企业应如何应对2022年及以后的网络安全挑战，不断上升的威胁级别、不断变化的威胁策略以及日益复杂的IT网络?安全领导者又该如何管理风险以最大限度地提高企业的网络安全态势?在本文中，记者与Palo Alto Networks公司高级副总裁兼总经理Anand Oswal讨论了这些问题以及其他更多的内容。

谈话包括以下主题：

• 2022年及以后的网络安全威胁环境。
• 管理网络安全挑战。
• 统一安全平台的重要性。
• 零信任安全。
• 混合工作环境中对云原生安全性的需求。
• 用于管理安全的机器学习和自动化。
• 网络安全威胁不断演变的性质。
• 对安全专业人士的建议。
• 对业务领导者和董事会成员的安全建议。

Anand Oswal，现任网络安全公司Palo Alto Networks的高级副总裁兼总经理，负责领导公司的“防火墙即平台”(Firewall as a Platform)工作。

在此之前，他曾担任思科“基于意图的网络”(Intent-Based Networking，IBN)团队的工程高级副总裁，负责构建从交换、无线和路由到物联网和云服务的整套平台，这些平台构成了思科广泛的企业网络产品组合。

他拥有60多项美国专利，并获得了印度浦那工程学院的电信学士学位，以及洛杉矶南加州大学的计算机网络硕士学位。

2022年及以后的网络安全威胁环境

Michael Krigsman：欢迎来自Palo Alto Networks的Anand Oswal。你能给我们概述一下如今的网络威胁形势吗?

Anand Oswal：我认为在网络安全方面我们看到了三大趋势。

第一个大家都很熟悉，即混合办公模式将继续存在。疫情大流行迫使我们居家办公，现在，虽然我们开始重返办公室，但尚未恢复常规的一周五天坐班模式。这种混合办公模式必然会对安全性产生一定影响。

我们看到的第二个大趋势是应用程序迁移至云端。疫情大流行加速了企业的数字化转型进程，即便进入“后疫情”时代，这种趋势仍将继续，并且预计会持续很长时间。

第三，也是最重要的一点，攻击正变得越来越复杂且难以检测。攻击者正在使用我们在开发中也会用到的工具。他们不仅正在使用红队工具，还在利用人工智能和机器学习的力量。如此一来，这些攻击只会变得更加复杂、隐蔽。

这三个趋势对企业安全形势具有重大影响。随着用户无处不在，威胁形势正在加剧。

Michael Krigsman：攻击者变得越来越老练和聪明，因此，阻止攻击也变得更具挑战性。

Anand Oswal：随着应用程序迁移至云端，当我们访问公有云中的应用程序时，许多企业重新创建了软件安全堆栈。如你所知，随着远程劳动力的流行，IT开始争先恐后地提升劳动者的生产力，并且在许多情况下，他们为远程劳动力访问云应用程序重新创建了SaaS堆栈。

如今，随着员工开始重返办公室，IT有机会查看他们拥有的所有基础架构，在许多情况下，他们会发现存在三个不同的堆栈。这些不同的堆栈拥有不同的管理方式、不同的政策，并且会给出不同的安全结果。

现在，企业正在研究如何确保员工居家办公和坐班都能拥有一致的安全性?如何获得最佳员工体验?IT如何拥有独特的管理体验?

管理网络安全挑战

Michael Krigsman：你发现客户在试图处理这种复杂的安全情况时，存在哪些类型的挑战?

Anand Oswal：与我交谈过的大多数客户都有多个一直在使用的安全供应商。当他们查看其基础设施时，他们希望做一些事情。

首先，你如何自动化你的日常工作?当你添加新的SaaS应用程序和新用户时，如何自动执行你正在应用的策略?

其次，你如何确保以最佳方式使用支持平台的所有功能?你的基础设施是否具有正确的安全态势?

第三，你如何确保在整个企业中实现用户、应用程序和网络设备的零信任?

统一安全平台的重要性

Michael Krigsman：既然平台概念如此重要，你能否解释一下平台的实际含义，尤其是涉及到安全性时?

Anand Oswal：如果我把它分解成更多细节，可以把它想象成你有一个物理硬件防火墙，你拥有可以在虚拟机中部署的软件防火墙，或者你拥有像SaaS中那样的云交付安全性。

你希望你拥有的所有安全结构，高级恶意软件防御，针对命令控制、漏洞利用、DNS的防御等安全服务，始终应用于Web应用程序、非Web应用程序、办公室中的用户、居家用户，即使用户在旅途中，且正在访问位于公有云、私有云中的应用程序，也没有关系。

Michael Krigsman：可以这么说，所有的部分都被设计成一个更广泛的单元一起工作。

Anand Oswal：你现在拥有一致的安全策略。当netsec管理员为用户定义策略时，你将定义一个策略。它基本上是在网络安全的不同形式因素上实例化的：硬件形式因素、软件形式因素或云交付形式因素(取决于你在哪种情况下使用的形式)。

零信任安全

Michael Krigsman：我们曾经采访过卡内基梅隆大学软件工程研究所CERT的负责人，他明确提出了零信任的通用概念，因为他们认为这是非常重要的。

Anand Oswal：当然。我们也从政府那里看到了这一点。他们要求我们实施零信任基础设施。但在许多情况下，人们对它的含义以及如何驾驭这段旅程存在很多困惑。

我们需要拥有整个企业范围内的零信任：用户、应用程序、基础设施。我们需要零例外的零信任。这并非易事!

