与防火墙共舞危险 我们的未来是一个无墙的时代

柏拉图曾经说过,像亚特兰蒂斯古城这样充满先进技术和工程壮举的世界,我们永远将无缘再见。虽然亚特兰蒂斯的最高统治者亚特兰斯用黄金和白银铸造了奇伟的城墙,并一心想要征服浩瀚的大海,但他们却无法遏制汹涌的潮水和愤怒的神将亚特兰蒂斯及其壮丽世界沉入海底。

中国古人亦有诗云:万里长城今犹在,不见当年秦始皇。

长话短说,言归正传。当今的企业又何尝不是固守在同样的城墙之内,城墙之外却危机四伏,无休止的网络安全威胁就像亚特兰蒂斯城外的潮水一般汹涌澎湃,只是城内的亚特兰斯们已经没有了当年的傲慢。伴随着企业间的连接变得越来越普遍,我们也构建了日益复杂的防火墙,来保护我们的数据免受恶意之入侵。

而现在,筑墙御敌的时代已成穷途末日。再坚固的城墙也无法抵挡潮流的浩浩荡荡,过去的防火墙只能用来查漏补缺。当洪水来袭时,百尺城墙也将不堪一击而轰然倒塌,要想活下去惟一能做的,就是学会中流击水,做时代的弄潮儿。

防火墙只不过把网络当做城堡

防火墙是今天安全业的标杆。一般的想法是,防火墙和入侵防御系统(IPS)放置在网络的外围,用以创建不可信外部与可信内部之间的边界。位于可信内部的各系统可以畅通无阻地处理其合法业务,而潜在的入侵者则都被封锁在防火墙之外。

这种方法和亚特兰蒂斯位建造用于防御外敌入侵的城堡并无二致,都是创建带有内部安全区域、外部危险区域、并且完整清晰用于防御的一道墙。假设这种战略在技术和战术永不改变的情况下,的确能够起到很好的防御作用。

然而,这种假设从来都只是假设。中世纪的城堡一直在随着技术和战术的进步不断发展,从简单的木制堡垒到石彻堡垒,而后又使用护城河来防止在城墙底下挖隧道攻破城墙。就像防火墙也一直在随着入侵技术的进步不断发展一样,目前已经进化到能够执行深度包检测和其他能力。但所有的这些创新都忽略了一个事实,那就是城堡被拿下,往往都通过内部完成的。同样的,大多数网络安全泄露也都并不是试图全面禁用防火墙的正面攻击。通常情况下的网络安全泄露都是从小处着手,通过恶意软件进入很小的漏洞,然后感染某台机器。所谓千里长堤,溃于蚁穴,就是这个道理。

恶意软件真正进行的恶意行为一般是进行数据的窃取,或通过所攻陷的机器对其他目标发起新的攻击,通常是出站攻击。防火墙和入侵防御系统很难对出站流量进行预警,因为这些流量来自被认为的“可信”环境。

外敌好御,内贼难防

包括索尼被黑事件在内的最近许多备受瞩目的数据泄露事件都是从内部进行攻击的模式。尽管索尼被黑事件是在2014年11月才公之于众,但最初的入侵则很早很早之前就已经发生了,被盗的几个G的数据也是经过几个月才慢慢流出的。所有这一切都发生得神不知、鬼不觉,没有任何的预警,这对所有的安全专家来说都是哑巴吃黄连——有苦难言。

理想情况下,防火墙应该能够阻止进入边界的任何恶意内容,并在其进行攻击前对进行阻断。当然,现在大家都已经开始意识到这是不可能的了。因为总会有更厉害的黑客、使用更厉害的工具,并最终获得防火墙内部的访问权限。

外围预警无法阻止,甚至检测不到恶意软件在环境内部的传播。恶意软件通常不能直接感染真正有价值的系统。正如我们所看到的那样,恶意软件通常从有漏洞的机器入手,并从那里发现有价值的攻击目标。恶意软件的内部横向运动对其成功至关重要,因此我们必须开发可见性,以便立即发现和识别任何可疑的横向运动。

考虑到这一点,在敌人的性质及其目标每天都在发生变化的情况下,继续投入资源建立过滤更严格、门槛更高的防火墙是否还合情合理呢?

现代网络的复杂拓扑结构进一步放大了这个巨大的安全挑战,并对基于边界、面向外部的基本安全概念提出了质疑。使用云来部署应用程序和无处不在的自带随身设备,意味着内部网络和外部世界之间清晰边界的概念已经越来越模糊。

假设我们有一个员工的智能手机连接到了公司网络,该员工可能也会通过公司提供的数据连接浏览公共互联网,所以很容易受到恶意软件的感染,那么这时候再划分什么内部网络、外部网络还有什么用处吗,甚至或者说还有什么意义吗?

