如何应对2022年及以后的网络安全挑战?企业应如何应对2022年及以后的网络安全挑战、不断上升的威胁级别、不断变化的威胁策略以及日益复杂的IT网络?安全领导者应该做什么?您如何管理风险以最大限度地提高组织的网络安全态势?在本文中,我与PaloAltoNetworks高级副总裁兼总经理AnandOswal讨论了这些问题以及更多问题。对话涵盖以下主题:2022年及以后的网络安全威胁态势。管理网络安全挑战。统一安全平台的重要性。零信任安全。混合工作环境中对云原生安全性的需求。用于管理安全性的机器学习和自动化。网络安全威胁不断演变的性质。给安全专家的建议。为商业领袖和董事会成员提供的安全建议。网络安全公司PaloAltoNetworks的高级副总裁兼总经理AnandOswal负责领导该公司的“防火墙即平台”(FirewallasaPlatform)工作。在此之前,他曾担任思科基于意图的网络(IBN)团队的高级工程副总裁,负责构建从交换、无线和路由到物联网和云服务的整个平台套件,这些平台构成了思科广泛的企业网络产品组合。他拥有60多项美国专利,并拥有印度浦那工程学院的电信学士学位和洛杉矶南加州大学的计算机网络硕士学位。采访摘录2022年及以后的网络安全威胁态势MichaelKrigsman:欢迎来自PaloAltoNetworks的AnandOswal。您能否概述一下当今的网络威胁形势?AnandOswal:我认为我们看到了网络安全的三大趋势。第一个大家都很熟悉,即混合办公模式。大流行病迫使我们在家工作,现在,虽然我们开始返回办公室,但我们还没有恢复到每周工作五天的常规模式。这种混合办公模式必然会对安全产生一定的影响。我们看到的第二大趋势是将应用程序迁移到云端。疫情加速了企业的数字化转型,这一趋势甚至将持续到“后疫情”时代,并有望持续很长时间。第三,也是最重要的一点,攻击变得越来越复杂且难以检测。攻击者正在使用我们也在开发中使用的工具。他们不仅在使用红队工具,而且还在利用人工智能和机器学习的力量。结果,这些攻击只会变得更加复杂和隐蔽。这三种趋势对企业安全格局具有重大影响。随着用户无处不在,威胁形势正在加剧。MichaelKrigsman:攻击者变得越来越老练和聪明,因此,阻止攻击变得更具挑战性。AnandOswal:随着应用程序迁移到云端,许多企业在我们访问公共云中的应用程序时重新创建软件安全堆栈。如您所知,随着远程工作人员的普及,IT部门争先恐后地提高工作人员的工作效率,并且在许多情况下,他们为远程工作人员重新创建了SaaS堆栈以访问云应用程序。今天,随着员工开始返回办公室,IT部门有机会查看他们拥有的所有基础架构,并且在许多情况下,他们会发现存在三种不同的堆栈。这些不同的堆栈以不同的方式管理,具有不同的策略,并提供不同的安全结果。现在,企业正在研究如何确保在家和办公室工作的员工始终如一的安全?如何获得最佳的员工体验?IT如何才能拥有独特的管理体验?管理网络安全挑战在处理复杂的安全情况时存在哪些类型的挑战?AnandOswal:与我交谈的大多数客户都使用过多家安全供应商。当他们审视自己的基础设施时,他们想做一些事情。首先,您如何使日常工作自动化?当您添加新的SaaS应用程序和新用户时,您如何使您应用的策略自动化?其次,如何确保支持平台的所有功能都得到最佳利用?您的基础架构是否具有正确的安全态势?第三,如何确保整个企业的用户、应用程序和网络设备的零信任?统一安全平台的重要性MichaelKrigsman:既然平台概念如此重要,您能解释一下平台到底意味着什么,尤其是在安全方面?AnandOswal:如果我把它分解得更详细,可以把它想象成你有一个物理硬件防火墙,你有一个可以部署在虚拟机中的软件防火墙,或者你有像SaaS中的云提供的安全性。您希望拥有的所有安全结构、高级恶意软件防御、用于命令和控制的安全服务、漏洞利用、DNS防御等,始终适用于Web应用程序、非Web应用程序、办公室用户、家庭用户,甚至用户无论您是在旅途中访问公共云还是私有云中的应用程序,都没有关系。MichaelKrigsman:可以说,所有的部分都是为了作为一个更广泛的单元一起工作而设计的。AnandOswal:您现在拥有一致的安全策略。当netsec管理员为用户定义策略时,您定义策略。它基本上是在网络安全的不同形式因素上实例化的:硬件形式因素、软件形式因素或云交付的形式因素(取决于您在哪种情况下使用的形式因素)。零信任安全MichaelKrigsman:我们曾经采访过卡内基梅隆大学软件工程研究所的CERT负责人,他明确提出了零信任的总体概念,因为他们认为这很重要。