攻击前

面对情景感知型攻击者，我们需要情景感知安全产品。组织面对的攻击者往往比他们自己更了解他们所保护的基础设施。为了在攻击发生之前进行防御，组织需要具有对自身环境(包括[但不限于]物理和虚拟主机、操作系统、应用、服务、协议、用户、内容和网络行为)的全面可视性，以期在与攻击者的对抗中获得信息优势。防御者需根据目标价值、攻击的合法性及历史情况，了解基础设施所面临的风险。如果不明白自己在努力保护什么，他们对于配置用来进行防御的安全技术将会毫无准备。可视性需要覆盖整个网络 - 包括终端、电子邮件和 Web 网关、虚拟环境和移动设备，并延伸到数据中心。而且从这种可视性中，必须能够生成可指导操作的警报，以便防御者做出明智决策。

　　攻击中

严酷的攻击并不限于单个时间点；而是持续不断地发生的。这就需要我们提供持续的安全防护。传统的安全技术仅能基于攻击本身的单个数据点在某个时间点检测攻击。这种方法是无法与高级攻击相抗衡的。我们需要的是基于感知概念的安全基础设施：集成并关联历史模式扩展网络的数据与全局攻击情报，从而提供情景并区分主动攻击、外泄和侦察与单独的背景噪声。这使得安全防护从一种某个时间点的测试转变成一种持续的分析与决策制定过程。如果某个文件通过了安全检测，后来又表现出恶意行为，那么组织就可以采取措施。有了这种实时洞察，安全专业人员可以在不进行人工干预的情况下，采用情报自动化来强化安全策略。

　　攻击后

为了应对整个攻击过程，组织需要追溯性安全功能。追溯性安全功能是一项巨大的数据挑战，很少有产品能够提供这种功能。当基础设施能够不断收集和分析数据来创建安全情报时，安全团队可以通过自动化来识别危害表现，检测那些复杂程度足以改变自身行为来躲避检测的恶意软件，然后修复相应的问题。数周或数月前未被检测出的攻击都可以被识别、确定范围、遏制和修复。

以威胁为中心的安全模式可帮助组织应对整个攻击过程，处理所有攻击媒介并随时、时时、实时进行响应。

　　启用新安全模式

为了启用新的安全模式，思科认为现代安全技术需要专注于三项战略性事务：它们必须是可视性驱动、专注于威胁且基于平台的。

可视性驱动：安全管理员必须能够准确地查看一切正在发生的事情。这种功能需要广度与深度的结合(见图 3)。广度即具备跨网络交换矩阵、终端、电子邮件和 Web 网关、移动设备、虚拟环境和云来查看和收集来自所有潜在攻击媒介的数据的能力，从而获得有关环境和威胁的知识。深度提供关联信息、应用情报来了解情况、做出更好的决策并手动或自动采取行动的能力。

 

图3、广度与深度

专注于威胁：现在的网络已扩展到所有有员工、数据以及可以访问数据的地方。尽管尽了最大努力，对于安全专业人员而言，应对不断变化的攻击媒介仍是一项巨大的挑战，这种持续的变化也给攻击者带来了可乘之机。策略和控制对于减少攻击面而言是必需的，但网络仍然面临着威胁。因此，技术必须专注于检测、了解和阻止威胁。专注于威胁意味着站在攻击者的立场上去思考、应用可视性与情景以了解和适应环境中的变化，然后演变防护措施，从而采取行动并阻止威胁。随着高级恶意软件和零日攻击的出现，这已成为一个需要持续分析以及实时安全情报(来自云并在所有产品中共享)的持续流程，以便提升效率。

基于平台：安全现在不仅仅是一个网络问题；它需要涵盖了网络、设备和云的灵活开放平台的集成系统。这些平台必须具备可扩展性，具有一定规模且可针对统一策略和一致性控制进行集中管理。简单地说，在我们对抗攻击时，它们需要无处不在。这体现了从部署单点安全设备到集成可扩展的真实平台、易于部署的服务与设备的转变。基于平台的方法不仅增加了安全效力，消除了孤立及其产生的漏洞，还减少了检测时间，简化了执行过程。

(责任编辑：安博涛)