啟用新的安全模式勢在必行

當前的威脅環(huán)境完全不同于 10 年前。那些損害可控的簡單攻擊早已讓位于高度復雜、資金基礎雄厚且能對組織和國家基礎設施造成重創(chuàng)的現代網絡犯罪。這些高級攻擊不僅難以檢測，而且還會長時間留在網絡內，積累網絡資源，以便在其他地方發(fā)動攻擊。

完全依賴檢測與攔截來實現防護的傳統(tǒng)防御措施已經遠遠不夠。目前的形勢要求啟用新的安全模式，在攻擊前、攻擊中和攻擊后的整個過程中提供保護。

黑客活動的產業(yè)化

最早的電腦病毒出現距今已超過 25 年。當時幾乎沒有人意識到，它們會成為黑客活動產業(yè)化的開端。

近 10 年來，病毒一直是主要的攻擊方式。隨著時間的推移，防御者在很大程度上能夠依靠攔截和防護能力來對抗這些病毒。隨著新漏洞不斷被發(fā)現和公布，攻擊者獲得了惡名，但也積累了越來越多的知識，這使得他們一直在不斷創(chuàng)新。隨之而來的，是清晰的威脅周期，也可以說，這是一種“軍備競賽”。大約每隔五年，攻擊者們就會推出新型的威脅(從宏病毒到蠕蟲病毒，再到間諜軟件和 rootkit)，而防御者們則會快速創(chuàng)新，以保護網絡免受這些威脅的損害。

毫無疑問，我們可以把這些周期與那些帶來新攻擊載體的主要技術轉變對應起來(見圖 1)。早期的病毒主要是以操作系統(tǒng)為目標，并通過“潛入者網絡”進行傳播。宏病毒利用用戶的文件共享進行傳播。蠕蟲類型的病毒利用企業(yè)網絡和不斷增加的互聯(lián)網活動，在不同計算機之間傳播。間諜軟件和 rootkit 則伴隨新的應用、設備和在線社區(qū)出現?，F在，我們面對的是高級惡意軟件、針對性攻擊和高級持續(xù)性威脅 (APT)。這個時代與過去的不同在于攻擊背后的動機與工具，這使得檢測、了解和阻止這些攻擊變得非常困難。

圖 1. 黑客活動的產業(yè)化

黑客活動的產業(yè)化正在創(chuàng)造一種更快、更有效且更高效的犯罪經濟，他們會通過攻擊我們的 IT 基礎設施獲取利益。有組織的漏洞交易非常猖獗且利益可觀，而開放的市場更是推動了從利用漏洞到盜竊、破壞和損毀數據的轉變。而且，隨著網絡罪犯意識到可以從中獲取巨額的資金，他們的工作變得越來越標準化、自動化和流程化。攻擊者了解傳統(tǒng)安全技術的靜態(tài)特性及其相互獨立的部署，因此他們可以利用兩者之間的缺口及其內部的漏洞。黑客集團遵循軟件開發(fā)流程甚至成了司空見慣的事情，比如他們會在發(fā)布自己的產品前針對安全技術進行質量保證測試或工作臺測試，以確保能夠繼續(xù)繞過常規(guī)防護。

現在，由于存在保密性方面的巨額經濟獎勵，許多“黑客活動分子”團隊因此會發(fā)動能夠為他們帶來經濟或政治收益而又極少會招致懲罰或起訴的攻擊。新的攻擊方法(例如：端口和協(xié)議跳躍、加密隧道、植入程序、以及使用社交工程和零日攻擊的復合型威脅和技術)使得黑客能夠更加輕松迅速地入侵，且成本更低，同時也增加了防御者檢測和攔截攻擊的難度。另外，這些方法還具有巧妙逃避的特性，因此，攻擊能夠自己在入侵企業(yè)后迅速變化，尋找穩(wěn)固的立足點并竊取重要數據。#p#

“全面互通”挑戰(zhàn)

