近20年來，大多數(shù)企業(yè)對網(wǎng)絡安全采取了古老的“吊橋和護城河”的方法，即把所有企業(yè)流量匯集到網(wǎng)關(guān)，同時通過防火墻阻止所有不良流量?，F(xiàn)在這種方法怎么會可行……

根據(jù)SafeNet公司2015年數(shù)據(jù)安全信心指數(shù)(DSCI)報告顯示，在IT社區(qū)內(nèi)，企業(yè)對網(wǎng)絡外圍安全有效性的感知和現(xiàn)實之間的差距在不斷擴大。該報告指出，87%的IT決策者認為其網(wǎng)絡外圍安全系統(tǒng)可以有效阻止未經(jīng)授權(quán)用戶。然而，與此同時，單在2014年，超過1500起數(shù)據(jù)泄露事故共導致10億數(shù)據(jù)記錄遭泄露，這比2013年的數(shù)據(jù)泄露增加了49%，被盜或丟失的數(shù)據(jù)記錄增加了78%。這些數(shù)據(jù)很瘋狂：企業(yè)在反復做同樣的事情，卻期待不同的結(jié)果。

現(xiàn)在，虛擬化、公共云和BYOD等最新趨勢進一步惡化了這個問題，因為這些趨勢顯著擴大了網(wǎng)絡外圍。隨著U盤、Wi-Fi和VPN連接的普及，我們面臨的威脅越來越大，這也不難理解為什么單靠外圍防御會失敗。

2015年Verizon數(shù)據(jù)泄露調(diào)查報告提供了新的見解。在60%的情況中，攻擊者可以在數(shù)分鐘之內(nèi)入侵企業(yè)，而發(fā)現(xiàn)數(shù)據(jù)泄露所花費的時間卻在增加。此外，99.9%被利用的漏洞是在CVE信息公布漏洞一年多之后。下面讓我們看看過去的Verizon數(shù)據(jù)泄露報告中對外圍防御及其失敗原因的見解：

• 62%企業(yè)花了幾個月時間來發(fā)現(xiàn)數(shù)據(jù)泄露

• 與網(wǎng)絡入侵檢測系統(tǒng)、基于主機入侵檢測系統(tǒng)和日志審查相比，最終用戶可更有效地檢測到數(shù)據(jù)泄露

• 對于安全意識培訓不要太樂觀，最終用戶只負責4%的檢測工作

• 托管安全服務提供商只發(fā)現(xiàn)不到1%的數(shù)據(jù)泄露

筆者最喜歡2013年Verizon數(shù)據(jù)泄露報告中寫道的話：“我們必須接受這個事實，即沒有任何障礙是堅不可摧的，檢測/響應是極其重要的防御線。我們不能再將這作為備用計劃，而應該使之成為計劃的核心部分。”

為什么網(wǎng)絡外圍安全會行不通?

為了阻止攻擊者，企業(yè)必須修復所有漏洞，因為攻擊者只要找到一個易受攻擊的機器、應用或用戶即可開始攻擊。這也難怪企業(yè)會不斷遭遇數(shù)據(jù)泄露，導致數(shù)百萬甚至數(shù)十億美元的損失。即使是大型企業(yè)也會遭遇數(shù)據(jù)泄露事故，盡管他們擁有很多的安全預算、很多員工、一流的產(chǎn)品和高端服務提供商。那么，企業(yè)和安全專業(yè)人員應該如何抵御當今資金雄厚的意志堅定的攻擊者呢?

首先企業(yè)必須接受這個事實，攻擊是不可避免的，無論網(wǎng)絡外圍安全多么好。其次，該行業(yè)需要重新定義在與攻擊者的戰(zhàn)斗中什么是“勝利”。傳統(tǒng)來看，企業(yè)安全認為阻止攻擊就是勝利。但攻擊企業(yè)網(wǎng)絡只是殺傷鏈的一步;攻擊者還會在企業(yè)內(nèi)橫向移動，發(fā)現(xiàn)有價值的信息，然后滲出這些信息。

入侵網(wǎng)絡并不是攻擊者的重點，竊取數(shù)據(jù)才是重點。企業(yè)不應該專注于發(fā)現(xiàn)攻擊者以及阻止攻擊者，而應該檢測攻擊者活動目標并迅速做出反應?；谶@些目標來部署安全是贏得這場戰(zhàn)爭的唯一途徑。

在過去，防止攻擊者入侵就等于勝利，而現(xiàn)在阻止攻擊者取得成功才是勝利。

預防是理想，檢測是必須

攻擊者在使用U盤或魚叉式網(wǎng)絡釣魚電子郵件攻擊企業(yè)環(huán)境內(nèi)的臺式機后，攻擊者會開始橫向移動到其他臺式機以尋找有價值的數(shù)據(jù)，那么，企業(yè)安全團隊能否檢測到呢?如果數(shù)據(jù)從環(huán)境內(nèi)受感染的電腦轉(zhuǎn)移到基于互聯(lián)網(wǎng)的資產(chǎn)，安全團隊能否檢測?對于上面的問題，大多數(shù)企業(yè)的答案是否定的，因為大多數(shù)企業(yè)把所有的重點放在網(wǎng)關(guān)，而沒有在網(wǎng)絡內(nèi)部署適當?shù)墓ぞ邅頇z測橫向移動或數(shù)據(jù)滲出。然而，橫向移動和數(shù)據(jù)滲出也許是殺傷鏈中最難以被檢測的部分。新安全模式工具包括以下步驟和組件：

1. “可防御的安全架構(gòu)”：FireEye公司首席安全戰(zhàn)略家Richard Bejtlich在他的著作《網(wǎng)絡安全監(jiān)控之道》中介紹了可防御網(wǎng)絡架構(gòu)的概念。根據(jù)Bejtlich表示，這種架構(gòu)必須進行監(jiān)控、清查和控制，并應聯(lián)合資產(chǎn)所有者和利益相關(guān)者為網(wǎng)絡制定適當?shù)恼吆统绦?。此外，該架?gòu)應可減小攻擊面、定期評估漏洞以及保持更新和修復。

2. 網(wǎng)絡安全監(jiān)控：這不只是入侵檢測系統(tǒng)(IDS)，它應該包括事件數(shù)據(jù)、會話數(shù)據(jù)、全部內(nèi)容采集和統(tǒng)計數(shù)據(jù)。網(wǎng)絡安全監(jiān)控不只是提供IDS警報;它還包含必要的背景和元數(shù)據(jù)以做出有關(guān)入侵的獨立決策。

3. 連續(xù)安全監(jiān)控：安全和網(wǎng)絡管理員應該保留日志數(shù)據(jù)12個月，每15到60分鐘更換日志并每5分鐘傳輸日志到日志管理基礎(chǔ)設(shè)施。此外，他們應該每天6次自動分析日志。對更換的日志執(zhí)行完整性檢查，并加密這些日志。

4. 部署攻擊指標(IOC)：通過US CERT的工作以及Mandiant及其OpenIOC項目，收集和共享IOC的框架正迅速推出。企業(yè)安全團隊應該利用這些框架。通過使用定義的框架，企業(yè)可有效實現(xiàn)快速和廣泛傳播真正的攻擊數(shù)據(jù)。而安全產(chǎn)品現(xiàn)在已經(jīng)開始利用這些數(shù)據(jù)來搜尋環(huán)境內(nèi)的攻擊活動。