企業應如何應對2022年及以后的網絡安全挑戰，不斷上升的威脅級別、不斷變化的威脅策略以及日益復雜的IT網絡?安全領導者又該如何管理風險以最大限度地提高企業的網絡安全態勢?在本文中，記者與Palo Alto Networks公司高級副總裁兼總經理Anand Oswal討論了這些問題以及其他更多的內容。

談話包括以下主題：

• 2022年及以后的網絡安全威脅環境。
• 管理網絡安全挑戰。
• 統一安全平臺的重要性。
• 零信任安全。
• 混合工作環境中對云原生安全性的需求。
• 用于管理安全的機器學習和自動化。
• 網絡安全威脅不斷演變的性質。
• 對安全專業人士的建議。
• 對業務領導者和董事會成員的安全建議。

Anand Oswal，現任網絡安全公司Palo Alto Networks的高級副總裁兼總經理，負責領導公司的“防火墻即平臺”(Firewall as a Platform)工作。

在此之前，他曾擔任思科“基于意圖的網絡”(Intent-Based Networking，IBN)團隊的工程高級副總裁，負責構建從交換、無線和路由到物聯網和云服務的整套平臺，這些平臺構成了思科廣泛的企業網絡產品組合。

他擁有60多項美國專利，并獲得了印度浦那工程學院的電信學士學位，以及洛杉磯南加州大學的計算機網絡碩士學位。

采訪摘錄

2022年及以后的網絡安全威脅環境

Michael Krigsman：歡迎來自Palo Alto Networks的Anand Oswal。你能給我們概述一下如今的網絡威脅形勢嗎?

Anand Oswal：我認為在網絡安全方面我們看到了三大趨勢。

第一個大家都很熟悉，即混合辦公模式將繼續存在。疫情大流行迫使我們居家辦公，現在，雖然我們開始重返辦公室，但尚未恢復常規的一周五天坐班模式。這種混合辦公模式必然會對安全性產生一定影響。

我們看到的第二個大趨勢是應用程序遷移至云端。疫情大流行加速了企業的數字化轉型進程，即便進入“后疫情”時代，這種趨勢仍將繼續，并且預計會持續很長時間。

第三，也是最重要的一點，攻擊正變得越來越復雜且難以檢測。攻擊者正在使用我們在開發中也會用到的工具。他們不僅正在使用紅隊工具，還在利用人工智能和機器學習的力量。如此一來，這些攻擊只會變得更加復雜、隱蔽。

這三個趨勢對企業安全形勢具有重大影響。隨著用戶無處不在，威脅形勢正在加劇。

Michael Krigsman：攻擊者變得越來越老練和聰明，因此，阻止攻擊也變得更具挑戰性。

Anand Oswal：隨著應用程序遷移至云端，當我們訪問公有云中的應用程序時，許多企業重新創建了軟件安全堆棧。如你所知，隨著遠程勞動力的流行，IT開始爭先恐后地提升勞動者的生產力，并且在許多情況下，他們為遠程勞動力訪問云應用程序重新創建了SaaS堆棧。

如今，隨著員工開始重返辦公室，IT有機會查看他們擁有的所有基礎架構，在許多情況下，他們會發現存在三個不同的堆棧。這些不同的堆棧擁有不同的管理方式、不同的政策，并且會給出不同的安全結果。

現在，企業正在研究如何確保員工居家辦公和坐班都能擁有一致的安全性?如何獲得最佳員工體驗?IT如何擁有獨特的管理體驗?

管理網絡安全挑戰

Michael Krigsman：你發現客戶在試圖處理這種復雜的安全情況時，存在哪些類型的挑戰?

Anand Oswal：與我交談過的大多數客戶都有多個一直在使用的安全供應商。當他們查看其基礎設施時，他們希望做一些事情。

首先，你如何自動化你的日常工作?當你添加新的SaaS應用程序和新用戶時，如何自動執行你正在應用的策略?

