最近,一位安全分析师写了关于思科安全努力的博客并质疑思科对市场的承诺。如你所知,我不仅是思科出版社作者,但我同时也是该公司的安全咨询系统工程师。从我的观点来看,思科绝对不会把目光从证券市场上移开。但这篇文章确实让我思考了一些读者可能会有的问题。思科是致力于创造最好的产品,还是更愿意创造安全系统?为什么客户会对思科安全感到兴奋呢?
为了回答这些以及其他有关思科安全的及时问题,我采访了思科安全技术业务部副总裁兼总经理Tom Gillis,进行了问答。我试着挑一些我认为你最近在想的问题。这不是一个正式的面试,这更像是一个正式的问答,我把问题扔给汤姆,他实时回答。我确定我可能错过了一些,所以请发布它们,我可以尝试和Tom联系,让他们回复。
一些人认为,思科正在把注意力从安全领域转移开,转而专注于协作/语音、DC以及现在的服务器市场等增长市场。就其本身而言,安全业务是思科的战略重点吗?
安全是思科在网络、虚拟化、协作等所有市场的抱负的基础。安全是其他倡议的有机组成部分。思科在过去三年中在安全领域的投资超过了10亿美元,远远超过了大多数安全公司。
思科宣布这是思科玛氏的另一个方向.您能谈谈您对思科安全事件管理未来的展望吗?
思科一直认为我们不是在传统的SIEM市场。我们所拥有的是一个强大的管理套件,旨在使我们的系统更有效地捕捉恶意流量。我们有先进的事件关联能力与我们的MARS产品。随着我们不断发展这一功能,我们将其更紧密地集成到我们的安全管理套件中。随着MARS越来越多地集成到我们的思科安全管理器中,我们可能很难对其功能进行划分,因此越来越难以将MARS视为独立的。
对于一些人来说,思科并不被认为是最好的安全公司。思科安全是专注于成为一个最好的产品公司还是一个更好的安全解决方案公司?因为你觉得有必要(甚至可能)两者兼而有之?
这是绝对必要的,也是绝对可能的。我们的重点是在我们的核心市场点产品,使他们能够独立作为最佳品种解决方案。你可以把我们的Web代理,VPN与任何竞争对手脚趾到脚趾,我们将赢得基于他们的优点单独。此外,当你有一个架构的方法来构建产品,就像我们做的,解决方案可以相互联系,以一种比单个点产品更有力的方式解决客户的问题。[注:就像我之前在博客中提到的,Gartner最近也宣布了这一点另外两款思科产品被放置在它的神奇象限、SSLVPN和安全web网关。加了NAC、电子邮件加密和电子邮件安全功能后,思科总共有五款产品被Gartner这样命名。]
过去,管理一直是思科安全的一个难题。您能告诉我们关于思科安全产品安全管理的现状和未来愿景吗?
我认为一些思科产品在管理方面遇到困难的历史原因之一是设备的发展,命令行设备和管理是我们后来添加的东西。我们在思科的观点是,管理需要从一开始就融入到我们的产品中。如果你看看我们开发了电子邮件网关的方式,我们的门户网站,和一些新功能在我们的弗兰克-威廉姆斯和IPS,可管理性和易用性设计到产品本身,而不是一个GUI放在命令行设备上。考虑工作流和编程接口,允许可伸缩、可靠的管理系统,这是我们如何使我们的产品不仅是最有效的,而且是最容易使用的行业。这就是我们的抱负。
你觉得有哪一两件事是大多数人都不知道但应该知道的?
思科的VPN客户端是世界上部署最广泛的企业软件。这是我们构建下一代安全解决方案的基础。全球有超过1.5亿Cisco VPN客户部署在企业中。这是思科将会使用的一个非常强大的资产。
作为我们全球关联和先进的反恶意软件能力的一部分,思科正在建立一个数据库,以跟踪每个公开路由IP地址的行为。即使只是说,“嘿,我们以前从没见过你”。即使从安全的角度来看,这也是有用的信息,因为它表明我们需要进一步检查这些流量。我们需要申请额外的检查,以便之后该IP将有一个声誉,是积极的或消极的。[我们对大量]流量进行抽样。不仅仅是协议(电子邮件、网络、IPS等),还有容量。我们估计全球超过35%的电子邮件流量正在接受思科的检查。我们每天处理超过50亿个网址。所以我们有大量的流量样本来帮助我们区分好的流量和坏的流量。
您能简要介绍一下您对思科安全业务和解决方案的愿景吗?为什么企业要对思科在安全领域的所作所为感到兴奋呢?
未来五年将由两个主要因素推动。首先是流动性的趋势。我们有更多的用户访问更多的内容,从更多类型的设备,从更多的地方在网络比以往任何时候。与此同时,云计算的趋势也很重要。所以不仅仅是用户在移动,数据也在移动。你拥有的用户和数据可能并不在传统的公司范围之内。我们正在考虑如何提供更复杂的安全政策工具,让我们的客户处理这个高度移动,无国界的网络。
思科的新口号“安全无边界网络”是一项新的营销活动,还是不止于此?
