思科执行副总裁：我们需要让每个人摆脱网络安全贫困线

Jeetu Patel在采访中表示，网络安全将逐渐成为人权问题。

思科安全与协作执行副总裁Jeetu Patel表示，在各类组织当中建立一定程度的网络安全措施，将很快成为人权问题。

Patel在RSA大会演讲前接受采访时表示，“划定安全「贫困线」，保证每个人都能得到一定程度的安全保障，这最终会成为一个人权问题。而维护人权也是每一位公民的义务。”

他解释道，“毕竟这涉及到关键基础设施——金融服务、医疗保健、交通、供水、供电等等。这些服务一旦曝出事故，日常生活就会立即受到干扰。”

而关于网络安全贫困线（所谓贫困线，就是为那些预算或人力资源水平达不到最低标准的个人或机构提供基本安全措施）的想法，是由思科首席信息官官（CISO）Wendy Nather在此前的RSA大会上最先提出。

Patel认为，划定并确保所有企业都身处安全贫困线以上，是一件非常重要的保障性工程。毕竟随着软件依赖性、数据共享、混合工作方式的快速普及，人们和组织之间的联系正变得愈发紧密。

他解释道，“我们生活在一个整体生态当中，其中最薄弱的环节可能会破坏掉整个链条。某家小型供应商遭到攻击，很可能导致汽车制造商的整个生产线陷入瘫痪。”

所以在Patel看来，“每个人都无法置身事外，每个人都是内部人士。”

如果我们不关照安全贫困线以下的人，那么即使我们身在贫困线以上、部署了一切必要手段来保护自己，则仍然无法保障安全

他认为，物理和软件边界已经无法将组织内外的人员和信息明确区分开来。随着越来越多人员和设备同传统企业边界之外的端点连接并共享数据，潜在的攻击面也随之迅速扩大。

Patel表示，“如果我们不关照安全贫困线以下的人，那么即使我们身在贫困线以上、部署了一切必要手段来保护自己，则仍然无法保障安全。”

要想在组织内建立可靠的安全协议，必须要有充足的预算来购买产品、聘请具备威胁防御能力的安全专业人员。然而，思科安全业务部高级副总裁Shailaja Shankar发现企业影响力在安全领域同样产生了“富者恒富”的马太效应。

她在采访中表示，“在这样一个相互关联的系统当中，身处贫困线以上的大型组织能够跟供应商谈下很好的条件。但对于小规模公司，谈判进程就会步履维艰，导致供应商给什么、你就只能接受什么。”

共同风险、共同防御

事实上，一直有声音指责网安行业对于众多组织低于安全贫困线的现实负有责任。首先就是互联网的高度互联互通之下，很多组织根本没有做好准备。复杂性也是大问题：随着安全架构的演进，其复杂度也在快速提高。

思科的各位高管们也承认，供应商社区确实产出了大量互操作性不佳、或者根本无法兑现其保护承诺的产品。

同样的，要想收拾好这个烂摊子，也离不开各方间的协同努力。首先就是由身负专业知识的安全供应商，以捐赠和合作等方式共享威胁情报。

为此，Shankar称思科的Talos威胁情报团队已经在24/7全天候为乌克兰关键基础设施客户提供安全产品服务，并向这个饱受战争蹂躏的国家免费提供云安全产品。

她同时提到，思科也是网络威胁联盟的创始成员。“我们与全球30多家不同安全供应商合作。我们彼此共享威胁情报，共同保护客户并捍卫整个数字生态系统。面对共同风险，我们需要共同防御。”

Patel则强调，目前的商业模式也需要做出转变。“人们需要逐步把保护区间从单一组织层面，转移到整个供应链层面——不再自说自话，而是放眼于整个生态系统。”

通过延伸，未来网络安全供应商应该为非营利性组织和非政府组织提供免费、或者低成本的安全服务，大企业也可以利用自己的强劲购买力帮助小型机构改善自身安全状况。

Patel总结道，“这些当然不可能一夜之间就落实到位，但这种观念已经开始深入人心、改变人们的想法。是的，一家小型供应商生产的小部件在100美元的产品总成本中可能只占7美分，但曝出的漏洞却可以瞬间摧毁整个生产线。面对如此深远的影响，考虑到系统性恶意攻击可能带来的数十亿、千亿甚至万亿美元级别的损失，我们必须改变已经习以为常的这一切。”