啟用新的安全模式勢在必行

當(dāng)前的威脅環(huán)境完全不同于 10 年前。那些損害可控的簡單攻擊早已讓位于高度復(fù)雜、資金基礎(chǔ)雄厚且能對(duì)組織和國家基礎(chǔ)設(shè)施造成重創(chuàng)的現(xiàn)代網(wǎng)絡(luò)犯罪。這些高級(jí)攻擊不僅難以檢測，而且還會(huì)長時(shí)間留在網(wǎng)絡(luò)內(nèi)，積累網(wǎng)絡(luò)資源，以便在其他地方發(fā)動(dòng)攻擊。

完全依賴檢測與攔截來實(shí)現(xiàn)防護(hù)的傳統(tǒng)防御措施已經(jīng)遠(yuǎn)遠(yuǎn)不夠。目前的形勢要求啟用新的安全模式，在攻擊前、攻擊中和攻擊后的整個(gè)過程中提供保護(hù)。

黑客活動(dòng)的產(chǎn)業(yè)化

最早的電腦病毒出現(xiàn)距今已超過 25 年。當(dāng)時(shí)幾乎沒有人意識(shí)到，它們會(huì)成為黑客活動(dòng)產(chǎn)業(yè)化的開端。

近 10 年來，病毒一直是主要的攻擊方式。隨著時(shí)間的推移，防御者在很大程度上能夠依靠攔截和防護(hù)能力來對(duì)抗這些病毒。隨著新漏洞不斷被發(fā)現(xiàn)和公布，攻擊者獲得了惡名，但也積累了越來越多的知識(shí)，這使得他們一直在不斷創(chuàng)新。隨之而來的，是清晰的威脅周期，也可以說，這是一種“軍備競賽”。大約每隔五年，攻擊者們就會(huì)推出新型的威脅(從宏病毒到蠕蟲病毒，再到間諜軟件和 rootkit)，而防御者們則會(huì)快速創(chuàng)新，以保護(hù)網(wǎng)絡(luò)免受這些威脅的損害。

毫無疑問，我們可以把這些周期與那些帶來新攻擊載體的主要技術(shù)轉(zhuǎn)變對(duì)應(yīng)起來(見圖 1)。早期的病毒主要是以操作系統(tǒng)為目標(biāo)，并通過“潛入者網(wǎng)絡(luò)”進(jìn)行傳播。宏病毒利用用戶的文件共享進(jìn)行傳播。蠕蟲類型的病毒利用企業(yè)網(wǎng)絡(luò)和不斷增加的互聯(lián)網(wǎng)活動(dòng)，在不同計(jì)算機(jī)之間傳播。間諜軟件和 rootkit 則伴隨新的應(yīng)用、設(shè)備和在線社區(qū)出現(xiàn)。現(xiàn)在，我們面對(duì)的是高級(jí)惡意軟件、針對(duì)性攻擊和高級(jí)持續(xù)性威脅 (APT)。這個(gè)時(shí)代與過去的不同在于攻擊背后的動(dòng)機(jī)與工具，這使得檢測、了解和阻止這些攻擊變得非常困難。

圖 1. 黑客活動(dòng)的產(chǎn)業(yè)化

黑客活動(dòng)的產(chǎn)業(yè)化正在創(chuàng)造一種更快、更有效且更高效的犯罪經(jīng)濟(jì)，他們會(huì)通過攻擊我們的 IT 基礎(chǔ)設(shè)施獲取利益。有組織的漏洞交易非常猖獗且利益可觀，而開放的市場更是推動(dòng)了從利用漏洞到盜竊、破壞和損毀數(shù)據(jù)的轉(zhuǎn)變。而且，隨著網(wǎng)絡(luò)罪犯意識(shí)到可以從中獲取巨額的資金，他們的工作變得越來越標(biāo)準(zhǔn)化、自動(dòng)化和流程化。攻擊者了解傳統(tǒng)安全技術(shù)的靜態(tài)特性及其相互獨(dú)立的部署，因此他們可以利用兩者之間的缺口及其內(nèi)部的漏洞。黑客集團(tuán)遵循軟件開發(fā)流程甚至成了司空見慣的事情，比如他們會(huì)在發(fā)布自己的產(chǎn)品前針對(duì)安全技術(shù)進(jìn)行質(zhì)量保證測試或工作臺(tái)測試，以確保能夠繼續(xù)繞過常規(guī)防護(hù)。