現代的擴展網絡及其組件在不斷地變化，并造就了新的攻擊媒介。其中包括移動設備、具備網絡功能的移動應用、虛擬機監(jiān)控程序、社交媒體、網絡瀏覽器和嵌入式計算機，以及我們初步構想的由萬物互聯(lián)所帶來的數量激增的各種設備和服務。人們需要使用各種設備、訪問各種應用并使用許多不同的云，因此總是與網絡息息相關。這種普及性就是所謂的“全面互通”挑戰(zhàn)。這些動態(tài)性在方便我們的通信的同時，也增加了可讓黑客用以入侵的入口點和方法。遺憾的是，大多數組織處理安全問題的方法尚未實現統(tǒng)一。

大多數組織采用相互獨立的技術來保護擴展網絡，這些技術不會也無法協(xié)同工作。他們還可能過分地依賴云安全服務供應商和托管公司來保護互聯(lián)網基礎設施。在這一新的現實情況下，安全管理員往往對訪問企業(yè)網絡的設備和應用具有較低的可視性和可控性，而且能力不足以應對新的威脅形勢。

新的安全動態(tài)

面對高級攻擊和任意點對點基礎設施共同帶來的挑戰(zhàn)，安全專業(yè)人員提出了三大問題：

1. 伴隨著新的業(yè)務模式和攻擊媒介的出現，我們如何在 IT 形勢不斷變化時保持安全性和合規(guī)性?那些為了獲得云、虛擬化或移動技術所提供的工作效率、靈活性與效率而過渡到這些設備的組織，必須對其安全基礎設施進行相應地調整。

2. 在不斷變化的威脅形勢下，我們如何提高能力來持續(xù)防御新的攻擊媒介和日益復雜的威脅?攻擊者不會區(qū)別對待;他們會抓住該鏈條中的任何薄弱環(huán)節(jié)。他們會頻繁使用專為規(guī)避目標所選擇的安全基礎設施而開發(fā)的工具，毫不留情地攻擊相應環(huán)節(jié)。他們會使用那些危害表現極其細微的技術和方法，在規(guī)避檢測方面竭盡全力。

3. 我們如何才能夠解決前兩個問題并同時降低安全解決方案的復雜性與凌亂性?留下可被當今經驗豐富的攻擊者利用的防護缺口，將會給組織帶來難以承受的代價。同時，由于未進行集成的不同安全解決方案而增加復雜性，無法提供應對高級威脅所需的防護水平。

這些動態(tài)性(不斷變化的業(yè)務模式、威脅形勢和安全的復雜性與凌亂性)的結合，造成了安全漏洞，打破了安全周期，降低了可視性，并帶來了安全管理挑戰(zhàn)。為了真正保護企業(yè)應對這些動態(tài)性，我們需要改變我們的安全方法。因此，啟用以威脅為中心的全新安全模式勢在必行。#p#

應對整個攻擊過程：攻擊前、攻擊中和攻擊后

當今的大多數安全工具都專注于提供網絡可視性，并在進入點攔截惡意軟件。它們會在開始階段對文件進行一次掃描，以確定其是否為惡意文件。但高級攻擊并不限于單個時間點;而是持續(xù)不斷地發(fā)生，這就需要我們提供持續(xù)的審查?，F在，攻擊者采用諸如端口跳躍、封裝、零日攻擊、命令和控制 (C&C) 檢測規(guī)避、休眠技術、橫向移動、加密流量、復合型威脅以及沙盒規(guī)避等手段，來躲避初始檢測。如果未捕捉到相應的文件或文件在進入相應環(huán)境后才發(fā)展演變成惡意文件，在某個時間點進行檢測的技術將無法識別攻擊者的后續(xù)演變活動。

安全方法不能只專注于檢測，它還必須具備降低攻擊者侵入后所造成影響的能力。組織需要全面檢查他們的安全模式并獲得整個擴展網絡和攻擊過程(攻擊發(fā)生前、攻擊發(fā)生過程中以及攻擊開始破壞系統(tǒng)或竊取信息后)的可視性和可控性(見圖 2)。

