這個世界上最出色的職業(yè)經理人之一，前思科 CEO 錢伯斯在去年的 Cisco Live 上，也是他 CEO 任上最后一次演講中說了一個讓人警醒的論斷：當下超過 1/3 的企業(yè)在未來十年將難以存活，能夠幸存的將是那些使其業(yè)務數(shù)字化、科技化的企業(yè)，然而數(shù)字化轉型并不能保證企業(yè)高枕無憂，因為期間還有很多企業(yè)將在嘗試轉型中失敗。

從今年開始，轉型中的思科把原來的工程技術部門分拆為四大獨立單元：安全、物聯(lián)網與應用、云服務與平臺以及網絡。可以這么看，網絡基礎設施是思科崛起的基石，云服務是兵家必爭之地，物聯(lián)網是大勢所趨，安全這一塊的地位，反倒是看起來不那么顯要，事實真的這樣嗎？

上次在《我們所處的網絡環(huán)境是否足夠的安全？》文章中提到了“全數(shù)字化”這個概念，而網絡安全的在數(shù)字化轉型中的意義不僅僅是一種盾牌型的防御，也不僅僅是“必要的經營成本”，更是一種“促進更大創(chuàng)新的競爭戰(zhàn)略”。

好了，網絡安全的意義不僅僅是保障數(shù)字化企業(yè)正常運轉的盾，更是是驅動企業(yè)創(chuàng)新的，進取型的矛的概念已經普及完畢。那么，接著再來破除第二個直覺：網絡安全就是亡羊補牢，把損失降到最小。

網絡安全的現(xiàn)狀是什么？

2016 年思科年度安全調研報告（Annual Security Report）評估了當前的威脅情報和網絡安全趨勢，一個基本現(xiàn)狀是當今攻擊者的攻擊行動更加復雜、大膽和更具彈性，全球僅有 45% 的企業(yè)對其安全狀況充滿信心。

也許你已經看到了這樣的新聞：Facebook 創(chuàng)始人及 CEO 扎克伯格的 Twitter 密碼破解，被證實是“dadada”，Google CEO Pichai 的 Quora 密碼也被破解，這兩位在科技界叱咤風云的人物都遭遇了網絡安全問題，而且破解密碼的是同一個黑客組織 OurMine。

事實證明，網絡安全面前，不管是知名互聯(lián)網公司高管，還是普通用戶，都不存在一個絕對安全的領域，企業(yè)也同樣如此。所以，我們就看到了 Facebook 創(chuàng)始人及 CEO 扎克伯格把自己電腦的攝像頭和麥克風處都貼上了膠帶，用物理方式防范黑客。

除了這種片段式的網絡安全剪影，我們需要知道，目前的概況是怎樣的。

2016 年思科年度安全調研報告的主要研究結果是：

信心下降，透明度增加：在接受調查的企業(yè)中，只有不到一半有信心確定網絡攻擊范圍和修復損失。但是，絕大多數(shù)財務和業(yè)務部門高管一致認為，監(jiān)管部門和投資者希望公司就未來的網絡安全風險提供更大的透明度。這表明安全問題日益受到董事會的關注。

基礎架構日趨老化：在 2014 年至 2015 年，表示其安全基礎架構處于最新狀態(tài)的企業(yè)數(shù)量下降了 10%。調查發(fā)現(xiàn)，92%的互聯(lián)網設備存在已知的漏洞。在進行分析的所有設備中，有三分之一不再享有廠商的支持或維護服務。

中小企業(yè)成為潛在的薄弱環(huán)節(jié)：隨著越來越多的大型企業(yè)密切關注其供應鏈和中小企業(yè)合作伙伴關系，他們發(fā)現(xiàn)這些企業(yè)采用較少的威脅防御工具和相對簡單的流程。例如，從 2014 年到 2015 年，使用網絡安全程序的中小企業(yè)數(shù)量下降了10% 以上。這種結構性缺陷將會給大型企業(yè)帶來潛在風險。

外包持續(xù)增加：作為解決人才短缺的一種趨勢，各型企業(yè)都逐漸意識到外包服務的價值，以平衡其安全產品組合。這些服務包括咨詢、安全審計和事故響應等。中小企業(yè)通常缺乏保持有效安全狀況的資源，他們正在通過外包來在一定程度上改善其安全手段，其外包比例在 2015 年高達 23%，相比上一年的 14% 增長顯著。

服務器活動不斷變化：網絡犯罪分子已將攻擊目標轉移到不安全的服務器，例如用于 WordPress 的服務器，以支持其攻擊活動，并利用社交媒體平臺達到不可告人的目的。從 2015 年 2 月到 10 月，被犯罪分子使用的 WordPress 域的數(shù)量增長了 221%。

基于瀏覽器的數(shù)據(jù)泄漏：雖然惡意瀏覽器擴展通常被安全團隊認為是低級別的威脅，但它們一直是潛在的重大數(shù)據(jù)泄漏來源，影響著超過 85% 的企業(yè)。廣告軟件、惡意廣告甚至是普通網站或訃告欄都會給那些不經常更新軟件的用戶造成損失。

DNS 盲點：近 92% 的“已知不良”惡意軟件被發(fā)現(xiàn)使用 DNS 作為主要手段。這通常是一個安全“盲點”，因為安全團隊和 DNS 專家通常在公司內不同的 IT 部門工作，彼此間的交流不夠緊密。

檢測時間需要更短：行業(yè)預計檢測網絡犯罪的時間為 100 至 200 天，這令人無法接受。自 2015 年思科年中安全報告發(fā)布以來，思科進一步將此數(shù)字從 46 小時縮短到了 17.5 小時。縮短檢測時間已經證明能夠最大限度地減少網絡攻擊損失，降低風險及對全球客戶與基礎設施的影響。

