柏拉圖曾經說過，像亞特蘭蒂斯古城這樣充滿先進技術和工程壯舉的世界，我們永遠將無緣再見。雖然亞特蘭蒂斯的最高統治者亞特蘭斯用黃金和白銀鑄造了奇偉的城墻，并一心想要征服浩瀚的大海，但他們卻無法遏制洶涌的潮水和憤怒的神將亞特蘭蒂斯及其壯麗世界沉入海底。

中國古人亦有詩云：萬里長城今猶在，不見當年秦始皇。

長話短說，言歸正傳。當今的企業又何嘗不是固守在同樣的城墻之內，城墻之外卻危機四伏，無休止的網絡安全威脅就像亞特蘭蒂斯城外的潮水一般洶涌澎湃，只是城內的亞特蘭斯們已經沒有了當年的傲慢。伴隨著企業間的連接變得越來越普遍，我們也構建了日益復雜的防火墻，來保護我們的數據免受惡意之入侵。

而現在，筑墻御敵的時代已成窮途末日。再堅固的城墻也無法抵擋潮流的浩浩蕩蕩，過去的防火墻只能用來查漏補缺。當洪水來襲時，百尺城墻也將不堪一擊而轟然倒塌，要想活下去惟一能做的，就是學會中流擊水，做時代的弄潮兒。

防火墻只不過把網絡當做城堡

防火墻是今天安全業的標桿。一般的想法是，防火墻和入侵防御系統(IPS)放置在網絡的外圍，用以創建不可信外部與可信內部之間的邊界。位于可信內部的各系統可以暢通無阻地處理其合法業務，而潛在的入侵者則都被封鎖在防火墻之外。

這種方法和亞特蘭蒂斯位建造用于防御外敵入侵的城堡并無二致，都是創建帶有內部安全區域、外部危險區域、并且完整清晰用于防御的一道墻。假設這種戰略在技術和戰術永不改變的情況下，的確能夠起到很好的防御作用。

然而，這種假設從來都只是假設。中世紀的城堡一直在隨著技術和戰術的進步不斷發展，從簡單的木制堡壘到石徹堡壘，而后又使用護城河來防止在城墻底下挖隧道攻破城墻。就像防火墻也一直在隨著入侵技術的進步不斷發展一樣，目前已經進化到能夠執行深度包檢測和其他能力。但所有的這些創新都忽略了一個事實，那就是城堡被拿下，往往都通過內部完成的。同樣的，大多數網絡安全泄露也都并不是試圖全面禁用防火墻的正面攻擊。通常情況下的網絡安全泄露都是從小處著手，通過惡意軟件進入很小的漏洞，然后感染某臺機器。所謂千里長堤，潰于蟻穴，就是這個道理。

惡意軟件真正進行的惡意行為一般是進行數據的竊取，或通過所攻陷的機器對其他目標發起新的攻擊，通常是出站攻擊。防火墻和入侵防御系統很難對出站流量進行預警，因為這些流量來自被認為的“可信”環境。

外敵好御，內賊難防

包括索尼被黑事件在內的最近許多備受矚目的數據泄露事件都是從內部進行攻擊的模式。盡管索尼被黑事件是在2014年11月才公之于眾，但最初的入侵則很早很早之前就已經發生了，被盜的幾個G的數據也是經過幾個月才慢慢流出的。所有這一切都發生得神不知、鬼不覺，沒有任何的預警，這對所有的安全專家來說都是啞巴吃黃連——有苦難言。

理想情況下，防火墻應該能夠阻止進入邊界的任何惡意內容，并在其進行攻擊前對進行阻斷。當然，現在大家都已經開始意識到這是不可能的了。因為總會有更厲害的黑客、使用更厲害的工具，并最終獲得防火墻內部的訪問權限。

外圍預警無法阻止，甚至檢測不到惡意軟件在環境內部的傳播。惡意軟件通常不能直接感染真正有價值的系統。正如我們所看到的那樣，惡意軟件通常從有漏洞的機器入手，并從那里發現有價值的攻擊目標。惡意軟件的內部橫向運動對其成功至關重要，因此我們必須開發可見性，以便立即發現和識別任何可疑的橫向運動。

考慮到這一點，在敵人的性質及其目標每天都在發生變化的情況下，繼續投入資源建立過濾更嚴格、門檻更高的防火墻是否還合情合理呢?

現代網絡的復雜拓撲結構進一步放大了這個巨大的安全挑戰，并對基于邊界、面向外部的基本安全概念提出了質疑。使用云來部署應用程序和無處不在的自帶隨身設備，意味著內部網絡和外部世界之間清晰邊界的概念已經越來越模糊。

假設我們有一個員工的智能手機連接到了公司網絡，該員工可能也會通過公司提供的數據連接瀏覽公共互聯網，所以很容易受到惡意軟件的感染，那么這時候再劃分什么內部網絡、外部網絡還有什么用處嗎，甚至或者說還有什么意義嗎?

可見性與防護設施一樣重要

把存儲著信用卡數據的數據庫比做是存放著貴重物品的倉庫再合適不過了。倉庫安全系統就像防火墻一樣，同樣也包含著像鐵絲網柵欄以及防止進入倉庫的緊鎖著的大門這樣的物理邊界壁壘。但鐵絲網柵欄有高有低，大門的鎖也有好有壞，所以這些壁壘從來都不是惟一可依賴的安全系統。相反，物理安全的一個重要組成部分是其可見性，主要是閉路電視的形式，而且要設在重要的內部入口，可移動并具有紅外探測裝置。

當竊賊試圖突破物理壁壘進入邊界時，很重要的的一點是，閉路電視及其他傳感器可以對闖入事件提供及時的響應，或對于了解闖入如何發生以及防止闖入事件在未來的再次發生提供必要的信息。

同樣的可見性原則也適用于網絡安全。進入IT基礎設施的所有活動的可見性和預防屏障一樣重要，而且很快將變得更為重要。

網絡安全的未來

網絡安全威脅態勢不斷發展，遠遠領先于防火墻、入侵防御系統以及殺毒軟件，而它們都是基于規則而采取行動來應對以往的威脅。如果某個新的威脅與之前的規則不匹配，它就會不受阻礙、不被察覺地通過這些防護設施。沒有全面的實時可見性，安全運行中心(SOC)就沒有辦法進行實時檢測并采取行動來應對攻擊。沒有對所有活動進行辯證地記錄，安全運行中心就沒有辦法充分評估未來攻擊，或從攻擊中吸取教訓來防止類似的攻擊。

網絡安全的挑戰是嚴峻的，要實現邊界的完全防護是不可能的事情，任何的邊界泄漏都將是災難性的，而且甚至連哪里是邊界之所在都搞不清楚了。

所以需要有新一代的安全系統，并且一切都將圍繞可見性的重要性。而現今的防火墻將不得不從屬于更明智、更綜合的、對任何影響網絡的東西都實現細粒度可見性的安全架構。但只是對影響網絡的行為數據進行收集還是遠遠不夠的，新一代的安全系統還必須能夠進行實時分析，能從紛繁復雜的網絡數據中分離出每種數據所代表的意義才意味著完整的可見性。

威脅已經從四面八方紛至沓來，不知不覺中可信網絡時代即將結束，沒有清晰邊界的碧海深藍已經悄然拉開帷幕，我們很快就會發現自己將陷入亞特蘭斯的窘境，到那時天下一片汪洋，再堅固的城池又能如何呢?

原文地址：http://www.aqniu.com/neo-points/8767.html