縱深防御模式是保護(hù)企業(yè)的最佳方法是沒有爭(zhēng)議的。但是，哪一層最重要?有人說，應(yīng)用層是最為關(guān)鍵的一環(huán)，而且這種說法也有一定依據(jù)(這是未來的爭(zhēng)論?)。但是，我們這里考察兩個(gè)更普通的方法：網(wǎng)絡(luò)層與端點(diǎn)。

觀點(diǎn)1：網(wǎng)絡(luò)層更重要，可提供處境意識(shí)

NitroSecurity重要基礎(chǔ)設(shè)施市場(chǎng)主管Eric Knapp稱，雖然端點(diǎn)安全是縱深防御態(tài)勢(shì)的一個(gè)重要組成部分，但是，網(wǎng)絡(luò)層是最重要的，因?yàn)樗軒椭M(jìn)入服務(wù)器、主機(jī)和其它資產(chǎn)的入站惡意代碼，同時(shí)提供一個(gè)極好的活動(dòng)監(jiān)視基礎(chǔ)以改善我們的整體處境意識(shí)。

當(dāng)網(wǎng)絡(luò)和主機(jī)安全都增強(qiáng)的時(shí)候，最終產(chǎn)生的安全“大塊糖”是攻擊者很難咬動(dòng)的。這是重要的，因?yàn)殡m然應(yīng)用程序白名單和其它技術(shù)的推出顯著改善了端點(diǎn)安全，但是，我們的系統(tǒng)和設(shè)備種類太多并且相互連接太多，不能保證主機(jī)安全措施百分之百地普遍應(yīng)用和百分之百地有效。端點(diǎn)安全防護(hù)措施中的一個(gè)薄弱環(huán)節(jié)就可能為攻擊者創(chuàng)造一個(gè)灘頭陣地。因此，對(duì)于網(wǎng)絡(luò)上的一切東西的相互連接有一個(gè)全面的觀點(diǎn)是重要的。

安全測(cè)驗(yàn)

當(dāng)然，網(wǎng)絡(luò)安全不是一個(gè)新技術(shù)。甚至使用單向網(wǎng)關(guān)(網(wǎng)絡(luò)層相當(dāng)于應(yīng)用白名單。在那里，在物理層將提供絕對(duì)的保護(hù))，也有可能繞過一個(gè)增強(qiáng)的網(wǎng)絡(luò)外殼，暴露網(wǎng)絡(luò)主機(jī)的內(nèi)部狀況。然而，網(wǎng)絡(luò)是公分母，是所有的系統(tǒng)、應(yīng)用程序和服務(wù)的紐帶。通過適當(dāng)?shù)乇O(jiān)視網(wǎng)絡(luò)，可以發(fā)現(xiàn)大規(guī)模的威脅。主機(jī)本身會(huì)更安全。

使用防火墻和入侵防御系統(tǒng)等標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全設(shè)備的積極保護(hù)是開端。使用入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)流量分析以及網(wǎng)絡(luò)行為分析工具、記錄管理和安全信息與事件管理(SIME)系統(tǒng)等更全面的系統(tǒng)實(shí)施的網(wǎng)絡(luò)活動(dòng)監(jiān)視將豐富端點(diǎn)保護(hù)設(shè)備和提供更廣泛的威脅檢測(cè)能力。

換句話說，基于網(wǎng)絡(luò)的安全不僅僅是一層防御，它是獲得處境意識(shí)的要點(diǎn)，向安全分析人士顯示所有這些離散的主機(jī)安全事件如何相互關(guān)聯(lián)，與重要的安全以及企業(yè)的遵守法規(guī)政策有什么關(guān)系。

當(dāng)正確地使用的時(shí)候，網(wǎng)絡(luò)層安全信息能夠與主機(jī)上的應(yīng)用白名單一起使用以便創(chuàng)建更好的東西。在倫敦召開的SANS研究所安全會(huì)議上首次出現(xiàn)的詞匯“智能名單”引進(jìn)了這樣一個(gè)概念，就是使用主機(jī)上的應(yīng)用程序白名單代理程序中的安全事件完成網(wǎng)絡(luò)安全設(shè)備的反饋回路。網(wǎng)絡(luò)安全設(shè)備通常根據(jù)黑名單封鎖通訊或者定義特征。這些特征告訴防火墻或者入侵防御系統(tǒng)我們所知道的壞東西。

