隨著端對端加密日益受到重視以及人工智能（AI）的崛起，企業(yè)的安全產(chǎn)品需與時俱進(jìn)跟上當(dāng)今的威脅形勢。雖然下一代防火墻（NGFW）仍能為企業(yè)安全解決方案提供關(guān)鍵部件，但卻不會再提供“一層保所有”的整體解決方案?，F(xiàn)如今，黑客知道大多數(shù)企業(yè)具有NGFW，因此會專注應(yīng)用層的攻擊，并利用傳輸層安全協(xié)議（TLS）混淆連接。這樣一來，黑客就會躲過NGFW提供的防御，企業(yè)需要在邊界網(wǎng)關(guān)使用代理連接或?qū)踩乱浦炼它c，從而確保安全。

黑客不斷采用人工智能

使用從被黑電腦、欺詐云賬號或開源軟件竊取的計算時鐘（Compute Cycle），例如TensorFlow或OpenAI，構(gòu)建AI入侵平臺不再需要博士級的專業(yè)知識或大筆資金。有這樣的優(yōu)勢加持，網(wǎng)絡(luò)犯罪分子不必花費(fèi)數(shù)天或數(shù)周時間進(jìn)行手動探測和分析來實施應(yīng)用層的攻擊。

借助AI，先前復(fù)雜、耗時的攻擊現(xiàn)如今實施起來就如同執(zhí)行Nmap掃描，之后在網(wǎng)絡(luò)層CVE數(shù)據(jù)庫中運(yùn)行已知漏洞利用一樣簡單。NGFW提供網(wǎng)絡(luò)層保護(hù)，阻止以往的攻擊。而黑客已經(jīng)在使用應(yīng)用安全掃描器查找漏洞，例如OWASP Top 10，但掃描輸出需要大量人力來評估大量的誤報。

網(wǎng)絡(luò)防火墻和黑客攻擊的發(fā)展情況

早期的防火墻只會提供簡單的IP地址、協(xié)議和端口過濾的訪問列表。而NGFW支持狀態(tài)封包檢測（簡稱SPI），并添加了許多其它功能以提供附加安全。

防火墻一般使用超過五年，黑客會利用NGFW的廣泛部署通過HTTPS頭的（TCP）/443網(wǎng)頁瀏覽端口將流量發(fā)送出站，因為這類流量可混淆黑客的通信與員工訪問大多數(shù)網(wǎng)站的必需通信。由于HTTPS是端對端加密協(xié)議，再加上出于對業(yè)務(wù)效率的考慮，幾乎每個企業(yè)都會允許出站。在許多情況下，黑客會通過被劫持的域名發(fā)送通信，以避免觸發(fā)DNS黑名單擊敗另一個安全層。安全廠商提供Web應(yīng)用防火墻（簡稱WAF）代理并掃描連接。由于PCI-DSS 6.6 要求，WAF部署主要保護(hù)面向公眾的網(wǎng)站，尤其電子商務(wù)網(wǎng)站。

邊界安全不夠

黑客通過路過式下載、網(wǎng)絡(luò)釣魚和其它攻擊利用企業(yè)員工進(jìn)入網(wǎng)絡(luò)。大量企業(yè)和行業(yè)未在內(nèi)網(wǎng)中部署高級保護(hù)，黑客一旦進(jìn)入便能快速拓寬范圍并控制網(wǎng)絡(luò)。黑客一旦在企業(yè)環(huán)境拓寬活動，清除工作會相當(dāng)耗時、耗資。安全專家將這類黑客構(gòu)成的威脅稱為高級持續(xù)性威脅（簡稱APT）。使用被劫持的端點，黑客可在不安全的互聯(lián)網(wǎng)連接上通過命令與控制通道推進(jìn)同步攻擊。員工通常會通過開放的WiFi熱點或家用網(wǎng)絡(luò)使用筆記本電腦，并未部署高級安全系統(tǒng)。黑客軟件將通信返回至控制臺之前，可能會潛伏數(shù)天或數(shù)周。

隨著攻擊經(jīng)過數(shù)天、甚至數(shù)周的蔓延，安全分析師將無法關(guān)聯(lián)事件，通過“眼不離屏”的入侵檢測方式亦無法識別攻擊，除非安全信息事件管理（SIEM）平臺SOC能提供高級關(guān)聯(lián)。

基于主機(jī)的安全誤報會挫敗員工

安全團(tuán)隊希望提供深度防御，發(fā)出警報或直接阻止攻擊?；谥鳈C(jī)的安全軟件能提供重要的層，通過強(qiáng)大的保護(hù)限制攻擊者的能力和速度。

微軟Windows和蘋果macOS具備應(yīng)當(dāng)啟用或由第三方解決方案取代的內(nèi)置型數(shù)據(jù)包，因為基于主機(jī)的安全帶來的風(fēng)險相當(dāng)大。高級安全設(shè)置將觸發(fā)誤報，從而影響員工的效率。低安全設(shè)置會錯過真正的入侵，導(dǎo)致漏報，黑客就可借機(jī)可利用系統(tǒng)。

企業(yè)努力提高員工的參與度和效率，基于主機(jī)的安全系統(tǒng)通常會提供最少的配置或一起被禁用。隨著業(yè)務(wù)線領(lǐng)導(dǎo)與首席戰(zhàn)略官辦公室之間的分歧，大多數(shù)組織機(jī)構(gòu)支持業(yè)務(wù)部門，給予安全團(tuán)隊足夠的時間自定義調(diào)整單個系統(tǒng)，或?qū)⒄`報、漏報降到最低限度，這樣一來，要將基于主機(jī)的安全變成“一層保所有”的解決方案不太可能。

以牙還牙：AI對抗AI

要在經(jīng)濟(jì)承受范圍內(nèi)阻止AI黑客，企業(yè)需要開始尋找并實現(xiàn)自己的AI平臺來監(jiān)控異常，而不是繼續(xù)依靠“眼不離屏”的安全監(jiān)控分析師團(tuán)隊。許多安全信息事件管理和日志監(jiān)控解決方案新增了基本的AI功能。將數(shù)據(jù)注入系統(tǒng)很關(guān)鍵，因為AI無法分析它沒掌握的信息。

例如，如果員工拜訪客戶或度假時，流量則不應(yīng)當(dāng)來自辦公室。雖然企業(yè)無法竊取計算時鐘創(chuàng)建免費(fèi)的AI平臺，但可以使用谷歌、亞馬遜、微軟提供的一站式服務(wù)。想購買商業(yè)解決方案的企業(yè)可以考慮用AI支持的安全運(yùn)作與分析平臺架構(gòu)（SOAPA）替代SIEM。

　　SOAPA實例：

此前，E安全曾發(fā)表黑客·大數(shù)據(jù)·SOAPA 這篇文章，其中提到國內(nèi)首家定位于SOAPA（安全運(yùn)營與分析平臺架構(gòu)）的安全公司，蘭云科技，本月初，這家于2016年成立的公司A輪融資5000萬。而基于AI支持的安全運(yùn)營與分析平臺架構(gòu)（SOAPA）替代SIEM也正是市場所需。