思科
縱觀整個企業IT市場的發展,資安防護需求長年處於居高不下的狀態,是許多新創公司崛起的熱門領域,也是既有大型廠商的兵家必爭之地,陸續透過自行開發與併購公司等手段,擴充本身的產品與技術實力,然而,要將這些成果整合、簡化成單一解決方案,卻並不容易,於是,我們經常在同一家廠商看到不同產品線山頭林立的狀況,而在這幾年隨著雲端服務的普及,有些廠商開始試著將旗下百花齊放的資安解決方案,納入單一平臺的品牌或概念識別,例如,趨勢科技的Trend Vision One,Check Point的Infinity、Fortinet的FortiGuard與Security Fabric。
而對於同時擁有網路與資安產品的思科而言,近期積極推動好幾波轉型整併工程,例如,2020年他們推出新的產品線Secure X,希望提供開放、雲端原生平臺連結旗下整合的多種資安解決方案,橫跨使用者與端點、雲端、網路、應用系統,提供更簡單、一致的使用體驗,後續也將上述4個領域的部分資安產品與服務,冠上Secure之名,打造可同時囊括這些資安解決方案的平臺。
但思科資安這條轉型之路並未因此結束,因為接下來他們更積極擁抱雲端服務與AI創新技術,納入更多資安防護產品與服務。
兩年多前,思科再度提出資安平臺新願景
在2022年6月舉行的RSA全球資安大會上,思科預告將發展橫跨全球、透過雲端服務形式供應的整合平臺,能夠防護與連結各種形式與規模的組織,他們稱之為Cisco Security Cloud,透過這套開放平臺,在不會受到特定公有雲服務業者綑綁的狀態下,能夠防護整個IT生態系的完整性。
思科的目標是實現整合的操作體驗、統一的管理機制、最開放的平臺,提供資安威脅的預防、偵測、應變、矯正能力,而且能夠擴充使用規模,使人員與設備能夠安全連接,並且安全地存取位於任何地方的應用程式與資料。
最初宣布這項規畫時,思科提出4大訴求,分別是安全的存取(Secure Access)、安全的邊緣(Secure Edge)、安全的維運(Secure Operations),以及簡化(Simplification)。
在安全的存取方面,他們正在發展持續可信任存取技術(Continuous Trusted Access)、基於風險高低判定的身分驗證技術(Risk-based Authentication),以及連線階段信任分析(Session Trust Analysis),並且展示未來將推出的零信任存取解決方案Cisco Secure Access,初期整合旗下的多因素身分驗證(MFA)與單一登入整合(SSO)系統Duo,以及雲端檔案共享服務Box。
關於安全的邊緣(Secure Edge),思科推出安全存取服務邊緣(SASE)解決方案,名為Cisco+ Secure Connect Now,提供快速部署SASE與便於日常維運的雲端服務代管平臺,用戶可透過統一的儀表板介面進行管理,並且善用訂閱型態的資安服務。
在安全的維運(Secure Operations)層面中,思科提出4種解決方案,包含:(1)可針對不同組織,提供個別訂製網路威脅情報的服務Talos Intel On-Demand;(2)具有自動提報警示至SecureX、且能對應至MITRE ATT&CK框架的Cisco Secure Cloud Analytics;(3)SecureX平臺正式提供Device Insights分析功能,可針對環境當中的設備資料,進行匯聚、交互關連、正規化等處理,並且整合弱點管理系統Kenna,以及端點安全系統Secure Endpoint,提供更完善的弱點優先順序管理;(4)Secure Firewall 3100系列,支援員工混合辦公模式的工作新常態,配備新的加密流量透視引擎,可運用AI與機器學習偵測潛藏的威脅。
而在簡化(Simplification)的作法,思科祭出兩種解決方案。一是推出新的Secure Client,預計2022年中統合旗下一半資安產品與服務的各種代理程式,當中將涵蓋AnyConnect、Secure Endpoint、Umbrella,後續會再加入其他代理程式;另一是透過雲端服務的形式提供網路防火牆管理主控臺Secure Firewall Management Center,透過Cisco Defense Orchestrator的幫忙,整合雲端與內部環境的防火牆管理。
