匯聚旗下多種產品與服務，思科資安雲正式成軍

思科

縱觀整個企業IT市場的發展，資安防護需求長年處於居高不下的狀態，是許多新創公司崛起的熱門領域，也是既有大型廠商的兵家必爭之地，陸續透過自行開發與併購公司等手段，擴充本身的產品與技術實力，然而，要將這些成果整合、簡化成單一解決方案，卻並不容易，於是，我們經常在同一家廠商看到不同產品線山頭林立的狀況，而在這幾年隨著雲端服務的普及，有些廠商開始試著將旗下百花齊放的資安解決方案，納入單一平臺的品牌或概念識別，例如，趨勢科技的Trend Vision One，Check Point的Infinity、Fortinet的FortiGuard與Security Fabric。

而對於同時擁有網路與資安產品的思科而言，近期積極推動好幾波轉型整併工程，例如，2020年他們推出新的產品線Secure X，希望提供開放、雲端原生平臺連結旗下整合的多種資安解決方案，橫跨使用者與端點、雲端、網路、應用系統，提供更簡單、一致的使用體驗，後續也將上述4個領域的部分資安產品與服務，冠上Secure之名，打造可同時囊括這些資安解決方案的平臺。

但思科資安這條轉型之路並未因此結束，因為接下來他們更積極擁抱雲端服務與AI創新技術，納入更多資安防護產品與服務。

兩年多前，思科再度提出資安平臺新願景

在2022年6月舉行的RSA全球資安大會上，思科預告將發展橫跨全球、透過雲端服務形式供應的整合平臺，能夠防護與連結各種形式與規模的組織，他們稱之為Cisco Security Cloud，透過這套開放平臺，在不會受到特定公有雲服務業者綑綁的狀態下，能夠防護整個IT生態系的完整性。

思科的目標是實現整合的操作體驗、統一的管理機制、最開放的平臺，提供資安威脅的預防、偵測、應變、矯正能力，而且能夠擴充使用規模，使人員與設備能夠安全連接，並且安全地存取位於任何地方的應用程式與資料。

最初宣布這項規畫時，思科提出4大訴求，分別是安全的存取（Secure Access）、安全的邊緣（Secure Edge）、安全的維運（Secure Operations），以及簡化（Simplification）。

在安全的存取方面，他們正在發展持續可信任存取技術（Continuous Trusted Access）、基於風險高低判定的身分驗證技術（Risk-based Authentication），以及連線階段信任分析（Session Trust Analysis），並且展示未來將推出的零信任存取解決方案Cisco Secure Access，初期整合旗下的多因素身分驗證（MFA）與單一登入整合（SSO）系統Duo，以及雲端檔案共享服務Box。

關於安全的邊緣（Secure Edge），思科推出安全存取服務邊緣（SASE）解決方案，名為Cisco+ Secure Connect Now，提供快速部署SASE與便於日常維運的雲端服務代管平臺，用戶可透過統一的儀表板介面進行管理，並且善用訂閱型態的資安服務。

在安全的維運（Secure Operations）層面中，思科提出4種解決方案，包含：（1）可針對不同組織，提供個別訂製網路威脅情報的服務Talos Intel On-Demand；（2）具有自動提報警示至SecureX、且能對應至MITRE ATT&CK框架的Cisco Secure Cloud Analytics；（3）SecureX平臺正式提供Device Insights分析功能，可針對環境當中的設備資料，進行匯聚、交互關連、正規化等處理，並且整合弱點管理系統Kenna，以及端點安全系統Secure Endpoint，提供更完善的弱點優先順序管理；（4）Secure Firewall 3100系列，支援員工混合辦公模式的工作新常態，配備新的加密流量透視引擎，可運用AI與機器學習偵測潛藏的威脅。