信任至關重要：隨著企業(yè)日益采用數(shù)字化戰(zhàn)略來支持其運營，數(shù)據(jù)、設備、傳感器和服務的總量帶來了對透明度、誠信和客戶責任的新需求。

　　為什么說網絡安全不是亡羊補牢

“安全現(xiàn)在變得越來越戰(zhàn)略性而不是戰(zhàn)術性”，思科全球副總裁、思科大中華區(qū) CTO 曹圖強認為，早期服務于企業(yè)客戶時，需要向客戶證明我的產品是安全的，而今則要向客戶證明你的業(yè)務運行環(huán)境是安全的，而這種安全絕不是一個產品和一個解決方案能夠實現(xiàn)的。

越是渴望變革的企業(yè)，在數(shù)字化轉型的過程中越是跑得快。思科將這種企業(yè)比喻成超級跑車。車開在路上，威脅無處不在，可能來自于外部，也可能來自于車子內部。越是好的跑車越離不開可靠的安全防護系統(tǒng)，比如安全帶、安全氣囊、限速雷達、防抱死系統(tǒng)、電子制動分配裝置、車輛穩(wěn)定控制系統(tǒng)等等。

安全之于數(shù)字化轉型的企業(yè)就像超級跑車里的安全防護系統(tǒng)，跑得越快，越不能忽視安全。在數(shù)字化轉型的賽道上疾馳不僅要有超強馬力， 還必須有完善的安全預警和防護策略，才能確保順利、安全、快速的抵達終點。

在思科內部有一個 Talos 團隊，包括 ClamAV 團隊和一些標準的安全工具書的作者中最知名的安全專家，都是 Talos 的成員。這個團隊同時得到了 Snort、ClamAV、senderbase.org 和 spamcop.net 社區(qū)的龐大資源支持，使得它成為網絡安全行業(yè)最大的安全研究團隊。他們分析評估黑客活動、入侵企圖、惡意軟件以及漏洞的最新趨勢。

因而，現(xiàn)階段的網絡安全，其實更應該包括防患于未然，而不僅僅是豎一堵墻壁防御進攻，墻壁破了之后集中力量困住敵人，消滅敵人，收拾殘局。

這種配套的布局，就類似上面所說的，跑車的安全放出系統(tǒng)不僅僅需要安全帶，安全氣囊，還需要限速雷達、防抱死系統(tǒng)、電子制動分配裝置、車輛穩(wěn)定控制系統(tǒng)等等。安全帶，安全氣囊是保護撞車后的人身安全，而限速雷達、防抱死系統(tǒng)、電子制動分配裝置、車輛穩(wěn)定控制系統(tǒng)這些則是防止撞車發(fā)生的關鍵。

什么是 BDA 戰(zhàn)略

我們已經明白了網絡安全不僅僅是保護企業(yè)的的盾，更是助力企業(yè)創(chuàng)新的矛，我們也知道了網絡安全要防患于未然，以“威脅為中心”，那么就應該知道思科為擴展網絡和整個攻擊過程（包括攻擊前、攻擊中和攻擊后，即 Before-During-After）開發(fā)和實施防護措施，即 BDA 戰(zhàn)略。

攻擊前： 當今攻擊者，對防御者所努力保護的基礎設施有著更多的了解。要在攻擊發(fā)生之前有效防御，企業(yè)需要對其環(huán)境擁有全面可見性，這包括但不限于物理和虛擬主機、操作系統(tǒng)、應用、服務、協(xié)議、用戶、內容和網絡行為，實現(xiàn)超越攻擊者的信息優(yōu)勢。防御者需要切實部署安全解決方案，以根據(jù)目標價值、攻擊的合法性和歷史記錄，更好地了解基礎設施存在的風險。

攻擊中： 傳統(tǒng)安全技術只能根據(jù)攻擊自身的單一數(shù)據(jù)點，檢測某個時間點的攻擊，無法應對高級攻擊。思科提供具有安全性的基礎設施和具備上下文信息掌握能力的可行方法——將歷史模式和全球攻擊情報集合并關聯(lián)至整個擴展網絡的數(shù)據(jù)，進而提供上下文信息，并判斷是主動攻擊、滲透和勘測，或者只是背景噪音，利用實時洞察將智能自動化與正確的人員和流程結合起來。

攻擊后： 追溯安全性是大數(shù)據(jù)挑戰(zhàn)，也是極少公司才能提供的持續(xù)性能力。利用持續(xù)收集和分析數(shù)據(jù)來創(chuàng)建安全情報的基礎設施，企業(yè)能通過自動化識別IoC，檢測到足夠先進甚至能改變其行為來躲避檢測的惡意軟件，以及評估全包捕獲方法，以便成功地進行補救。

為了更好地支持 BDA 戰(zhàn)略的全面實現(xiàn)，思科構建了獨具競爭力的威脅防御集成架構，擁有如下特性：

無處不在：安全性覆蓋擴展網絡中的各種攻擊途徑，能夠有效抵御來自任何地方的威脅。

集成：與那些會導致安全性孤島的不同單點產品相反，高級安全性覆蓋整個龐大的應用及服務生態(tài)系統(tǒng)，可在整個攻擊階段共享可視性、情報、防御和響應。

持續(xù)：持續(xù)的分析和響應，而不只是針對某個時間點。能在未知惡意軟件首次進入環(huán)境后的數(shù)小時、數(shù)天或數(shù)周內進行檢測、界定、遏制和修復。始終在觀察，永不停止，并且能夠即時“讓時光倒流”，獨具追溯性地工作。