阿南德·奥斯瓦尔:当然。我们也从政府身上看到了这一点。他们要求我们实施零信任基础设施。但在许多情况下,人们对它的含义以及如何驾驭旅程存在很多困惑。我们需要在整个企业中实现零信任:用户、应用程序、基础设施。我们需要零信任,零例外。这并不容易!MichaelKrigsman:为此,安全专业人员需要在多大程度上采用新的思维方式,即零信任思维方式?这有多重要?AnandOswal:我认为这非常重要,因为他们生活在这个无处不在的用户和无处不在的应用程序的新世界中,他们真的很想确保他们拥有一致的安全性。MichaelKrigsman:当然,这种方法与我们过去的安全管理方式大不相同。AnandOswal:是的,这是非常不同的,安全格局本身也在发生变化。这是唯一一个拥有活跃对手的行业,这有点像猫捉老鼠的游戏,你必须努力跟上这个行业的步伐。就恶意软件而言,我们看到的95%的恶意软件都是现有恶意软件的变体。我不需要去云端处理所有事情,回来做决定,甚至更新我的签名。我现在能够利用平台本身的机器学习功能实时完成此操作。现在我只要通过静态分析做分析就可以保护95%的流量。对于需要更多动态分析的小子集,即全新的恶意软件,我可以使用云辅助,但仍然在单通道架构中实时执行。这里要注意的两个关键原则是我们需要“实时”做事,在线做事,因为第一个人不能被攻击、被黑。这就是业内所说的“零号病人”。我们还希望防止我们以前从未见过的攻击。我们希望防止第一个人被各种东西感染,包括网络钓鱼、恶意软件等。MichaelKrigsman:正如您之前所描述的,所有这些都源于越来越复杂的攻击者,他们利用人工智能、机器学习和类似的技术。AnandOswal:是的,直到最近,几乎45%的网络钓鱼攻击都未被发现。您必须更新新机制,这是我们在PaloAltoNetworks率先推出的高级URL过滤、高级威胁防护,以确保我们能够预防和保护我们的客户免受前所未有的攻击。混合办公环境对云原生安全的需求MichaelKrigsman:混合办公环境产生大量端点,我们在安全方面需要做些什么?AnandOswal:您需要一种平台方法,您需要同类最佳的单一产品,但您还需要将它们完全集成以便共享数据智能。我再解释一下,我的意思是,你在办公室有一个物理硬件防火墙,当你访问云中的一些应用程序时,你有一个软件防火墙作为前端;当您在家时,通过SASE基础架构访问公共或私有云中的应用程序。现在,无论是威胁防御、文件沙盒、URL过滤、DNS攻击防护、数据和SaaS安全,无论您身在何处,都希望获得一致的安全体验。最后,您还希望netsec管理员获得独特且一致的体验,因此您需要一种平台方法,无论您身在何处、访问什么以及您的应用程序驻留体验或数据驻留,基本上都能为您提供一致的安全性。用于管理安全的机器学习和自动化MichaelKrigsman:用户如何知道采取哪些正确的策略来确保他们得到充分保护?AnandOswal:这就是人工智能和机器学习的用武之地。我的意思是用于网络安全的人工智能操作。您不能再继续手动更新策略。因为如您所知,SaaS应用程序正在爆炸式增长,用户正在爆炸式增长,而您根本无法手动完成。这就是人工智能和机器学习发挥作用的地方,我们可以做的是自动创建策略。在某些情况下,我们会自动创建可供netsec管理员查看和应用的策略。第二件事是,您还想确保正在进行最佳实践评估。以帕洛阿尔托为例,我们有一个包含280项的最佳实践清单来应用下一代防火墙。您想做的最后一件事是假设场景。我的意思是帮助我们的客户了解如果他们启用了一些新的安全功能会发生什么。例如,如果他们启用解密会怎样?如果他们启用恶意软件会怎样?很多时候,特性或功能被启用是因为管理员不确定如果他们这样做会发生什么。MichaelKrigsman:你提出了一个有趣的观点。你说你不希望用户进行手动更改,手动设置。为什么是这样?AnandOswal:很多数据都可以支持这个观点。超过90%的导致某种安全漏洞的策略配置错误是由手动配置引起的。虽然这可能不是故意的,但它确实发生了。MichaelKrigsman:您如何看待一直手动执行此操作、确信自己不会出错并拒绝机器的安全人员?AnandOswal:诚然,这以前奏效过。因为需要执行的政策数量少,申请数量少;用户都在办公室;应用程序都在数据中心。然而,今天,您可能或多或少在云中拥有一些应用程序。可以说,我们现在生活在一个完全不同的世界里。