而在簡化（Simplification）的作法，思科祭出兩種解決方案。一是推出新的Secure Client，預計2022年中統合旗下一半資安產品與服務的各種代理程式，當中將涵蓋AnyConnect、Secure Endpoint、Umbrella，後續會再加入其他代理程式；另一是透過雲端服務的形式提供網路防火牆管理主控臺Secure Firewall Management Center，透過Cisco Defense Orchestrator的幫忙，整合雲端與內部環境的防火牆管理。

針對開放資安平臺的打造，思科強調Cisco Security Cloud將具備5大特色。首先是雲端原生與多雲，橫跨混合辦公環境，安全連結使用者、裝置、物聯網，以至系統、應用程式、資料，提供最佳效能與天衣無縫的操作體驗，使資安更靠近使用者、資料，以及應用程式。

第二是統一，整合的核心功能將涵蓋政策管理、管理主控臺、儀表板，提供更完善、貫穿所有環節的資安防護效率。

第三是簡化，透過整併多種端點代理程式，減少使用者與IT人員的瑣碎工作，持續聚焦在用戶體驗改良。

第四是基於AI或機器學習驅動各種功能，思科多種產品在保護各種設備與網路時，會獲取大量遙測資料，未來資安整合平臺可運用這些內容提升偵測、修改、自動化處理能力，改善本身的效率。

第五是開放、可延伸更多功能應用，思科會提供用於整合的API，廣泛支援開發者生態系與市場需求。

資安雲逐漸成形，思科持續新增與強化功能

到了2023年2月舉行的Cisco Live! Amsterdam大會，思科揭露Cisco Security Cloud最新進展，當中涵蓋零信任、應用程式安全、安全連線（Secure Connectivity）等3大重點。

零信任方面，Duo在基於風險高低判定的身分驗證技術上，首先，使用者可透過已知裝置（Remembered Devices）、Wi-Fi Fingerprint等功能，憑藉熟悉的應用程式、裝置、網路，即可維持在登入狀態，系統不需收集個人資料或所在地區的資訊；第二，為了強化抵禦網路釣魚攻擊的能力，Duo提供「可驗證的訊息推送（Verified Push）」功能，一旦發現用戶行為可能處於已知的攻擊模式之中，系統會要求輸入一段代碼，而非僅用按鈕的動作確認身分；第三是擴充單一登入整合的功能，能透過通知提醒使用者在密碼過期之前進行重設。

關於應用程式安全，思科在專攻此用途的解決方案Full-Stack Observability（FSO），增設「業務風險狀態呈現（Business Risk Observability）」的功能，可透過整合可觀測性平臺AppDynamics的Cisco Secure Application，提供業務風險評分的機制，當中也結合Kenna Risk Meter風險評分系統、AppDynamics的Business Transactions應用程式監控元件、API安全系統Panoptica，以及Talos網路威脅情報服務。

至於安全連線方面的應用，是指思科正式推出主打單一廠商特色的SASE解決方案Cisco+ Secure Connect，可延伸支援Viptela這套SD-WAN，能涵蓋該公司的SD-WAN交織網路，以及他們旗下的多種雲端安全服務，提供從任何地方存取任何系統與服務的安全管道。

6月初舉行的Cisco Live! 2023大會，思科接續發布Cisco Security Cloud最新突破。在安全存取與安全連線方面，他們的SSE解決方案Cisco Secure Access正式成軍，7月開放部分使用，10月全面上線，特色在於提供通用的應用程式與IT資源存取體驗，單一、基於雲端服務來進行管理的主控臺，並且能夠更快偵測資安威脅與進行應變、調查（背後整合Talos網路威脅情報服務）。

第二項進展是生成式AI的應用，Cisco Security Cloud預先展示這方面的功能，思科將提供Policy Assistant與SOC Assistant。

資安政策助手預計2023年稍晚推出，可用於描述細部資安政策的內容，並協助評估如何跨越資安基礎架構的不同層面進行實作，初期將搭配思科的AI Assistant技術，能夠評估、產生更有效率的網路防火牆政策，也能運用企業與組織在Cisco Secure Firewall Management Center既有的政策，來進行這些設定管理工作，目標是在不犧牲細部控制能力的狀態下，可以實現更高的使用效率。