Michael Krigsman：为此，安全专业人员需要在多大程度上采用一种新的心态，即零信任心态?这有多重要?

Anand Oswal：我认为这非常重要，因为他们生活在这个用户无处不在、应用程序无处不在的新世界中，他们真的希望确保拥有一致的安全性。

Michael Krigsman：当然，这种方法与我们过去管理安全的方式非常不同。

Anand Oswal：是的，这是非常不同的，而且安全形势本身也在发生变化。这是唯一一个拥有活跃对手的行业，有点像“猫捉老鼠”的游戏，你必须努力跟上这个行业的发展步伐。

以恶意软件为例，我们看到的95%的恶意软件都是现有恶意软件的变体。

我不需要去云中处理一切，再回来做出决策，甚至更新我的签名。我现在能够在平台本身上实时利用机器学习的强大功能做到这一点。现在我只需通过静态分析完成分析，就可以保护95%的流量。

对于需要更多动态分析的一小部分，即全新的恶意软件，我可以使用云辅助功能，但仍然可以在单通道架构中实时执行。

这里要注意的两个关键原则是，我们需要“实时”(real-time)行事、内联(inline)行事，因为不能让第一个人受到攻击、被黑客入侵。这就是业界所说的“零号病人”(patient zero)。我们也想防止从未见过的攻击。我们希望防止第一个被各种事物(包括网络钓鱼、恶意软件等)感染的人。

Michael Krigsman：正如你之前所描述的，所有这一切都源于越来越复杂的攻击者，他们正在利用人工智能、机器学习及类似技术。

Anand Oswal：是的，直到不久前，几乎45%的网络钓鱼攻击都未被发现。你必须更新新的机制，我们在Palo Alto Networks率先采用了这种方式，当时我们宣布了高级URL过滤、高级威胁预防，以确保我们能够防止和保护客户免受前所未有的攻击。

混合工作环境中对云原生安全性的需求

Michael Krigsman：混合办公环境产生了大量端点，考虑到安全问题，我们需要怎么做?

Anand Oswal：你需要一种平台方法，需要同类最佳的单一产品，但你也需要它们完全集成，以便可以共享数据智能。

我再进一步解释一下，我的意思是，你在办公室有一个物理硬件防火墙，而当你正在访问云中的一些应用程序，你有一个软件防火墙作为前端;当你在家时，可以通过SASE基础设施访问公有云或私有云中的应用程序。

现在，无论是你的威胁预防、文件沙盒、URL过滤、DNS攻击防护、数据和SaaS安全，且无论你身在何处，你都希望获得一致的安全体验。

最后，你还希望为netsec管理员提供独特且一致的体验，因此你需要一种平台方法，无论你身在何处，访问什么以及应用程序位于何处，基本上都可以为你提供一致的安全体验或数据驻留。

用于管理安全的机器学习和自动化

Michael Krigsman：用户如何知道采取哪些正确的策略以确保他们得到充分保护?

Anand Oswal：这就是人工智能和机器学习的用武之地。我的意思是用于网络安全的人工智能操作。

你不能再继续手动更新策略。因为如你所知，SaaS应用程序正呈爆炸式增长，用户也在爆炸式增长，你根本无法手动执行此操作。

这就是人工智能和机器学习发挥作用的地方，我们能做的就是自动创建策略。在某些情况下，我们会自动创建策略，netsec管理员可以查看并应用它。

第二件事是，你还希望确保持续进行最佳实践评估。以Palo Alto为例，我们有280项最佳实践检查清单来应用下一代防火墙。

你要做的最后一件事是假设场景。我的意思是帮助我们的客户了解如果他们启用某些新的安全功能会发生什么。例如，如果他们启用解密会发生什么?如果他们启用恶意软件会发生什么?很多时候，特性或功能被启用是因为管理员不确定如果他们这样做会发生什么。

Michael Krigsman：你提出了一个有趣的观点。你说不希望用户进行手动更改、手动设置。这是为什么?

Anand Oswal：很多数据可以佐证这种观点。在策略配置中发生的导致某种安全性中断的错误，超过90%都是由手动配置引发的。虽说它可能并非有意的，但却切切实实地发生了。

Michael Krigsman：对于那些一直在手动执行此操作，自信不会犯错，且排斥机器的安全人员，你有什么看法?

