威胁无处不在 思科BDA安全应对之道

当云计算、大数据、物联网成为不可逆转的趋势，越来越多的企业开始积极迎接更加开放与互联的未来，努力尝试向数字化企业转型。而在数字化转型从概念向实践落地的过程中，越来越多的企业被现实驯服：数字化转型绝不是把数据中心架设到云端、把终端设备连接到网络、把数据收集到大数据池中那么简单，这是一个从组织架构到业务架构重组的复杂过程，而其背后则是IT架构的重塑。

在去年的Cisco Live上，执掌思科帅印20年的钱伯斯在卸任前的最后一次演讲中表示，当下超过1/3的企业在未来十年将难以存活，能够幸存的将是那些使其业务数字化、科技化的企业，而且期间还有很多企业将在尝试转型中失败。

作为一家服务于企业级用户的IT公司，思科也在努力进行着转型。2012年，思科提出了“万物互联”战略，不久，思科又提出把全球所有的云联接在一起的愿景，为全球建设统一的数据平台——Intercloud。在过去的三年多时间里，思科也在不断进行自身架构的调整。

2016年初，思科宣布开始对自身工程技术体系进行改造，原有的工程技术部门被拆分为四大独立单元：安全、物联网与应用、云服务与平台以及网络。这四大单元的负责人将作为团队执行领导直接向思科公司新任掌门人CEO罗卓克(Chuck Robbins)报告。罗卓克(Chuck Robbins) 说，这样做的目的是希望帮助思科这位IT巨头继续推进面向软件定义网络与服务的业务转型。

数字化转型需要安全保驾护航

思科全球副总裁、思科大中华区CTO曹图强说，思科提出了“以网络为核心，以威胁为中心” 的安全战略，是“覆盖攻击前、攻击中和攻击后”(Before-During-After)的三位一体的全局部署。

作为服务于思科15年的老员工，思科全球副总裁、思科大中华区CTO曹图强对于思科安全业务的发展历程有着深刻的理解。“我们在最早期的IT使用和部署当中，最关心的安全问题就是怎样防止一些漏洞，怎样防止别人进入我们的服务器、侵入我们的邮件、进入我们的网站做一些恶意攻击，所以早期产品都是在产品和硬件方面做一些安全相关的部署。当时我觉得是满足这个市场需求的，也引领了整个市场把一些安全措施部署到网络平台里面来。而在当今这个全数字化时代，怎样在物联网和云计算这两个平台之间经过有机整合以后提供一个全方位的新的IT服务？这让思科重新进行了思考，在整个全数字化的时代里，我们怎样打造一个新的安全环境，不仅让大家心理上感觉到安全，事实上更能够保证网络端到端的安全，防止所有的危险，达到一个新的安全模式？”

“安全现在变得越来越战略性而不是战术性”，曹图强认为，早期服务于企业客户时，需要向客户证明我的产品是安全的，而今则要向客户证明你的业务运行环境是安全的，而这种安全绝不是一个产品和一个解决方案能够实现的。

越是渴望变革的企业，在数字化转型的过程中越是跑得快。思科将这种企业比喻成超级跑车。车开在路上，威胁无处不在，可能来自于外部，也可能来自于车子内部。越是好的跑车越离不开可靠的安全防护系统，比如安全带、安全气囊、限速雷达、防抱死系统、电子制动分配装置、车辆稳定控制系统等等。安全之于数字化转型的企业就像超级跑车里的安全防护系统，跑得越快，越不能忽视安全。在数字化转型的赛道上疾驰不仅要有超强马力， 还必须有完善的安全预警和防护策略，才能确保顺利，安全，快速的抵达终点。

威胁无处不在，网络安全与黑客攻击在对抗中此消彼长着，道与魔孰高孰低没有定论。曹图强将思科的安全模式概括为三方面：一是要覆盖所有潜在攻击的可能性；二是要覆盖所有的终端设备和部署的地点；三是覆盖业务过程的始终。思科就是将防御覆盖到任何一个可能被攻击的节点上。

在向全网络覆盖的安全服务提供商转型的过程中，思科提出了“以网络为核心，以威胁为中心”，覆盖攻击前、攻击中和攻击后的三位一体的安全战略。曹图强强调说，无论是外网防御还是内网加固或者防御，或者是其他点对点的防御，其实核心都只有一个，就是可视性(Visibility)。

