产品与方案
以人为本 质量第一
业主满意 持续改革
信息安全

 思科2014年度安全报告

 
 
业务挑战 
正如前面讨论过的那样,曾一度被禁止在企业网络中使用的社交媒体、文件共享和互联网通信应用,现在已被认为是联系全世界的客户和合作伙伴的合法、有效且经济实用的方法。根据思科 2013 年度安全报告 所有企业内部的 Web 请求中有 22% 是查看在线视频,另外有 20% 是访问社交网站。因此,各种规模的公司都在逐步接受社交媒体和在线视频;大多数著名品牌都在 Facebook 和 Twitter 上开设了帐户,许多公司还将社交媒体融入了实际产品中。同样地,能“接触”网络的设备曾一度被限制为仅供 IT 使用并受到严格控制,而现在,各种各样的个人设备也可以获得安全的网络访问。 
 
尽管可带来其业务生产效率上的优势,但是这些网络趋势还带来了严重的新的安全风险。因此,当今组织所面临的主要业务挑战是如何执行可接受的使用策略、控制规避应用、授权个人设备并防御互联网威胁。 
 
执行可接受的使用策略 组织需要解决的两个主要的业务问题都围绕可接受的使用策略。首先,需要基于强大内容的 URL 过滤才能阻止攻击性的、不恰当的、甚至可能非法的网站,比如,那些包含成人、暴力或种族仇恨内容的网站;那些降低生产效率或消耗过高带宽量的网站(如 YouTube);以及那些可能会危害公司法规的合规性的网站(如 BitTorrent 和 eDonkey)。同样地,需要深入的应用检验才能阻止已知的恶意软件(如代理服务器的匿名访问程序),员工可以使用该软件绕过 IT 控制。 
 
诸如 Facebook、Twitter、LinkedIn 和 Skype 这类应用使得执行可接受的使用进一步复杂化。这些应用已发展成为合法的业务应用,但许多组织不愿让这些应用在网络上运行,因为其用户可能会造成广泛的带宽滥用并使员工降低工作效率。 
 
控制规避应用 与此挑战相关的是获得对端口跳变和协议跳变应用(如 Skype 和 BitTorrent)的可视性及对其的控制。由于这些应用的本质是找到一个通路(无论网络发生什么情况),所以它们会给试图阻止其使用的管理员带来独特的挑战。事实上,管理员可以编写大量的策略,这些策略试图仅仅阻止其中一个规避应用,但仍无法充分控制它们。 
 
授权个人设备 ,思科 2011 年度安全报告发现 81% 的大学生相信他们应该能够选择他们工作时需要使用的设备。全世界已参与调查的员工中有 77% 使用多个设备来访问企业网络,而其中超过三分之一的人使用至少三个设备进行工作。因此,根据 思科 2012 年的全球 IBSG Horizons 报告,84% 的 IT 领导报告在其公司中 IT 变得越来越消费化。思科 2013 年度安全报告支持这些发现,该报告显示仅仅在过去的两年中,思科就看到其员工使用的移动设备的数量增加了 79%,并且这些设备中绝大多数是“自带设备”。 
 
这些趋势已经导致自带设备成为大多数组织的优先选择,相较于 2012 年消耗的 18%,2014 年移动计划预期平均会消耗 23% 的 IT 预算。而就在几年前,组织仅需要确定谁要访问网络和敏感企业数据,自带设备给这些决策增加了复杂程度。现在组织必须确定已获授权访问此类数据的员工是否仅在使用企业拥有和维护的设备时才有权访问,或者确定是否还可以使用他们的个人设备。如果个人设备可接受,那么是所有设备都可接受还是仅某些设备可接受?是需要员工位于企业 LAN 内,还是说远程 VPN 连接也能提供适当级别的安全性? 
 
避免互联网威胁 
互联网威胁是所有规模的组织都关心的另一个问题。尽管诸如文件共享和社交媒体应用等工具对员工生产效率具有正面影响,但是这些工具具有固有的风险:黑客和其他恶意软件编写者可以利用这些工具对网络进行未经授权的访问或者在网络上传播恶意软件。诸如 TeamViewer 和 PC Anywhere 等远程控制应用可能会动态地提高个人和团队的生产效率,但恶意软件编写者可以使用这些应用中的漏洞来控制网络资产。此外,文件共享应用(如 Dropbox 和 iCloud)的使用使得将敏感的公司数据上传到云端成为可能,而云端组织无法对数据的分发进行控制。 
 
恶意软件还可以伪装成开放端口上运行的众所周知的应用;还可以嵌入到已发现有漏洞的合法应用中;或者可以从
欺诈性网站(或已经受感染的合法网站)作为“路过式”下载进行安装。以社交媒体用户为目标的社会工程技术也
已被证实是很有效的;这些应用让员工认为点击嵌入的电邮链接和从未知网站下载内容是完全正常的,尽管 IT 不断
提出应避免此类行为的长期警告。 
 
需要一种主动的、全面的解决网络安全的方法 
业务领导了解灵活性对于最大程度地提高生产效率是必不可少的。但他们如何才能在充分利用业务和技术趋势所提
供的生产效率和成本优势的同时让自己免受这些趋势所带来的安全挑战?答案就在于一个组织通过完全的情景感知
最大程度地提高其网络通信可视性的能力。如果管理员可以清楚地看到网络通信的细节,他们就可以做出更加明智的决策。应用和用户 ID 的可视性尽管很有价值,但并不提供安全地支持新的应用、设备和业务案例所需的完全情景感知。完全情景感知除了包括这些内容之外,还包括企业级 URL 过滤、动态 Web 声誉、设备感知以及对用户和设备所在位置的了解。 
 
应用可视性和控制正如前面所提到的那样,应用感知是所有下一代防火墙的一个核心要求。但是,非常重要的是,防火墙不仅要识别应用本身;它还必须识别并提供阻止包括该应用的微应用的能力。对于诸如 Facebook 和 LinkedIn 等社交媒体应用,这是特别重要的。单纯识别这些应用仅会提供完全阻止或允许整个应用的能力。例如,某个组织可能希望提供对 Facebook 的访问,从而使销售和市场营销人员能够在公司的企业 Facebook 页面上发贴并与客户和合作伙伴进行通信,同时要拒绝对 Facebook 游戏的访问。通过单独地识别每个微应用,管理员可以向每个微应用授予不同的访问权限。 
 
此外,通过识别这些微应用中的特定行为,防火墙可以为管理员提供甚至更加精细的控制。例如,“Facebook 消息和聊天”微应用内的特定行为是“附件上传”、“附件下载”和“视频聊天”。尽管这些行为中的绝大多数可能都
被认为是适当的业务活动,但是“附件下载”行为很可能会被安全人员视为存在固有风险。通过使用可以识别微应
用内的特定行为的防火墙,管理员可以允许“Facebook 消息和聊天”,同时拒绝“附件下载”。 
 
如果防火墙可以监控所有端口和协议并支持完全基于应用本身的识别的策略定义,那么对诸如 Skype 等规避应用也可以进行有效控制。由于像 Skype 这样的应用始终带有相同的应用 ID,所以无论它们使用哪个端口或协议来退出网络,与编写数十个基于状态的防火墙策略来阻止每种可能的组合相比,添加一个策略来“阻止 Skype”,效率更高且所需策略也更少。这样可以为管理员节省在策略的初始制订和日常管理上所花的时间,这会转换为企业的运营效率。 
 
最后,通过控制有权访问文件共享应用的人员以及控制允许使用哪些应用行为,管理员可以保护企业的关键数据,同时使员工能够充分利用强大的业务工具。