Anand Oswal：不可否认，这种做法以前是有效的。因为当时需要执行的策略数量、应用程序数量都很少;用户都在办公室工作;应用程序也都位于数据中心。然而现在，你可能或多或少地在云中拥有一些应用程序。

可以说，现在的我们生活在一个完全不同的世界。威胁范围越来越广;用户无处不在;应用程序位于多云环境中;员工不仅拥有IT批准的设备，还拥有自己的设备，且可以从任何地方法访问应用程序。

这是一种非常复杂的情况，而且每天还会有新的应用程序在增加。使用自动化策略可以有效地减少错误，然后让安全架构师能够投身于其他更具价值的事务中。

Michael Krigsman：该平台基于机器学习和自动化，因此其目标是减少配置错误，同时让部署速度大大加快，是吗?

Anand Oswal：是的，绝对是，而且还能够预测事物，即使是与安全无关的事情。例如，说明某个防火墙使用了多少带宽。然后，根据在企业中看到的使用模式，预测防火墙在未来六个月、九个月会发生什么。

无需员工每天手动查看可用内存，我就能够自动获悉“内存达到了80%的阀值或更多”，然后可以更好地进行规划。

Michael Krigsman：我认为平台方法意味着，由于各个部分紧密集成、紧密耦合，因此你可以在整个环境中获得无缝视图。

Anand Oswal：确实，考虑到应用程序可能部署在本地数据中心和云端，以及持续存在的混合办公模式，你需要在整个企业中获得这种可见性。

网络安全威胁不断演变的性质

Michael Krigsman：你对安全威胁的性质及其发展方向有何看法?

Anand Oswal：正如我所说，不仅安全团队正在使用越来越多的人工智能和机器学习的力量，攻击者也在使用Cobalt Strike等红队工具。

关于攻击者在网络中横向移动时会发生什么情况，已经在Colonial Pipeline攻击事件中得出了答案。此外，在Log4j事件中也发生了某些漏洞横向传播的情况。

我认为我们不能再假设攻击者总是来自外部。它确实大多来自外部，但也有很多横向移动的威胁。你需要构建你的平台、基础设施，以确保能够持续验证网络活动，并真正确保自己在各个方面都安全。

对安全专业人士的建议

Michael Krigsman：我们需要讨论组织应该做什么。让我们从安全专家开始。你对安全专业人士有什么建议?

Anand Oswal：对于安全专业人士，我认为有几件事非常重要。首先，你是否从零信任的角度考虑你的基础设施?你是否拥有一个统一的策略基础架构，无论用户和设备位于何处，你的工作负载都可以应用该基础架构?

你如何确保跟上行业中出现的新威胁?你是否确保能够获得针对恶意软件、网络钓鱼、命令和控制连接的高级防护?

你的基础架构是否有太多分散的供应商?你是否拥有集成且行业最佳的方法?你是否正在与你拥有的不同单点产品共享情报?

这些都是安全专业人员在决定如何设计和构建安全基础架构时需要考虑的重要事项。

对业务领导者和董事会成员的安全建议

Michael Krigsman：接下来，对于业务领导者和董事会，你有什么建议?

Anand Oswal：我要对他们说的最重要的事情是，审查他们拥有的安全供应商的路线图。他们是否拥有最具创新性的路线图来防止遭受未来的攻击?你在基础架构中拥有的各个组件的集成程度如何?你在分享情报吗?你是否正在为你的企业构建更安全的产品?

拥有大量分散的安全供应商实际上会导致糟糕的安全结果，而非更好的安全结果。你如何确保使用集成且行业最佳的单个组件，以便能够在整个企业中共享智能和一致的安全性?

总而言之，这些能够帮助他们降低运营成本、配置成本和基础设施管理成本。

Michael Krigsman：环境的简单性实际上在这里非常重要。

Anand Oswal：是的，简单性非常重要。当然，集成性也非常重要。只有集成且一流的单一组件才更易于管理，从而降低运营复杂度和运营成本。

Michael Krigsman：我认为，对于许多业务人士来说，真正的噩梦是他们认为自己的安全态势强大、严密、到位，然后在攻击和数据泄露事件发生后，他们才发现事情并没有自己想象得那般好。那么，业务领导者应该如何确保这种情况永远不会发生呢?

Anand Oswal：我认为有两件事情非常重要。一是大多数受到攻击的企业通常拥有产品中的所有安全功能，但没有适当地启用这些服务。最重要的是要确保并非“买到即止”，一定要激活它!

或者你可能确实使用了它，但你是否以适当的方式使用了它?例如，你是否为其制定任何政策?

Michael Krigsman：本质上，该平台正在检查环境以帮助确保没有遗漏任何东西。

Anand Oswal：该平台将会告诉你哪些服务已启用，哪些服务尚未启用。对于你启用的服务，你是否激活并适当地使用它们，这意味着它们将帮助你充分使用所有可利用的功能，如果你还没有做到，它会一步步地告诉你如何实现。

Michael Krigsman：最后，你有什么想要补充的想法吗?

Anand Oswal：我来总结一下吧。随着用户、应用程序和数据无处不在，威胁形势正在加剧。你需要在整个企业中拥有一致的安全性;需要拥有一流且集成的单点产品，以确保访问任何应用程序、数据的任何用户始终是安全的;你还需要确保他们拥有最佳的用户体验，且IT或netsec拥有最佳的管理员体验。