當(dāng)一個(gè)另日攻擊漏洞經(jīng)過這些黑名單防御并且攻擊使用某些應(yīng)用控制保護(hù)的主機(jī)時(shí)，這個(gè)利用安全漏洞的攻擊將被阻止并且被記錄下來細(xì)節(jié)。

但是，那個(gè)利用安全漏洞的攻擊來自哪里?它是一個(gè)內(nèi)部的威脅，還是來自另一個(gè)國家的更高級(jí)的攻擊?它是如何通過網(wǎng)絡(luò)層安全控制的?回答這些問題的唯一的途徑是查看網(wǎng)絡(luò)本身，特別是查看網(wǎng)絡(luò)層安全事件以及網(wǎng)絡(luò)流信息。

當(dāng)我們看到某些東西試圖在一個(gè)保護(hù)的主機(jī)上執(zhí)行應(yīng)用程序的惡意企圖的時(shí)候，我們能夠由直覺知道這個(gè)應(yīng)用程序是惡意的并且相應(yīng)地調(diào)整我們的黑名單。換句話說，我們根據(jù)從主機(jī)上獲得的情報(bào)和在網(wǎng)絡(luò)層的環(huán)境中進(jìn)行的評(píng)估創(chuàng)建一個(gè)我們推斷是惡意的“智能名單”。

只有使用這種水平的自動(dòng)化智能和網(wǎng)絡(luò)層得意識(shí)才能用網(wǎng)絡(luò)層安全控制檢測(cè)出最高級(jí)的攻擊并且把這些攻擊封鎖在網(wǎng)絡(luò)周圍。因?yàn)槿绻W(wǎng)絡(luò)讓這個(gè)攻擊進(jìn)入，這個(gè)攻擊最終將找到自己的灘頭陣地：沒有很好地保護(hù)的臺(tái)式電腦、服務(wù)器、打印機(jī)或者一些其它設(shè)備。

有許多隱蔽的、變異的和高級(jí)的惡意軟件。因此，如果一個(gè)攻擊成功地登陸，它將在發(fā)現(xiàn)漏洞之前攻破系統(tǒng)。當(dāng)網(wǎng)絡(luò)和主機(jī)安全是堅(jiān)固的，攻擊者就很難咬動(dòng)這個(gè)安全的大塘塊。#p#

觀點(diǎn)2：網(wǎng)絡(luò)安全完全取決于端點(diǎn)

Sophos技術(shù)戰(zhàn)略主管James Lyne稱，急劇變化的攻擊方式、漫游用戶、過多的需要保護(hù)的平臺(tái)和對(duì)更多的數(shù)據(jù)進(jìn)行加密的日益增長(zhǎng)的需求是讓端點(diǎn)安全成為提供安全的重要控制措施的因素。

加密因素本身就迫使人們改變思維方式。在傳輸或者數(shù)據(jù)層進(jìn)行加密，基于網(wǎng)絡(luò)的檢測(cè)將變的不現(xiàn)實(shí)，使網(wǎng)絡(luò)設(shè)備無法做自己的工作。另一方面，端點(diǎn)能夠看到加密前的數(shù)據(jù)，允許對(duì)通訊進(jìn)行性能檢測(cè)。

而且，在端點(diǎn)有更多的環(huán)境背景用于安全活動(dòng)。這個(gè)因素越來越重要。目前在Sophos實(shí)驗(yàn)室，我們每天看到9.5萬個(gè)單個(gè)的惡意代碼，每一秒鐘能夠發(fā)現(xiàn)一個(gè)新的被感染的網(wǎng)頁，惡意軟件的數(shù)量和質(zhì)量在過去的幾年里驚人地增長(zhǎng)。在過去的25年里一直使用的基于內(nèi)容的檢測(cè)技術(shù)對(duì)于這種大量的惡意代碼正在日益失效。在端點(diǎn)，應(yīng)用程序、數(shù)據(jù)、行為和系統(tǒng)健康的可見性可用于做出更準(zhǔn)確的決策和更好的預(yù)先防御。

