思科安全主管Tom Gillis：单点产品不能“完成任务”

Tom Gillis希望看到的是更多地去整合这些产品，使其成为一个套件，有点像微软Office套件的Word、PowerPoint、Excel、SharePoint，相互之间有一定程度的共性，能更好地协同工作。

思科系统公司曾发布过一项问卷调查报告的结果，调查报告评估了全球企业的网络安全准备情况。结果不是很好，但从报告中发现凸显合作伙伴在一些领域里可以弥补差距的机会。今年一月份重新加入思科公司的高级副总裁兼安全业务部总经理Tom Gillis这样说。

该问卷调查发现，60%的受访者在过去12个月中遭遇过网络事件，而网络事件的平均成本对这些公司造成的损失为50万美元。Gillis表示，这对许多企业来说不是一笔小数目，而且许多公司目前采取的方法（部署同类最佳的单点安全解决方案）并没有发挥作用。

思科长期以来都是网络领军者，拥有大量强大的单点安全解决方案，但这个科技巨头直到去年才推出一个综合安全平台。思科去年6月公布了旗下通过新平台思科安全云帮助企业连接整个安全架构的战略。Gillis称，该综合平台将帮助合作伙伴和终端客户更好地了解他们的整个环境，还可以为传入的数据和遥测数据提供亟需的上下文。

Gillis在接受记者采访时谈到网络安全准备度调查中令人惊讶的结果、合作伙伴的机会以及思科一直在幕后为解决方案提供商和最终用户将思科一些强大的安全解决方案纳入一个安全云平台所做的工作。

以下是Gillis的谈话内容。

问卷调查发现，只有15%的组织具备足够“成熟”的网络安全策略可以抵御混合世界的威胁。定义一下“成熟”？

我们认为，产品和服务结合起来才是发挥这一切作用的方法。从产品的角度来看，行业一直都在关注单点解决方案。我把安全解决方案放在笔记本电脑的端点上，我把安全解决方案放在有防火墙的周边，我可以把安全解决方案放在公共云上。现在的情况是，攻击者的技术已经非常高超，可以模拟合法行为，他们可以绕过这些解决方案中的任何一个。时下的一个非常大的趋势就是采用系统方法，即通过关联来发现终端设备上发生的事情和基础架构上正在发生的问题。例如，我们的威胁智能组织 Talos 监测到很多事件响应，对于攻击行为有了越来越多的认识。我们发现，75%的勒索软件攻击都是由 PowerShell 生成的进程发起的。这意味着，如果你看到一个设备运行了 PowerShell 并生成了一些新的进程，进程然后连接到网络请求两亿个信用卡号，假若你从总体上看，你会想，“搞什么啊，这不会是实际的行为。”但如果从单独的设备上看来却是合法的，有时候真是需要运行PowerShell，所以单凭这一信息还不足以说明“这是不好的行为”。思科独有的优势在于，我们可以查看设备内部的工作环境、原始的邮件服务、DNS 和网络流量等等。因此，我们可以具有跨多个领域的观察能力。

我认为，我们的合作伙伴现在有一个非常、非常重要的机会，客户越来越多地希望以管理服务方式进行消费。在思科，我们非常相信这是个合作伙伴时代，我特别要给管理服务的需求加上一个惊叹号，因为企业都在寻找这种专业知识和思想领导力，首先是找到问题所在，然后说出 “这就是我们如何以独特的方式解决这个问题”。我们不是唯一一家这样说事的公司。但只有几家安全公司有能力在所有这些领域运作，我们是其中之一。而将这种思维和解决方案带给客户的则正是我们的合作伙伴。

为什么现在思科解决安全问题从单点解决方案转向平台的方法很重要呢？

我认为现在是我们很好的一个机会，我们可以真正以不同的方式思考我们如何建立和部署安全解决方案。我们非常关注平台这个词，有时候你可以将平台看作是一整套功能，平台上的安全可以跨越端点、电子邮件、网络和网络，平台还可以从整体上看所有这些领域。客户在这方面的兴趣非常非常高。

