Palo Alto Networks：经历了点与线的防护，是时候进行“平台化”了！

日历已经翻向了2016，网络安全的话题仍是持续高热，网络安全形势不断变化的同时，网络安全防护技术也在不断翻新跟进，“下一代安全”的理念层出不穷，大家始终统一的想法就是变革，那么作为下一代安全理念的提出者，Palo Alto Networks又是如何解读这一理念的呢？在新的一年里又是如何对抗日益严峻的网络安全问题的呢？

• 基于不断观察，树立明确目标

Palo Alto Networks于2005年成立，至今在全球已经有很多像联想这样的客户了，紧跟趋势、顺势而为是其能长久立足于不断变化的网络安全领域的一大原因。对于2016年亚太区网络安全领域的新趋势，Palo Alto Networks有自己的预测和理解。

第一，勒索软件会继续进化其传播方式。据网络威胁联盟 (Cyber Threat Alliance) 的报告显示，勒索软件可谓利润丰厚，常令网络罪犯铤而走险，短时间内便可积累大量财富。Palo Alto Networks认为，勒索软件将在传播方式、逃逸技术、通信及目标文件隐藏等方面继续发展。Palo Alto Networks的副总裁兼亚太区首席安全官Sean Duca表示：“这一趋势将带来更多版本的勒索软件类攻击，从而使更多的网络犯罪团伙欺诈使用者支付赎金以取得解锁密钥，我们预测这些手法将会伸延到其他平台，如OS X和移动操作系统。”

第二，将有更多的组织加入威胁情报共享机制。Palo Alto Networks预测2016年亚太区的私营领域和安全厂商之间将会共享更多的安全威胁情报。为了实现对已知网络威胁、漏洞以及恶意行为的识别、防御、削减和响应，包括企业、政府等机构在内的组织已经开始意识到知识分享所带来的优势，并将其作为一种手段来团结各方力量对抗亚太区的网络入侵。

第三，网络安全危害的“间接式受害者”将有所增加。“间接式受害者”指的是，攻击者发起攻击时牵连了某个间接受害者。据《2015年Verizon数据泄露报告》指出，攻击者均利用第三方网站来发动攻击，这表明那些首先被泄露的个人和机构并不是真正的目标，而只是一场更大攻击里的一只棋子。Sean Duca解释到：“从攻击者的角度而言，这种做法有助于他们获取别人的信任，方便他们借助别家公司的资源为自己谋取利益。”在亚太区，“间接式受害者”最常见的受害方式是由于攻击者执行了“水坑攻击”，Palo Alto Networks预计2016年此类攻击事件将继续呈现上升趋势。

第四，“零信任”安全防御机制将被更广泛的应用。网络攻击发生的数量不断增加，而且正在摧毁我们对在线系统的数字信任。此外，这种信任危机已延伸到原有的安全架构中，并导致防御失效，其原因不仅源于那种过时的机构网络内部一切均可信的过时臆断，还因为原有防御措施不能提供足够的可视化、控制及保护。Palo Alto Networks预计未来将有更多机构采用全新安全模式，如“零信任”(Zero Trust)，以弥补包括以边界为中心策略、原有设备以及部署这些设备所使用的技术的不足之处。Sean Duca表示：“‘零信任’奉行‘绝不信任，必须验证’的指导原则。”

第五，针对物联网的攻击将在2016年大幅增加。物联网的发展使得越来越多的数字设备与互联网相连，Palo Alto Networks认为这些设备无疑将会成为网络犯罪团伙的攻击对象，但2016年亚洲不会出现成千上万的设备被攻击的情况，而是会发生更多此类的攻击，或者有更多试图攻击设备的情况的出现。

第六，亚太区的针对网络安全的立法将不断完善。网络安全也是政府所关注的焦点，欧盟已经公布了14项措施以改善网络安全准备工作和保护关键信息基础设施的政策 。Palo Alto Networks预计亚太区各国政府及立法者将有巨大的思想转变，在保护互联网和使用者方面会更加积极主动，与网络犯罪法律相关的讨论将会增加，过时的网络安全标准也会得到修改，整体安全形势将得到有效提升。

