启用新的安全模式势在必行

当前的威胁环境完全不同于 10 年前。那些损害可控的简单攻击早已让位于高度复杂、资金基础雄厚且能对组织和国家基础设施造成重创的现代网络犯罪。这些高级攻击不仅难以检测，而且还会长时间留在网络内，积累网络资源，以便在其他地方发动攻击。

完全依赖检测与拦截来实现防护的传统防御措施已经远远不够。目前的形势要求启用新的安全模式，在攻击前、攻击中和攻击后的整个过程中提供保护。

　　黑客活动的产业化

最早的电脑病毒出现距今已超过 25 年。当时几乎没有人意识到，它们会成为黑客活动产业化的开端。

近 10 年来，病毒一直是主要的攻击方式。随着时间的推移，防御者在很大程度上能够依靠拦截和防护能力来对抗这些病毒。随着新漏洞不断被发现和公布，攻击者获得了恶名，但也积累了越来越多的知识，这使得他们一直在不断创新。随之而来的，是清晰的威胁周期，也可以说，这是一种“军备竞赛”。大约每隔五年，攻击者们就会推出新型的威胁(从宏病毒到蠕虫病毒，再到间谍软件和 rootkit)，而防御者们则会快速创新，以保护网络免受这些威胁的损害。

毫无疑问，我们可以把这些周期与那些带来新攻击载体的主要技术转变对应起来(见图 1)。早期的病毒主要是以操作系统为目标，并通过“潜入者网络”进行传播。宏病毒利用用户的文件共享进行传播。蠕虫类型的病毒利用企业网络和不断增加的互联网活动，在不同计算机之间传播。间谍软件和 rootkit 则伴随新的应用、设备和在线社区出现。现在，我们面对的是高级恶意软件、针对性攻击和高级持续性威胁 (APT)。这个时代与过去的不同在于攻击背后的动机与工具，这使得检测、了解和阻止这些攻击变得非常困难。

 

图1、黑客活动的产业化

黑客活动的产业化正在创造一种更快、更有效且更高效的犯罪经济，他们会通过攻击我们的 IT 基础设施获取利益。有组织的漏洞交易非常猖獗且利益可观，而开放的市场更是推动了从利用漏洞到盗窃、破坏和损毁数据的转变。而且，随着网络罪犯意识到可以从中获取巨额的资金，他们的工作变得越来越标准化、自动化和流程化。攻击者了解传统安全技术的静态特性及其相互独立的部署，因此他们可以利用两者之间的缺口及其内部的漏洞。黑客集团遵循软件开发流程甚至成了司空见惯的事情，比如他们会在发布自己的产品前针对安全技术进行质量保证测试或工作台测试，以确保能够继续绕过常规防护。

现在，由于存在保密性方面的巨额经济奖励，许多“黑客活动分子”团队因此会发动能够为他们带来经济或政治收益而又极少会招致惩罚或起诉的攻击。新的攻击方法(例如：端口和协议跳跃、加密隧道、植入程序、以及使用社交工程和零日攻击的复合型威胁和技术)使得黑客能够更加轻松迅速地入侵，且成本更低，同时也增加了防御者检测和拦截攻击的难度。另外，这些方法还具有巧妙逃避的特性，因此，攻击能够自己在入侵企业后迅速变化，寻找稳固的立足点并窃取重要数据。

(责任编辑：安博涛)