現(xiàn)在，由于存在保密性方面的巨額經(jīng)濟(jì)獎(jiǎng)勵(lì)，許多“黑客活動(dòng)分子”團(tuán)隊(duì)因此會(huì)發(fā)動(dòng)能夠?yàn)樗麄儙斫?jīng)濟(jì)或政治收益而又極少會(huì)招致懲罰或起訴的攻擊。新的攻擊方法(例如：端口和協(xié)議跳躍、加密隧道、植入程序、以及使用社交工程和零日攻擊的復(fù)合型威脅和技術(shù))使得黑客能夠更加輕松迅速地入侵，且成本更低，同時(shí)也增加了防御者檢測和攔截攻擊的難度。另外，這些方法還具有巧妙逃避的特性，因此，攻擊能夠自己在入侵企業(yè)后迅速變化，尋找穩(wěn)固的立足點(diǎn)并竊取重要數(shù)據(jù)。#p#

“全面互通”挑戰(zhàn)

現(xiàn)代的擴(kuò)展網(wǎng)絡(luò)及其組件在不斷地變化，并造就了新的攻擊媒介。其中包括移動(dòng)設(shè)備、具備網(wǎng)絡(luò)功能的移動(dòng)應(yīng)用、虛擬機(jī)監(jiān)控程序、社交媒體、網(wǎng)絡(luò)瀏覽器和嵌入式計(jì)算機(jī)，以及我們初步構(gòu)想的由萬物互聯(lián)所帶來的數(shù)量激增的各種設(shè)備和服務(wù)。人們需要使用各種設(shè)備、訪問各種應(yīng)用并使用許多不同的云，因此總是與網(wǎng)絡(luò)息息相關(guān)。這種普及性就是所謂的“全面互通”挑戰(zhàn)。這些動(dòng)態(tài)性在方便我們的通信的同時(shí)，也增加了可讓黑客用以入侵的入口點(diǎn)和方法。遺憾的是，大多數(shù)組織處理安全問題的方法尚未實(shí)現(xiàn)統(tǒng)一。

大多數(shù)組織采用相互獨(dú)立的技術(shù)來保護(hù)擴(kuò)展網(wǎng)絡(luò)，這些技術(shù)不會(huì)也無法協(xié)同工作。他們還可能過分地依賴云安全服務(wù)供應(yīng)商和托管公司來保護(hù)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施。在這一新的現(xiàn)實(shí)情況下，安全管理員往往對(duì)訪問企業(yè)網(wǎng)絡(luò)的設(shè)備和應(yīng)用具有較低的可視性和可控性，而且能力不足以應(yīng)對(duì)新的威脅形勢。

新的安全動(dòng)態(tài)

面對(duì)高級(jí)攻擊和任意點(diǎn)對(duì)點(diǎn)基礎(chǔ)設(shè)施共同帶來的挑戰(zhàn)，安全專業(yè)人員提出了三大問題：

1. 伴隨著新的業(yè)務(wù)模式和攻擊媒介的出現(xiàn)，我們?nèi)绾卧?IT 形勢不斷變化時(shí)保持安全性和合規(guī)性?那些為了獲得云、虛擬化或移動(dòng)技術(shù)所提供的工作效率、靈活性與效率而過渡到這些設(shè)備的組織，必須對(duì)其安全基礎(chǔ)設(shè)施進(jìn)行相應(yīng)地調(diào)整。

2. 在不斷變化的威脅形勢下，我們?nèi)绾翁岣吣芰沓掷m(xù)防御新的攻擊媒介和日益復(fù)雜的威脅?攻擊者不會(huì)區(qū)別對(duì)待;他們會(huì)抓住該鏈條中的任何薄弱環(huán)節(jié)。他們會(huì)頻繁使用專為規(guī)避目標(biāo)所選擇的安全基礎(chǔ)設(shè)施而開發(fā)的工具，毫不留情地攻擊相應(yīng)環(huán)節(jié)。他們會(huì)使用那些危害表現(xiàn)極其細(xì)微的技術(shù)和方法，在規(guī)避檢測方面竭盡全力。

3. 我們?nèi)绾尾拍軌蚪鉀Q前兩個(gè)問題并同時(shí)降低安全解決方案的復(fù)雜性與凌亂性?留下可被當(dāng)今經(jīng)驗(yàn)豐富的攻擊者利用的防護(hù)缺口，將會(huì)給組織帶來難以承受的代價(jià)。同時(shí)，由于未進(jìn)行集成的不同安全解決方案而增加復(fù)雜性，無法提供應(yīng)對(duì)高級(jí)威脅所需的防護(hù)水平。