針對開放資安平臺的打造,思科強調Cisco Security Cloud將具備5大特色。首先是雲端原生與多雲,橫跨混合辦公環境,安全連結使用者、裝置、物聯網,以至系統、應用程式、資料,提供最佳效能與天衣無縫的操作體驗,使資安更靠近使用者、資料,以及應用程式。
第二是統一,整合的核心功能將涵蓋政策管理、管理主控臺、儀表板,提供更完善、貫穿所有環節的資安防護效率。
第三是簡化,透過整併多種端點代理程式,減少使用者與IT人員的瑣碎工作,持續聚焦在用戶體驗改良。
第四是基於AI或機器學習驅動各種功能,思科多種產品在保護各種設備與網路時,會獲取大量遙測資料,未來資安整合平臺可運用這些內容提升偵測、修改、自動化處理能力,改善本身的效率。
第五是開放、可延伸更多功能應用,思科會提供用於整合的API,廣泛支援開發者生態系與市場需求。
資安雲逐漸成形,思科持續新增與強化功能
到了2023年2月舉行的Cisco Live! Amsterdam大會,思科揭露Cisco Security Cloud最新進展,當中涵蓋零信任、應用程式安全、安全連線(Secure Connectivity)等3大重點。
零信任方面,Duo在基於風險高低判定的身分驗證技術上,首先,使用者可透過已知裝置(Remembered Devices)、Wi-Fi Fingerprint等功能,憑藉熟悉的應用程式、裝置、網路,即可維持在登入狀態,系統不需收集個人資料或所在地區的資訊;第二,為了強化抵禦網路釣魚攻擊的能力,Duo提供「可驗證的訊息推送(Verified Push)」功能,一旦發現用戶行為可能處於已知的攻擊模式之中,系統會要求輸入一段代碼,而非僅用按鈕的動作確認身分;第三是擴充單一登入整合的功能,能透過通知提醒使用者在密碼過期之前進行重設。
關於應用程式安全,思科在專攻此用途的解決方案Full-Stack Observability(FSO),增設「業務風險狀態呈現(Business Risk Observability)」的功能,可透過整合可觀測性平臺AppDynamics的Cisco Secure Application,提供業務風險評分的機制,當中也結合Kenna Risk Meter風險評分系統、AppDynamics的Business Transactions應用程式監控元件、API安全系統Panoptica,以及Talos網路威脅情報服務。
至於安全連線方面的應用,是指思科正式推出主打單一廠商特色的SASE解決方案Cisco+ Secure Connect,可延伸支援Viptela這套SD-WAN,能涵蓋該公司的SD-WAN交織網路,以及他們旗下的多種雲端安全服務,提供從任何地方存取任何系統與服務的安全管道。
6月初舉行的Cisco Live! 2023大會,思科接續發布Cisco Security Cloud最新突破。在安全存取與安全連線方面,他們的SSE解決方案Cisco Secure Access正式成軍,7月開放部分使用,10月全面上線,特色在於提供通用的應用程式與IT資源存取體驗,單一、基於雲端服務來進行管理的主控臺,並且能夠更快偵測資安威脅與進行應變、調查(背後整合Talos網路威脅情報服務)。
第二項進展是生成式AI的應用,Cisco Security Cloud預先展示這方面的功能,思科將提供Policy Assistant與SOC Assistant。
資安政策助手預計2023年稍晚推出,可用於描述細部資安政策的內容,並協助評估如何跨越資安基礎架構的不同層面進行實作,初期將搭配思科的AI Assistant技術,能夠評估、產生更有效率的網路防火牆政策,也能運用企業與組織在Cisco Secure Firewall Management Center既有的政策,來進行這些設定管理工作,目標是在不犧牲細部控制能力的狀態下,可以實現更高的使用效率。
