縱深防御模式是保護(hù)企業(yè)的最佳方法是沒有爭議的。但是，哪一層最重要?有人說，應(yīng)用層是最為關(guān)鍵的一環(huán)，而且這種說法也有一定依據(jù)(這是未來的爭論?)。但是，我們這里考察兩個更普通的方法：網(wǎng)絡(luò)層與端點。

觀點1：網(wǎng)絡(luò)層更重要，可提供處境意識

NitroSecurity重要基礎(chǔ)設(shè)施市場主管Eric Knapp稱，雖然端點安全是縱深防御態(tài)勢的一個重要組成部分，但是，網(wǎng)絡(luò)層是最重要的，因為它能幫助消除進(jìn)入服務(wù)器、主機和其它資產(chǎn)的入站惡意代碼，同時提供一個極好的活動監(jiān)視基礎(chǔ)以改善我們的整體處境意識。

當(dāng)網(wǎng)絡(luò)和主機安全都增強的時候，最終產(chǎn)生的安全“大塊糖”是攻擊者很難咬動的。這是重要的，因為雖然應(yīng)用程序白名單和其它技術(shù)的推出顯著改善了端點安全，但是，我們的系統(tǒng)和設(shè)備種類太多并且相互連接太多，不能保證主機安全措施百分之百地普遍應(yīng)用和百分之百地有效。端點安全防護(hù)措施中的一個薄弱環(huán)節(jié)就可能為攻擊者創(chuàng)造一個灘頭陣地。因此，對于網(wǎng)絡(luò)上的一切東西的相互連接有一個全面的觀點是重要的。

安全測驗

當(dāng)然，網(wǎng)絡(luò)安全不是一個新技術(shù)。甚至使用單向網(wǎng)關(guān)(網(wǎng)絡(luò)層相當(dāng)于應(yīng)用白名單。在那里，在物理層將提供絕對的保護(hù))，也有可能繞過一個增強的網(wǎng)絡(luò)外殼，暴露網(wǎng)絡(luò)主機的內(nèi)部狀況。然而，網(wǎng)絡(luò)是公分母，是所有的系統(tǒng)、應(yīng)用程序和服務(wù)的紐帶。通過適當(dāng)?shù)乇O(jiān)視網(wǎng)絡(luò)，可以發(fā)現(xiàn)大規(guī)模的威脅。主機本身會更安全。

使用防火墻和入侵防御系統(tǒng)等標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全設(shè)備的積極保護(hù)是開端。使用入侵檢測系統(tǒng)、網(wǎng)絡(luò)流量分析以及網(wǎng)絡(luò)行為分析工具、記錄管理和安全信息與事件管理(SIME)系統(tǒng)等更全面的系統(tǒng)實施的網(wǎng)絡(luò)活動監(jiān)視將豐富端點保護(hù)設(shè)備和提供更廣泛的威脅檢測能力。

換句話說，基于網(wǎng)絡(luò)的安全不僅僅是一層防御，它是獲得處境意識的要點，向安全分析人士顯示所有這些離散的主機安全事件如何相互關(guān)聯(lián)，與重要的安全以及企業(yè)的遵守法規(guī)政策有什么關(guān)系。

當(dāng)正確地使用的時候，網(wǎng)絡(luò)層安全信息能夠與主機上的應(yīng)用白名單一起使用以便創(chuàng)建更好的東西。在倫敦召開的SANS研究所安全會議上首次出現(xiàn)的詞匯“智能名單”引進(jìn)了這樣一個概念，就是使用主機上的應(yīng)用程序白名單代理程序中的安全事件完成網(wǎng)絡(luò)安全設(shè)備的反饋回路。網(wǎng)絡(luò)安全設(shè)備通常根據(jù)黑名單封鎖通訊或者定義特征。這些特征告訴防火墻或者入侵防御系統(tǒng)我們所知道的壞東西。

當(dāng)一個另日攻擊漏洞經(jīng)過這些黑名單防御并且攻擊使用某些應(yīng)用控制保護(hù)的主機時，這個利用安全漏洞的攻擊將被阻止并且被記錄下來細(xì)節(jié)。

但是，那個利用安全漏洞的攻擊來自哪里?它是一個內(nèi)部的威脅，還是來自另一個國家的更高級的攻擊?它是如何通過網(wǎng)絡(luò)層安全控制的?回答這些問題的唯一的途徑是查看網(wǎng)絡(luò)本身，特別是查看網(wǎng)絡(luò)層安全事件以及網(wǎng)絡(luò)流信息。

當(dāng)我們看到某些東西試圖在一個保護(hù)的主機上執(zhí)行應(yīng)用程序的惡意企圖的時候，我們能夠由直覺知道這個應(yīng)用程序是惡意的并且相應(yīng)地調(diào)整我們的黑名單。換句話說，我們根據(jù)從主機上獲得的情報和在網(wǎng)絡(luò)層的環(huán)境中進(jìn)行的評估創(chuàng)建一個我們推斷是惡意的“智能名單”。

只有使用這種水平的自動化智能和網(wǎng)絡(luò)層得意識才能用網(wǎng)絡(luò)層安全控制檢測出最高級的攻擊并且把這些攻擊封鎖在網(wǎng)絡(luò)周圍。因為如果網(wǎng)絡(luò)讓這個攻擊進(jìn)入，這個攻擊最終將找到自己的灘頭陣地：沒有很好地保護(hù)的臺式電腦、服務(wù)器、打印機或者一些其它設(shè)備。