這些動(dòng)態(tài)性(不斷變化的業(yè)務(wù)模式、威脅形勢和安全的復(fù)雜性與凌亂性)的結(jié)合，造成了安全漏洞，打破了安全周期，降低了可視性，并帶來了安全管理挑戰(zhàn)。為了真正保護(hù)企業(yè)應(yīng)對(duì)這些動(dòng)態(tài)性，我們需要改變我們的安全方法。因此，啟用以威脅為中心的全新安全模式勢在必行。#p#

應(yīng)對(duì)整個(gè)攻擊過程：攻擊前、攻擊中和攻擊后

當(dāng)今的大多數(shù)安全工具都專注于提供網(wǎng)絡(luò)可視性，并在進(jìn)入點(diǎn)攔截惡意軟件。它們會(huì)在開始階段對(duì)文件進(jìn)行一次掃描，以確定其是否為惡意文件。但高級(jí)攻擊并不限于單個(gè)時(shí)間點(diǎn);而是持續(xù)不斷地發(fā)生，這就需要我們提供持續(xù)的審查?，F(xiàn)在，攻擊者采用諸如端口跳躍、封裝、零日攻擊、命令和控制 (C&C) 檢測規(guī)避、休眠技術(shù)、橫向移動(dòng)、加密流量、復(fù)合型威脅以及沙盒規(guī)避等手段，來躲避初始檢測。如果未捕捉到相應(yīng)的文件或文件在進(jìn)入相應(yīng)環(huán)境后才發(fā)展演變成惡意文件，在某個(gè)時(shí)間點(diǎn)進(jìn)行檢測的技術(shù)將無法識(shí)別攻擊者的后續(xù)演變活動(dòng)。

安全方法不能只專注于檢測，它還必須具備降低攻擊者侵入后所造成影響的能力。組織需要全面檢查他們的安全模式并獲得整個(gè)擴(kuò)展網(wǎng)絡(luò)和攻擊過程(攻擊發(fā)生前、攻擊發(fā)生過程中以及攻擊開始破壞系統(tǒng)或竊取信息后)的可視性和可控性(見圖 2)。

圖 2. 新安全模式

● 攻擊前：為了實(shí)施策略和控制以防護(hù)擴(kuò)展網(wǎng)絡(luò)，防御者需要對(duì)擴(kuò)展網(wǎng)絡(luò)上的事物具有全面的感知與可視性。

● 攻擊中：持續(xù)檢測并攔截惡意軟件的能力至關(guān)重要。

● 攻擊后：為了消除攻擊的影響，防御者需要追溯性安全功能。他們必須識(shí)別進(jìn)入點(diǎn)，確定范圍，遏制威脅，降低再次感染的風(fēng)險(xiǎn)并修復(fù)破壞的部分。

攻擊前

面對(duì)情景感知型攻擊者，我們需要情景感知安全產(chǎn)品。組織面對(duì)的攻擊者往往比他們自己更了解他們所保護(hù)的基礎(chǔ)設(shè)施。為了在攻擊發(fā)生之前進(jìn)行防御，組織需要具有對(duì)自身環(huán)境(包括[但不限于]物理和虛擬主機(jī)、操作系統(tǒng)、應(yīng)用、服務(wù)、協(xié)議、用戶、內(nèi)容和網(wǎng)絡(luò)行為)的全面可視性，以期在與攻擊者的對(duì)抗中獲得信息優(yōu)勢。防御者需根據(jù)目標(biāo)價(jià)值、攻擊的合法性及歷史情況，了解基礎(chǔ)設(shè)施所面臨的風(fēng)險(xiǎn)。如果不明白自己在努力保護(hù)什么，他們對(duì)于配置用來進(jìn)行防御的安全技術(shù)將會(huì)毫無準(zhǔn)備?？梢曅孕枰采w整個(gè)網(wǎng)絡(luò) - 包括終端、電子郵件和 Web 網(wǎng)關(guān)、虛擬環(huán)境和移動(dòng)設(shè)備，并延伸到數(shù)據(jù)中心。而且從這種可視性中，必須能夠生成可指導(dǎo)操作的警報(bào)，以便防御者做出明智決策。

