日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

柏拉圖曾經(jīng)說過，像亞特蘭蒂斯古城這樣充滿先進技術(shù)和工程壯舉的世界，我們永遠將無緣再見。雖然亞特蘭蒂斯的最高統(tǒng)治者亞特蘭斯用黃金和白銀鑄造了奇?zhèn)サ某菈?，并一心想要征服浩瀚的大海，但他們卻無法遏制洶涌的潮水和憤怒的神將亞特蘭蒂斯及其壯麗世界沉入海底。

創(chuàng)新互聯(lián)公司長期為千余家客戶提供的網(wǎng)站建設(shè)服務(wù)，團隊從業(yè)經(jīng)驗10年，關(guān)注不同地域、不同群體，并針對不同對象提供差異化的產(chǎn)品和服務(wù)；打造開放共贏平臺，與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為高港企業(yè)提供專業(yè)的網(wǎng)站設(shè)計制作、成都網(wǎng)站設(shè)計，高港網(wǎng)站改版等技術(shù)服務(wù)。擁有十年豐富建站經(jīng)驗和眾多成功案例,為您定制開發(fā)。

中國古人亦有詩云：萬里長城今猶在，不見當(dāng)年秦始皇。

長話短說，言歸正傳。當(dāng)今的企業(yè)又何嘗不是固守在同樣的城墻之內(nèi)，城墻之外卻危機四伏，無休止的網(wǎng)絡(luò)安全威脅就像亞特蘭蒂斯城外的潮水一般洶涌澎湃，只是城內(nèi)的亞特蘭斯們已經(jīng)沒有了當(dāng)年的傲慢。伴隨著企業(yè)間的連接變得越來越普遍，我們也構(gòu)建了日益復(fù)雜的防火墻，來保護我們的數(shù)據(jù)免受惡意之入侵。

而現(xiàn)在，筑墻御敵的時代已成窮途末日。再堅固的城墻也無法抵擋潮流的浩浩蕩蕩，過去的防火墻只能用來查漏補缺。當(dāng)洪水來襲時，百尺城墻也將不堪一擊而轟然倒塌，要想活下去惟一能做的，就是學(xué)會中流擊水，做時代的弄潮兒。

防火墻只不過把網(wǎng)絡(luò)當(dāng)做城堡

防火墻是今天安全業(yè)的標(biāo)桿。一般的想法是，防火墻和入侵防御系統(tǒng)(IPS)放置在網(wǎng)絡(luò)的外圍，用以創(chuàng)建不可信外部與可信內(nèi)部之間的邊界。位于可信內(nèi)部的各系統(tǒng)可以暢通無阻地處理其合法業(yè)務(wù)，而潛在的入侵者則都被封鎖在防火墻之外。

這種方法和亞特蘭蒂斯位建造用于防御外敵入侵的城堡并無二致，都是創(chuàng)建帶有內(nèi)部安全區(qū)域、外部危險區(qū)域、并且完整清晰用于防御的一道墻。假設(shè)這種戰(zhàn)略在技術(shù)和戰(zhàn)術(shù)永不改變的情況下，的確能夠起到很好的防御作用。

然而，這種假設(shè)從來都只是假設(shè)。中世紀(jì)的城堡一直在隨著技術(shù)和戰(zhàn)術(shù)的進步不斷發(fā)展，從簡單的木制堡壘到石徹堡壘，而后又使用護城河來防止在城墻底下挖隧道攻破城墻。就像防火墻也一直在隨著入侵技術(shù)的進步不斷發(fā)展一樣，目前已經(jīng)進化到能夠執(zhí)行深度包檢測和其他能力。但所有的這些創(chuàng)新都忽略了一個事實，那就是城堡被拿下，往往都通過內(nèi)部完成的。同樣的，大多數(shù)網(wǎng)絡(luò)安全泄露也都并不是試圖全面禁用防火墻的正面攻擊。通常情況下的網(wǎng)絡(luò)安全泄露都是從小處著手，通過惡意軟件進入很小的漏洞，然后感染某臺機器。所謂千里長堤，潰于蟻穴，就是這個道理。

惡意軟件真正進行的惡意行為一般是進行數(shù)據(jù)的竊取，或通過所攻陷的機器對其他目標(biāo)發(fā)起新的攻擊，通常是出站攻擊。防火墻和入侵防御系統(tǒng)很難對出站流量進行預(yù)警，因為這些流量來自被認(rèn)為的“可信”環(huán)境。

外敵好御，內(nèi)賊難防

包括索尼被黑事件在內(nèi)的最近許多備受矚目的數(shù)據(jù)泄露事件都是從內(nèi)部進行攻擊的模式。盡管索尼被黑事件是在2014年11月才公之于眾，但最初的入侵則很早很早之前就已經(jīng)發(fā)生了，被盜的幾個G的數(shù)據(jù)也是經(jīng)過幾個月才慢慢流出的。所有這一切都發(fā)生得神不知、鬼不覺，沒有任何的預(yù)警，這對所有的安全專家來說都是啞巴吃黃連——有苦難言。

理想情況下，防火墻應(yīng)該能夠阻止進入邊界的任何惡意內(nèi)容，并在其進行攻擊前對進行阻斷。當(dāng)然，現(xiàn)在大家都已經(jīng)開始意識到這是不可能的了。因為總會有更厲害的黑客、使用更厲害的工具，并最終獲得防火墻內(nèi)部的訪問權(quán)限。