我们在一个非常大规模的调查中用问卷访问了包括所有主要地区的6700名客户和企业主，我们向他们询问了关于他们安全控制状况的问题。只有15%的人在回答时认为他们的控制是良好的。“我拥有一个产品，我知道如何使用它”——这很重要。这不仅仅是拥有产品的问题，而是有点像在说“你这些东西的配置正确吗？”我们一次又一次地看到，仅仅拥有一个产品（例如，一个端点解决方案或防火墙）并不意味着你就不会碰到勒索软件了。这项研究得出的另一个结论是，60%的受访者在过去12个月内遭遇过网络事件。因此，我认为可以说，攻击的严重性和频率一直在稳步上升，这就是凸显了对不同安全方法的需求。在这次调查中发现，网络事件的平均成本是50万美元。当然，一些备受瞩目的攻击事件要花掉数百万美元。因此，真是利害攸关，目前的方法是用个别单点解决方案，单点解决方案好是好，却没有完成任务。我认为这一块就是诸如思科一类的公司能够真正发挥作用的地方。

你和团队一起做了哪些工作可以将安全组合产品融入安全云平台呢？

我的老板很棒，Jeetu Patel（思科的执行副总裁兼安全与协作部总经理）已经在这里工作了两年多了，所以安全平台在思科并不是一个全新的概念。我来到这里的时候，大部分的工作已经在做了，例如，AnyConnect VPN已经在企业大量地部署了，我们已经拿我们的其他端点属性（例如我们的EDR解决方案、我们的多因素认证）打造到这个统一的安全端点里。因此，单一端点可以以模块化的方式提供这些多种功能。客户购买了我们的平台后，他们会说，“看看我的这个端点，一个单一端点可以做零信任、多因素认证、网络安全和防病毒。”这样更容易管理，更容易部署，成本更低，原因是你现在的控制点集中在一起。运营成本比你购买这些单独的组件要低。因此，我希望看到我们在整合这些产品方面做更多的工作，将这些产品做成一个套件，有点像微软的Office，包含了Word、PowerPoint、Excel、SharePoint，相互之间有一定程度的共性，共性可以令它们更好地一起工作。

思科致力推出的XaaS如何用于安全业务

安全性与Cisco Plus的推出可以说是完美契合。我们有个产品名为Cisco Plus Secure Connect。Cisco Plus Secure Connect将我们的Meraki网络与我们的高级安全功能结合在一起。因此，客户坐在他们的云交付网络仪表板前，他们只要来一句，“我想打开安全模式”，然后点击、点击、打开。搞定。时下市场上的云交付服务对渠道非常友好，对中小型客户非常、非常有用。

思科在安全领域具有哪些优势是竞争对手所不具备的？

我认为，要想在阻止勒索软件方面表现出色，你必须看到来自四个不同领域的遥测数据。你必须看到端点本身发生了什么。思科在端点检测和响应EDR解决方案方面拥有非常有特色的资产，EDR解决方案这一块是个非常分散的市场。市场类别的领导者可能只有10%或15%的市场份额。但在端点上还有一个东西在运行，就是VPN。思科的AnyConnect VPN已经部署了2亿个企业端点，这比市场上的任何防病毒或EDR解决方案都要多五倍。因此，我们的端点足迹非常广泛，而且AnyConnect VPN具有安全功能，我们能够看到带有EDR解决方案的防病毒软件正在查看的内容，可以将该遥测数据传递出去。端点遥测实际上是我们的一个重要差异点，因为我们的足迹这么大。

电子邮件，总会涉及电子邮件。时下各种新的人工智能工具方兴未艾，再加上目标和规格的水平在提高，我们将看到复杂的网络钓鱼攻击会成倍增加。但我们具有本地电子邮件功能。我们可以看到电邮的数量，其他能像我们一样看到电邮数量的安全公司即便是有也少之又少。我们有网站，你必须看到他们访问的网站。当然，还有网络本身的行为，我们都能看到。所以，我们涵括了所有四个领域，我不认为任何其他安全公司的数据能比得上我们拥有的广泛数据。