上海，中国的经济、金融、贸易、航运中心，一直以变革、创新引领着中国企业的发展。在“互联网+”浪潮下，上海企业首当其冲，这座城市，一直用信息化手段推动着企业的高速发展。2016年10月28日，企业网D1net携手上海CIO联盟共同举办的CIO沙龙活动在上海盛大举行，来自各行业的CIO共聚一堂，共同探讨各行业在互联网+实践方面的信息化实践，涵盖大数据实践、互联网风控等领域。

以下为：思科安全技术顾问吴清伟在上海CIO沙龙的演讲，题目是：《数字化时代的企业安全防护探讨》

主持人：就在上周，美国当地时间10月21日，一域名解析服务商Dyn遭受DDoS攻击，导致了美国大部分网站无法访问。调研显示，美国等发达国家对网络安全的投入占信息投入的20%以上，而我国不足2%，在如此严峻的大背景下，企业如何做好安全?下面有请思科安全技术顾问吴清伟，他给我们带来的演讲是数字化时代的安全防护探讨，谢谢。

吴清伟：大家下午好，今天和大家探讨一下就是数字化时代里企业如何去面对，在网络安全领域里思科有哪些思路?

大家可能会注意到，在数字化转型过程中有两个要点信息，一个是物联网建设会出现一个高潮时代，美国这次事件跟这个还真有紧密的联系，第二个，数字化经济过程中很多企业转型，包括把一些业务从线下搬到线上，把传统的手工方式转成自动化的处理方式，那带来的结果呢?毫无疑问，效率提高了，业务开展的成本降低了，但同时模式发生改变之后，很多新的攻击入口出现了。

美国这次攻击事件，跟以往的大规模的DDos攻击不太一样，因为发起的攻击设备，不是传统的PC终端，而利用的是IOT设备，换句话说物联网设备，比如现在我们城市里看到的各种摄像头，甚至家用路由器，IP打印机等等，这些设备成为攻击的肉鸡，这次是一个比较特别的情况，所以我们先谈一下这个事件的诱因。看起来就是说物联网IOT，我们叫Internet of Things，大家都在欢欣鼓舞地建设，但是安全问题似乎没有太重视。这个事件也给我们很多物联网行业的从业者提出一个警钟：IOT的安全问题是非常重要的。除了这个事件，我还想跟大家分享，近一年多时间里一直在发酵的一个事件，叫加密勒索软件。

先简单说一下这个事件的过程。它是一个很特别的恶意代码，这种恶意代码通过电脑终端感染之后，会把你的电脑文件加密，等你发现的时候文件就打不开了，那么这个时候，它会做一个信息提醒的方式，让这个使用者去缴纳赎金，缴纳赎金之后你才能获得解密的工具，完成解密。特别有意思的是为了防止追踪，它采用了比特币支付的方式，因为比特币没办法去把源头追踪出来，但是国内很多用户没有比特币账号，所以很多电子商务平台，就出现代付比特币的情况。

提到这个事件，我其实最惊讶的一个情况是，在我接触的用户当中， 95%的企业用户，都遇到过这种加密勒索软件的情况。很多人要么就系统重装了，要么就付钱了。这是我非常惊讶的一个问题，因为这意味着什么?第一个，我们的企业的用户安全意识没有到位;第二个，我们很多安全防护的措施解决方案，其实没有真正发挥作用。两个安全事件看到的一个趋势就是攻击的门槛越来越简单了。以加密勒索软件为例，它的攻击方式是在一个邮件里加一个附件，附件可能是一个木马程序或者恶意代码，使用者不小心点击运行了，就有可能造成加密。

从2011年开始，思科开始每年发布一个安全报告。思科2016年的安全报告，它针对我们刚刚提到的事件做了一个很好的归纳，有三点：第一点，网络攻击者的攻击手段越来越灵活，以前没有听说过勒索软件，现在有了。第二点，防御者就是使用者，现在没有特别好的方式去防御，像勒索软件这个事情，90%以上的用户都中招了，可见现在防护手段还没有找到一个特别好的方式。最后，如何去防御。思科提出来就是最重要的一点是的安全架构的设计，安全架构的设计是网络安全设计里边的一个关键点。

另一方面安全意识需要加强，用户选择产品，也面临复杂的环境，这些都是客观存在的，很多CIO也有切身的体会，现在，我想把思科安全防御的一些思路跟大家做一个分享，当然也希望大家能也给我们一些反馈，主要有三点：