至於SOC助手，在2023年4月底召開的RSA大會期間，思科首度揭露概念，而對於6月自家用戶大會介紹的特色，預計在會計年度結束提供，其餘功能在2024年上半供應。

這項AI輔助機制如何展現？思科表示，一旦發生資安事故，SOC助手會跨越電子郵件、網頁、端點、網路環境，將已知所有事件的前後脈絡整理出來，然後告訴SOC分析人員確切發生的狀況與影響，接著這些人可在AI助手的陪伴之下，進行互動與推論，並運用可延展內容的潛在處理動作知識庫，以及涵蓋分析人員輸入內容的資訊，去決定最適合的矯正方法。

Cisco Security Cloud的第三項重點，落在混合辦公的網路安全防護。思科推出新款網路防火牆Secure Firewall 4200系列，以及Secure Firewall作業系統軟體Firewall Threat Defense（FTD）的7.4版，提供進階的效能與使用彈性，強化密碼學處理的加速、叢集系統與模組化的支援，預計9月全面供應Secure Firewall 4200系列，12月會針對其餘機型提供7.4版作業系統。

同時，思科也宣布推出多雲安全防護服務Cisco Multicloud Defense，可橫跨四大公有雲環境，透過SaaS服務型態實施單一、即時套用的政策控管。

最後一個資安防護層面是應用程式安全。思科在雲端原生應用程式防護解決方案Panoptica，提供雲端安全態勢管理（CSPM）的新功能，預計2023年秋季提供，可協助持續遵循雲端安全的政策，以及隨著雲端服務使用規模的擴大而能執行對應的狀態監控。

Panoptica也將配備新的攻擊路徑分析引擎，能夠運用圖學資料處理技術，執行進階的攻擊路徑分析，協助資安團隊面對整個雲端基礎架構時，可以快速識別與矯正潛在的威脅。

同時，Panoptica還能整合思科的Full Stack Observability產品線，即時呈現業務風險的優先處理順序，協助資安與開發團隊掌握現況、具有控制能力，以及處理的知識與經驗，進而保護動態的雲端應用程式與基礎架構。

Cisco Security Cloud是個支援多種用途的平臺，思科資安技術長暨傑出工程師Mike Storm接受研究機構Enterprise Strategy Group專訪時表示，此平臺內建的通用服務中心提供常用功能，可支援思科與非思科的產品，本身是具有連結能力的組織、交織網路（fabric）或是服務網狀網路（Service Mesh），能用來強化所連接的元件。
思科在此處定義通用的系統管理控制能力與資料結構，能夠連結不同技術，使彼此能以原生方式一起合作，並透過機器層級的規模擴充和諧地進行防禦。

思科資安雲開始明確提供3大解決方案套餐

在2023年10月底舉行的Cisco Security Summit線上座談會之後，思科將旗下資安產品聚焦在三大應用案例：改善資安效率、強化使用者體驗，以及加速投資回收，並且普遍地結合零信任的原則，能夠提供使用者優先的體驗而不會犧牲安全性，目前已彙整成三種產品套餐，包含使用者防護（User Protection Suite）、雲端防護（Cloud Protection Suite）、外洩防護（Breach Protection Suite）。

User Protection可用於協助使用者安全地從任何地方進行辦公，當大家存取SaaS、企業內部應用程式、通訊工具與其他業務資源時，可以獲得更有生產力的工作體驗，能夠免於受到網路釣魚、惡意軟體、身分盜用，以及勒索軟體等攻擊。

Cloud Protection可用於混合雲與多雲環境，提供地端與雲端之間的互動存取防護，當中將整併多個控制點，提供能夠普遍觀照全局的能見度，並且可以降低風險。

此項資安解決方案套餐本身內含動態框架，可適用於企業內部環境與雲端環境，提供因應資安威脅的情報，並透過減少攻擊面與保護全部的應用程式、工作負載，協助持續改善資安態勢。

