分層安全策略為什么不是萬能的

為了應(yīng)對日益復(fù)雜的惡意行為和惡意軟件，分層安全策略在不久之前變得相當(dāng)受歡迎，而且現(xiàn)在已經(jīng)深入人心，成為整個(gè)行業(yè)保護(hù)企業(yè)網(wǎng)絡(luò)最好的實(shí)踐方式。從直觀的角度來看，它似乎在網(wǎng)絡(luò)內(nèi)部署了多臺(tái)安全設(shè)備，每一臺(tái)都有其自身的防御載體，提供一種具有重復(fù)性、在幾個(gè)不同層次上都有意義的網(wǎng)絡(luò)防御。

比如，如果一個(gè)組織部署了一個(gè)防火墻、入侵防御系統(tǒng)(IPS)和端點(diǎn)保護(hù)(EPP)系統(tǒng)，組織會(huì)認(rèn)為這些產(chǎn)品可以通過其不同的功能組合提供更強(qiáng)大的保護(hù)：在網(wǎng)絡(luò)外部，防火墻會(huì)檢查惡意URL、IP地址和其他類似可以在訪問控制列表中容易驗(yàn)證的指標(biāo)傳入的數(shù)據(jù)包。數(shù)據(jù)包如果通過防火墻，IPS系統(tǒng)會(huì)檢查數(shù)據(jù)包的內(nèi)容和頭信息，如果任意數(shù)據(jù)包內(nèi)容被視為符合IPS簽名列表的惡意內(nèi)容，這個(gè)數(shù)據(jù)包就會(huì)被丟棄或阻止。最后，在網(wǎng)絡(luò)中EPP系統(tǒng)駐扎在每個(gè)終端設(shè)備上，作為防御惡意代碼的最后一道防御線，對抗可能通過防火墻和IPS的惡意代碼。

給定的數(shù)據(jù)包通過網(wǎng)絡(luò)的每一個(gè)節(jié)點(diǎn)時(shí)，都需要接受為了保護(hù)網(wǎng)絡(luò)而日益侵入性的檢查。安全管理員都感到欣慰，覺得只有最復(fù)雜的惡意編碼可以成功滲透安全設(shè)備的幾層防御。然而，NSS實(shí)驗(yàn)室的獨(dú)立安全測試人員發(fā)布的一份報(bào)告質(zhì)疑部署分層安全方法會(huì)增強(qiáng)企業(yè)網(wǎng)絡(luò)安全。

在報(bào)告中關(guān)于入侵偵測故障的部分，NSS實(shí)驗(yàn)室決定測試37種不同的安全設(shè)備，包括來自24家安全廠商提供的解決1711種已知漏洞的防火墻、下一代防火墻(NGFW)、IPS和EPP設(shè)備。所選擇的攻擊已知感染過超過200多種軟件供應(yīng)商，包括來自微軟、蘋果和思科的產(chǎn)品。NSS實(shí)驗(yàn)室為了確定對于檢測漏洞的最佳配對，測試了各種設(shè)備的不同組合。對于分層安全策略的潛在故障，結(jié)果提供了一個(gè)有趣的答案。

測試的606種不同組合中，只有19種成功阻止了所有入侵企圖，值得注意的是，沒有一種單獨(dú)進(jìn)行測試的設(shè)備能夠阻止所有的惡意企圖。至于哪些產(chǎn)品一起工作是最佳搭配，NSS實(shí)驗(yàn)室發(fā)現(xiàn)NGFW 和IPS的組合比任意EPP系統(tǒng)組合都能更有效地阻止已知的攻擊。例如，任意NGFW-IPS組合平均故障率約為0.8%，而任意EPP組合平均故障率是驚人的26%.單單這些結(jié)果表明，如果不將一些內(nèi)嵌的安全設(shè)備搭配起來，僅僅只是部署端點(diǎn)防護(hù)是不夠安全的方法。

那么，組織應(yīng)該采取或計(jì)劃采取怎樣的分層安全方法來應(yīng)對這個(gè)報(bào)告？首先，企業(yè)應(yīng)該重視報(bào)告的具體內(nèi)容。例如，應(yīng)當(dāng)注意到，沒有任何安全裝置可以僅僅憑借自身來檢測到所有直接的微軟相關(guān)攻擊。以微軟為中心的組織決定部署安全設(shè)備組合時(shí)，應(yīng)該認(rèn)識到這個(gè)事實(shí)。

該報(bào)告提供了大量關(guān)于各種設(shè)備組合的性能詳情，我建議至少通讀整個(gè)報(bào)告，然后采用其中關(guān)于您的組織所使用的產(chǎn)品或供應(yīng)商的性能內(nèi)容。蘋果對蘋果產(chǎn)品的比較可能并不太合適，但是數(shù)據(jù)可能會(huì)凸顯你的產(chǎn)品表現(xiàn)不佳的狀況以及怎樣將產(chǎn)品和其他技術(shù)結(jié)合起來可以提高你的分層安全。例如，一個(gè)特別的組合：Sourcefire 3D 8250 IPS和Stonesoft 1301 NGFWs，在我心目中脫穎而出，因?yàn)樗跍y試過程中的阻攔表現(xiàn)非常好。盡管如此，某些產(chǎn)品可能適合一個(gè)組織，但不一定會(huì)適合另一個(gè)組織。

為此，每一個(gè)組織考慮或部署分層安全方式時(shí)，最好考慮到自身的威脅狀況和安全要求，然后按照NSS實(shí)驗(yàn)室的方法自行進(jìn)行測試。這將為每個(gè)組織提供特定的結(jié)果組合，并能產(chǎn)生一個(gè)更清晰的畫面，告訴組織哪些產(chǎn)品可以提供最佳的性能。

最后，部署分層安全策略時(shí)如果不考慮到設(shè)備組合，其實(shí)很有可能導(dǎo)致災(zāi)難性的后果。雖然會(huì)有故障可能性，但是對于攻擊者帶來的許多問題，分層網(wǎng)絡(luò)安全仍舊可以像當(dāng)前任意方法一樣提供極有說服力的解決方法。為了確保使用分層安全策略可以帶來更好的效果，在部署設(shè)備之前，安全管理員應(yīng)該深入研究不同廠商的設(shè)備組合，上述NSS實(shí)驗(yàn)室報(bào)告就是這個(gè)過程一個(gè)明智的開始。