为什么单靠网络外围安全行不通？

近20年来，大多数企业对网络安全采取了古老的“吊桥和护城河”的方法，即把所有企业流量汇集到网关，同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行……

根据SafeNet公司2015年数据安全信心指数（DSCI）报告显示，在IT社区内，企业对网络外围安全有效性的感知和现实之间的差距在不断扩大。该报告指出，87%的IT决策者认为其网络外围安全系统可以有效阻止未经授权用户。然而，与此同时，单在2014年，超过1500起数据泄露事故共导致10亿数据记录遭泄露，这比2013年的数据泄露增加了49%，被盗或丢失的数据记录增加了78%。这些数据很疯狂：企业在反复做同样的事情，却期待不同的结果。

现在，虚拟化、公共云和BYOD等较新趋势进一步恶化了这个问题，因为这些趋势显著扩大了网络外围。随着U盘、Wi-Fi和VPN连接的普及，我们面临的威胁越来越大，这也不难理解为什么单靠外围防御会失败。

2015年Verizon数据泄露调查报告提供了新的见解。在60%的情况中，攻击者可以在数分钟之内入侵企业，而发现数据泄露所花费的时间却在增加。此外，99.9%被利用的漏洞是在CVE信息公布漏洞一年多之后。下面让我们看看过去的Verizon数据泄露报告中对外围防御及其失败原因的见解：

• 62%企业花了几个月时间来发现数据泄露

• 与网络入侵检测系统、基于主机入侵检测系统和日志审查相比，较终用户可更有效地检测到数据泄露

• 对于安全意识培训不要太乐观，较终用户只负责4%的检测工作

• 托管安全服务提供商只发现不到1%的数据泄露

笔者较喜欢2013年Verizon数据泄露报告中写道的话：“我们必须接受这个事实，即没有任何障碍是坚不可摧的，检测/响应是极其重要的防御线。我们不能再将这作为备用计划，而应该使之成为计划的核心部分。”

为什么网络外围安全会行不通？

为了阻止攻击者，企业必须修复所有漏洞，因为攻击者只要找到一个易受攻击的机器、应用或用户即可开始攻击。这也难怪企业会不断遭遇数据泄露，导致数百万甚至数十亿美元的损失。即使是大型企业也会遭遇数据泄露事故，尽管他们拥有很多的安全预算、很多员工、一流的产品和高端服务提供商。那么，企业和安全专业人员应该如何抵御当今资金雄厚的意志坚定的攻击者呢？

首先企业必须接受这个事实，攻击是不可避免的，无论网络外围安全多么好。其次，该行业需要重新定义在与攻击者的战斗中什么是“胜利”。传统来看，企业安全认为阻止攻击就是胜利。但攻击企业网络只是杀伤链的一步；攻击者还会在企业内横向移动，发现有价值的信息，然后渗出这些信息。

入侵网络并不是攻击者的重点，窃取数据才是重点。企业不应该专注于发现攻击者以及阻止攻击者，而应该检测攻击者活动目标并迅速做出反应。基于这些目标来部署安全是赢得这场战争的途径。

在过去，防止攻击者入侵就等于胜利，而现在阻止攻击者取得成功才是胜利。

预防是理想，检测是必须

攻击者在使用U盘或鱼叉式网络钓鱼电子邮件攻击企业环境内的台式机后，攻击者会开始横向移动到其他台式机以寻找有价值的数据，那么，企业安全团队能否检测到呢？如果数据从环境内受感染的电脑转移到基于互联网的资产，安全团队能否检测？对于上面的问题，大多数企业的答案是否定的，因为大多数企业把所有的重点放在网关，而没有在网络内部署适当的工具来检测横向移动或数据渗出。然而，横向移动和数据渗出也许是杀伤链中较难以被检测的部分。新安全模式工具包括以下步骤和组件：

1. “可防御的安全架构”：FireEye公司首席安全战略家Richard Bejtlich在他的著作《网络安全监控之道》中介绍了可防御网络架构的概念。根据Bejtlich表示，这种架构必须进行监控、清查和控制，并应联合资产所有者和利益相关者为网络制定适当的政策和程序。此外，该架构应可减小攻击面、定期评估漏洞以及保持更新和修复。

2. 网络安全监控：这不只是入侵检测系统（IDS），它应该包括事件数据、会话数据、全部内容采集和统计数据。网络安全监控不只是提供IDS警报；它还包含必要的背景和元数据以做出有关入侵的独立决策。

3. 连续安全监控：安全和网络管理员应该保留日志数据12个月，每15到60分钟更换日志并每5分钟传输日志到日志管理基础设施。此外，他们应该每天6次自动分析日志。对更换的日志执行完整性检查，并加密这些日志。

4. 部署攻击指标（IOC）：通过US CERT的工作以及Mandiant及其OpenIOC项目，收集和共享IOC的框架正迅速推出。企业安全团队应该利用这些框架。通过使用定义的框架，企业可有效实现快速和广泛传播真正的攻击数据。而安全产品现在已经开始利用这些数据来搜寻环境内的攻击活动。