正确的人员和流程结合起来。

攻击后： 追溯安全性是大数据挑战，也是极少公司才能提供的持续性能力。利用持续收集和分析数据来创建安全情报的基础设施，企业能通过自动化识别 IoC，检测到足够先进甚至能改变其行为来躲避检测的恶意软件，以及评估全包捕获方法，以便成功地进行补救。

为了更好地支持 BDA 战略的全面实现，思科构建了独具竞争力的威胁防御集成架构，拥有如下特性：

• 无处不在：安全性覆盖扩展网络中的各种攻击途径，能够有效抵御来自任何地方的威胁。
• 集成：与那些会导致安全性孤岛的不同单点产品相反，高级安全性覆盖整个庞大的应用及服务生态系统，可在整个攻击阶段共享可视性、情报、防御和响应。
• 持续：持续的分析和响应，而不只是针对某个时间点。能在未知恶意软件首次进入环境后的数小时、数天或数周内进行检测、界定、遏制和修复。始终在观察，永不停止，并且能够即时 “让时光倒流”，独具追溯性地工作。