第一点，在做安全防御中，强调全面的可视化;第二点，把安全防御作为一个重点;第三点，强调架构式的防御手段。

提到可见性，现在把可见性提到很高的一个层面，不管是各种安全厂商还是用户，都要求产品能够提供可见性。可见性具体来讲，包括什么呢?我们现在保护的是网络，网络里边可以看得见摸得着的，无非是几样东西，一个是客户端，客户端包括人员、设备。另一方面是服务器端，这两端我们要看到。除此之外，服务器端到客户端之间，可能有各种各样的访问行为，各种各样的应用程序，这些东西我们希望也能够看到，这是网络可见性的第一个层面。第二个层面，要能够看到网络中在这些终端应用人员的背后隐藏的安全漏洞。这个是至关重要的，因为所有的安全问题，最后都会把它归结到系统中产生的漏洞，或者叫系统中存在的漏洞被利用，所有的系统不管是软件硬件都有漏洞，我相信大家一定会承认我的这个讲法。如果没有漏洞，我们前面看到的IOT的事件、加密勒索软件的事件完全不会发生。如果我们能够尽最大可能地把漏洞限制在最小范围内，很多安全事件就可以避免了。当然漏洞是客观存在的，我们能做的就是尽可能减少这个漏洞给我们带来的伤害，所以可视化里边重要的一个方面，就是我们要能够看到存在的漏洞有哪些?一个方面从网络的维度，比如我们有一些安全产品，这是它的一个设备的界面，可以看到网络中有哪些主机操作系统，windows设备或者苹果设备，甚至还可以看到网络中有哪些应用。大家可能关心有没有国内的应用，其实很多社交的工具，聊天工具，或者网上的交易等等都可以看得到，这是思科设备现在已经能够呈现的。比如说我遇到网络阻塞的话，我可以看看，这个应用到底被哪个带宽，被哪个应用占用了。再有，从安全角度讲，网络中的安全漏洞有哪些，以及这些漏洞有没有被攻击者所利用?这个是我们以往很难做到的，但是现在我们已经有了一些技术手段，有一些实践，带来的效果也是非常不错的。像有一些攻击的源头，攻击的目标，都可以自动化地呈现出来，它对攻击的识别是自动化的。

另外还有一种情况，除了攻击行为以外，可能有一些看不见的。举个例子来说，可能大家听说过震网病毒，这是若干年前某两个大国之间发起的，在公共系统的网络战。那么震网病毒的发生过程是什么呢?就是内网的一台终端被感染了，然后它做为跳板，再去攻击其他的终端，最后攻击到网络的离心机，导致离心机报废。而这个行为是通过网络边界渗透进来，在内网之间。

从一个跳板，然后跳到另一台机器，最后达到攻击的目的。有人说这个APT攻击，高级可持续性威胁类型的攻击。而这种攻击，往往用传统的方式没法发现，但是我们也有一些手段，比如说让网络像传感器一样去感应，有没有异常的行为出现，这也是网络可视化的一个方面。

谈完了可视化，我们来看第二个关键点，关注威胁防御。现在很多网络设备都部署在用户的环境当中，比如防火墙、入侵检测、行为管理。大家说，难道我的设备不是关注威胁吗?其实这个理解是这样的，我们认为威胁和现有的大多数网络设备相比，有一点区别。很多安全设备都放在那儿，但是它往往是一个静态的工作模式，换句话说，就是它设好了一个规则，等待别人来攻击，但实际上，攻击者肯定不会按照它的这个设想去对它进行攻击或者入侵。往往利用新的漏洞，比如说零日漏洞，零日漏洞一旦出现，现有的系统还没有一个针对性的防护策略，设备放在那就形同虚设了。

现在强调的专注威胁有一个重要内容，用孙子兵法来解释，就是知己知彼，我要知道别人攻击我，用什么方式攻击我，了解之后才能有效地去防御。

这里边有一个数据，前两天我们有一个100天和13小时两个两个数值。100天什么概念呢?就是根据这个权威机构一个调查显示，说一个用户，他遭受到一次网络攻击之后，那么他花多长时间能够发现被攻击了呢?平均时间100天。这100天好像太长了，我们现在可以通过一些解决方案，架构式的防御把它缩短到13小时。你发现得越早，可能你遇到的损失就越小了。

国外有一家机构叫NSS实验室，这是 2016年8月份的一个测试结果，拿出来跟大家做一个简单的分享。它并不是去检测有多少攻击被拦掉了、发现了，而是说一旦有攻击发生，系统花了多长时间去把这个攻击检测出来。这里边我们用一个红框表示几个重点数据跟大家做一个分享。