圖 2. 新安全模式

● 攻擊前：為了實施策略和控制以防護擴展網絡，防御者需要對擴展網絡上的事物具有全面的感知與可視性。

● 攻擊中：持續(xù)檢測并攔截惡意軟件的能力至關重要。

● 攻擊后：為了消除攻擊的影響，防御者需要追溯性安全功能。他們必須識別進入點，確定范圍，遏制威脅，降低再次感染的風險并修復破壞的部分。

攻擊前

面對情景感知型攻擊者，我們需要情景感知安全產品。組織面對的攻擊者往往比他們自己更了解他們所保護的基礎設施。為了在攻擊發(fā)生之前進行防御，組織需要具有對自身環(huán)境(包括[但不限于]物理和虛擬主機、操作系統(tǒng)、應用、服務、協(xié)議、用戶、內容和網絡行為)的全面可視性，以期在與攻擊者的對抗中獲得信息優(yōu)勢。防御者需根據目標價值、攻擊的合法性及歷史情況，了解基礎設施所面臨的風險。如果不明白自己在努力保護什么，他們對于配置用來進行防御的安全技術將會毫無準備?？梢曅孕枰采w整個網絡 - 包括終端、電子郵件和 Web 網關、虛擬環(huán)境和移動設備，并延伸到數據中心。而且從這種可視性中，必須能夠生成可指導操作的警報，以便防御者做出明智決策。

攻擊中

嚴酷的攻擊并不限于單個時間點;而是持續(xù)不斷地發(fā)生的。這就需要我們提供持續(xù)的安全防護。傳統(tǒng)的安全技術僅能基于攻擊本身的單個數據點在某個時間點檢測攻擊。這種方法是無法與高級攻擊相抗衡的。我們需要的是基于感知概念的安全基礎設施：集成并關聯(lián)歷史模式擴展網絡的數據與全局攻擊情報，從而提供情景并區(qū)分主動攻擊、外泄和偵察與單獨的背景噪聲。這使得安全防護從一種某個時間點的測試轉變成一種持續(xù)的分析與決策制定過程。如果某個文件通過了安全檢測，后來又表現出惡意行為，那么組織就可以采取措施。有了這種實時洞察，安全專業(yè)人員可以在不進行人工干預的情況下，采用情報自動化來強化安全策略。

攻擊后

為了應對整個攻擊過程，組織需要追溯性安全功能。追溯性安全功能是一項巨大的數據挑戰(zhàn)，很少有產品能夠提供這種功能。當基礎設施能夠不斷收集和分析數據來創(chuàng)建安全情報時，安全團隊可以通過自動化來識別危害表現，檢測那些復雜程度足以改變自身行為來躲避檢測的惡意軟件，然后修復相應的問題。數周或數月前未被檢測出的攻擊都可以被識別、確定范圍、遏制和修復。

以威脅為中心的安全模式可幫助組織應對整個攻擊過程，處理所有攻擊媒介并隨時、時時、實時進行響應。#p#

啟用新安全模式

為了啟用新的安全模式，思科認為現代安全技術需要專注于三項戰(zhàn)略性事務：它們必須是可視性驅動、專注于威脅且基于平臺的。

可視性驅動：安全管理員必須能夠準確地查看一切正在發(fā)生的事情。這種功能需要廣度與深度的結合(見圖 3)。廣度即具備跨網絡交換矩陣、終端、電子郵件和 Web 網關、移動設備、虛擬環(huán)境和云來查看和收集來自所有潛在攻擊媒介的數據的能力，從而獲得有關環(huán)境和威脅的知識。深度提供關聯(lián)信息、應用情報來了解情況、做出更好的決策并手動或自動采取行動的能力。