攻擊中

嚴(yán)酷的攻擊并不限于單個(gè)時(shí)間點(diǎn);而是持續(xù)不斷地發(fā)生的。這就需要我們提供持續(xù)的安全防護(hù)。傳統(tǒng)的安全技術(shù)僅能基于攻擊本身的單個(gè)數(shù)據(jù)點(diǎn)在某個(gè)時(shí)間點(diǎn)檢測攻擊。這種方法是無法與高級(jí)攻擊相抗衡的。我們需要的是基于感知概念的安全基礎(chǔ)設(shè)施：集成并關(guān)聯(lián)歷史模式擴(kuò)展網(wǎng)絡(luò)的數(shù)據(jù)與全局攻擊情報(bào)，從而提供情景并區(qū)分主動(dòng)攻擊、外泄和偵察與單獨(dú)的背景噪聲。這使得安全防護(hù)從一種某個(gè)時(shí)間點(diǎn)的測試轉(zhuǎn)變成一種持續(xù)的分析與決策制定過程。如果某個(gè)文件通過了安全檢測，后來又表現(xiàn)出惡意行為，那么組織就可以采取措施。有了這種實(shí)時(shí)洞察，安全專業(yè)人員可以在不進(jìn)行人工干預(yù)的情況下，采用情報(bào)自動(dòng)化來強(qiáng)化安全策略。

攻擊后

為了應(yīng)對(duì)整個(gè)攻擊過程，組織需要追溯性安全功能。追溯性安全功能是一項(xiàng)巨大的數(shù)據(jù)挑戰(zhàn)，很少有產(chǎn)品能夠提供這種功能。當(dāng)基礎(chǔ)設(shè)施能夠不斷收集和分析數(shù)據(jù)來創(chuàng)建安全情報(bào)時(shí)，安全團(tuán)隊(duì)可以通過自動(dòng)化來識(shí)別危害表現(xiàn)，檢測那些復(fù)雜程度足以改變自身行為來躲避檢測的惡意軟件，然后修復(fù)相應(yīng)的問題。數(shù)周或數(shù)月前未被檢測出的攻擊都可以被識(shí)別、確定范圍、遏制和修復(fù)。

以威脅為中心的安全模式可幫助組織應(yīng)對(duì)整個(gè)攻擊過程，處理所有攻擊媒介并隨時(shí)、時(shí)時(shí)、實(shí)時(shí)進(jìn)行響應(yīng)。#p#

啟用新安全模式

為了啟用新的安全模式，思科認(rèn)為現(xiàn)代安全技術(shù)需要專注于三項(xiàng)戰(zhàn)略性事務(wù)：它們必須是可視性驅(qū)動(dòng)、專注于威脅且基于平臺(tái)的。

可視性驅(qū)動(dòng)：安全管理員必須能夠準(zhǔn)確地查看一切正在發(fā)生的事情。這種功能需要廣度與深度的結(jié)合(見圖 3)。廣度即具備跨網(wǎng)絡(luò)交換矩陣、終端、電子郵件和 Web 網(wǎng)關(guān)、移動(dòng)設(shè)備、虛擬環(huán)境和云來查看和收集來自所有潛在攻擊媒介的數(shù)據(jù)的能力，從而獲得有關(guān)環(huán)境和威脅的知識(shí)。深度提供關(guān)聯(lián)信息、應(yīng)用情報(bào)來了解情況、做出更好的決策并手動(dòng)或自動(dòng)采取行動(dòng)的能力。

圖 3. 廣度與深度

專注于威脅：現(xiàn)在的網(wǎng)絡(luò)已擴(kuò)展到所有有員工、數(shù)據(jù)以及可以訪問數(shù)據(jù)的地方。盡管盡了最大努力，對(duì)于安全專業(yè)人員而言，應(yīng)對(duì)不斷變化的攻擊媒介仍是一項(xiàng)巨大的挑戰(zhàn)，這種持續(xù)的變化也給攻擊者帶來了可乘之機(jī)。策略和控制對(duì)于減少攻擊面而言是必需的，但網(wǎng)絡(luò)仍然面臨著威脅。因此，技術(shù)必須專注于檢測、了解和阻止威脅。專注于威脅意味著站在攻擊者的立場上去思考、應(yīng)用可視性與情景以了解和適應(yīng)環(huán)境中的變化，然后演變防護(hù)措施，從而采取行動(dòng)并阻止威脅。隨著高級(jí)惡意軟件和零日攻擊的出現(xiàn)，這已成為一個(gè)需要持續(xù)分析以及實(shí)時(shí)安全情報(bào)(來自云并在所有產(chǎn)品中共享)的持續(xù)流程，以便提升效率。

