企业到底该选择什么样的安全设备？

新的威胁类型不断涌现，传统的安全设备显然已经过时，我们该如何选择，以确保安全?

[[108628]]

新威胁不断涌现且愈发高级

在过去的几年中，我们已经看到越来越多针对财富500强企业和政府网络的攻击，商业化的运作使这些攻击在本质上具有高度针对性和持续性，有些攻击甚至持续几个月，同时大部分此类攻击意在窃取有价值的信息。

现代的恶意软件通常分为利用软件漏洞和通过有效载荷交付获得合法访问两种类型。经过多年的发展和积累，大量的资源被投入其中，使用的技术已经成熟。我们看到越来越多的黑客使用0-day获得通过软件漏洞进行攻击。同时，通过社会工程恶意软件可以获得合法的访问如网络钓鱼、感染U-key等等。

目前许多的恶意软件还使用复杂的逃避检测技术，通过伪装或修饰的网络攻击以躲避信息安全系统的检测。传统安全设备基于特征的检测机制在本质上是静态的，使恶意软件开发人员可以很轻松地使恶意软件逃避这些检测，就像隐形战斗机可在雷达和其它防御系统检测不到的情况下发起攻击。

传统安全设备是否依然可靠?

在过去的数十年里，防火墙一直是网络安全基础架构最重要的基石之一。发展到现在，防火墙已经经历了包过滤检测、状态检测、NGFW等数代的发展。防火墙为了应对所面临的威胁，在最近几代更新的安全设备中引入了基于特征的安全机制。在发现新的攻击后，要分析流量并将新流量特征添加到特征库中。系统监控流量匹配特征中的模式，如果找到匹配项，会将流量标记为可能的攻击。目前大多数的入侵检测和入侵防御系统使用的都是基于特征的引擎。

基于特征的方式非常适合于检测未加密的已知攻击，但也有非常明显的缺陷，也就是必须要知道攻击后才能够进行分析并编写新的特征。对于以多种形态出现的新的恶意软件和攻击类型、APT及0-day攻击所带来的威胁，基于特征的方法基本上无能为力。部分厂商利用的“沙箱技术”也是一个静态检测方法。在发生危害之前，恶意软件可以不断在沙箱中测试和调优，直到沙箱无法检测它。

在越来越多类似APT和其他一些精心设计的攻击使用高度隐蔽的方式，几乎不留下任何可审计的线索，如日志和事件。一些可审计的日志和事件由于数量过多，本身也不会提示严重的安全事件。但如果这些攻击是基于网络的，通常会在流量和流量数据中留下线索。大数据分析可以使用关联、机器学习等技术发现攻击的蛛丝马迹，但这已经超出了传统安全设备所能提供的检测范围。

我们到底需要什么样的安全设备?

针对下一代防火墙产品是否适合规模应用，世界著名的市场研究机构Gartner公司研究副总裁Greg Young曾表示，市场早期的NGFW产品，基于威胁进行防护，安全管理更多依赖于安全管理员。NGFW更多的是一个响应者，对安全员不能发现的威胁不会做出防护。同时，在实际的使用过程中，由于安全策略不够严格，潜在风险常常被利用。直到造成了损失被发现，进行“亡羊补牢”式的防护。可以预见到，“人”主导的安全防护很难长期保证质量。NGFW需要具备额外的智能。

山石网科CTO刘向明也认为，“0-Day、APT攻击、DDoS等异常流量及新型威胁不断出现，而这些异常威胁隐藏在正常流量中无法通过特征识别和静态阈值检测出，需要结合流量异常行为进行数据关联分析和检测，并需要提前进行风险防范和安全防护，否则会给企业造成巨大的损失。目前的防火墙通过特征识别和静态阈值进行威胁检测，并在威胁发生时进行安全防护，对异常威胁无法有效防护和提前防范。”

随着企业业务的发展，为了持续保证安全性，需要不断调整防火墙策略。大部分企业在他们的下一代防火墙上部署了数百条甚至上万条以上的策略，同时有相当一部分公司每个月都需要执行大量的策略变更。频繁的变更导致防火墙策略数量不断增加，存在大量冗余、无效的策略。这主要是因为管理员很难判断哪些策略有问题，即使判断出来也因为担心影响业务不敢轻易调整。所以能够及时浏览针对每一业务的策略设置，或提出策略优化建议，抑或能够自动发现冗余和无效的策略，简化管理的安全设备出现很有必要。

“智能化和自动化将是安全产品的一个发展趋势，让安全更多依赖“智能化设备”，有利于持久保持稳定的安全质量。”刘向明说。“基于对已知威胁的防御转变为基于未知风险的预防，会给用户带来极大的利好”。