圖 3. 廣度與深度

專注于威脅：現在的網絡已擴展到所有有員工、數據以及可以訪問數據的地方。盡管盡了最大努力，對于安全專業(yè)人員而言，應對不斷變化的攻擊媒介仍是一項巨大的挑戰(zhàn)，這種持續(xù)的變化也給攻擊者帶來了可乘之機。策略和控制對于減少攻擊面而言是必需的，但網絡仍然面臨著威脅。因此，技術必須專注于檢測、了解和阻止威脅。專注于威脅意味著站在攻擊者的立場上去思考、應用可視性與情景以了解和適應環(huán)境中的變化，然后演變防護措施，從而采取行動并阻止威脅。隨著高級惡意軟件和零日攻擊的出現，這已成為一個需要持續(xù)分析以及實時安全情報(來自云并在所有產品中共享)的持續(xù)流程，以便提升效率。

基于平臺：安全現在不僅僅是一個網絡問題;它需要涵蓋了網絡、設備和云的靈活開放平臺的集成系統(tǒng)。這些平臺必須具備可擴展性，具有一定規(guī)模且可針對統(tǒng)一策略和一致性控制進行集中管理。簡單地說，在我們對抗攻擊時，它們需要無處不在。這體現了從部署單點安全設備到集成可擴展的真實平臺、易于部署的服務與設備的轉變。基于平臺的方法不僅增加了安全效力，消除了孤立及其產生的漏洞，還減少了檢測時間，簡化了執(zhí)行過程。#p#

涵蓋整個攻擊全程

為了克服當今的安全挑戰(zhàn)并獲得更好的防護，組織需要貫穿整個攻擊過程且根據可視性驅動、專注于威脅和基于平臺三個原則設計的解決方案。思科提供了貫穿整個攻擊過程，以威脅為中心的網絡安全解決方案的全面產品組合。

圖 4. 涵蓋整個攻擊全程

這些基于平臺的特定解決方案在出現威脅的攻擊媒介方面，提供了業(yè)界最廣泛的執(zhí)行與修復選項。這些解決方案協(xié)同工作，在整個攻擊過程中提供防護，同時還針對整體安全系統(tǒng)集成了補充性的解決方案。

● 攻擊發(fā)生之前，包括防火墻、下一代防火墻、網絡訪問控制和身份服務等在內的解決方案會向安全專業(yè)人員提供他們發(fā)現威脅、執(zhí)行和強化策略所需的工具。

● 攻擊進行期間，下一代入侵防御系統(tǒng)與電子郵件和 Web 安全解決方案會提供檢測、攔截和防御正在滲透或已滲透進來的網絡攻擊的功能。

● 攻擊之后，組織可以利用思科高級惡意軟件防護與網絡行為分析來快速、有效地針對攻擊確定范圍、遏制威脅并修復漏洞，將破壞降到最低。

這些解決方案擴展后甚至可以支持最大的跨國組織，在需要時根據情況，以物理和虛擬設備或基于云的服務的形式提供。它們還進行了集成，可跨擴展網絡和所有攻擊媒介提供持續(xù)的可視性與可控性。

總結

黑客活動的產業(yè)化，再加上全面互通挑戰(zhàn)，正深刻改變著我們保護自己系統(tǒng)的方式，促使我們去考慮全新的網絡安全方法。把重點放在基于外圍的防御和預防性技術上的安全戰(zhàn)略將使得攻擊者在進入網絡后能夠隨心所欲。

不斷變化的業(yè)務模式、威脅形勢和安全的復雜性與凌亂性，造成了安全漏洞，打破了安全周期，降低了可視性，并帶來了安全管理挑戰(zhàn)。因此啟用以威脅為中心的、能夠跨擴展網絡和整個攻擊過程提供組織需要的可視性和可控性的全新安全模式勢在必行。

這種以威脅為中心的安全方法能夠在降低復雜性的同時，跨整個攻擊過程提供出色的可視性、持續(xù)的可控性和高級威脅防護，思科是唯一一家能夠提供這種方法的企業(yè)。使用這一新的安全模式后，組織將能夠更智能、更快速地應對攻擊前、攻擊中和攻擊后的情況。