有許多隱蔽的、變異的和高級的惡意軟件。因此，如果一個攻擊成功地登陸，它將在發(fā)現(xiàn)漏洞之前攻破系統(tǒng)。當(dāng)網(wǎng)絡(luò)和主機安全是堅固的，攻擊者就很難咬動這個安全的大塘塊。#p#

觀點2：網(wǎng)絡(luò)安全完全取決于端點

Sophos技術(shù)戰(zhàn)略主管James Lyne稱，急劇變化的攻擊方式、漫游用戶、過多的需要保護(hù)的平臺和對更多的數(shù)據(jù)進(jìn)行加密的日益增長的需求是讓端點安全成為提供安全的重要控制措施的因素。

加密因素本身就迫使人們改變思維方式。在傳輸或者數(shù)據(jù)層進(jìn)行加密，基于網(wǎng)絡(luò)的檢測將變的不現(xiàn)實，使網(wǎng)絡(luò)設(shè)備無法做自己的工作。另一方面，端點能夠看到加密前的數(shù)據(jù)，允許對通訊進(jìn)行性能檢測。

而且，在端點有更多的環(huán)境背景用于安全活動。這個因素越來越重要。目前在Sophos實驗室，我們每天看到9.5萬個單個的惡意代碼，每一秒鐘能夠發(fā)現(xiàn)一個新的被感染的網(wǎng)頁，惡意軟件的數(shù)量和質(zhì)量在過去的幾年里驚人地增長。在過去的25年里一直使用的基于內(nèi)容的檢測技術(shù)對于這種大量的惡意代碼正在日益失效。在端點，應(yīng)用程序、數(shù)據(jù)、行為和系統(tǒng)健康的可見性可用于做出更準(zhǔn)確的決策和更好的預(yù)先防御。

比較一個例子，設(shè)法識別和阻止Skype的任務(wù)(還沒有惡意代碼那樣復(fù)雜)。你在端點可以簡單地識別出Skype.exe(使用各種機制)。而要在網(wǎng)絡(luò)中實現(xiàn)這個目的，你需要解碼數(shù)據(jù)包。由于數(shù)據(jù)包有數(shù)千種格式，這個任務(wù)是很困難的。惡意代碼經(jīng)常偽裝成合法通訊的其它格式。

更多的用戶還從路上訪問數(shù)據(jù)和應(yīng)用程序，目前在許多情況下是使用云服務(wù)。如果這個通訊沒有回程通過企業(yè)，網(wǎng)絡(luò)安全就失去了過去在外圍和網(wǎng)絡(luò)結(jié)構(gòu)上提供的可見性。因此，無論設(shè)備在什么地方都需要擁有檢查被感染的網(wǎng)站的URL地址等一些安全能力，即使這個設(shè)備不在網(wǎng)絡(luò)上的時候也要有這種能力。端點和基于云的保護(hù)能夠?qū)崿F(xiàn)這個目的。

然而，網(wǎng)絡(luò)安全比端點安全更容易部署，因為企業(yè)能夠在網(wǎng)絡(luò)的幾個地方部署安全措施，不用在每一臺PC上部署安全措施。然而，當(dāng)安全出行錯誤或者一臺設(shè)備被感染的時候，端點保護(hù)可提供清除惡意代碼和避免損失或者緩解問題的能力。這是網(wǎng)絡(luò)層安全做不到的。

公平地說，在端點是一個不停的戰(zhàn)斗，因為許多惡意軟件的設(shè)計都是要關(guān)閉端點安全軟件。從網(wǎng)絡(luò)監(jiān)測惡意軟件沒有這個問題。好消息是：在端點的惡意軟件在試圖感染其它軟件或者撥號回家的時候能夠被監(jiān)測出來。

總之，這兩種形式的安全對于防止現(xiàn)代的威脅都是很重要的。過去在網(wǎng)絡(luò)上提供的一些安全功能需要過渡到端點，以便提供有效性和兼容新的大量的漫游用戶。

相反，網(wǎng)絡(luò)解決方案能夠覆蓋不可能部署代理程序的設(shè)備、來訪客戶或者被惡意軟件關(guān)閉了端點軟件的系統(tǒng)。在網(wǎng)絡(luò)解決方案中，網(wǎng)絡(luò)級的攻擊和嗅探更容易發(fā)現(xiàn)。

由于有這樣大量的惡意軟件和更多的有針對性的攻擊，你運行的層次越多，你撒下的捕捉網(wǎng)絡(luò)犯罪分子的網(wǎng)就越大。在未來幾年里，許多安全傳統(tǒng)將受到挑戰(zhàn)并且被改變。但是，這兩種方法將繼續(xù)提供價值。

傳統(tǒng)的端點和網(wǎng)絡(luò)安全一直被不同的團(tuán)隊當(dāng)作隔離的區(qū)域。為了應(yīng)對更廣泛的威脅和新的設(shè)備，讓它們配合工作以便提供更好的安全是有許多好處的。在網(wǎng)絡(luò)、端點和云之間共享信息毫無疑問是現(xiàn)代安全的發(fā)展方向。