不仅如此。这是我们开发产品的一种新方法。如果您回顾一下过去20年里安全的开发和部署方式,就会发现有两点是安全的,即端点(传统的AV套件)和DMZ。大多数网络的设计初衷是将流量回程到少数几个出口点(3或4),在这些出口点上,您可以通过代理、FW、IPS、电子邮件网关等形式注入安全机制。在那里你可以控制与互联网的联系。这个模型的问题在于,在这个高度分布式的世界中,很难画出边界。我们面临的挑战是基于身份、他们使用的应用程序以及最重要的是他们在该应用程序中访问的内容来构建更智能的策略。我们希望能够在全球的3,510,1000个地点,而不是世界上的3或4个地方,执行这一政策。这就是a无边界网络安全架构.
在被思科收购之前,你帮助创建的IronPort公司,创造了声誉技术的理念。最近,思科将SensorBase IP声誉技术添加到其所有安全产品中,为什么?SensorBase的长期计划是什么?
区分好的流量和坏的流量是任何安全公司的基本能力之一。声誉是让我们做到这一点的有力工具。我们认为仅仅分析单个设备或协议的流量模式是不够的。例如,如果你只关注电子邮件流量,你就错过了一半的战斗。电子邮件和网络就像邦尼和克莱德,他们一起工作,当涉及到网络犯罪。
在云端的中央数据库中分析电子邮件、网络、入侵防御和僵尸网络流量的能力是一项非常强大的技术,我们称之为全球威胁关联。如果我们看到一个电子邮件系统受到攻击,比如在莫斯科的某个地方,30秒后我们看到一个恶意网站在德卢斯,2分钟后我们看到一个sql注入在芝加哥的公司网络服务器。某些类型的SQL注入攻击有很高的误报率,但鉴于我们知道连接来自一个有恶意历史的客户端,我们可以放心地删除SQL连接。我们分析或使用这种方法越多,我们的产品就变得越高效。例如,在我们的IPS系统中,它的效能提高了300%,这是一个非常显著的提高。我们的目的是将我们的SensorBase技术集成到我们的FW、Anyconnect和所有思科安全产品中,然后将其数据与云共享。
思科对思科ASA平台有什么计划?
ASA平台是一个广泛部署的安全平台。思科继续大力投资,并为其添加新的功能。我们正在整合先进的反恶意软件功能和新形式的安全策略定义,使我们的客户更容易处理这个无国界的企业。
你怎么看最近收购ScanSafe与其他解决方案融为一体,还是继续保持独立?思科会提供更多SaaS服务吗?
我们的理念是,客户不应该在本地解决方案和SaaS解决方案之间做出选择。正确的答案通常需要双方无缝合作。在电子邮件中,我们引入了一个混合托管架构,根据客户的需求,一些功能可以部署在云上,一些功能可以部署在云上,或者所有功能都可以部署在云上,或者所有功能都可以部署在云上。从管理员的角度看,您无法区分两者的区别,它看起来像是一个无缝的系统。因此,我可能在云中有垃圾邮件和反病毒扫描,但更敏感的目录集成和电子邮件加密,我想在本地完成。你可以明天改变主意,将这些功能转移到云或本地,而用户无法分辨它们的区别。对于管理员来说也是无缝的。
云计算目前正被大肆宣传,但许多公司出于安全和合规方面的考虑,仍采取观望态度。思科在解决云计算安全问题上的愿景是什么?
我们的目标是为客户提供选择。有时云交付的安全性是有意义的,有时内部安全是有意义的。我们的许多客户都要求我们在他们将数据中心转移到云计算时提供安全保障。为了实现这一目标,思科一直在研究一系列技术。思科在1000v虚拟交换机上投入了大量资金来实现虚拟化。我们将其视为将传统网络服务(包括安全)交付到虚拟世界的强大平台。思科也一直在研究允许物理安全设备(如防火墙)在虚拟基础设施中提供安全的技术。您将看到我们正在开发的包级技术的公告,该技术允许客户将数据从传统数据中心流畅地转移到公共云或社区云,并仍然保持他们所需的安全性。
每个保安公司都需要至少有一张王牌。例如,Checkpoint具有管理功能,Juniper具有120G FW的性能。思科在安全方面的王牌是什么?
我们做得非常非常好的一件事就是识别恶意流量。多年来,思科仅通过观察发送服务器的行为就能够拦截90%以上的垃圾邮件。通过使用全球威胁相关性和IP声誉,我们已经能够在签名可用前平均提前14小时阻止病毒。我们已经将IPS系统的效能提高了两倍。我们已经这样做了七年了。我们有数据、工具、流程,最重要的是,我们的人员让我们的反恶意软件和恶意流量检测成为世界上最好的。
你认为在接下来的几年里会发生什么重大的变化,会影响我们对安全的看法?
有三个主要的驱动因素会让我们重新思考看待安全的方式。我们已经讨论过的两个主要驱动因素是移动性和云计算。第三个驱动因素是视频和高级协作工具的使用增加。其中一个例子就是思科的网真。今天,思科60%的内部网络流量是由视频流量组成的。
当我们开始将这些高清视频协作工具与其他公司相互连接,并允许它穿越传统网络边界时,我们将重新思考如何构建我们的网络。它将推动我们进入这种无边界的网络架构,在那里我们有视频在不同的点进出公司,因此我们需要在不同的点注入安全。这就是为什么我们将安全性集成到网络结构中是至关重要的。