近年來(lái)，網(wǎng)絡(luò)結(jié)構(gòu)性的轉(zhuǎn)變帶來(lái)了信息安全風(fēng)暴，為網(wǎng)絡(luò)犯罪創(chuàng)造了良好的機(jī)會(huì)。安全的發(fā)展像互聯(lián)網(wǎng)發(fā)展一樣每幾年會(huì)有一個(gè)更新，新的威脅不斷出現(xiàn)，新的攻擊手段層出不窮，導(dǎo)致安全防護(hù)的難度也越來(lái)越大。

安全挑戰(zhàn)：安全攻防成本失衡

作為防御方，很多企業(yè)設(shè)置的安全策略和構(gòu)建的安全防御架構(gòu)都是五年以前建立的，甚至有的時(shí)間更早。而作為攻擊方，攻擊者用的往往是最先進(jìn)的攻擊手法和工具。顯然，攻擊和防御的策略及成本是不均衡的，這也是企業(yè)面臨的最大的安全挑戰(zhàn)。

雖然很多企業(yè)通過(guò)不斷地增加大量經(jīng)費(fèi)來(lái)平衡這個(gè)差異，但是不管如何努力差異依然存在，諸如索尼影業(yè)、Target、Anthem等企業(yè)被攻擊的事件仍舊不斷發(fā)生。這是為何?問(wèn)題在哪里?Palo Alto Networks大中華區(qū)總裁徐涌認(rèn)為，首先企業(yè)用戶陷入了兩大誤區(qū)：

[[172670]]

Palo Alto Networks大中華區(qū)總裁徐涌

◆通過(guò)不斷打補(bǔ)丁的方式增強(qiáng)企業(yè)自身的安全防御，就能幫企業(yè)防患于未然

NO。要想通過(guò)這種方式打造一個(gè)固若金湯的企業(yè)安全防御體系，這是不現(xiàn)實(shí)的!如果不進(jìn)行企業(yè)策略和安全架構(gòu)的更新，僅僅是這樣修修補(bǔ)補(bǔ)，雖然在一定程度上加強(qiáng)了企業(yè)的安全防御，可是也增加了很多潛在的風(fēng)險(xiǎn)。

◆只要進(jìn)入內(nèi)網(wǎng)就安全了

絕不可能!因?yàn)楣舻膩?lái)源不僅有外部還有內(nèi)部，據(jù)有關(guān)數(shù)據(jù)表明，90%以上的攻擊都是從企業(yè)內(nèi)部發(fā)起的。所以內(nèi)網(wǎng)是不安全的，企業(yè)僅是把門守住是不行的。

其次，無(wú)法平衡攻擊和防御的策略及成本的根本原因在于“人”。目前，全球網(wǎng)絡(luò)安全專業(yè)人才缺口較大，無(wú)論是管理層的CISO還是基層的安全技術(shù)人員，都非常稀缺。而網(wǎng)絡(luò)攻擊者并不需要太多的人，可能僅需防御人才的十分之一，這是非常現(xiàn)實(shí)的問(wèn)題。

此外，如今企業(yè)被攻擊、被攻入已成常態(tài)。隨著計(jì)算機(jī)能力的增加和計(jì)算機(jī)成本的降低，引起能力成本的降低，從而導(dǎo)致犯罪成本降低、次數(shù)更頻繁、攻擊形式更為復(fù)雜多樣，攻擊者進(jìn)行大規(guī)模攻擊并攻入企業(yè)的事件頻發(fā)。

如何解決攻防失衡的問(wèn)題?

作為企業(yè)該如何解決攻防失衡問(wèn)題呢?徐涌建議：

一方面，在這場(chǎng)安全的攻防博弈中，企業(yè)首先要明確自己的定位，即是如何提升防御提高攻擊者的攻擊成本。一是,提升攻擊者實(shí)施攻擊的成本;二是在被攻擊者攻入后，提升盜取機(jī)密數(shù)據(jù)的成本?？傊?，就是與攻擊者打阻擊戰(zhàn)，當(dāng)企業(yè)堅(jiān)守24小時(shí)后，69%的黑客會(huì)放棄攻擊轉(zhuǎn)移目標(biāo)。