第一列就是说，在遇到一次攻击的时候，在一分钟之内，发现这个攻击的比例有多少，这是一个横向的厂商比测，思科做的好像也不是很高67，但是如果横向比较的话这个就是最高值了。这是一分钟，还可以看到3分钟5分钟等等。实际上这里边能够反映出来一个问题，就是整个行业现在对安全的关注已经开始往这个方向转变了。

前面提到一个热点，说我们现在做了很多安全设备，但是为什么不安全呢?其实现在看安全的一个趋势转变，就是说，大家这个对安全的比拼，已经从前端转到后端。所谓前端就是实实在在的设备，一个盒子放在那儿，防火墙设备、入侵检测设备、或者其他的终端安全设备，前端设备的差距越来越小，性能、端口、密度这些差距都不大，无非是一个硬件的成本问题，但是后端可能显得至关重要了。也就是说，原有的前端设备，它提供的是一个静态的防护。但是，后端可以通过一些智能安全服务来提供动态的防护，比如说遇到零日攻击的时候，后端像智能中心，可以通过大数据的分析、全球探针的采集，第一时间找到针对这种理论工具的解决方案。然后，动态地把这个策略给你的设备推送下去。这样就变成了一个前端后端的结合，这是我们看到一个趋势，所以后端的强大与否、有效与否，其实是决定网络安全防御的一个关键点，思科这样一个后端的防务，叫做安全智能中心，英文名字叫Tartarus。

Tartarus的名字有一个背后的故事：古希腊有一个神叫Tartarus，他每天的任务，就是保卫城墙的安全，说白了就是跑圈，用最原始的方法围着这个城墙绕圈，然后各个城门，不断的检查从不停息，那看看哪个地方有这种攻击者的存在，所以这个名字用在这里也算是恰如其份。

靠单一的产品去做加密勒索软件防御可能是不现实的，在这边希望能够给大家介绍架构式防御。在边界，可以通过防火墙的动态策略，到了应用层面，邮件里边带有勒索软件的附件，那能不能识别，能不能过滤?那到了内网之后怎么办呢?这个加密勒索软件很有意思，你的电脑被植入的时候还不可怕，因为他要加密的时候一定要连接到C2服务器上去，然后下载一个密钥，对你加密之后把密钥删掉，这时候你没有密钥了，解密也不可以了。回到前面说你的电脑被植入这个勒索软件了，没关系，只要阻断它跟C2的通信，加密勒索的行为也不会发生了。那这意味着说可以通过内网的异常行为监测，把终端的异常行为阻断掉。

我有一张图给大家看一下，就是如何通过架构式的部署来实现整体的安全防护。这个图里边包括两大块内容，一块是边界，一块是内部。内网的防护， NaaS和NaaE。我们谈安全的时候一定会说，有没有安全设备?其实我们忽略了一个重要的点：现有的网络设备，其实同样可以帮助我们去获得一个安全的防护，那就是NaaS要讲的事情。那NaaE是什么呢?我可以把网络设备作为检测威胁的一个手段，那检测的同时，我能不能再用它做一些防护，在不需要人工干预的情况下，自动的做一个防护。

我这边有一张动态的图，可以给大家做一个演示。NaaS很简单，所有的网络都离不开交换机、路由器、防火墙这些设备，可以把这些设备作为一个探针点，把看到的网络行为信息吐出来，之后通过分析平台，把异常信息找出来。从某种程度它还有一个好处，就是做合规。金融行业里边经常会遇到合规需求，合规需求包括两块：一块是，从内网到外网的访问，还有一块是内网到内网，业内讲法就是南北流量和东西流量。南北流量方案已经有很多了，但是东西流量还不太成熟，而我们通过网络设备作为传感器，可以解决合规的问题，这是NaaS的另一个效果。

NaaE让网络平台实现动态的防护。还是回到刚才那个例子，假如有一个终端用户，被注入一个木马，之后它可能在网络里面就开始做一些探测、扫描，而这些事情靠人工方式去干预很困难。因为很难去定位终端、IP地址，这种情况下NaaE可以去把这种行为定位出来。比如一个不合规机器，去访问一些不该访问的资源，发现之后怎么办呢?直接把它从一个正常访问的区域隔离出来，隔离到它没有权限去访问资源的区域;可能用户被挂了一个木马程序，或者一个加密勒索软件，但是他自己不知道，系统分析的时候就可以会找到并隔离起来。这就是NaaE，通过网络平台来实现动态的防御。它也是我们最近一两年内与用户沟通的时候发现的，对用户帮助非常大而且用户非常感兴趣的一个架构式的解决方案。

谢谢大家。