Palo Alto Networks：网络安全安全策略亟待改进 被动防御不如主动发现

近期，台湾ATM事件、孟加拉央行事件以及刷爆朋友圈的雅虎用户信息泄漏事件频频发生，网络犯罪分子的魔手不断伸向企业和用户。面对日新月异的未知攻击手段，企业和用户虽然在不断加大人力、物力和财力投入，但是他的网络安全防御能力真的提高了吗？老话说“ 魔高一尺，道高一丈 ”，比喻正义始终压倒邪恶，笔者认为这句更是指，魔的本领高一招，道的技术就大一层，不管魔怎样变化、升级本领，道都会随着他本领的变化而变化。这样的解读放在网络安全领域也是一样的。在网络攻击技术不断升级的今天，我们的安全防御技术也应该不断变化升级。

传统的安全防御手段，以防御为中心，以已知威胁为假设，以策略为中心，而下一代网络安全架构认为未知威胁永远存在，是以预测为中心，强调主动性和对抗性的安全策略，其基础就是大数据分析和威胁情报。国内安全厂商对于下一代安全理念以及下一代防火墙的理解各有不同，有厂商认为“化被动为主动的方法论”才是下一代防火墙理念，也有安全从业者将下一代安全理念理解为因地制宜的精细化网络管理。于2005年成立的 Palo Alto Networks在网络安全领域已经走过了一个十年，一直活跃在网络安全防护一线的 Palo Alto Networks 对于“下一代网络安全”有着自己的理解。

网络攻击发生的数量不断增加，而且正在摧毁我们对在线系统的数字信任。这种信任危机也已延伸到原有的安全架构中，并导致防御失效。所以，在今年伊始， Palo Alto Networks曾发表预测报告认为，“零信任”的安全防御机制将被更广泛的应用。同时，Palo Alto Networks认为下一代安全解决方案应该是一个整体化的平台，应该以平台化的防御手段代替点状分布的安全防御机制，抵御攻击链。可见，对于网络安全的防御，Palo Alto Networks越来越趋于主动。

日前， Palo Alto Networks召开了媒体沟通会，分享了其进一步的新安全防护理念。 Palo Alto Networks 认为， 网络攻击将会是“新常态”，企业应对的关键在于增强网络的免疫力，尽快建立下一代网络安全架构。

Palo Alto Networks大中华区总裁徐涌介绍到：“目前企业面临的主要安全挑战是攻击的成本和防御的成本的不均衡。”也就是说，目前我们面临的安全挑战之一就是“安全攻防成本失衡”，攻击者在利益驱动下不断升级攻击方式，而我们作为防御方，根本没有做到“道高一丈”。虽然企业在不断增加大量经费来平衡这个差异，但是，不管如何努力，企业被攻击的事件仍不断地发生。徐涌进一步介绍到，目前企业针对这个问题还存在两个误区，一是企业想通过不断打补丁的方式增强自身的安全防御能力，这虽然在一定程度上加强了企业的安全防御，但如果不进行企业策略和安全架构的更新，仅仅是这样修修补补，也会增加很多潜在的风险；二是企业认为只要进入内网就能安全无虞，但事实是相反的，据有关数据表明，90%以上的攻击都是从企业内部发起的，所以内网也并不安全。

Palo Alto Networks大中华区总裁  徐涌

那么，面多黑客攻击成本降低而产生的次数更频繁、形式更为复杂多样的网络攻击，企业应该怎么做呢？徐涌表示，Palo Alto Networks将预防理念转化为产品，实现所有功能无缝集成、协同工作，适用于所有用户、应用程序和地点，并且还能自动发现并对网络和终端重新编程，能够有效帮助企业防止已知和未知威胁。

Palo Alto Networks认为，建立下一代网络安全架构，让企业网络安全拥有“免疫力”就是将下一代安全平台定义为面向云、网络及终端的全新体系，帮助企业实现自动化防御。以Palo Alto Networks下一代高级端点安全防护解决方案Traps为例。Traps是Palo Alto Networks 下一代安全平台 (Next-Generation Security Platform) 的组成部份，是为保护应用安全运行、有效防御网络攻击而设计的一个一体化自动化平台。Traps从Palo Alto Networks 云恶意软件分析平台 Palo Alto Networks WildFire分享并接收威胁情报，无论威胁来自何方，利用这些信息，Traps都可以对这些针对终端的威胁实施有效拦截，其最大的特点就是无需联网、无需更新。

Palo Alto Networks致力于成就一个利用云端运算能力，将防火墙、网关、威胁云平台等产品和防御手段智能集成整合的安全防御平台，覆盖端点、系统、协议几个方面，对整个系统实施全方面的保护，并可根据客户需要，灵活的调整和部署所需要的解决方案以及扩展其他安全功能。

Palo Alto Networks中国区技术总监程文杰具体介绍如何增强网络的“免疫力”时，提出四点建议。

• 一是实现应用可视化，减少被攻击途径。建立网络流量的可视化，分析并阻止未知流量，实施基于应用和用户的访问控制策略，阻止高危应用中的危险文件类型，部署与风险对应的终端保护策略。
• 二是预防已知威胁。阻止已知的漏洞攻击、恶意软件，阻止对恶意或钓鱼URL的访问，扫描SaaS应用中的已知恶意软件，阻止终端上的恶意软件和漏洞利用。 
• 三是预防未知威胁。检测、分析文件及URL中的未知威胁，在整个组织中自动更新对未知威胁的识别和防御能力，建立积极的威胁防御和缓解机制，在终端上阻止未知恶意软件和漏洞利用行为。
• 四是建立整合安全防御平台。正确进行部署和定位，将物理和虚拟化环境相结合，充分利用最佳安全信息技术资源和多重检测与预防机制，建立全球性的威胁分析知识体系，并具备快速响应机制。

Palo Alto Networks中国区技术总监  程文杰

当然，100%安全的防御策略是不存在的，徐涌在媒体沟通会上也表示“没有一个安全公司可以保证你的企业100%不被攻入，但Palo Alto Networks能够做的就是让成功攻击的成本急剧上升，帮助企业减少因网络攻击遭受更多损失。”