至於SOC助手,在2023年4月底召開的RSA大會期間,思科首度揭露概念,而對於6月自家用戶大會介紹的特色,預計在會計年度結束提供,其餘功能在2024年上半供應。
這項AI輔助機制如何展現?思科表示,一旦發生資安事故,SOC助手會跨越電子郵件、網頁、端點、網路環境,將已知所有事件的前後脈絡整理出來,然後告訴SOC分析人員確切發生的狀況與影響,接著這些人可在AI助手的陪伴之下,進行互動與推論,並運用可延展內容的潛在處理動作知識庫,以及涵蓋分析人員輸入內容的資訊,去決定最適合的矯正方法。
Cisco Security Cloud的第三項重點,落在混合辦公的網路安全防護。思科推出新款網路防火牆Secure Firewall 4200系列,以及Secure Firewall作業系統軟體Firewall Threat Defense(FTD)的7.4版,提供進階的效能與使用彈性,強化密碼學處理的加速、叢集系統與模組化的支援,預計9月全面供應Secure Firewall 4200系列,12月會針對其餘機型提供7.4版作業系統。
同時,思科也宣布推出多雲安全防護服務Cisco Multicloud Defense,可橫跨四大公有雲環境,透過SaaS服務型態實施單一、即時套用的政策控管。
最後一個資安防護層面是應用程式安全。思科在雲端原生應用程式防護解決方案Panoptica,提供雲端安全態勢管理(CSPM)的新功能,預計2023年秋季提供,可協助持續遵循雲端安全的政策,以及隨著雲端服務使用規模的擴大而能執行對應的狀態監控。
Panoptica也將配備新的攻擊路徑分析引擎,能夠運用圖學資料處理技術,執行進階的攻擊路徑分析,協助資安團隊面對整個雲端基礎架構時,可以快速識別與矯正潛在的威脅。
同時,Panoptica還能整合思科的Full Stack Observability產品線,即時呈現業務風險的優先處理順序,協助資安與開發團隊掌握現況、具有控制能力,以及處理的知識與經驗,進而保護動態的雲端應用程式與基礎架構。
Cisco Security Cloud是個支援多種用途的平臺,思科資安技術長暨傑出工程師Mike Storm接受研究機構Enterprise Strategy Group專訪時表示,此平臺內建的通用服務中心提供常用功能,可支援思科與非思科的產品,本身是具有連結能力的組織、交織網路(fabric)或是服務網狀網路(Service Mesh),能用來強化所連接的元件。
思科在此處定義通用的系統管理控制能力與資料結構,能夠連結不同技術,使彼此能以原生方式一起合作,並透過機器層級的規模擴充和諧地進行防禦。
思科資安雲開始明確提供3大解決方案套餐
在2023年10月底舉行的Cisco Security Summit線上座談會之後,思科將旗下資安產品聚焦在三大應用案例:改善資安效率、強化使用者體驗,以及加速投資回收,並且普遍地結合零信任的原則,能夠提供使用者優先的體驗而不會犧牲安全性,目前已彙整成三種產品套餐,包含使用者防護(User Protection Suite)、雲端防護(Cloud Protection Suite)、外洩防護(Breach Protection Suite)。
User Protection可用於協助使用者安全地從任何地方進行辦公,當大家存取SaaS、企業內部應用程式、通訊工具與其他業務資源時,可以獲得更有生產力的工作體驗,能夠免於受到網路釣魚、惡意軟體、身分盜用,以及勒索軟體等攻擊。
Cloud Protection可用於混合雲與多雲環境,提供地端與雲端之間的互動存取防護,當中將整併多個控制點,提供能夠普遍觀照全局的能見度,並且可以降低風險。
此項資安解決方案套餐本身內含動態框架,可適用於企業內部環境與雲端環境,提供因應資安威脅的情報,並透過減少攻擊面與保護全部的應用程式、工作負載,協助持續改善資安態勢。
