【安全大咖说】思科全球产品管理高级总监Kevin Skahill | FIT2019独家专访

本期「安全大咖说」主角是思科全球产品管理高级总监Kevin Skahill先生。

在思科，Kevin领导安全解决方案团队完成整体安全解决方案，大幅简化网络安全解决方案的部署和管理，推进思科ISE与网络基础设施的系统级集成，目标客户包括园区、数据中心以及虚拟化设施。同时致力于实现BYOD、安全访问和数据中心安全防护领域的业务增长，管理第三方合作伙伴和制定实现策略。

在FIT 2019「全球高峰会」现场，他带来了《数字化时代基于意图的自动化安全网络架构》主题演讲。

Kevin在演讲中表示,2018年是各种网络攻击手段迭起的一年，应接不暇的网络攻击手段给企业安全运营造成了重大挑战，传统安全设备和安全解决方案在对抗各类不对等攻击方面见效甚微，全新的挑战和机遇带来了新的业务需求。这样的数字化时代背景下，思科提出了以信任和威胁为双中心，通过基于意图的自动化安全网络架构来解决上述企业网络安全痛点。

作为专注于成就互联网的全球科技领导厂商，同时也是网络安全领域的创新引领者，思科面对新的互联网局势提出了新的思路。思科相信零信任架构将会成为未来网络安全架构的流行框架之一。从零信任出发，Kevin提到了“可信访问”的安全架构，同时辅以基于意图的网络策略加速“可信访问”流程，得以更好、更快地帮助企业获得安全能力，助力商业活动的顺利开展。

小编在大会的间隙对这位来自思科的安全专家进行了专访，聊了聊他对网络安全行业态势、技术的看法和思科的安全业务情况。在交流中小编发现他是一个亲切又有趣的人，让我们一起来看看节选自此次访谈的精彩看点吧！

新动向：威胁态势与合规

Kevin表示企业领域同个人用户面临的风险一样，主要还是数据泄露和勒索软件攻击：

数据泄露对企业和个人造成的冲击已经不用过多解释了，有很多实例摆在眼前。过去几周，我们看到了一些影响很大的数据泄露事件，PII（个人身份信息）的泄露数量已达到千万级。而勒索软件真的是一种“拒绝服务”攻击。从攻击者角度来说，勒索软件攻击并不是为了获取有价值的数据，而是造成一种接管系统数据的现象，然后向受害者要钱。勒索软件带来的挑战和风险正在不断提升，随着攻击者对于目标资产的了解越来越深入。勒索的费用也根据资产的重要性水涨船高。当攻击者得知目标系统高度重要后，价值300美元的比特币就不能满足他们的胃口了。

“此外，物联网的兴起也带来了巨大的安全挑战，主要问题在于很多物联网设备在设计之初重功能，轻安全，有时候连基本的安全防护能力都没有，因而针对物联网设备的攻击面也将不断扩大。”Kevin如是说。

在这样的企业网络安全形势和挑战日益严峻的大背景下，欧盟通用数据保护法规（GDPR）正式实施，标志着全球范围内的监管机构对于数据安全的治理正式拉开帷幕。为了避免更严重的后果发生，围绕数据泄露的法律法规正在快速实施。企业面临着看不见的威胁和看得见的监管，维持最低限度的数据安全已经不再可行，数据安全将变成互联网企业的竞争优势。

针对这样的态势，Kevin提出构建以信任为中心和以威胁为中心相结合的双轨方案：

企业合规的重点是确保要充分了解访问敏感数据或PII的人员或设备，以信任为中心的解决方案的核心正是确保只提供授权访问以降低风险，而以威胁为中心的安全能力则可快速识别和修复问题，满足很多法规对于企业部署网络安全修正和控制能力的硬性要求。

Kevin表示：

思科在这一块的实践历史已经很悠久了，通过构建以威胁为中心的安全能力来保护企业中的工作负载、应用和设备。思科安全解决方案将继续保持最优的发展能力和功能集成，无论是端点、网络还是云端，我们都能提供全面的安全保护，特别是针对云端，我们有安全网关、Cisco Umbrella等产品，后者可在系统运行时提供DNS层保护。在企业网络中部署上述产品，既简单又能获得强大的安全保障。

企业数字化转型中的安全

IDC针对中国的一份调研显示，超过40%的企业感受到了业务量增大、业务种类变多和客户需要更好体验等业务上的巨大变化，这些变化给企业带来了新的挑战和机遇。企业也针对性地做出了如下创新：优化业务系统、线上线下业务；打通和组织架构调整。

无论是大公司还是小公司，有一点非常明确：要想紧跟时代步伐，有力开展竞争并保持独特优势，组织必须实现数字化转型。

企业的未来将如何发展，取决于能否赶上人工智能、物联网的爆炸式发展以及数据量的指数级增长，在迈向多云世界时，成功应对不断增长的网络攻击威胁。思科全数字化网络架构（思科 DNA）正是响应这样的趋势而诞生的，该平台不仅能够提供实现全数字化的路线图，还能帮助用户快速获得网络自动化和网络安全的优势能力。

思科全数字化网络架构是一款开放且可扩展的软件驱动型架构，基于全面虚拟化、自动化设计、全面分析、基于云的服务管理、各层开放和可扩展且可编程这五个原则设计的。对于思科DNA的安全能力，Kevin通过一句话给出了清晰的说明：

思科DNA的核心思想是实现业务的数字化，使得用户能够专注于结果，依托网络达成业务目标。从安全角度来看，思科DNA提供的安全能力主要是基于意图的自动化访问控制策略，支持从宏观与微观两个切入点实现网络隔离。

普通企业和需要高安全环境的组织架构来说，对于流量的横向移动有着不同的要求，此外又要满足外部环境变化时（比如员工登录的地理位置发生了变化），企业网络策略始终能够彻底验证用户信息和设备，实现无缝跟随，能够做到这一点的关键是通过基于意图的网络策略实现了动态的可信访问控制。

思科安全业务发展

思科在网络安全领域的收购案频出，最近Duo Security又被纳入麾下。安全业务已经成为思科最重要的利润增长点。当前，思科已经将安全功能内置到其全系列产品中，这一方面提高了思科本身的竞争力，另一方面也对独立安全厂商业务形成了巨大的挤出效应。

对于思科安全业务的未来发展，Kevin强调：

思科关注的重点是构建最佳的可持续发展能力和高度集成的方案，高度集成的解决方案可以帮助企业和组织节约获得安全能力的时间。企业在网络建设方面投入大量资金，首先要确保网络安全，但网络安全并不是终极目标，它是一个过程，要融入到企业网络中的每个层面、每个节点。

思科始终关切企业的网络安全及其已有的安全投资，我们对企业和组织在安全方面的资产形态和部署很了解，这背后是思科的强大安全技术与数以百计不同领域的合作伙伴。无论是思科还是第三方的产品，我们都希望端到端的整合更加方便，这有助于实现以威胁为中心和以信任为中心相结合的解决方案。

未来，我们会以强大的思科安全能力为依托，进一步简化企业网络中安全能力的获得方式。在过去几年里，我们看到越来越多的行业“独角兽”走到一起。全球市场的趋势就是如此，企业会随着时间的推移慢慢整合。因此，让这两家企业在合二为一时轻松合并现有解决方案很关键。思科不仅仅引领网络安全领域的发展，如何帮助企业轻松实现网络安全也是未来的努力方向。

本文作者：Freddy，转载请注明来自FreeBuf.COM