只要稍微看看新聞就會(huì)知道，在過(guò)去三到五年，惡意軟件、數(shù)據(jù)泄露事故和其他信息安全威脅已經(jīng)成倍增長(zhǎng)。僅在不到一個(gè)星期前才發(fā)生了又一起引人注目的價(jià)值數(shù)百萬(wàn)美元的攻擊事件。Target、易趣網(wǎng)、家得寶、摩根大通、索尼，甚至美國(guó)郵政服務(wù)都遭受了攻擊。

雖然網(wǎng)絡(luò)攻擊很少瞄準(zhǔn)網(wǎng)絡(luò)設(shè)備，但在這些攻擊中，易受攻擊的網(wǎng)絡(luò)經(jīng)常被攻擊者利用來(lái)傳輸惡意流量或竊取的數(shù)據(jù)。IT專(zhuān)業(yè)人員必須對(duì)付來(lái)自伊朗、朝鮮和俄羅斯等國(guó)的政府資助的攻擊，還有與犯罪組織有關(guān)聯(lián)的以營(yíng)利為目的的攻擊者，以及隨心所欲入侵網(wǎng)絡(luò)的攻擊者。這種局面正促使網(wǎng)絡(luò)和安全團(tuán)隊(duì)更緊密地合作，讓他們可以更肯定地回答一個(gè)看似基本的問(wèn)題：網(wǎng)絡(luò)安全嗎?

知名烘豆生產(chǎn)商Bush Brothers and Company公司高級(jí)網(wǎng)絡(luò)工程師Ron Grohman表示，面對(duì)所有最近的威脅和攻擊，他不敢冒險(xiǎn)。

這也是為什么他沒(méi)有僅僅依靠一種安全產(chǎn)品來(lái)保護(hù)企業(yè)網(wǎng)絡(luò)的原因。Grohman結(jié)合使用思科ASA 5525-X防火墻與Sourcefire URL過(guò)濾器、FireEye的網(wǎng)絡(luò)惡意軟件保護(hù)系統(tǒng)(MPS)1310來(lái)尋找可疑惡意軟件，并使用賽門(mén)鐵克殺毒軟件作為最后的備份。

Grohman表示他使用思科和Sourcefire(被思科在2013年收購(gòu))的產(chǎn)品，作為防火墻和URL過(guò)濾器來(lái)管理網(wǎng)絡(luò)流量。而FireEye產(chǎn)品則部署在網(wǎng)絡(luò)中來(lái)進(jìn)行異常檢測(cè)，如果FireEye平臺(tái)檢測(cè)到可疑惡意軟件，該軟件會(huì)阻止惡意軟件，并發(fā)送警報(bào)給Grohman，然后他會(huì)將該事件告知幫助臺(tái)的人員，從而刪除惡意軟件。賽門(mén)鐵克軟件則負(fù)責(zé)捕獲HTTPS流量，作為攻擊實(shí)現(xiàn)目標(biāo)之前的最后一道防線。

“我采用雙層和三層防御，”他表示，“沒(méi)有哪個(gè)產(chǎn)品是完美的，我喜歡使用多個(gè)系統(tǒng)來(lái)檢測(cè)異常，特別是對(duì)于保護(hù)網(wǎng)絡(luò)。”

在一家財(cái)富500強(qiáng)公司，可能有幾十位網(wǎng)絡(luò)和安全人員參與了各自領(lǐng)域的交叉培訓(xùn)，并共同在網(wǎng)絡(luò)安全部門(mén)工作。但在私營(yíng)中型企業(yè)Bush Brothers并不是這樣。Grohman是基礎(chǔ)設(shè)施八名成員中的一名，他是唯一具有安全證書(shū)的員工。為了增強(qiáng)他在網(wǎng)絡(luò)領(lǐng)域的知識(shí)，他在去年秋天完成了ISC2的CISSP課程，并在獲得了思科網(wǎng)絡(luò)專(zhuān)業(yè)認(rèn)證。Grohman幾年前還在ITT Tech獲得了信息安全學(xué)位。

“所有的安全工作都落在了我肩上，”他表示，“人們會(huì)問(wèn)我網(wǎng)絡(luò)是否安全，我只能說(shuō)，‘我認(rèn)為是這樣’。但其實(shí)我并不確定一切是否都是安全的，這讓我很困擾，這也是為什么我們添加了這些額外層的原因。”