Breach Protection能夠運用基於資料、AI驅動的防護機制、整合第三方廠商的資安解決方案,使SOC分析人員快速偵測與因應各種進階威脅,像是勒索軟體、內部威脅、未知惡意軟體,以及資料外洩,提供加速應變的能力,以及簡化的操作體驗,從而處理複雜的資安威脅。
舉例來說,企業能藉此橫跨電子郵件、端點、網路、雲端等多種環境,掌握整體資安能見度,並且進行相關的控制,從而強化威脅偵測與提升資安維運處理的流暢。
關於套餐競爭優勢,思科在今年2月強調,最明顯的好處是透過單一供應商、單一產品編號(PID)或存貨單位(SKU)的形式,而且,套餐的授權計價結構很單純,是以每個使用者來估算,能夠更方便地因應所有重要客戶的聯繫與安全需求,提供完整功能。
而且,相較於需同時面對多家供應商與不同類型的解決方案,思科在此實作的產品與技術整合機制,可大大降低複雜度,有效提升能見度與控制能力,進而強化監控與管理效率,帶來更理想的用戶體驗、增加用戶黏著度,對於採用思科套餐的資安代管服務業者(MSSP)而言,也能提升自身獲利能力與利潤。
除此之外,對比於個別訂購產品,資安代管服務業者若能採用思科供應的單一套餐,思科宣稱成本可節省53%,因為可簡化採購流程、初始設定、整合、管理設定、技術支援,以及產品更新等工作。
事前預防:思科針對不同地點、用各種裝置的使用者,提供防護
首先思科主推的資安雲方案是保護「使用者」相關面向的套餐,當中涵蓋的產品線,主要有Duo、Secure Access、Secure Email Threat Defense、Secure Endpoint,可針對多因素身分認證(MFA)、應用程式與網路存取(SSE)、電子郵件,以及端點裝置使用(桌上型電腦、筆電、工作站、伺服器)等各個環節,協助企業與組織獲得這個防護層面的能見度與安全性保障。
User Protection可選用2種服務層級:Essentials、Advantage,前者囊括的產品有Duo、Secure Access、Secure Email Threat Defense,後者額外提供Secure Endpoint。
以存取防護而言,思科可在員工存取應用程式或網際網路時,提供安全、高度整合而流暢的操作體驗,無論他們使用任何裝置、這些裝置屬於列管或非列管狀態,以及從內部網路、分支辦公室、家庭或其他地方連入,均可適用,這個套餐會協助管理過程中的每一個部分,無論是連至應用程式、進行身分認證獲得許可,並且提供環繞在使用者體驗的洞察分析,也能透過雲端服務的形態,輕鬆提供這些功能的使用。
針對不同安全連線技術的使用,思科User Protection標榜能順利進行處理這些狀況,減少無謂的操作,例如,用於遠端存取時,可使用VPN、ZTNA的架構,而面對多種遠端網路與雲端服務應用程式的存取時,可提供單一登入整合(SSO)。在此同時,思科也結合基於風險評估而成的身分認證AI引擎,能夠辨識各種受到信任的狀況,人員工作時須頻繁進行身分認證的次數,得以有效減少,而當明確的身分認證受到批准,搭配思科的無密碼身分認證,可大幅簡化驗證程序,例如,只需用手指碰觸指紋辨識器或插上YubiKey這類行動身分驗證裝置。
User Protection Suite可涵蓋各種應用程式、裝置、地點的存取安全,能針對混合工作環境的使用者,提供抵抗網路威脅的能力,圖中的Secure Access是這個套餐必備的資安解決方案。
在應用情境的涵蓋上,思科User Protection可協助企業與組織驗證各種類型的裝置,無論是單位列管、開放自帶裝置(BYOD),或是通過內部安全查核而註冊、經由第三方安全查核而註冊,可涵蓋企業、約聘人員、合作廠商等類型使用者,均能以密碼學的防護處理,將使用者與裝置進行綁定,協助推展零信任策略,並且依各自需要的步調進行,提供零摩擦的存取體驗。
對於可能受到攻擊的層面(Attack Surface)的掌握,思科本身具有服務30萬個客戶的Talos Intelligence網路威脅情報平臺,每天處理5千5百億起資安事件與280萬個惡意軟體樣本,而基於這樣龐大的遙測能力,可持續識別風險與改善企業、組織的資安態勢,思科User Protection均可整合到用戶環境當中,減少可被攻擊的弱點、增進保護,並支援不同使用者、應用程式、裝置的應用。
