“全面互通”挑战

现代的扩展网络及其组件在不断地变化，并造就了新的攻击媒介。其中包括移动设备、具备网络功能的移动应用、虚拟机监控程序、社交媒体、网络浏览器和嵌入式计算机，以及我们初步构想的由万物互联所带来的数量激增的各种设备和服务。人们需要使用各种设备、访问各种应用并使用许多不同的云，因此总是与网络息息相关。这种普及性就是所谓的“全面互通”挑战。这些动态性在方便我们的通信的同时，也增加了可让黑客用以入侵的入口点和方法。遗憾的是，大多数组织处理安全问题的方法尚未实现统一。

大多数组织采用相互独立的技术来保护扩展网络，这些技术不会也无法协同工作。他们还可能过分地依赖云安全服务供应商和托管公司来保护互联网基础设施。在这一新的现实情况下，安全管理员往往对访问企业网络的设备和应用具有较低的可视性和可控性，而且能力不足以应对新的威胁形势。

　　新的安全动态

面对高级攻击和任意点对点基础设施共同带来的挑战，安全专业人员提出了三大问题：

1. 伴随着新的业务模式和攻击媒介的出现，我们如何在 IT 形势不断变化时保持安全性和合规性？那些为了获得云、虚拟化或移动技术所提供的工作效率、灵活性与效率而过渡到这些设备的组织，必须对其安全基础设施进行相应地调整。

2. 在不断变化的威胁形势下，我们如何提高能力来持续防御新的攻击媒介和日益复杂的威胁？攻击者不会区别对待；他们会抓住该链条中的任何薄弱环节。他们会频繁使用专为规避目标所选择的安全基础设施而开发的工具，毫不留情地攻击相应环节。他们会使用那些危害表现极其细微的技术和方法，在规避检测方面竭尽全力。

3. 我们如何才能够解决前两个问题并同时降低安全解决方案的复杂性与凌乱性？留下可被当今经验丰富的攻击者利用的防护缺口，将会给组织带来难以承受的代价。同时，由于未进行集成的不同安全解决方案而增加复杂性，无法提供应对高级威胁所需的防护水平。

这些动态性(不断变化的业务模式、威胁形势和安全的复杂性与凌乱性)的结合，造成了安全漏洞，打破了安全周期，降低了可视性，并带来了安全管理挑战。为了真正保护企业应对这些动态性，我们需要改变我们的安全方法。因此，启用以威胁为中心的全新安全模式势在必行。

　　应对整个攻击过程：攻击前、攻击中和攻击后

当今的大多数安全工具都专注于提供网络可视性，并在进入点拦截恶意软件。它们会在开始阶段对文件进行一次扫描，以确定其是否为恶意文件。但高级攻击并不限于单个时间点；而是持续不断地发生，这就需要我们提供持续的审查。现在，攻击者采用诸如端口跳跃、封装、零日攻击、命令和控制 (C&C) 检测规避、休眠技术、横向移动、加密流量、复合型威胁以及沙盒规避等手段，来躲避初始检测。如果未捕捉到相应的文件或文件在进入相应环境后才发展演变成恶意文件，在某个时间点进行检测的技术将无法识别攻击者的后续演变活动。

安全方法不能只专注于检测，它还必须具备降低攻击者侵入后所造成影响的能力。组织需要全面检查他们的安全模式并获得整个扩展网络和攻击过程(攻击发生前、攻击发生过程中以及攻击开始破坏系统或窃取信息后)的可视性和可控性(见图 2)。

 

图2、新安全模式

● 攻击前：为了实施策略和控制以防护扩展网络，防御者需要对扩展网络上的事物具有全面的感知与可视性。

● 攻击中：持续检测并拦截恶意软件的能力至关重要。

● 攻击后：为了消除攻击的影响，防御者需要追溯性安全功能。他们必须识别进入点，确定范围，遏制威胁，降低再次感染的风险并修复破坏的部分。

(责任编辑：安博涛)