下一代安全：反击“魔高一丈”

要想窥探企业机密、破坏其业务的正常运行或者盗取企业资金，在这个信息化无所不在的商业社会中，毫无疑问最有效的方式就是侵入企业的IT系统。为了避免遭到别有用心的攻击和商业机密信息窃取,越来越多的企业都开始购买防病毒、防火墙等信息安全保护产品。可尽管这样，安全事件还是层出不穷。

2010年，美国证券交易机构纳斯达克屡次遭到攻击；2011年，RSA公司、索尼公司、美国数字证书机构Comodo分别被黑客入侵；2012年，黑客利用SQL注入获取了雅虎公司45.34万名用户的认证信息；2013年，韩国部分电视台和银行遭黑客攻击……

是这些企业不够重视信息安全吗？并非如此。以上所列出的受害企业中，不仅包含老牌IT企业和知名机构，还有本身就从事信息安全的厂商和一直对信息安全极为看重的金融机构。

问题出在哪里？

现有安全形态面临挑战

IT的发展历史上永远少不了信息安全的陪伴。经过多年“道高一尺，魔高一丈”般的攻防战，如今的黑客攻击目标更明确、方式更隐蔽、持续时间更长，而且出现了很多能够绕过常规防护措施的手段。黑客们拉帮结派伏击着企业，预谋实行有组织有背景的协作式攻击。而且，随着犯罪成本的提高，越来愈多的攻击瞄准金融、证券、电信等能够带来高额利润的行业。

2013年韩国多家电视台与银行受到攻击，起因是黑客首先入侵了防病毒软件厂商的局域网病毒库并更新了服务器，再利用升级机制将恶意软件分发到用户的计算机。业内普遍认为，为了得到这些银行和电视台的信息，并统一实行攻击，黑客很可能已经蛰伏了数月之久。

更为可怕的是，身为企业安全“保镖”的防病毒软件，在此次攻击事件中却成为了黑客的帮凶。传统防病毒、防火墙等安全产品过于依赖病毒库而不能应对未知威胁、多款安全产品无法协同、与应用结合不紧密等一直存在的问题也由此暴露无遗。这也就是为什么有如此之多的大型企业和安全厂商都会遭受到黑客攻击的原因。

下一代安全的四大特性

显然，传统安全产品已经不再那么符合当前的安全形势了。当“魔高一尺”时，“道”能否再高一丈？在这一背景下，业界出现了“下一代安全”的概念。这一概念以“智能安全”作为核心，强调了兼具高性能、应用感知以及虚拟化支持等多种功能特点，能够实现对未知威胁和新攻击形态有效防护的安全解决方案。这类解决方案主要具备以下几个特点。

统一平台及协同机制

在复杂的信息安全环境下，安全业界开始认识到，由单一安全产品组成的孤岛并不具有防护优势。因此迈克菲等安全厂商开始推出整合了多种功能的安全平台解决方案，实现IPS、防火墙、SSL VPN等功能和产品之间的联动和信息共享，在一次数据解包的情况下完成多种防护手段。

同时在管理员一侧，能够通过统一的管理面板对所有功能和产品进行统一操控和日志查看，保证了安全防护的整体性。

性能更加强劲

下一代安全着重关注与应用趋势的贴合。当前企业出口带宽急剧增加，包括移动设备在内的内部终端数量众多，对下一代防火墙安全产品的性能需求高涨。为了应对这一挑战，有厂商开始将集群的概念引入防火墙产品。以迈克菲收购的Stonesoft公司为例，其stonebeat技术相当于高可用集群的鼻祖，简单一点来说，这个技术的特性就是保证每一台防火墙的负载一致。很多知名厂商如思科、IBM的集群技术都是来自stonebeat的专利。根据迈克菲的信息显示，其下一代安全平台目前最多已经可以进行16个节点的集群连接，并支持节点间的负载均衡。

对于普通用户而言，多节点集群的应用与操作一台防火墙并无区别，像多链路VPN、链路负载均衡等常见功能防火墙集群均能实现。

应用感知与逃逸防护

传统防护技术更多地依赖特征库的支持，而一些高级逃逸技术天生对特征库防护具有“免疫性”。因此下一代安全着重在此进行了防护。早在2004年Stonesoft就已经开始对逃逸技术进行研究，在2010年发现高级逃逸技术后，随即对外公开了已经发现的23种逃逸技术，它们可以将已知的攻击隐藏起来，“透明”穿透用户安全系统的监测。更可怕的是，它们不会留下任何日志记录，所以企业无法通过传统的日志查看方式来对高级逃逸技术的攻击追踪溯源。目前，一些响应快速的厂商已经开始针对逃逸技术和高级逃逸技术进行研究。在这方面，迈克菲走在了行业的前列。通过部署其下一代防火墙产品，可以在日志里清楚地看到逃逸技术和高级逃逸技术的伪装参数，并通过管理平台，生成针对逃逸技术的报告，使管理者充分了解哪些业务正在遭受这种威胁，进行全面防护。

针对逃逸技术的检测，很多下一代安全产品由于无法在特征库匹配前清除这些逃逸伪装和掩饰的地方，因此无法精准地进行特征库匹配，导致误报、漏报的发生。对此，迈克菲安全专家认为：“首先要进行流量的标准化监测，滤掉伪装和掩饰的数据包，就像筛沙子一样把杂质滤掉，再进行特征库匹配，这样就会大大提高准度和精度。这也是为什么我们的产品可以在去年的NSS Labs测试中百分之百通过的原因。同时，在前不久结束的Blackhat（黑帽）安全大会上我们拥有的防逃逸技术也受到了业内的一直好评。”

像迈克菲这样在过滤流量的同时，还具有应用感知、内容感知、上下文感知以及加密流量检测功能的产品并不多。通过整合以上这些功能，安全产品能够将从IP层到应用层的所有数据包进行解码，察看每个协议的属性，真正让用户做到对网络2到7层的管控。

第一时间快速服务

企业内某个关键业务应用出现了漏洞，但是应用厂商还没有修复，怎么办？莫非就让应用系统继续“裸奔”？

对此，迈克菲通过漏洞响应小组，对主流操作系统和应用程序的漏洞进行研究，并在厂商发布补丁前给出防护措施，并将其加载到安全设备中。迈克菲的专家们将这种做法称之为“虚拟补丁”。而这也恰恰是下一代安全所强调的一个重要特性：对用户的定制化服务。

“我们认为，下一代安全应该是所有线路的集合、应该具有动态的、自适应的和不断演化的特性，它需要具备高性能，同时支持虚拟化环境防护的部署，通过下一代安全解决方案实现当前和未来的安全防护需求。”迈克菲安全专家说道。

不难看出，在贴近用户应用的前提下，下一代安全产品更多地凸显了其无需人工干预的智能化，针对APT攻击的定制化防护以及协同能力等诸多功能趋势。这些功能趋势，必将在信息安全解决方案中“常态化”，其可以称之为安全业界对黑客“魔高一丈”的一种反击。未来，这种此消彼长的攻防战还将继续……