分層安全防禦的關鍵：網路VS端點

　　縱深防禦模式是保護企業的最佳方法是沒有爭議的。但是，哪一層最重要?有人說，應用層是最為關鍵的一環，而且這種說法也有一定依據(這是未來的爭論?)。但是，我們這裡考察兩個更普通的方法：網路層與端點。[@more@]

　　觀點1：網路層更重要，可提供處境意識

　　NitroSecurity重要基礎設施市場主管Eric Knapp稱，雖然端點安全是縱深防禦態勢的一個重要組成部分，但是，網路層是最重要的，因為它能幫助消除進入伺服器、主機和其它資產的入站惡意程式碼，同時提供一個極好的活動監視基礎以改善我們的整體處境意識。

　　當網路和主機安全都增強的時候，最終產生的安全“大塊糖”是攻擊者很難咬動的。這是重要的，因為雖然應用程式白名單和其它技術的推出顯著改善了端點安全，但是，我們的系統和裝置種類太多並且相互連線太多，不能保證主機安全措施百分之百地普遍應用和百分之百地有效。端點安全防護措施中的一個薄弱環節就可能為攻擊者創造一個灘頭陣地。因此，對於網路上的一切東西的相互連線有一個全面的觀點是重要的。

　　安全測驗

　　當然，網路安全不是一個新技術。甚至使用單向閘道器(網路層相當於應用白名單。在那裡，在物理層將提供絕對的保護)，也有可能繞過一個增強的網路外殼，暴露網路主機的內部狀況。然而，網路是公分母，是所有的系統、應用程式和服務的紐帶。透過適當地監視網路，可以發現大規模的威脅。主機本身會更安全。

　　使用防火牆和入侵防禦系統等標準的網路安全裝置的積極保護是開端。使用入侵檢測系統、網路流量分析以及網路行為分析工具、記錄管理和安全資訊與事件管理(SIME)系統等更全面的系統實施的網路活動監視將豐富端點保護裝置和提供更廣泛的威脅檢測能力。

　　換句話說，基於網路的安全不僅僅是一層防禦，它是獲得處境意識的要點，向安全分析人士顯示所有這些離散的主機安全事件如何相互關聯，與重要的安全以及企業的遵守法規政策有什麼關係。

　　當正確地使用的時候，網路層安全資訊能夠與主機上的應用白名單一起使用以便建立更好的東西。在倫敦召開的SANS研究所安全會議上首次出現的詞彙“智慧名單”引進了這樣一個概念，就是使用主機上的應用程式白名單代理程式中的安全事件完成網路安全裝置的反饋迴路。網路安全裝置通常根據黑名單封鎖通訊或者定義特徵。這些特徵告訴防火牆或者入侵防禦系統我們所知道的壞東西。

　　當一個另日攻擊漏洞經過這些黑名單防禦並且攻擊使用某些應用控制保護的主機時，這個利用安全漏洞的攻擊將被阻止並且被記錄下來細節。

　　但是，那個利用安全漏洞的攻擊來自哪裡?它是一個內部的威脅，還是來自另一個國家的更高階的攻擊?它是如何透過網路層安全控制的?回答這些問題的唯一的途徑是檢視網路本身，特別是檢視網路層安全事件以及網路流資訊。

　　當我們看到某些東西試圖在一個保護的主機上執行應用程式的惡意企圖的時候，我們能夠由直覺知道這個應用程式是惡意的並且相應地調整我們的黑名單。換句話說，我們根據從主機上獲得的情報和在網路層的環境中進行的評估建立一個我們推斷是惡意的“智慧名單”。

　　只有使用這種水平的自動化智慧和網路層得意識才能用網路層安全控制檢測出最高階的攻擊並且把這些攻擊封鎖在網路周圍。因為如果網路讓這個攻擊進入，這個攻擊最終將找到自己的灘頭陣地：沒有很好地保護的臺式電腦、伺服器、印表機或者一些其它裝置。

　　有許多隱蔽的、變異的和高階的惡意軟體。因此，如果一個攻擊成功地登陸，它將在發現漏洞之前攻破系統。當網路和主機安全是堅固的，攻擊者就很難咬動這個安全的大塘塊。

　　觀點2：網路安全完全取決於端點

　　Sophos技術戰略主管James Lyne稱，急劇變化的攻擊方式、漫遊使用者、過多的需要保護的平臺和對更多的資料進行加密的日益增長的需求是讓端點安全成為提供安全的重要控制措施的因素。

　　加密因素本身就迫使人們改變思維方式。在傳輸或者資料層進行加密，基於網路的檢測將變的不現實，使網路裝置無法做自己的工作。另一方面，端點能夠看到加密前的資料，允許對通訊進行效能檢測。

　　而且，在端點有更多的環境背景用於安全活動。這個因素越來越重要。目前在Sophos實驗室，我們每天看到9.5萬個單個的惡意程式碼，每一秒鐘能夠發現一個新的被感染的網頁，惡意軟體的數量和質量在過去的幾年裡驚人地增長。在過去的25年裡一直使用的基於內容的檢測技術對於這種大量的惡意程式碼正在日益失效。在端點，應用程式、資料、行為和系統健康的可見性可用於做出更準確的決策和更好的預先防禦。

　　比較一個例子，設法識別和阻止Skype的任務(還沒有惡意程式碼那樣複雜)。你在端點可以簡單地識別出Skype.exe(使用各種機制)。而要在網路中實現這個目的，你需要解碼資料包。由於資料包有數千種格式，這個任務是很困難的。惡意程式碼經常偽裝成合法通訊的其它格式。

　　更多的使用者還從路上訪問資料和應用程式，目前在許多情況下是使用雲服務。如果這個通訊沒有回程透過企業，網路安全就失去了過去在外圍和網路結構上提供的可見性。因此，無論裝置在什麼地方都需要擁有檢查被感染的網站的URL地址等一些安全能力，即使這個裝置不在網路上的時候也要有這種能力。端點和基於雲的保護能夠實現這個目的。

　　然而，網路安全比端點安全更容易部署，因為企業能夠在網路的幾個地方部署安全措施，不用在每一臺PC上部署安全措施。然而，當安全出行錯誤或者一臺裝置被感染的時候，端點保護可提供清除惡意程式碼和避免損失或者緩解問題的能力。這是網路層安全做不到的。

　　公平地說，在端點是一個不停的戰鬥，因為許多惡意軟體的設計都是要關閉端點安全軟體。從網路監測惡意軟體沒有這個問題。好訊息是：在端點的惡意軟體在試圖感染其它軟體或者撥號回家的時候能夠被監測出來。

　　總之，這兩種形式的安全對於防止現代的威脅都是很重要的。過去在網路上提供的一些安全功能需要過渡到端點，以便提供有效性和相容新的大量的漫遊使用者。

　　相反，網路解決方案能夠覆蓋不可能部署代理程式的裝置、來訪客戶或者被惡意軟體關閉了端點軟體的系統。在網路解決方案中，網路級的攻擊和嗅探更容易發現。

　　由於有這樣大量的惡意軟體和更多的有針對性的攻擊，你執行的層次越多，你撒下的捕捉網路犯罪分子的網就越大。在未來幾年裡，許多安全傳統將受到挑戰並且被改變。但是，這兩種方法將繼續提供價值。

　　傳統的端點和網路安全一直被不同的團隊當作隔離的區域。為了應對更廣泛的威脅和新的裝置，讓它們配合工作以便提供更好的安全是有許多好處的。在網路、端點和雲之間共享資訊毫無疑問是現代安全的發展方向。