Breach Protection能夠運用基於資料、AI驅動的防護機制、整合第三方廠商的資安解決方案，使SOC分析人員快速偵測與因應各種進階威脅，像是勒索軟體、內部威脅、未知惡意軟體，以及資料外洩，提供加速應變的能力，以及簡化的操作體驗，從而處理複雜的資安威脅。

舉例來說，企業能藉此橫跨電子郵件、端點、網路、雲端等多種環境，掌握整體資安能見度，並且進行相關的控制，從而強化威脅偵測與提升資安維運處理的流暢。

關於套餐競爭優勢，思科在今年2月強調，最明顯的好處是透過單一供應商、單一產品編號（PID）或存貨單位（SKU）的形式，而且，套餐的授權計價結構很單純，是以每個使用者來估算，能夠更方便地因應所有重要客戶的聯繫與安全需求，提供完整功能。

而且，相較於需同時面對多家供應商與不同類型的解決方案，思科在此實作的產品與技術整合機制，可大大降低複雜度，有效提升能見度與控制能力，進而強化監控與管理效率，帶來更理想的用戶體驗、增加用戶黏著度，對於採用思科套餐的資安代管服務業者（MSSP）而言，也能提升自身獲利能力與利潤。

除此之外，對比於個別訂購產品，資安代管服務業者若能採用思科供應的單一套餐，思科宣稱成本可節省53％，因為可簡化採購流程、初始設定、整合、管理設定、技術支援，以及產品更新等工作。

事前預防：思科針對不同地點、用各種裝置的使用者，提供防護

首先思科主推的資安雲方案是保護「使用者」相關面向的套餐，當中涵蓋的產品線，主要有Duo、Secure Access、Secure Email Threat Defense、Secure Endpoint，可針對多因素身分認證（MFA）、應用程式與網路存取（SSE）、電子郵件，以及端點裝置使用（桌上型電腦、筆電、工作站、伺服器）等各個環節，協助企業與組織獲得這個防護層面的能見度與安全性保障。

User Protection可選用2種服務層級：Essentials、Advantage，前者囊括的產品有Duo、Secure Access、Secure Email Threat Defense，後者額外提供Secure Endpoint。

以存取防護而言，思科可在員工存取應用程式或網際網路時，提供安全、高度整合而流暢的操作體驗，無論他們使用任何裝置、這些裝置屬於列管或非列管狀態，以及從內部網路、分支辦公室、家庭或其他地方連入，均可適用，這個套餐會協助管理過程中的每一個部分，無論是連至應用程式、進行身分認證獲得許可，並且提供環繞在使用者體驗的洞察分析，也能透過雲端服務的形態，輕鬆提供這些功能的使用。

針對不同安全連線技術的使用，思科User Protection標榜能順利進行處理這些狀況，減少無謂的操作，例如，用於遠端存取時，可使用VPN、ZTNA的架構，而面對多種遠端網路與雲端服務應用程式的存取時，可提供單一登入整合（SSO）。在此同時，思科也結合基於風險評估而成的身分認證AI引擎，能夠辨識各種受到信任的狀況，人員工作時須頻繁進行身分認證的次數，得以有效減少，而當明確的身分認證受到批准，搭配思科的無密碼身分認證，可大幅簡化驗證程序，例如，只需用手指碰觸指紋辨識器或插上YubiKey這類行動身分驗證裝置。

User Protection Suite可涵蓋各種應用程式、裝置、地點的存取安全，能針對混合工作環境的使用者，提供抵抗網路威脅的能力，圖中的Secure Access是這個套餐必備的資安解決方案。

在應用情境的涵蓋上，思科User Protection可協助企業與組織驗證各種類型的裝置，無論是單位列管、開放自帶裝置（BYOD），或是通過內部安全查核而註冊、經由第三方安全查核而註冊，可涵蓋企業、約聘人員、合作廠商等類型使用者，均能以密碼學的防護處理，將使用者與裝置進行綁定，協助推展零信任策略，並且依各自需要的步調進行，提供零摩擦的存取體驗。

