網路安全需求分析，傳統威脅有增無減新型威脅層出不窮

傳統威脅有增無減新型威脅層出不窮

隨著網路的發展，網際網路已經逐漸成為人們生活中不可或缺的重要依靠，但資訊保安的問題也隨之越來越嚴峻。近幾年來，資訊保安問題已經成為業界關注和討論的熱點，目前，木馬、殭屍網路、釣魚網站等傳統網路安全威脅有增無減，分散式拒絕服務（ DDOS 攻擊）、高階持續威脅（ APT 攻擊）等新型網路攻擊愈演愈烈。

面對如今越發嚴重的安全形勢，傳統的安全行業也面臨巨大的挑戰。資料顯示，十幾萬家企業發生資料洩露，五百強中近一半的企業都在內，因為安全事件影響到眾多高管引咎辭職離開公司。其中大部分都是由於 APT 高階持續性攻擊導致的， APT 攻擊以其獨特的攻擊方式和手段，使得傳統的安全防禦工具已無法進行有效的防禦。 APT 攻擊不是一個整體，而是將眾多入侵滲透技術進行整合而實現的隱秘性的攻擊手法，可以在很長一段時間內逐步完成突破、滲透、竊聽、偷取資料等任務，其體現出兩方面的特點——“針對性”和“永續性”。 APT 攻擊的主要目標行業有政府、軍隊、金融機構、電信等行業，主要途徑是透過電子郵件、社交網站、系統漏洞、病毒等一系列方式入侵使用者電腦。企業不能防禦 APT 攻擊，主要是因為無法檢測到 APT 攻擊的方式和手段，因為 APT 攻擊是未知威脅，無法確定它的攻擊路線和渠道，它有很強的隱蔽性和持續性，它可以潛伏在電腦中很長時間不被發現。

2.1.2 已有檢測技術難以應對新型威脅

傳統的防禦措施主要是依靠防火牆技術、入侵檢測技術以及防病毒技術，任何一個使用者，在剛剛開始面對安全問題的時候，考慮的往往就是這三樣，傳統的防禦雖然起到了很大的作用，但還是面臨著許多新的問題。

首先，使用者系統雖然部署了防火牆，但仍然避免不了蠕蟲氾濫、垃圾郵件、病毒傳播以及拒絕服務的侵擾。並且未經大規模部署的入侵檢測單個產品在提前預警方面存在著先天的不足，且在精確定位和全域性管理方面還有很大的空間。

其次，雖然很多使用者在單機、終端上都安裝了防病毒產品，但是內網的安全並不僅僅是防病毒的問題，還包括安全策略的執行、外來非法侵入、補丁管理以及合規管理等方面。

所以說，雖然傳統的防禦仍然發揮著重要作用，但是使用者已漸漸感覺到其不足之處，因為它已經無法檢測和防禦新型攻擊。簡單的說，網路攻擊技術已經超過了目前大多數企業使用的防禦技術。

2.2 當前安全體系建設存在的問題

l  安全裝置不斷增多帶來的的管理複雜性

為了應對不同的攻擊在網路中部署了基於不同技術的多種裝置，這些裝置管理方式，使用方法各不相同，都需要管理和運維人員去了解和掌握，但是在企業中專職的安全管理運維人員數量較少，安全裝置的大量增加無疑會增加工作量以及管理複雜性。

l  安全裝置間無法協同難以形成合力

大量不同廠商的安全裝置之間無法協同工作，在技術實現，使用方式等方面都各不相同，針對同一個安全事件往往會產生不同的告警結果，給管理人員帶來很大困擾。尤其是當前 APT 攻擊逐漸成為趨勢，依靠單個裝置的檢測無法達到很好的效果，安全裝置間的協同工作就顯的更加重要。

l  告警資訊難以解讀

當前安全裝置的告警資訊通常展示內容有限，而且只針對特定時間段內的問題進行告警，缺少相關聯的上下文資訊，不同的裝置提供了不同維度的告警資訊，這就要求管理人員能夠識別這些告警，並將不同裝置的告警進行整合以發現存在的問題，同時裝置上大量的告警資訊，以及誤報也給管理人員解讀告警帶來了難度。

l  安全問題定位和調查費時費力

由於以上兩點的原因，當有安全問題發生時，管理人員需要在不同的裝置間進行日誌資訊檢視、整合、分析以定位問題發生的原因，從而進一步還原問題發生的過程以修復安全漏洞，這不僅對管理人員的安全能力提出了挑戰，同時調查證據的收集需要花費大量的時間，到安全漏洞彌補完成，已經對組織造成很大影響。

l  威脅情報落地困難

為了更好的應對高階可持續攻擊，威脅情報的引入和使用成為了各種組織的首選，但是將威脅情報應用到當前安全裝置中變得困難重重，一部分裝置不具備接收威脅情報的能力，可能需要在投入資金進行升級改造，另一部分裝置雖然具備接收能力，但是各個廠商介面標準不統一也使得威脅情報的使用耗時費力。