只要稍微看看新聞就會知道，在過去三到五年，惡意軟件、數(shù)據(jù)泄露事故和其他信息安全威脅已經(jīng)成倍增長。僅在不到一個星期前才發(fā)生了又一起引人注目的價值數(shù)百萬美元的攻擊事件。Target、易趣網(wǎng)、家得寶、摩根大通、索尼，甚至美國郵政服務(wù)都遭受了攻擊。

雖然網(wǎng)絡(luò)攻擊很少瞄準(zhǔn)網(wǎng)絡(luò)設(shè)備，但在這些攻擊中，易受攻擊的網(wǎng)絡(luò)經(jīng)常被攻擊者利用來傳輸惡意流量或竊取的數(shù)據(jù)。IT專業(yè)人員必須對付來自伊朗、朝鮮和俄羅斯等國的政府資助的攻擊，還有與犯罪組織有關(guān)聯(lián)的以營利為目的的攻擊者，以及隨心所欲入侵網(wǎng)絡(luò)的攻擊者。這種局面正促使網(wǎng)絡(luò)和安全團隊更緊密地合作，讓他們可以更肯定地回答一個看似基本的問題：網(wǎng)絡(luò)安全嗎?

知名烘豆生產(chǎn)商Bush Brothers and Company公司高級網(wǎng)絡(luò)工程師Ron Grohman表示，面對所有最近的威脅和攻擊，他不敢冒險。

這也是為什么他沒有僅僅依靠一種安全產(chǎn)品來保護企業(yè)網(wǎng)絡(luò)的原因。Grohman結(jié)合使用思科ASA 5525-X防火墻與Sourcefire URL過濾器、FireEye的網(wǎng)絡(luò)惡意軟件保護系統(tǒng)(MPS)1310來尋找可疑惡意軟件，并使用賽門鐵克殺毒軟件作為最后的備份。

Grohman表示他使用思科和Sourcefire(被思科在2013年收購)的產(chǎn)品，作為防火墻和URL過濾器來管理網(wǎng)絡(luò)流量。而FireEye產(chǎn)品則部署在網(wǎng)絡(luò)中來進行異常檢測，如果FireEye平臺檢測到可疑惡意軟件，該軟件會阻止惡意軟件，并發(fā)送警報給Grohman，然后他會將該事件告知幫助臺的人員，從而刪除惡意軟件。賽門鐵克軟件則負(fù)責(zé)捕獲HTTPS流量，作為攻擊實現(xiàn)目標(biāo)之前的最后一道防線。

“我采用雙層和三層防御，”他表示，“沒有哪個產(chǎn)品是完美的，我喜歡使用多個系統(tǒng)來檢測異常，特別是對于保護網(wǎng)絡(luò)。”

在一家財富500強公司，可能有幾十位網(wǎng)絡(luò)和安全人員參與了各自領(lǐng)域的交叉培訓(xùn)，并共同在網(wǎng)絡(luò)安全部門工作。但在私營中型企業(yè)Bush Brothers并不是這樣。Grohman是基礎(chǔ)設(shè)施八名成員中的一名，他是唯一具有安全證書的員工。為了增強他在網(wǎng)絡(luò)領(lǐng)域的知識，他在去年秋天完成了ISC2的CISSP課程，并在獲得了思科網(wǎng)絡(luò)專業(yè)認(rèn)證。Grohman幾年前還在ITT Tech獲得了信息安全學(xué)位。

“所有的安全工作都落在了我肩上，”他表示，“人們會問我網(wǎng)絡(luò)是否安全，我只能說，‘我認(rèn)為是這樣’。但其實我并不確定一切是否都是安全的，這讓我很困擾，這也是為什么我們添加了這些額外層的原因。”

這種不安在網(wǎng)絡(luò)和安全管理人員間很常見。Frost&Sullivan公司信息和網(wǎng)絡(luò)安全研究主管Frank Dickson表示，這種做法是可以理解的。

“真的沒有萬能解決方案，”他表示，“不管供應(yīng)商怎么說，惡意軟件都將不可避免地進入網(wǎng)絡(luò)。請記住，零日攻擊利用的是未知的漏洞。抵御未知事物是一種挑戰(zhàn)。”

Dickson表示，現(xiàn)在安全環(huán)境已經(jīng)發(fā)生了轉(zhuǎn)變，我們不再能單純地依靠傳統(tǒng)的殺毒軟件—它會在檢測到數(shù)據(jù)泄露事故后對以前未被發(fā)現(xiàn)的惡意軟件創(chuàng)建簽名。現(xiàn)在，來自思科的SourceFire、FireEye和Palo Alto的WildFire及Traps工具采用了更積極的做法。

Dickson解釋道：“這個行業(yè)正在轉(zhuǎn)變?yōu)槭褂酶嗷谛袨榈姆椒?，例如在隔離的虛擬化環(huán)境測試可疑文件的行為，或利用大數(shù)據(jù)分析來監(jiān)測網(wǎng)絡(luò)流量，建立基準(zhǔn)，并尋找異常行為。”#p#

