安全咨詢與研究公司NSS Labs發(fā)現(xiàn)，起始于企業(yè)網(wǎng)絡(luò)邊界，結(jié)束于桌面系統(tǒng)的各層網(wǎng)絡(luò)中所使用的惡意軟件捕捉技術(shù)總是難以追上它們利用漏洞的速度。

在對(duì)企業(yè)安全中使用的所有主要技術(shù)進(jìn)行測(cè)試后，NSS發(fā)現(xiàn)，仍然有1800種嚴(yán)重惡意軟件總是能夠通滲透各種組合的安全產(chǎn)品。

一般情況下，典型的分層防御包括幾種不同的防火墻、入侵防御系統(tǒng)（IPS），下一代防火墻，以及臺(tái)式機(jī)或筆記本電腦上的瀏覽器安全防護(hù)以及桌面殺毒軟件等。

NSS研究總監(jiān)Frank Artes說(shuō)：“無(wú)論我在安全層中添加多少安全殺傷鏈，總是會(huì)有惡意軟件通過(guò)。”‘殺傷鏈’指的是本應(yīng)在某一安全層中被捕獲或者殺死（清除）的惡意軟件，如果被漏掉了，那么將由下一層執(zhí)行該操作。

被各種安全層技術(shù)測(cè)試過(guò)的惡意軟件都有一個(gè)CVE編號(hào)，這就說(shuō)明他們能夠利用那些漏洞進(jìn)行系統(tǒng)感染。有些惡意軟件在半年后依然不能被IPS、防火墻等安全產(chǎn)品識(shí)別出來(lái)。

NSS并沒(méi)有研究每個(gè)產(chǎn)品為什么會(huì)遺漏某種特定的惡意軟件。在通常情況下，之所以成為失敗的安全產(chǎn)品則是因?yàn)槟切阂廛浖c技術(shù)數(shù)據(jù)庫(kù)中的簽名不匹配。沒(méi)有匹配的原因是惡意軟件變種會(huì)利用先前未知的漏洞代碼進(jìn)行攻擊，最終則能夠通過(guò)防病毒軟件和其它安全軟件。

NSS建立了一種模型，通過(guò)此模型可以讓用戶測(cè)試多種技術(shù)組合并讓人觀察到能夠橫跨幾層的惡意軟件。對(duì)于那些想要尋找替代技術(shù)的企業(yè)來(lái)說(shuō)，該模型有助于企業(yè)在使用新產(chǎn)品時(shí)對(duì)現(xiàn)有技術(shù)的配置進(jìn)行執(zhí)行調(diào)整。

然而，NSS所顯示的結(jié)果并不是說(shuō)分層技術(shù)是無(wú)用的。“安全分層仍然是最合乎邏輯意義的。”Artes說(shuō)，“然而現(xiàn)實(shí)與理論總是存在著差異，因?yàn)槭袌?chǎng)上推出的那些不同層面的安全模型產(chǎn)品往往無(wú)法達(dá)到廠商們所宣傳的效果。”

安全專家指出，依據(jù)近期的韓國(guó)銀行