比較一個(gè)例子，設(shè)法識(shí)別和阻止Skype的任務(wù)(還沒有惡意代碼那樣復(fù)雜)。你在端點(diǎn)可以簡(jiǎn)單地識(shí)別出Skype.exe(使用各種機(jī)制)。而要在網(wǎng)絡(luò)中實(shí)現(xiàn)這個(gè)目的，你需要解碼數(shù)據(jù)包。由于數(shù)據(jù)包有數(shù)千種格式，這個(gè)任務(wù)是很困難的。惡意代碼經(jīng)常偽裝成合法通訊的其它格式。

更多的用戶還從路上訪問數(shù)據(jù)和應(yīng)用程序，目前在許多情況下是使用云服務(wù)。如果這個(gè)通訊沒有回程通過企業(yè)，網(wǎng)絡(luò)安全就失去了過去在外圍和網(wǎng)絡(luò)結(jié)構(gòu)上提供的可見性。因此，無論設(shè)備在什么地方都需要擁有檢查被感染的網(wǎng)站的URL地址等一些安全能力，即使這個(gè)設(shè)備不在網(wǎng)絡(luò)上的時(shí)候也要有這種能力。端點(diǎn)和基于云的保護(hù)能夠?qū)崿F(xiàn)這個(gè)目的。

然而，網(wǎng)絡(luò)安全比端點(diǎn)安全更容易部署，因?yàn)槠髽I(yè)能夠在網(wǎng)絡(luò)的幾個(gè)地方部署安全措施，不用在每一臺(tái)PC上部署安全措施。然而，當(dāng)安全出行錯(cuò)誤或者一臺(tái)設(shè)備被感染的時(shí)候，端點(diǎn)保護(hù)可提供清除惡意代碼和避免損失或者緩解問題的能力。這是網(wǎng)絡(luò)層安全做不到的。

公平地說，在端點(diǎn)是一個(gè)不停的戰(zhàn)斗，因?yàn)樵S多惡意軟件的設(shè)計(jì)都是要關(guān)閉端點(diǎn)安全軟件。從網(wǎng)絡(luò)監(jiān)測(cè)惡意軟件沒有這個(gè)問題。好消息是：在端點(diǎn)的惡意軟件在試圖感染其它軟件或者撥號(hào)回家的時(shí)候能夠被監(jiān)測(cè)出來。

總之，這兩種形式的安全對(duì)于防止現(xiàn)代的威脅都是很重要的。過去在網(wǎng)絡(luò)上提供的一些安全功能需要過渡到端點(diǎn)，以便提供有效性和兼容新的大量的漫游用戶。

相反，網(wǎng)絡(luò)解決方案能夠覆蓋不可能部署代理程序的設(shè)備、來訪客戶或者被惡意軟件關(guān)閉了端點(diǎn)軟件的系統(tǒng)。在網(wǎng)絡(luò)解決方案中，網(wǎng)絡(luò)級(jí)的攻擊和嗅探更容易發(fā)現(xiàn)。

由于有這樣大量的惡意軟件和更多的有針對(duì)性的攻擊，你運(yùn)行的層次越多，你撒下的捕捉網(wǎng)絡(luò)犯罪分子的網(wǎng)就越大。在未來幾年里，許多安全傳統(tǒng)將受到挑戰(zhàn)并且被改變。但是，這兩種方法將繼續(xù)提供價(jià)值。

傳統(tǒng)的端點(diǎn)和網(wǎng)絡(luò)安全一直被不同的團(tuán)隊(duì)當(dāng)作隔離的區(qū)域。為了應(yīng)對(duì)更廣泛的威脅和新的設(shè)備，讓它們配合工作以便提供更好的安全是有許多好處的。在網(wǎng)絡(luò)、端點(diǎn)和云之間共享信息毫無疑問是現(xiàn)代安全的發(fā)展方向。