其次，你如何確保以最佳方式使用支持平臺的所有功能?你的基礎設施是否具有正確的安全態勢?

第三，你如何確保在整個企業中實現用戶、應用程序和網絡設備的零信任?

統一安全平臺的重要性

Michael Krigsman：既然平臺概念如此重要，你能否解釋一下平臺的實際含義，尤其是涉及到安全性時?

Anand Oswal：如果我把它分解成更多細節，可以把它想象成你有一個物理硬件防火墻，你擁有可以在虛擬機中部署的軟件防火墻，或者你擁有像SaaS中那樣的云交付安全性。

你希望你擁有的所有安全結構，高級惡意軟件防御，針對命令控制、漏洞利用、DNS的防御等安全服務，始終應用于Web應用程序、非Web應用程序、辦公室中的用戶、居家用戶，即使用戶在旅途中，且正在訪問位于公有云、私有云中的應用程序，也沒有關系。

Michael Krigsman：可以這么說，所有的部分都被設計成一個更廣泛的單元一起工作。

Anand Oswal：你現在擁有一致的安全策略。當netsec管理員為用戶定義策略時，你將定義一個策略。它基本上是在網絡安全的不同形式因素上實例化的：硬件形式因素、軟件形式因素或云交付形式因素(取決于你在哪種情況下使用的形式)。

零信任安全

Michael Krigsman：我們曾經采訪過卡內基梅隆大學軟件工程研究所CERT的負責人，他明確提出了零信任的通用概念，因為他們認為這是非常重要的。

Anand Oswal：當然。我們也從政府那里看到了這一點。他們要求我們實施零信任基礎設施。但在許多情況下，人們對它的含義以及如何駕馭這段旅程存在很多困惑。

我們需要擁有整個企業范圍內的零信任：用戶、應用程序、基礎設施。我們需要零例外的零信任。這并非易事!

Michael Krigsman：為此，安全專業人員需要在多大程度上采用一種新的心態，即零信任心態?這有多重要?

Anand Oswal：我認為這非常重要，因為他們生活在這個用戶無處不在、應用程序無處不在的新世界中，他們真的希望確保擁有一致的安全性。

Michael Krigsman：當然，這種方法與我們過去管理安全的方式非常不同。

Anand Oswal：是的，這是非常不同的，而且安全形勢本身也在發生變化。這是唯一一個擁有活躍對手的行業，有點像“貓捉老鼠”的游戲，你必須努力跟上這個行業的發展步伐。

以惡意軟件為例，我們看到的95%的惡意軟件都是現有惡意軟件的變體。

我不需要去云中處理一切，再回來做出決策，甚至更新我的簽名。我現在能夠在平臺本身上實時利用機器學習的強大功能做到這一點。現在我只需通過靜態分析完成分析，就可以保護95%的流量。

對于需要更多動態分析的一小部分，即全新的惡意軟件，我可以使用云輔助功能，但仍然可以在單通道架構中實時執行。

這里要注意的兩個關鍵原則是，我們需要“實時”(real-time)行事、內聯(inline)行事，因為不能讓第一個人受到攻擊、被黑客入侵。這就是業界所說的“零號病人”(patient zero)。我們也想防止從未見過的攻擊。我們希望防止第一個被各種事物(包括網絡釣魚、惡意軟件等)感染的人。

Michael Krigsman：正如你之前所描述的，所有這一切都源于越來越復雜的攻擊者，他們正在利用人工智能、機器學習及類似技術。

Anand Oswal：是的，直到不久前，幾乎45%的網絡釣魚攻擊都未被發現。你必須更新新的機制，我們在Palo Alto Networks率先采用了這種方式，當時我們宣布了高級URL過濾、高級威脅預防，以確保我們能夠防止和保護客戶免受前所未有的攻擊。

混合工作環境中對云原生安全性的需求

Michael Krigsman：混合辦公環境產生了大量端點，考慮到安全問題，我們需要怎么做?