對於可能受到攻擊的層面（Attack Surface）的掌握，思科本身具有服務30萬個客戶的Talos Intelligence網路威脅情報平臺，每天處理5千5百億起資安事件與280萬個惡意軟體樣本，而基於這樣龐大的遙測能力，可持續識別風險與改善企業、組織的資安態勢，思科User Protection均可整合到用戶環境當中，減少可被攻擊的弱點、增進保護，並支援不同使用者、應用程式、裝置的應用。

在使用者存取系統、應用程式、網路服務的行為上，思科User Protection可協助改善能見度與控管能力，減少各自獨立、互不相通的資訊孤島存在。企業與組織能透過這樣的共同平臺，解決各個環節出現的問題，限制員工擅自使用各種工具狀況的擴散，降低系統管理的複雜度與日常負擔，同時，也可以簡化購買與管理這些工具的流程，透過當中提供的儀表板介面，促進作業順暢度，並且支援日益精簡的IT與資安人力，而得以在減少維運成本之餘，使整個團隊的運作更有效率、透過更有戰略的方式來推動各種業務進行。

事中偵測與應變：思科簡化資安維運作業與提升事故處理速度

為了因應持續進化的網路攻擊手法，思科推出Breach Protection Suite套餐，提供廣泛理解各種侵襲模式的解決方案，因為當中可透過即時對應MITRE ATT&CK框架的方式，掌握觀察到的敵對行為所屬的戰略、伎倆及程序（TTPs）。

思科表示，Breach Protection可選用3種服務層級：Essentials、Advantage、Premier（2024年之後新增），能分別滿足不同規模組織的需求，提供一系列防護機制，確保能完整涵蓋這個範圍的資安控管。

首先是基礎型解決方案Breach Protection Essentials，裡面結合電子郵件安全防護Secure Email Threat Defense、端點偵測與應變系統（EDR）Secure Endpoint Advantage、延伸偵測與應變系統（XDR）XDR Essentials，提供可立即使用的產品與服務包裝。

思科之所以這樣的搭配，主要是因為絕大多數的網路攻擊，仍舊利用網釣郵件來傳遞濫用端點系統漏洞的惡意軟體，或透過端點應用程式、以寄生攻擊（Living-Off-the Land，LOL）的方式，有些會趁機提升可執行的權限，植入與維持惡意軟體的存在，有些則是經由橫向移動的方式，設法搜刮內部網路的各種數位資產（traverse laterally），對此Breach Protection Essentials的威脅偵測與應變機制，可處理上述的網路攻擊類型，以及Wizard Spider、Sandworm這類駭客團體。

Breach Protection Suite可協助企業進行資安事故的調查、處理優先順序排列，以及善後等工作，透過大數據的彙整與分析，提供統一的防禦、交代前後脈絡的深層分析功能，圖中的Cisco XDR是這個套餐必備的資安解決方案。

若有進階防護需求，思科提供Breach Protection Advantage等級的解決方案，可涵蓋每個企業與組織可能面臨的所有網路攻擊，尤其是針對同時擁有IT、OT、IIoT的複雜環境，或是BlackTech、Volt Typhoon、Jaguar Tooth這類國家級駭客發動的精密攻擊。這個套餐結合網路型資安防護技術，能偵測位於雲端與企業內部環境的基礎架構威脅，能照應當前資安業界已知的所有網路攻擊類型。這個層級的Breach Protection套餐，同樣提供電子郵件安全防護Secure Email Threat Defense，端點偵測與應變系統搭配進階的Secure Endpoint Premier、延伸偵測與應變系統搭配進階的XDR Advantage，再加上Secure Network Analytics（前身為Stealthwatch）、Telemetry Broker，提供可立即使用的產品與服務包裝。