另一方面，隨機(jī)應(yīng)變，根據(jù)安全形勢(shì)和企業(yè)業(yè)務(wù)調(diào)整新的安全防御策略。從傳統(tǒng)防火墻防御的暗箱操作方式轉(zhuǎn)向可視化，4層防御轉(zhuǎn)到7層防御;從單點(diǎn)防御轉(zhuǎn)成整體防御;通過(guò)快速和自動(dòng)的防御體系，對(duì)抗“被攻擊、被攻入成常態(tài)”的局面;化單兵單墻防御為全球一體防御;建立零信任安全架構(gòu)，摒棄內(nèi)網(wǎng)安全論，提升企業(yè)內(nèi)部安全防御能力;最后，通過(guò)企業(yè)聯(lián)盟打破行業(yè)壁壘，企業(yè)間互換安全信息，從而把更好的安全信息提供給客戶。

此外，一個(gè)企業(yè)的CISO定位非常重要，作為CISO如果直接報(bào)告給CEO/董事會(huì)，該企業(yè)的安全能力會(huì)有所提高。因?yàn)榘踩巡辉偈枪铝⒌膯?wèn)題，而是涉及到企業(yè)的運(yùn)營(yíng)。

如何建立一個(gè)正確的安全架構(gòu)去做正確的防御?

[[172671]]

Palo Alto Networks中國(guó)區(qū)技術(shù)總監(jiān)程文杰

為了阻止攻擊，提高攻擊成功門檻，企業(yè)該如何建立一個(gè)正確的安全架構(gòu)去做正確的防御呢?Palo Alto Networks中國(guó)區(qū)技術(shù)總監(jiān)程文杰建議從以下三點(diǎn)出發(fā)：減少攻擊途徑、阻止已知威脅、識(shí)別并阻止未知威脅。具體如下：

第一步：實(shí)現(xiàn)應(yīng)用可視化，減少被攻擊途徑。企業(yè)需建立網(wǎng)絡(luò)流量的可視化，分析并阻止未知流量;實(shí)施基于應(yīng)用和用戶的訪問(wèn)控制策略;阻止高危應(yīng)用中的危險(xiǎn)文件類型;部署與風(fēng)險(xiǎn)對(duì)應(yīng)的終端保護(hù)策略。

第二步：阻止已知威脅。企業(yè)應(yīng)阻止已知的漏洞攻擊、惡意軟件;阻止員工對(duì)惡意或釣魚url的訪問(wèn);掃描saas應(yīng)用中的已知惡意軟件;阻止終端上的惡意軟件和漏洞利用。

第三步：識(shí)別并阻止未知威脅。企業(yè)應(yīng)檢測(cè)、分析文件及url中的未知威脅，實(shí)現(xiàn)對(duì)未知威脅的識(shí)別和防御能力的自動(dòng)更新，并建立積極的威脅防御和緩解機(jī)制，在終端上阻止未知惡意軟件和漏洞利用行為。

他總結(jié)到，企業(yè)應(yīng)建立整合安全防御平臺(tái)，瓦解高級(jí)攻擊的整個(gè)生命周期。將物理和虛擬化環(huán)境相結(jié)合，對(duì)企業(yè)進(jìn)行正確的部署和定位。充分利用最佳安全信息技術(shù)資源，采用諸如Traps的多重檢測(cè)與預(yù)防機(jī)制，從多個(gè)維度阻止漏洞利用和惡意軟件，防護(hù)已知和未知的威脅。并建立全球性的威脅分析知識(shí)體系，并具備快速響應(yīng)機(jī)制。

寫在最后

采訪中，程文杰還重點(diǎn)介紹了Palo Alto Networks下一代高級(jí)端點(diǎn)安全防護(hù)解決方案 Traps。Traps可為企業(yè)網(wǎng)絡(luò)終端設(shè)備提供全面安全防護(hù)，其最大的特點(diǎn)就是：無(wú)需聯(lián)網(wǎng)，無(wú)需更新。

Tarps僅利用極少常駐系統(tǒng)資源及特有多個(gè)入侵防護(hù)模組，可對(duì)入侵技術(shù)逐一移轉(zhuǎn)或封鎖。此外，Traps將收集詳細(xì)的鑒別信息并回傳到信息端端點(diǎn)安全管理系統(tǒng)(ESM)。由于入侵鏈條的特性的原因，僅需禁止鏈條中的一項(xiàng)技術(shù)即可封鎖整個(gè)攻擊。