网络由无数的网元组成，思科将每一个网元作为一个探针，去监测网络行为，一旦发生异常探针后的传感器就会发出信息；而在整个IT基础设施之上部署高级恶意软件解决方案，任何一个探针检测到的数据都会汇聚到后端的大数据分析平台，如果被快速诊断为威胁则会在这个平台上发出警报。网络的威胁千变万化，一个行为是否具有威胁性需要通过行为信息比对来进行判断，这种判断或者是根据既有行为的比对得出，也有可能是根据行为特征通过大数据分析画像得出判断。

下好一盘安全棋

在转型之中，思科的安全策略已经从单兵作战全面转向“以网络为核心，以威胁为中心”全局部署。而这盘布局完整的安全棋局，是思科耗时三年、耗资50亿美元换来的。

作为一家技术型公司，思科在产品研发方面有三大支柱，一是自主研发，思科自主研发团队遍布全球，包括在中国上海的CRDC；二是投资与收购，思科收购总数近200家，从早期的交换机、路由器、服务器，可以说是包罗万象的，而近三年来思科花了40亿美元收购并入的主要都是安全方面的创新公司；三是合作伙伴，思科将合作伙伴视为命运共同体，一起合作真正提供一个解决方案。

与许多公司的简单收购不同，思科在收购前会对收购对象进行全面考察，找到它在思科整体战略布局中的位置，并购之后也会将其技术和产品与思科既有产品线进行全面整合，最大限度的避免“排异反应”，这既涉及到技术层面，也涉及到企业文化和人员的整合，曹图强就是在十几年前的并购中加入思科的。

“在思科收购的公司里，整合成功率是非常高的，这方面在整个业界里面是最成功的一个公司。”曹图强告诉记者。“我们最近这三年购买的安全方面的公司都是在我们有一个战略设想的情况下把它买进，好像下棋一样，把布局布好以后，缺哪个棋子我把它买进来。所以这是我们为什么安全收购当中的成功率会这么高，整合度也非常高。”

当然，整合也是要复出高昂代价的。“思科花了40亿美元去收购这些公司，又花了10亿美元做整合，”曹图强解释道，“整合的事情非常重要，不然的话我们也是跟一个点一个点的厂家没有什么太大区别。”

多数安全解决方案提供商针对单个业务系统或攻击防御类型的单一型安全产品或解决方案，对于业务越来越庞杂的数字化企业来说过于纷繁复杂，真正做到全面防御困难重重。更多的产品和解决方案提供的还只是战术层面的防御，而思科以威胁为中心的战略部署一个是时间点，一个是整个端到端的解决方案里层层布防，也有互相之间的保护。这种战略部署不是为思科在战略上部署，而是为我们所有客户在战略上去做一个完整部署。

思科内部有一个大数据安全和威胁信息研究中心叫Talos，每天收集的威胁日志量大概到200亿。Talos收集到的数据通过后台大数据分析，形成一份关于威胁和攻击的数据，有了参照数据就可以对网络行为做出更加快速和准确的判断。比如2016年初思科发布的年度安全调研报告（Annual Security Report）里提到：行业预计检测网络犯罪的时间为100至200天，这令人无法接受。自2015年思科年中安全报告发布以来，思科进一步将此数字从46小时缩短到了17.5小时。缩短检测时间已经证明能够最大限度地减少网络攻击损失，降低风险及对全球客户与基础设施的影响。

在思科开展的一项名为“网络安全即增长优势（Cybersecurity as a Growth Advantage）”的调查研究中显示，超过30%的企业高管将网络安全视作与全数字化息息相关的一个增长因素。在这项全球调查涵盖了全球10个国家和地区的1000多名首席高管和业务部门管理人员的调研中，71%的高管表示，对网络安全的顾虑正成为其企业创新的重大阻碍。39%的高管表示，由于网络安全问题，他们已经搁置了关键任务计划。

转型已经成为必然，思科和数字化转型中的企业都在面临不可预知的未来，在“无处不在的威胁”之中，如何谋划企业安全战略，实现“突围”是思科和企业共同面对的课题。