Anand Oswal：你需要一種平臺方法，需要同類最佳的單一產品，但你也需要它們完全集成，以便可以共享數據智能。

我再進一步解釋一下，我的意思是，你在辦公室有一個物理硬件防火墻，而當你正在訪問云中的一些應用程序，你有一個軟件防火墻作為前端;當你在家時，可以通過SASE基礎設施訪問公有云或私有云中的應用程序。

現在，無論是你的威脅預防、文件沙盒、URL過濾、DNS攻擊防護、數據和SaaS安全，且無論你身在何處，你都希望獲得一致的安全體驗。

最后，你還希望為netsec管理員提供獨特且一致的體驗，因此你需要一種平臺方法，無論你身在何處，訪問什么以及應用程序位于何處，基本上都可以為你提供一致的安全體驗或數據駐留。

用于管理安全的機器學習和自動化

Michael Krigsman：用戶如何知道采取哪些正確的策略以確保他們得到充分保護?

Anand Oswal：這就是人工智能和機器學習的用武之地。我的意思是用于網絡安全的人工智能操作。

你不能再繼續手動更新策略。因為如你所知，SaaS應用程序正呈爆炸式增長，用戶也在爆炸式增長，你根本無法手動執行此操作。

這就是人工智能和機器學習發揮作用的地方，我們能做的就是自動創建策略。在某些情況下，我們會自動創建策略，netsec管理員可以查看并應用它。

第二件事是，你還希望確保持續進行最佳實踐評估。以Palo Alto為例，我們有280項最佳實踐檢查清單來應用下一代防火墻。

你要做的最后一件事是假設場景。我的意思是幫助我們的客戶了解如果他們啟用某些新的安全功能會發生什么。例如，如果他們啟用解密會發生什么?如果他們啟用惡意軟件會發生什么?很多時候，特性或功能被啟用是因為管理員不確定如果他們這樣做會發生什么。

Michael Krigsman：你提出了一個有趣的觀點。你說不希望用戶進行手動更改、手動設置。這是為什么?

Anand Oswal：很多數據可以佐證這種觀點。在策略配置中發生的導致某種安全性中斷的錯誤，超過90%都是由手動配置引發的。雖說它可能并非有意的，但卻切切實實地發生了。

Michael Krigsman：對于那些一直在手動執行此操作，自信不會犯錯，且排斥機器的安全人員，你有什么看法?

Anand Oswal：不可否認，這種做法以前是有效的。因為當時需要執行的策略數量、應用程序數量都很少;用戶都在辦公室工作;應用程序也都位于數據中心。然而現在，你可能或多或少地在云中擁有一些應用程序。

可以說，現在的我們生活在一個完全不同的世界。威脅范圍越來越廣;用戶無處不在;應用程序位于多云環境中;員工不僅擁有IT批準的設備，還擁有自己的設備，且可以從任何地方法訪問應用程序。

這是一種非常復雜的情況，而且每天還會有新的應用程序在增加。使用自動化策略可以有效地減少錯誤，然后讓安全架構師能夠投身于其他更具價值的事務中。

Michael Krigsman：該平臺基于機器學習和自動化，因此其目標是減少配置錯誤，同時讓部署速度大大加快，是嗎?

Anand Oswal：是的，絕對是，而且還能夠預測事物，即使是與安全無關的事情。例如，說明某個防火墻使用了多少帶寬。然后，根據在企業中看到的使用模式，預測防火墻在未來六個月、九個月會發生什么。

無需員工每天手動查看可用內存，我就能夠自動獲悉“內存達到了80%的閥值或更多”，然后可以更好地進行規劃。

Michael Krigsman：我認為平臺方法意味著，由于各個部分緊密集成、緊密耦合，因此你可以在整個環境中獲得無縫視圖。

Anand Oswal：確實，考慮到應用程序可能部署在本地數據中心和云端，以及持續存在的混合辦公模式，你需要在整個企業中獲得這種可見性。

網絡安全威脅不斷演變的性質

Michael Krigsman：你對安全威脅的性質及其發展方向有何看法?

