單點安全時代結(jié)束

當前世界充斥著各種復(fù)雜的惡意軟件、入侵威脅及多級攻擊，使用單點安全工具的傳統(tǒng)安全措施早已不能滿足需求，現(xiàn)代安全措施必須具備智能、聯(lián)動及互用的特點。

通過安裝多種單項優(yōu)勢軟件系統(tǒng)來為計算機提供全面保護的時代已經(jīng)過去了。讓我們首先回顧一起2009年發(fā)生的、在全球范圍內(nèi)引起廣泛關(guān)注的網(wǎng)絡(luò)攻擊事件:

2009年7月4日，一起近年來最為嚴重的、使用了僵尸網(wǎng)絡(luò)的分布式拒絕服務(wù)攻擊(DDoS)發(fā)生了。當天，大部分美國人都在享受休閑時光，眾多安全機構(gòu)的工作人員也處于放假狀態(tài)。攻擊者設(shè)計了一款危險的惡意軟件，通過該軟件成功營造了覆蓋二十萬余臺計算機的僵尸網(wǎng)絡(luò)。通過刪除主要文件及重寫主引導(dǎo)記錄，該惡意軟件使計算機硬件無法正常運轉(zhuǎn)，同時它還具備自動升級更新的功能。幾家美國政府部門網(wǎng)站受到了這個僵尸網(wǎng)絡(luò)的攻擊，其中包括聯(lián)邦貿(mào)易委員會(FTC)、聯(lián)邦航空局(FAA)以及美國財政部。攻擊目標隨后迅速擴散至美國及韓國的其他政府網(wǎng)站和商業(yè)網(wǎng)站，導(dǎo)致其中一些站點癱瘓。

在這起事件中，為什么有些受攻擊目標安然無恙，有些卻損失慘重?答案就在于“全球威脅智能感知系統(tǒng)”(Global Threat Intelligence)。

卷入此次破壞性攻擊的僵尸網(wǎng)絡(luò)中的計算機系統(tǒng)IP地址信譽均顯示不佳。這些計算機系統(tǒng)在參與此次惡意攻擊之前，僵尸網(wǎng)絡(luò)的操作者已經(jīng)利用它們進行了多次惡意活動，發(fā)送垃圾郵件就是其中之一。邁克菲捕獲了攻擊型IP地址發(fā)送的垃圾郵件，從而降低了上述地址在邁克菲全球威脅智能感知系統(tǒng)中的信譽級別。

這樣處理的獨特之處在哪里?以此次真實攻擊為例，企業(yè)防火墻通過郵件安全設(shè)備提前搜集到的威脅情報來保護用戶安全。兩個截然不同的保護裝置通過云分享威脅情報，從而阻止了一次惡意攻擊。

這種情況只有在相互關(guān)聯(lián)的防御體系中才有可能實現(xiàn)。該防御系統(tǒng)中的各個層級彼此關(guān)聯(lián)，共享情報信息，并最終聯(lián)合提供預(yù)測性保護。

還有一起引起廣泛關(guān)注的網(wǎng)絡(luò)攻擊事件:2009年12月發(fā)生的“極光行動”，攻擊者意欲竊取谷歌及其他某些公司的高價值知識產(chǎn)權(quán)信息。谷歌在其博客上宣稱受到了復(fù)雜網(wǎng)絡(luò)攻擊，自此“極光行動”才為世人所知。隨著時間的推移，“極光行動”的深度和廣度都有所增加。攻擊者的目標是眾多美國公司的高價值知識產(chǎn)權(quán)信息，此類攻擊形式并非罕見，以往主要用于攻擊政府和國防承包商，而不是像谷歌這樣的私人企業(yè)。

邁克菲一直處于調(diào)查此次攻擊并部署保護措施的最前線，我們之所以能夠取得突破性的成果，是因為我們的調(diào)查范圍覆蓋了安全領(lǐng)域的各個方面。

例如，在針對谷歌和其他公司的攻擊中，邁克菲發(fā)現(xiàn)了IE瀏覽器中一個從未被攻擊過的漏洞。一天之內(nèi)，針對這一漏洞的攻擊代碼公之于眾，這極大地增加了IE瀏覽器用戶的使用風(fēng)險。幸運的是，企業(yè)用戶很快得到了防御攻擊的相關(guān)幫助。

從上述兩起攻擊事件中我們能獲得什么啟示呢?問題的關(guān)鍵在于縮短保護時間間隔。當前信息安全行業(yè)的一般保護時間間隔最長為一周，但以7月4日發(fā)生的攻擊為例，針對某些攻擊提供零日保護已成為可能。

單點安全時代已經(jīng)一去不復(fù)返了。我們需要將各種安全產(chǎn)品聯(lián)系起來，共享威脅信息，同時借助安全管理平臺實現(xiàn)實時可見功能，實現(xiàn)安全行業(yè)從“深度防御”向“深度情報防御”的轉(zhuǎn)變。這意味著什么呢?“深度防御”并不等同于“深度情報防御”。我們需要的是開放式的安全防護，連接所有安全工具，引入核心合作伙伴，打破傳統(tǒng)信息孤島的限制。只有這樣，企業(yè)才能以更低成本獲得更高級別的安全保護，徹底擺脫使用單點安全工具的落后的防御措施。