Palo Alto Networks召开媒体沟通会前一天雅虎被曝用户资料遭窃事件，事件中5亿用户中枪，数量可谓叹为观止。

似乎不约而同，从Target数据遭窃开始，大规模数据泄漏事故近两年频现，涉及数量也在轮番叠高。这一起起事件亦暴露了企业安全防御所处的现状，在攻击手段日新月异的局面下企业安全架构预算大多停留在几年前的标准，这就直接导致防御成本和攻击成本的不均衡。 当然，企业并非无动于衷，确实也在不断增加大量经费来平衡这一差异。然而现实是，企业被攻击事件仍不断发生，且在今后很长一段时间内，企业首先要意识到的就是“被攻击成常态”这一事实，这与计算机能力的增加导致犯罪成本降低、次数更频发、攻击形式更为复杂多样直接相关。

那么，基于此情境，怎样才能更好地构建企业安全架构，更好地防御威胁呢？

　　攻防失衡：企业需先树立“正确的防御观”

Palo Alto Networks召开媒体沟通会前一天雅虎被曝用户资料遭窃事件，事件中5亿用户中枪，数量可谓叹为观止。

似乎不约而同，从Target数据遭窃开始，大规模数据泄漏事故近两年频现，涉及数量也在轮番叠高。这一起起事件亦暴露了企业安全防御所处的现状，在攻击手段日新月异的局面下企业安全架构预算大多停留在几年前的标准，这就直接导致防御成本和攻击成本的不均衡。

当然，企业并非无动于衷，确实也在不断增加大量经费来平衡这一差异。然而现实是，企业被攻击事件仍不断发生，且在今后很长一段时间内，企业首先要意识到的就是“被攻击成常态”这一事实，这与计算机能力的增加导致犯罪成本降低、次数更频发、攻击形式更为复杂多样直接相关。

那么，基于此情境，怎样才能更好地构建企业安全架构，更好地防御威胁呢？

　　攻防失衡：企业需先树立“正确的防御观”

首先需要树立“正确的防御观”。据Palo Alto Networks大中华区总裁徐涌介绍，在攻击和防御失衡愈发严重的节奏下企业安全防御应该从“提高攻击成功率的成本”着手，“提高被入侵后拿走(泄漏)数据的成本”。

在其看来，新的安全防御策略应随着攻击形势和企业业务做出相应变化。从防火墙的部署来看，从传统的4层墙转向7层墙；需改变原有安全架构暗箱操作的特点，使其具备可视化；化原来的单点防御为整体防御，化单兵单墙防御为全球一体的防御；通过快速和自动的防御体系应对‘被攻击成常态’的局面；正视内网的不安全性，采用零信任的安全架构；最后安全并非一家能够玩转，需要各方携手打破行业壁垒，构建更好的企业联盟。

在企业安全架构中，如CISO直接报告给CEO/董事会，该企业的安全能力会直接提高，因为安全已不再是孤立的问题，而是涉及企业运营的方方面面。据调查显示，在北美地区CIO平均每天要使用的安全工具为69个，这其中涉及来自不同提供商的不同工具，这对安全的自动化提出了挑战，而自动化恰是解决未来攻防失衡的关键所在，所以能用计算机解决的都不是事儿。

　　攻击者挑软柿子捏：如何构建正确的安全架构？

安全的重要性体现在事故发生时，所以在安全上做投资常是费力不讨好的，短期投入回报比并不明显，但这并不意味着企业可以放松对安全的重视。

事实上，攻击者并没有足够的耐心从事攻击，跟某个防御系统过不去，总会寻求更为容易攻破的下手。从之前一起大型数据泄漏事故来看，攻击者先是将矛头对准了香港和新加坡，受阻后转向了美国，并成功实施攻击。

这再次强调了提高攻击成功门槛的重要性，那么如何构建一个正确的安全架构呢？据Palo Alto Networks中国区技术总监程文杰讲述，企业可从这三方面入手：减少攻击途径、阻止已知威胁、识别并阻止未知威胁。

首先应用可视化，减少攻击途径。企业应建立网络流量的可视化分析并阻止未知流量；实施基于应用和用户的访问控制策略；阻止高危应用中的危险文件类型；部署与风险对应的终端保护策略。

其次预防已知威胁。企业应阻止已知的漏洞攻击、恶意软件和C&C流量；阻止对恶意或钓鱼URL的访问；扫描SaaS应用中的已知恶意软件；阻止终端商的恶意软件和漏洞利用。

最后也是最具挑战最为关键的地方——预防未知威胁。企业要能够检测、分析文件及URL中的未知威胁；在整个阻止中自动更新对未知威胁的识别和防御能力；建立积极的威胁防御和缓解机制；在终端上阻止未知恶意软件和漏洞利用行为。

授人以鱼不如授人以渔，安全技术具有替代性，企业不能太过依赖某项技术，而是从业务出发，着手构建一个完善的安全架构，聚沙成塔，以在攻防之战中获取主动权。

(责任编辑：安博涛)