威胁形势正在扩大;用户无处不在;应用驻留在多云环境中;员工不仅拥有IT认可的设备,而且拥有自己的设备,并且可以从任何地方访问应用程序。这是一个非常复杂的情况,每天都会添加新的应用程序。使用自动化策略可以有效减少错误,并让安全架构师腾出时间专注于其他更有价值的任务。MichaelKrigsman:该平台基于机器学习和自动化,因此目标是减少配置错误,同时加快部署速度,是吗?AnandOswal:是的,绝对如此,而且能够预测事物,即使是与安全无关的事物也很重要。例如,防火墙使用了多少带宽。然后,根据您在企业中看到的使用模式,预测未来六、九个月内您的防火墙会发生什么。员工无需每天手动查看可用内存,我会自动收到“内存达到80%或更多阈值”的通知,然后可以更好地规划。MichaelKrigsman:我认为平台方法意味着您可以获得整个环境的无缝视图,因为各个部分紧密集成、紧密耦合。AnandOswal:确实,考虑到应用程序可能部署在本地数据中心和云中,以及混合办公模式的持续存在,您需要在整个企业中拥有这种可见性。网络安全威胁不断演变的性质MichaelKrigsman:您如何看待安全威胁的性质及其发展方向?AnandOswal:正如我所说,不仅安全团队越来越多地使用人工智能和机器学习的力量,攻击者也在使用像CobaltStrike这样的红队工具。当攻击者在网络中横向移动时会发生什么,在ColonialPipeline攻击中得到了解答。此外,在Log4j事件中也出现了一些漏洞横向传播的案例。我认为我们不能再假设攻击者总是来自外部。的确,它主要是外部的,但也有很多横向移动的威胁。你需要构建你的平台,你的基础设施,以确保你可以持续验证网络活动并真正确保你在各个方面都是安全的。给安全专家的建议MichaelKrigsman:我们需要讨论组织应该做什么。让我们从安全专家开始。您对安全专业人员有什么建议?AnandOswal:对于安全专业人士来说,我认为有几件事非常重要。首先,您是否从零信任的角度考虑您的基础架构?您是否拥有一个统一的策略基础架构,无论用户和设备位于何处,您的工作负载都可以应用?您如何确保与行业保持同步您是否确保拥有针对恶意软件、网络钓鱼、命令和控制连接的高级保护?您的基础设施是否有太多零散的供应商?您是否拥有一流的集成方法?您是否与您拥有的不同单点产品共享情报?这些是安全专业人员在决定如何设计和构建其安全基础设施时需要考虑的重要事项。给商业领袖和董事会成员的安全建议MichaelKrigsman:接下来,您对商业领袖和董事会有什么建议?AnandOswal:我要对他们说的最重要的事情是,审查他们有路线图的安全供应商。他们是否有最具创新性的路线图来抵御未来的攻击?您的基础架构中的组件集成度如何?你在分享情报吗?您是否正在为您的企业构建更安全的产品?拥有大量零散的安全供应商实际上会导致糟糕的安全结果,而不是更好的安全结果。您如何确保您使用的是集成的和行业最佳的单个组件,以便您可以在整个企业中共享智能和一致的安全性?总而言之,这些帮助他们降低了运营成本、配置成本和基础设施管理成本。MichaelKrigsman:环境的简单性实际上在这里非常重要。AnandOswal:是的,简单非常重要。当然,整合也很重要。只有集成的一流单一组件才更易于管理,从而降低运营复杂性和运营成本。MichaelKrigsman:我认为对于很多商业人士来说,真正的噩梦是当他们认为他们的安全态势强大、严密且到位时,然后在攻击和数据泄露发生后,他们发现这不是他们想要的觉得很好。那么,企业领导者如何确保这种情况永远不会发生?AnandOswal:我认为有两点非常重要。一是大多数受到攻击的企业通常拥有产品中的所有安全功能,但没有正确启用这些服务。最重要的是确定它不是'购买它',一定要激活它!或者也许你确实使用它,但你是否以适当的方式使用它?例如,你们有什么政策吗?MichaelKrigsman:本质上,该平台正在检查环境以帮助确保没有遗漏任何东西。AnandOswal:该平台会告诉您哪些服务已启用,哪些未启用。对于您启用的服务,您是否适当地激活和使用它们,这意味着它们将帮助您充分利用所有可用的功能,如果您还没有,它会逐步向您展示如何使用。MichaelKrigsman:最后,你有什么想法要补充吗?阿南德·奥斯瓦尔:让我总结一下。随着用户、应用程序和数据无处不在,威胁形势正在加剧。您需要在整个企业中保持一致的安全性;您需要拥有一流的集成点产品,以确保任何用户访问任何应用程序、数据始终安全;您还需要确保他们拥有最好的用户体验,并且IT或netsec拥有最好的管理员体验。