可见性与防护设施一样重要

把存储着信用卡数据的数据库比做是存放着贵重物品的仓库再合适不过了。仓库安全系统就像防火墙一样,同样也包含着像铁丝网栅栏以及防止进入仓库的紧锁着的大门这样的物理边界壁垒。但铁丝网栅栏有高有低,大门的锁也有好有坏,所以这些壁垒从来都不是惟一可依赖的安全系统。相反,物理安全的一个重要组成部分是其可见性,主要是闭路电视的形式,而且要设在重要的内部入口,可移动并具有红外探测装置。

当窃贼试图突破物理壁垒进入边界时,很重要的的一点是,闭路电视及其他传感器可以对闯入事件提供及时的响应,或对于了解闯入如何发生以及防止闯入事件在未来的再次发生提供必要的信息。

同样的可见性原则也适用于网络安全。进入IT基础设施的所有活动的可见性和预防屏障一样重要,而且很快将变得更为重要。

网络安全的未来

网络安全威胁态势不断发展,远远领先于防火墙、入侵防御系统以及杀毒软件,而它们都是基于规则而采取行动来应对以往的威胁。如果某个新的威胁与之前的规则不匹配,它就会不受阻碍、不被察觉地通过这些防护设施。没有全面的实时可见性,安全运行中心(SOC)就没有办法进行实时检测并采取行动来应对攻击。没有对所有活动进行辩证地记录,安全运行中心就没有办法充分评估未来攻击,或从攻击中吸取教训来防止类似的攻击。

网络安全的挑战是严峻的,要实现边界的完全防护是不可能的事情,任何的边界泄漏都将是灾难性的,而且甚至连哪里是边界之所在都搞不清楚了。

所以需要有新一代的安全系统,并且一切都将围绕可见性的重要性。而现今的防火墙将不得不从属于更明智、更综合的、对任何影响网络的东西都实现细粒度可见性的安全架构。但只是对影响网络的行为数据进行收集还是远远不够的,新一代的安全系统还必须能够进行实时分析,能从纷繁复杂的网络数据中分离出每种数据所代表的意义才意味着完整的可见性。

威胁已经从四面八方纷至沓来,不知不觉中可信网络时代即将结束,没有清晰边界的碧海深蓝已经悄然拉开帷幕,我们很快就会发现自己将陷入亚特兰斯的窘境,到那时天下一片汪洋,再坚固的城池又能如何呢?

作者:沉香玉

来源:51CTO

时间: 2024-07-30 15:56:16

与防火墙共舞危险 我们的未来是一个无墙的时代的相关文章

周丽淇与唐氏病童共舞新剧与黄浩然演情侣(图)

周丽淇出席"圣诞玩具历奇"活动,与唐氏综合症病童共舞. 新浪娱乐讯 北京时间12月10日消息,据香港媒体报道,周丽淇昨天出席"圣诞玩具历奇"活动,现场跟患上唐氏综合症的病童一起共舞,让小朋友们度过一个欢愉的下午,她呼吁大家不要歧视患病的小朋友. 周丽淇在今个圣诞节会举行签唱会及做"秀",春节期间将会参演李添胜监制的民初剧,与黄浩然合演情侣,据她所知,该剧演员大部分都是<义海豪情>的班底,所以她会上网翻看该剧.问是否拍李添胜的新剧想博拿

阿里技术高P访谈之郭东白:与“大象”共舞的技术狂人

在郭东白眼中,AliExpress就是一头狂奔的大象,令他惊讶.好奇,甚至是"恐怖".也正因为如此,他才毅然决定回国,要与这头"大象"共舞. "大象"的超级引力  大约两年前,阿里的HR联系上郭东白,向他大致介绍了AliExpress.然而就这一次看似平常的沟通,却引发了他巨大的兴趣. "你知道那种感觉吗?"郭东白向笔者说,"这是我之前从未听说过的一个奇迹!" AliExpress,也就是"全球速

Sophos:网购安全需电商与用户&quot;共舞&quot;

