与防火墙共舞危险 我们的未来是一个无墙的时代

柏拉图曾经说过，像亚特兰蒂斯古城这样充满先进技术和工程壮举的世界，我们永远将无缘再见。虽然亚特兰蒂斯的最高统治者亚特兰斯用黄金和白银铸造了奇伟的城墙，并一心想要征服浩瀚的大海，但他们却无法遏制汹涌的潮水和愤怒的神将亚特兰蒂斯及其壮丽世界沉入海底。

[[141429]]

中国古人亦有诗云：万里长城今犹在，不见当年秦始皇。

长话短说，言归正传。当今的企业又何尝不是固守在同样的城墙之内，城墙之外却危机四伏，无休止的网络安全威胁就像亚特兰蒂斯城外的潮水一般汹涌澎湃，只是城内的亚特兰斯们已经没有了当年的傲慢。伴随着企业间的连接变得越来越普遍，我们也构建了日益复杂的防火墙，来保护我们的数据免受恶意之入侵。

而现在，筑墙御敌的时代已成穷途末日。再坚固的城墙也无法抵挡潮流的浩浩荡荡，过去的防火墙只能用来查漏补缺。当洪水来袭时，百尺城墙也将不堪一击而轰然倒塌，要想活下去惟一能做的，就是学会中流击水，做时代的弄潮儿。

防火墙只不过把网络当做城堡

防火墙是今天安全业的标杆。一般的想法是，防火墙和入侵防御系统(IPS)放置在网络的外围，用以创建不可信外部与可信内部之间的边界。位于可信内部的各系统可以畅通无阻地处理其合法业务，而潜在的入侵者则都被封锁在防火墙之外。

这种方法和亚特兰蒂斯位建造用于防御外敌入侵的城堡并无二致，都是创建带有内部安全区域、外部危险区域、并且完整清晰用于防御的一道墙。假设这种战略在技术和战术永不改变的情况下，的确能够起到很好的防御作用。

然而，这种假设从来都只是假设。中世纪的城堡一直在随着技术和战术的进步不断发展，从简单的木制堡垒到石彻堡垒，而后又使用护城河来防止在城墙底下挖隧道攻破城墙。就像防火墙也一直在随着入侵技术的进步不断发展一样，目前已经进化到能够执行深度包检测和其他能力。但所有的这些创新都忽略了一个事实，那就是城堡被拿下，往往都通过内部完成的。同样的，大多数网络安全泄露也都并不是试图全面禁用防火墙的正面攻击。通常情况下的网络安全泄露都是从小处着手，通过恶意软件进入很小的漏洞，然后感染某台机器。所谓千里长堤，溃于蚁穴，就是这个道理。

恶意软件真正进行的恶意行为一般是进行数据的窃取，或通过所攻陷的机器对其他目标发起新的攻击，通常是出站攻击。防火墙和入侵防御系统很难对出站流量进行预警，因为这些流量来自被认为的“可信”环境。

外敌好御，内贼难防

包括索尼被黑事件在内的最近许多备受瞩目的数据泄露事件都是从内部进行攻击的模式。尽管索尼被黑事件是在2014年11月才公之于众，但最初的入侵则很早很早之前就已经发生了，被盗的几个G的数据也是经过几个月才慢慢流出的。所有这一切都发生得神不知、鬼不觉，没有任何的预警，这对所有的安全专家来说都是哑巴吃黄连——有苦难言。

理想情况下，防火墙应该能够阻止进入边界的任何恶意内容，并在其进行攻击前对进行阻断。当然，现在大家都已经开始意识到这是不可能的了。因为总会有更厉害的黑客、使用更厉害的工具，并最终获得防火墙内部的访问权限。

外围预警无法阻止，甚至检测不到恶意软件在环境内部的传播。恶意软件通常不能直接感染真正有价值的系统。正如我们所看到的那样，恶意软件通常从有漏洞的机器入手，并从那里发现有价值的攻击目标。恶意软件的内部横向运动对其成功至关重要，因此我们必须开发可见性，以便立即发现和识别任何可疑的横向运动。

考虑到这一点，在敌人的性质及其目标每天都在发生变化的情况下，继续投入资源建立过滤更严格、门槛更高的防火墙是否还合情合理呢?

现代网络的复杂拓扑结构进一步放大了这个巨大的安全挑战，并对基于边界、面向外部的基本安全概念提出了质疑。使用云来部署应用程序和无处不在的自带随身设备，意味着内部网络和外部世界之间清晰边界的概念已经越来越模糊。

假设我们有一个员工的智能手机连接到了公司网络，该员工可能也会通过公司提供的数据连接浏览公共互联网，所以很容易受到恶意软件的感染，那么这时候再划分什么内部网络、外部网络还有什么用处吗，甚至或者说还有什么意义吗?

可见性与防护设施一样重要

把存储着信用卡数据的数据库比做是存放着贵重物品的仓库再合适不过了。仓库安全系统就像防火墙一样，同样也包含着像铁丝网栅栏以及防止进入仓库的紧锁着的大门这样的物理边界壁垒。但铁丝网栅栏有高有低，大门的锁也有好有坏，所以这些壁垒从来都不是惟一可依赖的安全系统。相反，物理安全的一个重要组成部分是其可见性，主要是闭路电视的形式，而且要设在重要的内部入口，可移动并具有红外探测装置。

当窃贼试图突破物理壁垒进入边界时，很重要的的一点是，闭路电视及其他传感器可以对闯入事件提供及时的响应，或对于了解闯入如何发生以及防止闯入事件在未来的再次发生提供必要的信息。

同样的可见性原则也适用于网络安全。进入IT基础设施的所有活动的可见性和预防屏障一样重要，而且很快将变得更为重要。

网络安全的未来

网络安全威胁态势不断发展，远远领先于防火墙、入侵防御系统以及杀毒软件，而它们都是基于规则而采取行动来应对以往的威胁。如果某个新的威胁与之前的规则不匹配，它就会不受阻碍、不被察觉地通过这些防护设施。没有全面的实时可见性，安全运行中心(SOC)就没有办法进行实时检测并采取行动来应对攻击。没有对所有活动进行辩证地记录，安全运行中心就没有办法充分评估未来攻击，或从攻击中吸取教训来防止类似的攻击。

网络安全的挑战是严峻的，要实现边界的完全防护是不可能的事情，任何的边界泄漏都将是灾难性的，而且甚至连哪里是边界之所在都搞不清楚了。

所以需要有新一代的安全系统，并且一切都将围绕可见性的重要性。而现今的防火墙将不得不从属于更明智、更综合的、对任何影响网络的东西都实现细粒度可见性的安全架构。但只是对影响网络的行为数据进行收集还是远远不够的，新一代的安全系统还必须能够进行实时分析，能从纷繁复杂的网络数据中分离出每种数据所代表的意义才意味着完整的可见性。

威胁已经从四面八方纷至沓来，不知不觉中可信网络时代即将结束，没有清晰边界的碧海深蓝已经悄然拉开帷幕，我们很快就会发现自己将陷入亚特兰斯的窘境，到那时天下一片汪洋，再坚固的城池又能如何呢?

原文地址：http://www.aqniu.com/neo-points/8767.html