這種不安在網(wǎng)絡(luò)和安全管理人員間很常見(jiàn)。Frost&Sullivan公司信息和網(wǎng)絡(luò)安全研究主管Frank Dickson表示，這種做法是可以理解的。

“真的沒(méi)有萬(wàn)能解決方案，”他表示，“不管供應(yīng)商怎么說(shuō)，惡意軟件都將不可避免地進(jìn)入網(wǎng)絡(luò)。請(qǐng)記住，零日攻擊利用的是未知的漏洞。抵御未知事物是一種挑戰(zhàn)。”

Dickson表示，現(xiàn)在安全環(huán)境已經(jīng)發(fā)生了轉(zhuǎn)變，我們不再能單純地依靠傳統(tǒng)的殺毒軟件—它會(huì)在檢測(cè)到數(shù)據(jù)泄露事故后對(duì)以前未被發(fā)現(xiàn)的惡意軟件創(chuàng)建簽名?，F(xiàn)在，來(lái)自思科的SourceFire、FireEye和Palo Alto的WildFire及Traps工具采用了更積極的做法。

Dickson解釋道：“這個(gè)行業(yè)正在轉(zhuǎn)變?yōu)槭褂酶嗷谛袨榈姆椒?，例如在隔離的虛擬化環(huán)境測(cè)試可疑文件的行為，或利用大數(shù)據(jù)分析來(lái)監(jiān)測(cè)網(wǎng)絡(luò)流量，建立基準(zhǔn)，并尋找異常行為。”#p#

保護(hù)vs.預(yù)防

傳統(tǒng)的智慧以及當(dāng)今威脅的現(xiàn)實(shí)可能需要采取像Bush Brothers使用的做法。但電信、銀行和能源公司IDT Corporation首席信息安全官Golan Ben-Oni并不這么認(rèn)為。他表示，我們需要更加專(zhuān)注于阻止攻擊者，而不是在攻擊后作出響應(yīng)。這個(gè)行業(yè)已經(jīng)陷入了一種模式，認(rèn)為他們?cè)馐芄糁皇菚r(shí)間問(wèn)題，而不是他們是否會(huì)受到攻擊。Ben-Oni表示，這是一種失敗主義態(tài)度。他說(shuō)道：“如果你說(shuō)你們放棄了防御，你在本質(zhì)上是說(shuō)你們已經(jīng)完全放棄。”

IDT使用了Palo Alto的三種產(chǎn)品來(lái)保護(hù)其網(wǎng)絡(luò)：WildFire網(wǎng)絡(luò)檢測(cè)軟件;Traps用于端點(diǎn)保護(hù)，由Palo去年從以色列的Cyvera收購(gòu);以及Global Protect，它讓IDT擴(kuò)展WildFire和Traps的優(yōu)勢(shì)到移動(dòng)設(shè)備以及離開(kāi)辦公室的電腦。

下面讓我們看看這些產(chǎn)品在IDT的使用情況：Traps總是在端點(diǎn)監(jiān)測(cè)惡意軟件，如果Traps檢測(cè)到零日攻擊或其他異常進(jìn)入網(wǎng)絡(luò)，它會(huì)通知WildFire，WildFire會(huì)進(jìn)行分析。在WildFire確認(rèn)是惡意軟件后，它會(huì)阻止和糾正該惡意軟件。這樣在檢測(cè)到惡意軟件時(shí)WildFire增加了另一層保護(hù)，終端和網(wǎng)絡(luò)(通過(guò)Palo Alto防火墻)都會(huì)受到保護(hù)。網(wǎng)絡(luò)將不允許惡意流量通過(guò)，如果文件由其他方式導(dǎo)入(例如通過(guò)USB閃存驅(qū)動(dòng)器或本地文件副本)，Traps會(huì)阻止其執(zhí)行。

在過(guò)去，IT人員檢測(cè)惡意軟件，斷開(kāi)計(jì)算機(jī)和網(wǎng)絡(luò)，并上傳文件到反病毒實(shí)驗(yàn)室，他們需要24小時(shí)來(lái)寫(xiě)一個(gè)簽名。但現(xiàn)在IT團(tuán)隊(duì)沒(méi)有這么多時(shí)間。