對於想要獲得上述所有防護、本身卻沒有足夠資安人力，或是想要完全將SOC委外的企業與組織而言，思科供應的解決方案是Breach Protection Premier，可協助管理資安維運作業，或是將代管的多種資安服務包裝起來，從中負責保管事故因應的相關資訊，提供滲透測試服務、執行紅隊／藍隊／紫隊組建服務，以及代為處理威脅的偵測與應變工作。

關於Cisco Security Cloud的產品涵蓋名單，思科在2023年10月底正式公開，區分為3大套餐，其中的User Protection與Cloud Protection均提供基礎版（Essentials）與進階版（Advantage），Breach Protection原本也是如此，但後來擴充至3種包裝，額外提供尊爵版（Premier）。

而在套餐組成方式上，Breach Protection Premier搭配更多解決方案，不僅具備Breach Protection Essentials、Breach Protection Advantage這兩個層級的產品陣容，也提供代管延伸偵測與應變服務（MDR）、資安事故應變服務Talos Incident Response，以及資安態勢評估服務Technical Security Assessment。

值得注意的是，Cisco Breach Protection Premier也適用於目前已採用第三方資安產品的企業與組織，可獲取同樣的技術成果。不過，思科也表示，若選用這個套餐，企業與組織能得到很大優惠的財務使用條款與總體持有成本，而不需要處理接合多家第三方廠商解決方案，以及透過多種主控臺進行管理的問題。

因應企業大規模採用混合雲與多雲架構，提供全面資安防護

隨著企業上雲的潮流勢不可擋，如何在單雲、多雲、混合雲等不同環境確保資安，成為整體防護規畫的大難題，此時雖然能支援快速的應用程式開發與部署，但日常營運會面臨許多挑戰，例如，可受到攻擊的層面擴大、系統運作與資安狀態的能見度喪失，以及IT資源的不足。對此，許多資安廠商都呼籲，從開始上雲之際，就要採用涵蓋各種網路威脅的防治，且內建資安防護的單一解決方案，並且搭配使企業與組織得以安全穩定成長的框架。

對於思科而言，他們目前可提供多面向的防護方法，結合彼此互補的解決方案，有助於減少攻擊面、保護在不同位置執行的應用程式，簡化在多雲、混合雲環境進行資安維運工作的複雜度，並幫助資安團隊獲得合適的資源而達到目標，促使企業與組織的業務成長。

而在Cloud Protection套餐當中，思科表示，將會提供單一操作介面，用於橫跨多種雲端環境的管理與部署資安控制。IT人員只需編寫一次控管原則，運用這套解決方案內建的自動化處理與調度指揮，即可將這條政策部署到4大公有雲業者的服務，如此能大幅減少因為管理雲端網路安全而衍生的常態作業成本開支，以及教育訓練負擔。

同時，Cloud Protection本身採用中立而非專屬特定雲端平臺的技術，可抑制搭配工具數量增加的狀況，提供能夠彈性使用的框架，而能在不同環境保護各種工作負載執行的應用程式。之後，企業與組織就能快速登記新的雲端服務帳號，以便合併或新增更多業務，並以此確保可以遵循整體資安的要求。

除此之外，Cloud Protection也能整合到應用程式的開發與部署流程，促使這些系統建置的初期，就已內建資安防護。目前，思科預設提供超過100種API與整合機制，可輕鬆嵌入既有或新設的系統與數位資產，後續對於存在其中的資安弱點與攻擊面，能夠做到更深入的掌控。

關於解決方案的組成，思科Cloud Protection目前匯集多種產品與技術，統合在單一框架，企業目前可選用2種服務層級：Essentials、Advantage，前者包含的產品，有Multicloud Defense（前身為Valtix）、Secure Workload（前身為Tetration）、Vulnerability Management（前身為Kenna.VM），後者額外提供Cloud Application Security（前身為Panoptica），以及Attack Surface Management（前身為Cisco Secure Cloud Insights）。