基于平臺(tái)：安全現(xiàn)在不僅僅是一個(gè)網(wǎng)絡(luò)問題;它需要涵蓋了網(wǎng)絡(luò)、設(shè)備和云的靈活開放平臺(tái)的集成系統(tǒng)。這些平臺(tái)必須具備可擴(kuò)展性，具有一定規(guī)模且可針對(duì)統(tǒng)一策略和一致性控制進(jìn)行集中管理。簡單地說，在我們對(duì)抗攻擊時(shí)，它們需要無處不在。這體現(xiàn)了從部署單點(diǎn)安全設(shè)備到集成可擴(kuò)展的真實(shí)平臺(tái)、易于部署的服務(wù)與設(shè)備的轉(zhuǎn)變?；谄脚_(tái)的方法不僅增加了安全效力，消除了孤立及其產(chǎn)生的漏洞，還減少了檢測時(shí)間，簡化了執(zhí)行過程。#p#

涵蓋整個(gè)攻擊全程

為了克服當(dāng)今的安全挑戰(zhàn)并獲得更好的防護(hù)，組織需要貫穿整個(gè)攻擊過程且根據(jù)可視性驅(qū)動(dòng)、專注于威脅和基于平臺(tái)三個(gè)原則設(shè)計(jì)的解決方案。思科提供了貫穿整個(gè)攻擊過程，以威脅為中心的網(wǎng)絡(luò)安全解決方案的全面產(chǎn)品組合。

圖 4. 涵蓋整個(gè)攻擊全程

這些基于平臺(tái)的特定解決方案在出現(xiàn)威脅的攻擊媒介方面，提供了業(yè)界最廣泛的執(zhí)行與修復(fù)選項(xiàng)。這些解決方案協(xié)同工作，在整個(gè)攻擊過程中提供防護(hù)，同時(shí)還針對(duì)整體安全系統(tǒng)集成了補(bǔ)充性的解決方案。

● 攻擊發(fā)生之前，包括防火墻、下一代防火墻、網(wǎng)絡(luò)訪問控制和身份服務(wù)等在內(nèi)的解決方案會(huì)向安全專業(yè)人員提供他們發(fā)現(xiàn)威脅、執(zhí)行和強(qiáng)化策略所需的工具。

● 攻擊進(jìn)行期間，下一代入侵防御系統(tǒng)與電子郵件和 Web 安全解決方案會(huì)提供檢測、攔截和防御正在滲透或已滲透進(jìn)來的網(wǎng)絡(luò)攻擊的功能。

● 攻擊之后，組織可以利用思科高級(jí)惡意軟件防護(hù)與網(wǎng)絡(luò)行為分析來快速、有效地針對(duì)攻擊確定范圍、遏制威脅并修復(fù)漏洞，將破壞降到最低。

這些解決方案擴(kuò)展后甚至可以支持最大的跨國組織，在需要時(shí)根據(jù)情況，以物理和虛擬設(shè)備或基于云的服務(wù)的形式提供。它們還進(jìn)行了集成，可跨擴(kuò)展網(wǎng)絡(luò)和所有攻擊媒介提供持續(xù)的可視性與可控性。

總結(jié)

黑客活動(dòng)的產(chǎn)業(yè)化，再加上全面互通挑戰(zhàn)，正深刻改變著我們保護(hù)自己系統(tǒng)的方式，促使我們?nèi)タ紤]全新的網(wǎng)絡(luò)安全方法。把重點(diǎn)放在基于外圍的防御和預(yù)防性技術(shù)上的安全戰(zhàn)略將使得攻擊者在進(jìn)入網(wǎng)絡(luò)后能夠隨心所欲。

不斷變化的業(yè)務(wù)模式、威脅形勢和安全的復(fù)雜性與凌亂性，造成了安全漏洞，打破了安全周期，降低了可視性，并帶來了安全管理挑戰(zhàn)。因此啟用以威脅為中心的、能夠跨擴(kuò)展網(wǎng)絡(luò)和整個(gè)攻擊過程提供組織需要的可視性和可控性的全新安全模式勢在必行。

這種以威脅為中心的安全方法能夠在降低復(fù)雜性的同時(shí)，跨整個(gè)攻擊過程提供出色的可視性、持續(xù)的可控性和高級(jí)威脅防護(hù)，思科是唯一一家能夠提供這種方法的企業(yè)。使用這一新的安全模式后，組織將能夠更智能、更快速地應(yīng)對(duì)攻擊前、攻擊中和攻擊后的情況。