有了分层安全就够了吗?再想想那些恶意软件吧!

ZDNET安全频道 04月12日 原创翻译： 安全咨询与研究公司NSS Labs发现，起始于企业网络边界，结束于桌面系统的各层网络中所使用的恶意软件捕捉技术总是难以追上它们利用漏洞的速度。

在对企业安全中使用的所有主要技术进行测试后，NSS发现，仍然有1800种严重恶意软件总是能够通渗透各种组合的安全产品。

一般情况下，典型的分层防御包括几种不同的防火墙、入侵防御系统（IPS），下一代防火墙，以及台式机或笔记本电脑上的浏览器安全防护以及桌面杀毒软件等。

NSS研究总监Frank Artes说：“无论我在安全层中添加多少安全杀伤链，总是会有恶意软件通过。”‘杀伤链’指的是本应在某一安全层中被捕获或者杀死（清除）的恶意软件，如果被漏掉了，那么将由下一层执行该操作。

被各种安全层技术测试过的恶意软件都有一个CVE编号，这就说明他们能够利用那些漏洞进行系统感染。有些恶意软件在半年后依然不能被IPS、防火墙等安全产品识别出来。

NSS并没有研究每个产品为什么会遗漏某种特定的恶意软件。在通常情况下，之所以成为失败的安全产品则是因为那些恶意软件与技术数据库中的签名不匹配。没有匹配的原因是恶意软件变种会利用先前未知的漏洞代码进行攻击，最终则能够通过防病毒软件和其它安全软件。

NSS建立了一种模型，通过此模型可以让用户测试多种技术组合并让人观察到能够横跨几层的恶意软件。对于那些想要寻找替代技术的企业来说，该模型有助于企业在使用新产品时对现有技术的配置进行执行调整。

然而，NSS所显示的结果并不是说分层技术是无用的。“安全分层仍然是最合乎逻辑意义的。”Artes说，“然而现实与理论总是存在着差异，因为市场上推出的那些不同层面的安全模型产品往往无法达到厂商们所宣传的效果。”

安全专家指出，依据近期的韩国银行攻击事件就能看出单纯的防御策略仍有许多弱点。虽然防火墙、IPS和防病毒软件可以捕获很多恶意软件，但企业仍需注意，某些恶意代码依然能够感染你们的系统。

因此专家们推荐对硬件与软件的审计日志进行检测，以便查看是否存在异常之处。此外，系统中关键数据的存储应有独立的安全体系，谨防恶意软件的穿透。

为了提高分层防御能力，Artes建议用户要随时保持安全产品的版本更新，并确保已经安装了最新的恶意软件签名。另外，企业应竟可能地对厂商的产品进行严格测试。

Artes说：“我们会对产品进行全方位的执行测试，有时候那些供应商在看到他们自己产品的实际评估报告时也会大开眼界的。”