在使用者存取系統、應用程式、網路服務的行為上,思科User Protection可協助改善能見度與控管能力,減少各自獨立、互不相通的資訊孤島存在。企業與組織能透過這樣的共同平臺,解決各個環節出現的問題,限制員工擅自使用各種工具狀況的擴散,降低系統管理的複雜度與日常負擔,同時,也可以簡化購買與管理這些工具的流程,透過當中提供的儀表板介面,促進作業順暢度,並且支援日益精簡的IT與資安人力,而得以在減少維運成本之餘,使整個團隊的運作更有效率、透過更有戰略的方式來推動各種業務進行。
事中偵測與應變:思科簡化資安維運作業與提升事故處理速度
為了因應持續進化的網路攻擊手法,思科推出Breach Protection Suite套餐,提供廣泛理解各種侵襲模式的解決方案,因為當中可透過即時對應MITRE ATT&CK框架的方式,掌握觀察到的敵對行為所屬的戰略、伎倆及程序(TTPs)。
思科表示,Breach Protection可選用3種服務層級:Essentials、Advantage、Premier(2024年之後新增),能分別滿足不同規模組織的需求,提供一系列防護機制,確保能完整涵蓋這個範圍的資安控管。
首先是基礎型解決方案Breach Protection Essentials,裡面結合電子郵件安全防護Secure Email Threat Defense、端點偵測與應變系統(EDR)Secure Endpoint Advantage、延伸偵測與應變系統(XDR)XDR Essentials,提供可立即使用的產品與服務包裝。
思科之所以這樣的搭配,主要是因為絕大多數的網路攻擊,仍舊利用網釣郵件來傳遞濫用端點系統漏洞的惡意軟體,或透過端點應用程式、以寄生攻擊(Living-Off-the Land,LOL)的方式,有些會趁機提升可執行的權限,植入與維持惡意軟體的存在,有些則是經由橫向移動的方式,設法搜刮內部網路的各種數位資產(traverse laterally),對此Breach Protection Essentials的威脅偵測與應變機制,可處理上述的網路攻擊類型,以及Wizard Spider、Sandworm這類駭客團體。
Breach Protection Suite可協助企業進行資安事故的調查、處理優先順序排列,以及善後等工作,透過大數據的彙整與分析,提供統一的防禦、交代前後脈絡的深層分析功能,圖中的Cisco XDR是這個套餐必備的資安解決方案。
若有進階防護需求,思科提供Breach Protection Advantage等級的解決方案,可涵蓋每個企業與組織可能面臨的所有網路攻擊,尤其是針對同時擁有IT、OT、IIoT的複雜環境,或是BlackTech、Volt Typhoon、Jaguar Tooth這類國家級駭客發動的精密攻擊。這個套餐結合網路型資安防護技術,能偵測位於雲端與企業內部環境的基礎架構威脅,能照應當前資安業界已知的所有網路攻擊類型。這個層級的Breach Protection套餐,同樣提供電子郵件安全防護Secure Email Threat Defense,端點偵測與應變系統搭配進階的Secure Endpoint Premier、延伸偵測與應變系統搭配進階的XDR Advantage,再加上Secure Network Analytics(前身為Stealthwatch)、Telemetry Broker,提供可立即使用的產品與服務包裝。
對於想要獲得上述所有防護、本身卻沒有足夠資安人力,或是想要完全將SOC委外的企業與組織而言,思科供應的解決方案是Breach Protection Premier,可協助管理資安維運作業,或是將代管的多種資安服務包裝起來,從中負責保管事故因應的相關資訊,提供滲透測試服務、執行紅隊/藍隊/紫隊組建服務,以及代為處理威脅的偵測與應變工作。