本文讲的是Sophos:网购安全需电商与用户"共舞",不知大家是否有发现,进入2012年有关网络安全的事件似乎有愈演愈烈之势,每天的IT新闻头条都有黑客攻破网站的消息,大到国家,小到每一个人都无法彻底摆脱网络安全的影响.而最近发生的银行泄密以及京东账户被盗刷则是更与我们息息相关的事情.为此,我们专门采访了Sophos中国区销售总监Tony Chung,请他为我们解惑近期发生的网络安全事件. Tony负责Sophos全线产品在中国区的销售,加入Sophos之前,Tony任职Crescen

梦想小镇有雄心,实现互联网创业与金融资本共舞

这,是一个因梦想诞生的梦幻小岛. 这,是一个因众创凝聚的多维空间. 这,是一个人人敢梦敢想敢做的地方. 这里,将不断发生一个个"互联网创业+资本"的奇妙化学反应. 这里,有一群年轻的激情创业者与一批老练果敢投资人的炫酷组合. 3月28日,伴随当天2015中国(杭州)财富管理论坛的开启,位于杭州未来科技城的梦想小镇将全新启幕. 锁定互联网创业和金融两大产业门类,确立"融资融智"产业布局,实现互联网创业与金融资本共舞. 梦想小镇有雄心: --打造众创空间新样板,构建&q

中印贸易大单凸显龙象共舞电信市场开放上议程

本报记者 张颖洁 印度新德里的"红地毯"日前迎来中国国务院总理温家宝,同时带来的是两国又一次经贸交流的良好机遇.据<第一财经日报>报道,在为期三天的正式访问中,超过200亿美元的贸易协议签署,而此前印度重点保护的金融和电信领域也有望对中国开放.与此同时,中国华为印度公司也宣布,未来5年将在印度市场投入20亿美元建立一家研发中心,并进行本地生产. 这标志着,中印双方经贸合作步入"最活跃"."最富有成果"的新时期.尤其,印度作为世界上人口

清科观察:企鹅与资本共舞快速出击原为几何

腾讯产业基金是腾讯公司按照国际惯例设立的企业创业投资平台即CVC(CorporateVentureCapital),目前,腾讯是唯一的投资方,但并不排除后续基金中引入其他投资人. 2011年1月,腾讯产业共赢基金成立,首期募集金额为50亿元人民币.至此,腾讯进入了"产业与投资"共舞的新时代.腾讯产业基金是腾讯公司按照国际惯例设立的企业创业投资平台即CVC(Corporate Venture Capital),目前,腾讯是唯一的投资方,但并不排除后续基金中引入其他投资人.腾讯产业共赢基金

国粹酒业涂国友:开创酒与文化共舞的新纪元

雷厉风行 开创酒与文化共舞的新纪元--访重品牌.热爱公益事业的国粹酒业董事长涂国友 企业简介:泸州国粹酒业有限公司地处世界闻名的酒城,浓香型白酒的发源地--泸州,是泸州酒业"小巨人"之一,公司现有员工500多人,其中,中.高级生产技术人员,管理人员,营销人员100多人.公司酿酒基地拥有原酒酿造窖池300余口,优质原酒年生产能力达6000余吨.公司拥有多条先进的自动灌装生产线和高素质的技术工人,还配备先进的检测仪器设备以及高规格,大容量的白酒存储设备.公司的生产.管理都按照ISO9001

与国有资本共舞

吴茂林 阿里巴巴集团董事局主席马云总能说出一些让人耳目一新的观点.日前他在出席广州"网货交易会"时发表演讲,认为都说私有经济是社会主义经济的重要补充,但国有企业才应该是市场经济的必要补充.毕竟民营经济和小企业解决了中国最大的就业问题,小企业和民营经济的发展才是中国未来发展的最重要力量. 马云的这番话说出了广大私营企业主的心声.但话虽这么说,现实生活中,面对国有经济占据绝对主导的地位,马云还是为自己企业的发展采取很现实的策略.从去年开始,淘宝先后与浙报集团.湖南卫视和杭州华数传媒组建合资

跳出大鳄的怀抱,却与大鳄一起共舞

摘要: 尽管马蔚华.董文标等多位银行业大佬在两会上以在银行体系间空转,没有对实体经济起作用.应向互联网理财征收风险准备金等论调呛声以余额宝为代表的互联网金融,但的确有银行 尽管马蔚华.董文标等多位银行业大佬在两会上以"在银行体系间空转,没有对实体经济起作用"."应向互联网理财征收风险准备金"等论调呛声以余额宝为代表的互联网金融,但的确有银行业人士选择了以实际行动表示对这一领域的看好. 笔者有两位采访对象,一位从平安银行离职后创办了网贷公司:另一位颇有名气的银行业分析