保護vs.預(yù)防

傳統(tǒng)的智慧以及當(dāng)今威脅的現(xiàn)實可能需要采取像Bush Brothers使用的做法。但電信、銀行和能源公司IDT Corporation首席信息安全官Golan Ben-Oni并不這么認(rèn)為。他表示，我們需要更加專注于阻止攻擊者，而不是在攻擊后作出響應(yīng)。這個行業(yè)已經(jīng)陷入了一種模式，認(rèn)為他們遭受攻擊只是時間問題，而不是他們是否會受到攻擊。Ben-Oni表示，這是一種失敗主義態(tài)度。他說道：“如果你說你們放棄了防御，你在本質(zhì)上是說你們已經(jīng)完全放棄。”

IDT使用了Palo Alto的三種產(chǎn)品來保護其網(wǎng)絡(luò)：WildFire網(wǎng)絡(luò)檢測軟件;Traps用于端點保護，由Palo去年從以色列的Cyvera收購;以及Global Protect，它讓IDT擴展WildFire和Traps的優(yōu)勢到移動設(shè)備以及離開辦公室的電腦。

下面讓我們看看這些產(chǎn)品在IDT的使用情況：Traps總是在端點監(jiān)測惡意軟件，如果Traps檢測到零日攻擊或其他異常進入網(wǎng)絡(luò)，它會通知WildFire，WildFire會進行分析。在WildFire確認(rèn)是惡意軟件后，它會阻止和糾正該惡意軟件。這樣在檢測到惡意軟件時WildFire增加了另一層保護，終端和網(wǎng)絡(luò)(通過Palo Alto防火墻)都會受到保護。網(wǎng)絡(luò)將不允許惡意流量通過，如果文件由其他方式導(dǎo)入(例如通過USB閃存驅(qū)動器或本地文件副本)，Traps會阻止其執(zhí)行。

在過去，IT人員檢測惡意軟件，斷開計算機和網(wǎng)絡(luò)，并上傳文件到反病毒實驗室，他們需要24小時來寫一個簽名。但現(xiàn)在IT團隊沒有這么多時間。

“傳統(tǒng)上，所有這一切都是手動完成，而現(xiàn)在幾乎在近實時發(fā)生，”Ben-Oni表示，通過避免對人力的需要，橫向感染的風(fēng)險大大降低。攻擊者會使用自動化，因此，企業(yè)與攻擊者公平競爭的唯一方法就是使用自動化。

在美國印第安納州、肯塔基和俄亥俄州擁有超過100家銀行的First Financial Bank企業(yè)信息安全官Dan Polly表示，這是非常重要的一點。

First Financial在端點和網(wǎng)絡(luò)使用思科高級惡意軟件保護(AMP)，這讓該公司可以快速分析惡意軟件。如果AMP檢測到惡意軟件，它會推送可疑文件到門戶網(wǎng)站--該網(wǎng)站會作為一個沙箱，在其中該軟件會運行分析來檢測這個威脅的內(nèi)容。

“需要記住的是，在這些工具可用之前，你需要安排人員來深入分析惡意軟件，這個人需要同時具備編程和安全技能，”Polly解釋道，“現(xiàn)在，我們可以自動化部分工作，這節(jié)省了時間，讓我們可以更快地阻止威脅。”

與IDT的Ben-Oni一樣，Polly意識到了使用單個供應(yīng)商提供的多種功能所帶來的好處。除了AMP產(chǎn)品，該公司的安全工程團隊還使用思科ASA和Sourcefire下一代防火墻，他說這不僅可以執(zhí)行傳統(tǒng)防火墻功能，還支持入侵檢測和防護以及URL內(nèi)容過濾。Polly也喜歡通過開發(fā)和收購，思科已經(jīng)投資于Talos--該公司的安全情報和研究組。Talos組建了一支分析威脅的研究人員團隊，他們的工作主要是試圖提高思科的安全產(chǎn)品。

“通過可擴展的平臺，我們減少了解決新興威脅所需的時間，”Polly表示，“毫無疑問，安全行業(yè)是分階段的;過去有段時間，最佳產(chǎn)品是唯一的選擇，但現(xiàn)在似乎轉(zhuǎn)移到其他方式，即選擇具有多種功能的單一來源。”

多年來，信息安全和網(wǎng)絡(luò)團隊工作在不同的部門，在某些情況下，他們還會相互競爭。

FireEye公司首席技術(shù)官Dave Merkel表示，當(dāng)前的威脅環(huán)境已經(jīng)改變了這種情況。“現(xiàn)在，安全必須整合到企業(yè)的架構(gòu)中，”他補充說，安全和網(wǎng)絡(luò)團隊必須更密切的合作。

思科公司安全業(yè)務(wù)部產(chǎn)品營銷副總裁Scott Harrell表示同意，這兩個領(lǐng)域的合作對打擊更復(fù)雜的威脅是至關(guān)重要的。

他說道：“雖然這兩個團隊仍然有著角色分工，但我認(rèn)為這會發(fā)展到這樣的階段，即安全團隊更多地參與網(wǎng)絡(luò)架構(gòu)開發(fā)工作，而網(wǎng)絡(luò)人員將會處理1級安全要求，而2級和3級警報仍由經(jīng)驗豐富的安全專業(yè)人士處理。”

IDT公司首席信息安全官Golan Ben-Oni表示，在其企業(yè)，IT內(nèi)的所有團隊都一起合作。他補充說：“在我們公司，每個人都會獲得所有其他計算領(lǐng)域的交叉培訓(xùn)。”