外圍預(yù)警無法阻止，甚至檢測不到惡意軟件在環(huán)境內(nèi)部的傳播。惡意軟件通常不能直接感染真正有價值的系統(tǒng)。正如我們所看到的那樣，惡意軟件通常從有漏洞的機器入手，并從那里發(fā)現(xiàn)有價值的攻擊目標(biāo)。惡意軟件的內(nèi)部橫向運動對其成功至關(guān)重要，因此我們必須開發(fā)可見性，以便立即發(fā)現(xiàn)和識別任何可疑的橫向運動。

考慮到這一點，在敵人的性質(zhì)及其目標(biāo)每天都在發(fā)生變化的情況下，繼續(xù)投入資源建立過濾更嚴(yán)格、門檻更高的防火墻是否還合情合理呢?

現(xiàn)代網(wǎng)絡(luò)的復(fù)雜拓?fù)浣Y(jié)構(gòu)進一步放大了這個巨大的安全挑戰(zhàn)，并對基于邊界、面向外部的基本安全概念提出了質(zhì)疑。使用云來部署應(yīng)用程序和無處不在的自帶隨身設(shè)備，意味著內(nèi)部網(wǎng)絡(luò)和外部世界之間清晰邊界的概念已經(jīng)越來越模糊。

假設(shè)我們有一個員工的智能手機連接到了公司網(wǎng)絡(luò)，該員工可能也會通過公司提供的數(shù)據(jù)連接瀏覽公共互聯(lián)網(wǎng)，所以很容易受到惡意軟件的感染，那么這時候再劃分什么內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)還有什么用處嗎，甚至或者說還有什么意義嗎?

可見性與防護設(shè)施一樣重要

把存儲著信用卡數(shù)據(jù)的數(shù)據(jù)庫比做是存放著貴重物品的倉庫再合適不過了。倉庫安全系統(tǒng)就像防火墻一樣，同樣也包含著像鐵絲網(wǎng)柵欄以及防止進入倉庫的緊鎖著的大門這樣的物理邊界壁壘。但鐵絲網(wǎng)柵欄有高有低，大門的鎖也有好有壞，所以這些壁壘從來都不是惟一可依賴的安全系統(tǒng)。相反，物理安全的一個重要組成部分是其可見性，主要是閉路電視的形式，而且要設(shè)在重要的內(nèi)部入口，可移動并具有紅外探測裝置。

當(dāng)竊賊試圖突破物理壁壘進入邊界時，很重要的的一點是，閉路電視及其他傳感器可以對闖入事件提供及時的響應(yīng)，或?qū)τ诹私怅J入如何發(fā)生以及防止闖入事件在未來的再次發(fā)生提供必要的信息。

同樣的可見性原則也適用于網(wǎng)絡(luò)安全。進入IT基礎(chǔ)設(shè)施的所有活動的可見性和預(yù)防屏障一樣重要，而且很快將變得更為重要。

網(wǎng)絡(luò)安全的未來

網(wǎng)絡(luò)安全威脅態(tài)勢不斷發(fā)展，遠遠領(lǐng)先于防火墻、入侵防御系統(tǒng)以及殺毒軟件，而它們都是基于規(guī)則而采取行動來應(yīng)對以往的威脅。如果某個新的威脅與之前的規(guī)則不匹配，它就會不受阻礙、不被察覺地通過這些防護設(shè)施。沒有全面的實時可見性，安全運行中心(SOC)就沒有辦法進行實時檢測并采取行動來應(yīng)對攻擊。沒有對所有活動進行辯證地記錄，安全運行中心就沒有辦法充分評估未來攻擊，或從攻擊中吸取教訓(xùn)來防止類似的攻擊。

網(wǎng)絡(luò)安全的挑戰(zhàn)是嚴(yán)峻的，要實現(xiàn)邊界的完全防護是不可能的事情，任何的邊界泄漏都將是災(zāi)難性的，而且甚至連哪里是邊界之所在都搞不清楚了。

所以需要有新一代的安全系統(tǒng)，并且一切都將圍繞可見性的重要性。而現(xiàn)今的防火墻將不得不從屬于更明智、更綜合的、對任何影響網(wǎng)絡(luò)的東西都實現(xiàn)細粒度可見性的安全架構(gòu)。但只是對影響網(wǎng)絡(luò)的行為數(shù)據(jù)進行收集還是遠遠不夠的，新一代的安全系統(tǒng)還必須能夠進行實時分析，能從紛繁復(fù)雜的網(wǎng)絡(luò)數(shù)據(jù)中分離出每種數(shù)據(jù)所代表的意義才意味著完整的可見性。

威脅已經(jīng)從四面八方紛至沓來，不知不覺中可信網(wǎng)絡(luò)時代即將結(jié)束，沒有清晰邊界的碧海深藍已經(jīng)悄然拉開帷幕，我們很快就會發(fā)現(xiàn)自己將陷入亞特蘭斯的窘境，到那時天下一片汪洋，再堅固的城池又能如何呢?

原文地址：http://www.aqniu.com/neo-points/8767.html

分享標(biāo)題：與防火墻共舞危險我們的未來是一個無墻的時代
網(wǎng)站URL：http://www.dlmjj.cn/article/dpespep.html