關於Cisco Security Cloud的產品涵蓋名單,思科在2023年10月底正式公開,區分為3大套餐,其中的User Protection與Cloud Protection均提供基礎版(Essentials)與進階版(Advantage),Breach Protection原本也是如此,但後來擴充至3種包裝,額外提供尊爵版(Premier)。
而在套餐組成方式上,Breach Protection Premier搭配更多解決方案,不僅具備Breach Protection Essentials、Breach Protection Advantage這兩個層級的產品陣容,也提供代管延伸偵測與應變服務(MDR)、資安事故應變服務Talos Incident Response,以及資安態勢評估服務Technical Security Assessment。
值得注意的是,Cisco Breach Protection Premier也適用於目前已採用第三方資安產品的企業與組織,可獲取同樣的技術成果。不過,思科也表示,若選用這個套餐,企業與組織能得到很大優惠的財務使用條款與總體持有成本,而不需要處理接合多家第三方廠商解決方案,以及透過多種主控臺進行管理的問題。
因應企業大規模採用混合雲與多雲架構,提供全面資安防護
隨著企業上雲的潮流勢不可擋,如何在單雲、多雲、混合雲等不同環境確保資安,成為整體防護規畫的大難題,此時雖然能支援快速的應用程式開發與部署,但日常營運會面臨許多挑戰,例如,可受到攻擊的層面擴大、系統運作與資安狀態的能見度喪失,以及IT資源的不足。對此,許多資安廠商都呼籲,從開始上雲之際,就要採用涵蓋各種網路威脅的防治,且內建資安防護的單一解決方案,並且搭配使企業與組織得以安全穩定成長的框架。
對於思科而言,他們目前可提供多面向的防護方法,結合彼此互補的解決方案,有助於減少攻擊面、保護在不同位置執行的應用程式,簡化在多雲、混合雲環境進行資安維運工作的複雜度,並幫助資安團隊獲得合適的資源而達到目標,促使企業與組織的業務成長。
而在Cloud Protection套餐當中,思科表示,將會提供單一操作介面,用於橫跨多種雲端環境的管理與部署資安控制。IT人員只需編寫一次控管原則,運用這套解決方案內建的自動化處理與調度指揮,即可將這條政策部署到4大公有雲業者的服務,如此能大幅減少因為管理雲端網路安全而衍生的常態作業成本開支,以及教育訓練負擔。
同時,Cloud Protection本身採用中立而非專屬特定雲端平臺的技術,可抑制搭配工具數量增加的狀況,提供能夠彈性使用的框架,而能在不同環境保護各種工作負載執行的應用程式。之後,企業與組織就能快速登記新的雲端服務帳號,以便合併或新增更多業務,並以此確保可以遵循整體資安的要求。
除此之外,Cloud Protection也能整合到應用程式的開發與部署流程,促使這些系統建置的初期,就已內建資安防護。目前,思科預設提供超過100種API與整合機制,可輕鬆嵌入既有或新設的系統與數位資產,後續對於存在其中的資安弱點與攻擊面,能夠做到更深入的掌控。
關於解決方案的組成,思科Cloud Protection目前匯集多種產品與技術,統合在單一框架,企業目前可選用2種服務層級:Essentials、Advantage,前者包含的產品,有Multicloud Defense(前身為Valtix)、Secure Workload(前身為Tetration)、Vulnerability Management(前身為Kenna.VM),後者額外提供Cloud Application Security(前身為Panoptica),以及Attack Surface Management(前身為Cisco Secure Cloud Insights)。
Cloud Protection Suite的主要作用是守護企業的混合雲與多雲環境,透過強效、彈性的框架,提升在此存取的應用程式與資料安全,圖中的Mutli-Cloud Defense與Secure Workload是這個套餐必備的資安解決方案。
熱門新聞
2024-11-25
2024-11-25
2024-11-25
2024-11-25
2024-11-24
2024-11-22
2024-11-25