外敌好御，内贼难防

包括索尼被黑事件在内的最近许多备受瞩目的数据泄露事件都是从内部进行攻击的模式。尽管索尼被黑事件是在2014年11月才公之于众，但最初的入侵则很早很早之前就已经发生了，被盗的几个G的数据也是经过几个月才慢慢流出的。所有这一切都发生得神不知、鬼不觉，没有任何的预警，这对所有的安全专家来说都是哑巴吃黄连——有苦难言。

理想情况下，防火墙应该能够阻止进入边界的任何恶意内容，并在其进行攻击前对进行阻断。当然，现在大家都已经开始意识到这是不可能的了。因为总会有更厉害的黑客、使用更厉害的工具，并最终获得防火墙内部的访问权限。

外围预警无法阻止，甚至检测不到恶意软件在环境内部的传播。恶意软件通常不能直接感染真正有价值的系统。正如我们所看到的那样，恶意软件通常从有漏洞的机器入手，并从那里发现有价值的攻击目标。恶意软件的内部横向运动对其成功至关重要，因此我们必须开发可见性，以便立即发现和识别任何可疑的横向运动。

考虑到这一点，在敌人的性质及其目标每天都在发生变化的情况下，继续投入资源建立过滤更严格、门槛更高的防火墙是否还合情合理呢？

现代网络的复杂拓扑结构进一步放大了这个巨大的安全挑战，并对基于边界、面向外部的基本安全概念提出了质疑。使用云来部署应用程序和无处不在的自带随身设备，意味着内部网络和外部世界之间清晰边界的概念已经越来越模糊。

假设我们有一个员工的智能手机连接到了公司网络，该员工可能也会通过公司提供的数据连接浏览公共互联网，所以很容易受到恶意软件的感染，那么这时候再划分什么内部网络、外部网络还有什么用处吗，甚至或者说还有什么意义吗？

　　可见性与防护设施一样重要

把存储着信用卡数据的数据库比做是存放着贵重物品的仓库再合适不过了。仓库安全系统就像防火墙一样，同样也包含着像铁丝网栅栏以及防止进入仓库的紧锁着的大门这样的物理边界壁垒。但铁丝网栅栏有高有低，大门的锁也有好有坏，所以这些壁垒从来都不是惟一可依赖的安全系统。相反，物理安全的一个重要组成部分是其可见性，主要是闭路电视的形式，而且要设在重要的内部入口，可移动并具有红外探测装置。

当窃贼试图突破物理壁垒进入边界时，很重要的的一点是，闭路电视及其他传感器可以对闯入事件提供及时的响应，或对于了解闯入如何发生以及防止闯入事件在未来的再次发生提供必要的信息。

同样的可见性原则也适用于网络安全。进入IT基础设施的所有活动的可见性和预防屏障一样重要，而且很快将变得更为重要。

　　网络安全的未来

网络安全威胁态势不断发展，远远领先于防火墙、入侵防御系统以及杀毒软件，而它们都是基于规则而采取行动来应对以往的威胁。如果某个新的威胁与之前的规则不匹配，它就会不受阻碍、不被察觉地通过这些防护设施。没有全面的实时可见性，安全运行中心(SOC)就没有办法进行实时检测并采取行动来应对攻击。没有对所有活动进行辩证地记录，安全运行中心就没有办法充分评估未来攻击，或从攻击中吸取教训来防止类似的攻击。

网络安全的挑战是严峻的，要实现边界的完全防护是不可能的事情，任何的边界泄漏都将是灾难性的，而且甚至连哪里是边界之所在都搞不清楚了。

所以需要有新一代的安全系统，并且一切都将围绕可见性的重要性。而现今的防火墙将不得不从属于更明智、更综合的、对任何影响网络的东西都实现细粒度可见性的安全架构。但只是对影响网络的行为数据进行收集还是远远不够的，新一代的安全系统还必须能够进行实时分析，能从纷繁复杂的网络数据中分离出每种数据所代表的意义才意味着完整的可见性。

威胁已经从四面八方纷至沓来，不知不觉中可信网络时代即将结束，没有清晰边界的碧海深蓝已经悄然拉开帷幕，我们很快就会发现自己将陷入亚特兰斯的窘境，到那时天下一片汪洋，再坚固的城池又能如何呢？

(责任编辑：安博涛)