Anand Oswal：正如我所說，不僅安全團隊正在使用越來越多的人工智能和機器學習的力量，攻擊者也在使用Cobalt Strike等紅隊工具。

關于攻擊者在網絡中橫向移動時會發生什么情況，已經在Colonial Pipeline攻擊事件中得出了答案。此外，在Log4j事件中也發生了某些漏洞橫向傳播的情況。

我認為我們不能再假設攻擊者總是來自外部。它確實大多來自外部，但也有很多橫向移動的威脅。你需要構建你的平臺、基礎設施，以確保能夠持續驗證網絡活動，并真正確保自己在各個方面都安全。

對安全專業人士的建議

Michael Krigsman：我們需要討論組織應該做什么。讓我們從安全專家開始。你對安全專業人士有什么建議?

Anand Oswal：對于安全專業人士，我認為有幾件事非常重要。首先，你是否從零信任的角度考慮你的基礎設施?你是否擁有一個統一的策略基礎架構，無論用戶和設備位于何處，你的工作負載都可以應用該基礎架構?

你如何確保跟上行業中出現的新威脅?你是否確保能夠獲得針對惡意軟件、網絡釣魚、命令和控制連接的高級防護?

你的基礎架構是否有太多分散的供應商?你是否擁有集成且行業最佳的方法?你是否正在與你擁有的不同單點產品共享情報?

這些都是安全專業人員在決定如何設計和構建安全基礎架構時需要考慮的重要事項。

對業務領導者和董事會成員的安全建議

Michael Krigsman：接下來，對于業務領導者和董事會，你有什么建議?

Anand Oswal：我要對他們說的最重要的事情是，審查他們擁有的安全供應商的路線圖。他們是否擁有最具創新性的路線圖來防止遭受未來的攻擊?你在基礎架構中擁有的各個組件的集成程度如何?你在分享情報嗎?你是否正在為你的企業構建更安全的產品?

擁有大量分散的安全供應商實際上會導致糟糕的安全結果，而非更好的安全結果。你如何確保使用集成且行業最佳的單個組件，以便能夠在整個企業中共享智能和一致的安全性?

總而言之，這些能夠幫助他們降低運營成本、配置成本和基礎設施管理成本。

Michael Krigsman：環境的簡單性實際上在這里非常重要。

Anand Oswal：是的，簡單性非常重要。當然，集成性也非常重要。只有集成且一流的單一組件才更易于管理，從而降低運營復雜度和運營成本。

Michael Krigsman：我認為，對于許多業務人士來說，真正的噩夢是他們認為自己的安全態勢強大、嚴密、到位，然后在攻擊和數據泄露事件發生后，他們才發現事情并沒有自己想象得那般好。那么，業務領導者應該如何確保這種情況永遠不會發生呢?

Anand Oswal：我認為有兩件事情非常重要。一是大多數受到攻擊的企業通常擁有產品中的所有安全功能，但沒有適當地啟用這些服務。最重要的是要確保并非“買到即止”，一定要激活它!

或者你可能確實使用了它，但你是否以適當的方式使用了它?例如，你是否為其制定任何政策?

Michael Krigsman：本質上，該平臺正在檢查環境以幫助確保沒有遺漏任何東西。

Anand Oswal：該平臺將會告訴你哪些服務已啟用，哪些服務尚未啟用。對于你啟用的服務，你是否激活并適當地使用它們，這意味著它們將幫助你充分使用所有可利用的功能，如果你還沒有做到，它會一步步地告訴你如何實現。

Michael Krigsman：最后，你有什么想要補充的想法嗎?

Anand Oswal：我來總結一下吧。隨著用戶、應用程序和數據無處不在，威脅形勢正在加劇。你需要在整個企業中擁有一致的安全性;需要擁有一流且集成的單點產品，以確保訪問任何應用程序、數據的任何用戶始終是安全的;你還需要確保他們擁有最佳的用戶體驗，且IT或netsec擁有最佳的管理員體驗。