“傳統(tǒng)上，所有這一切都是手動(dòng)完成，而現(xiàn)在幾乎在近實(shí)時(shí)發(fā)生，”Ben-Oni表示，通過(guò)避免對(duì)人力的需要，橫向感染的風(fēng)險(xiǎn)大大降低。攻擊者會(huì)使用自動(dòng)化，因此，企業(yè)與攻擊者公平競(jìng)爭(zhēng)的唯一方法就是使用自動(dòng)化。

在美國(guó)印第安納州、肯塔基和俄亥俄州擁有超過(guò)100家銀行的First Financial Bank企業(yè)信息安全官Dan Polly表示，這是非常重要的一點(diǎn)。

First Financial在端點(diǎn)和網(wǎng)絡(luò)使用思科高級(jí)惡意軟件保護(hù)(AMP)，這讓該公司可以快速分析惡意軟件。如果AMP檢測(cè)到惡意軟件，它會(huì)推送可疑文件到門(mén)戶(hù)網(wǎng)站--該網(wǎng)站會(huì)作為一個(gè)沙箱，在其中該軟件會(huì)運(yùn)行分析來(lái)檢測(cè)這個(gè)威脅的內(nèi)容。

“需要記住的是，在這些工具可用之前，你需要安排人員來(lái)深入分析惡意軟件，這個(gè)人需要同時(shí)具備編程和安全技能，”Polly解釋道，“現(xiàn)在，我們可以自動(dòng)化部分工作，這節(jié)省了時(shí)間，讓我們可以更快地阻止威脅。”

與IDT的Ben-Oni一樣，Polly意識(shí)到了使用單個(gè)供應(yīng)商提供的多種功能所帶來(lái)的好處。除了AMP產(chǎn)品，該公司的安全工程團(tuán)隊(duì)還使用思科ASA和Sourcefire下一代防火墻，他說(shuō)這不僅可以執(zhí)行傳統(tǒng)防火墻功能，還支持入侵檢測(cè)和防護(hù)以及URL內(nèi)容過(guò)濾。Polly也喜歡通過(guò)開(kāi)發(fā)和收購(gòu)，思科已經(jīng)投資于Talos--該公司的安全情報(bào)和研究組。Talos組建了一支分析威脅的研究人員團(tuán)隊(duì)，他們的工作主要是試圖提高思科的安全產(chǎn)品。

“通過(guò)可擴(kuò)展的平臺(tái)，我們減少了解決新興威脅所需的時(shí)間，”Polly表示，“毫無(wú)疑問(wèn)，安全行業(yè)是分階段的;過(guò)去有段時(shí)間，最佳產(chǎn)品是唯一的選擇，但現(xiàn)在似乎轉(zhuǎn)移到其他方式，即選擇具有多種功能的單一來(lái)源。”

多年來(lái)，信息安全和網(wǎng)絡(luò)團(tuán)隊(duì)工作在不同的部門(mén)，在某些情況下，他們還會(huì)相互競(jìng)爭(zhēng)。

FireEye公司首席技術(shù)官Dave Merkel表示，當(dāng)前的威脅環(huán)境已經(jīng)改變了這種情況。“現(xiàn)在，安全必須整合到企業(yè)的架構(gòu)中，”他補(bǔ)充說(shuō)，安全和網(wǎng)絡(luò)團(tuán)隊(duì)必須更密切的合作。

思科公司安全業(yè)務(wù)部產(chǎn)品營(yíng)銷(xiāo)副總裁Scott Harrell表示同意，這兩個(gè)領(lǐng)域的合作對(duì)打擊更復(fù)雜的威脅是至關(guān)重要的。

他說(shuō)道：“雖然這兩個(gè)團(tuán)隊(duì)仍然有著角色分工，但我認(rèn)為這會(huì)發(fā)展到這樣的階段，即安全團(tuán)隊(duì)更多地參與網(wǎng)絡(luò)架構(gòu)開(kāi)發(fā)工作，而網(wǎng)絡(luò)人員將會(huì)處理1級(jí)安全要求，而2級(jí)和3級(jí)警報(bào)仍由經(jīng)驗(yàn)豐富的安全專(zhuān)業(yè)人士處理。”

IDT公司首席信息安全官Golan Ben-Oni表示，在其企業(yè)，IT內(nèi)的所有團(tuán)隊(duì)都一起合作。他補(bǔ)充說(shuō)：“在我們公司，每個(gè)人都會(huì)獲得所有其他計(jì)算領(lǐng)域的交叉培訓(xùn)。”