根据以上的预测，结合下一代安全理念，Palo Alto Networks作为网络安全业内有代表性的防火墙提供厂商，进一步提出，下一代安全网关要实现从云端、网络端、端点以及威胁智能情报有机整体的结合，成就整体的安全平台。

Palo Alto Networks 副总裁兼亚太区首席安全官（CSO）Sean Duca 

• 点与线的保护方式黔驴技穷，是时候拥有一个整体的安全平台了

网络安全的形势不断变化，物联网的发展、虚拟化带来的边界模糊而引发的安全问题、各个组织对网络安全的要求越来越高，互联网的接入方式越来越多元化，其面临的安全问题也越来越严峻。Sean Duca强调，下一代防火墙与传统UTM的不同。下一代防火墙在检测流量时采用了单次封装的理念解决了瓶颈问题，在性能上也更适应时下的互联网企业。但当然，Palo Alto Networks认为下一代防火墙这个单一的技术也无法解决时下的安全问题。

其实，基于端口的防火墙成为历史，下一代防某某产品的概念已经被网络安全厂商广泛利用，Palo Alto Networks的理解不同于他，认为合规性是唯一选择，平台化才能覆盖我们当今对网络安全的要求。

Palo Alto Networks的CSO Sean Duca一语点破：“面对新型威胁下一代安全解决方案应该是一个平台，而不单纯是我们购买某一种产品去应对现在新型的安全威胁，因为我们面临的安全攻击是整体的攻击链，所以我们考虑问题是从一个平台上解决攻击链所带来的安全隐患。”现在的黑客攻击以不同以往，现在常见网络攻击都在非常有针对性窃取组织的信息和数据，再依靠单一产品或者是某个方案已经完全不能满足现在的安全威胁需求了，现在我们对网络安全的需求是检测并阻止系统网络中任意节点的威胁，所以“平台化”志在必行。

Palo Alto Networks的“平台化” 实践是，定义下一代安全平台为面向云、网络及终端的全新体系，其将使企业的信息安全实现本地集成的、可扩展的、自动化的防御。

具体来说，Palo Alto Networks的下一代安全平台是通过平台化方式，利用云端运算能力，将防火墙、网关、威胁云平台等产品和防御手段智能的集成整合，并可根据客户需要，灵活的调整和部署所需要的解决方案以及扩展其他安全功能，也就是说，下一代安全平台并非是通过单点防护来保障网络安全，而是通过Palo Alto Networks平台覆盖到端点、系统、协议几个方面，来实行整个系统全方面的保护。

Palo Alto Networks 下一代安全平台

Palo Alto Networks的下一代安全平台包含的三项重要防护核心包括新一代防火墙，新一代云端威胁检测和新一代端点安全防护，它们之间彼此协同运作、高度整合，在用户划分网络用户部门时，能直接以身份而非IP地址来实现，并给予相应的网络权限，如此能让用户轻松简单地实现“一站式安全管理”。

在Palo Alto Networks的下一代安全平台中，网络系统中的云、数据中心，企业的周界，BYOD设备以及其他终端都有统一个合规，具备一致性，网络架构中的下一代防火墙、web网关、VPN等设备联合防御网络安全威胁，同时，Palo Alto Networks在虚拟化、网络、移动、安全分析和企业安全等领域都有合作密切的合作伙伴，能够不断完善下一代安全平台各个方面的防御能力，以为用户抵御来自外围的攻击、阻断恶意软件的传递和安全威胁的横向移动，以及保护数据不被泄露。最后，在“安全即服务”的趋势下，Palo Alto Networks也提供安全咨询和工程师支持服务。 

值得一提的是，Palo Alto Networks的威胁情报团队Unit42。据悉，Unit42是由Palo Alto Networks的网络安全研究人员及行业专家组成的，搜集、研究以及分析Palo Alto Networks安全平台上的数据，并分析攻击者的动机和方法，以披露最新的网络威胁，并分享给Palo Alto Networks的客户、合作伙伴以及相关社区。