如今，隨著云計算、大數據、移動互聯網的普及，我們的時代逐步邁向了網絡時代，網絡已經滲透到了我們生活、工作的方方面面，但隨之而來的網絡安全也隨之而來，從斯諾登的“棱鏡門”到網易郵箱“被破”，如何保護網絡安全，成為人們現在面臨亟待解決的問題。

Palo Alto Networks作為全球首先提出下一代防火墻概念的公司，目前在網絡安全行業也是代表性的防火墻提供者。作為下一代安全網關Palo Alto Networks要實現從云端、網絡端、端點以及威脅智能情報有機整體的結合，來實現整體的安全平臺。

　　Palo Alto Networks副總裁兼亞太區首席安全官Sean Duca

為什么要打造安全平臺

APT攻擊可能發生在任何組織、任何企業，甚至是個人。或是企業機密數據被黑客攻擊偷竊的安全問題，導致企業受損失，或是個人隱私信息被竊，目前這種已知 的安全威脅，已經呈現爆發式增長，相比幾年前的病毒、木馬數量已經成為目前成百上千爆發出來，而且這些攻擊手段也層出不窮。網絡組織所面臨的威脅已經從傳 統的已知威脅，到現在我們無法檢測或者識別到的未知威脅，僅僅靠傳統技術是無法解決現在新出現的安全問題。

以往要解決安全問題，我們通常要依靠技術、流程和人員來解決，但傳統的典型安全架構并不能給我們帶來安全狀態的可視性，且缺乏自動性和關聯性，需要手動來 進行處理，這往往帶來巨大的人力資源成本的浪費。所以當黑客攻擊事件發生的時候，我們要依靠人工響應安全威脅的時候，也許這個時候黑客已經從我們數據當中 把重要信息竊取出去了。

所以目前依靠傳統的技術手段已經是無濟于事，面對新型威脅下一代安全解決方案應該是一個平臺，而不單純是我們購買某一種產品去應對現在新型的安全威脅，因為我們面臨的安全攻擊是整體的攻擊鏈，所以我們應該考慮的問題是從一個平臺上解決攻擊鏈所帶來的安全隱患。

正如Palo Alto Networks副總裁兼亞太區首席安全官Sean Duca所說的“我們需要安全整體的平臺，包括網關、防火墻、端點，以及威脅智能云，它是一個結合網絡安全、端點安全、以及智能威脅云端安全三位一體的整 體方案。在這個安全平臺里，各個部分的組件是可以相互進行協同工作，比如說在端點處發現了未知威脅，可以上傳到云端智能威脅云平臺進行分析，在15分鐘之 內將最新出現的威脅下發到網關設備和端點，來防止最新出現的威脅”。

未來網絡安全六大預測

在“互聯網+”時代，在網絡安全領域，無論是誰、無論是哪個行業，都有可能會成為黑客的攻擊目標，且不法分子也在與時俱進，所以我們應該與時俱進，采取相關的措施，來阻斷黑客的攻擊手段。在Sean Duca看來，2016年網絡安全有六大發展趨勢。

一.勒索軟件。勒索軟件將在傳播方式、逃逸技術、通信及目標文件隱藏等方面繼續發展，據網絡威脅聯盟的報告顯示，勒 索軟件可謂利潤豐厚，常令網絡罪犯鋌而走險，短時間內便可積累大量財富。現在，信用卡數據的價值遠低于勒索軟件，后者可從眾多受害者那里獲取更高價值。網 絡威脅聯盟研究報告指出，勒索軟件CryptoWall v3已為其幕后黑手帶來超過3.25億美元的收入。

這一趨勢將帶來更多版本的勒索軟件類攻擊，從而使更多的網絡犯罪團伙欺詐使用者支付贖金以取得解鎖密鑰，且這些手法將會伸延到其他平臺，如OS X和移動操作系統。

二.共享威脅情報。針對某些行業的威脅情報共享工作，數年間從未間斷。與往年相比，2016年亞太區的私營領域和安 全廠商之間將會共享更多此類情報。現在，許多攻擊者通常只編寫一份惡意軟件便分發給多個機構，這些軟件之間往往只做稍微改動以規避檢測。但是，如果大家能 夠團結一致，迫使網絡攻擊者在執行每次攻擊之前，都要編寫不同的程序，就可以增加他們的成本。

同時，如果大家能實現情報共享，那大家的防御成本就會降低。如果這種共享能夠在機構防御威脅時，自動且實時地得以執行，優勢將呈指數級增長。一旦清楚了是 誰將你設為攻擊對象，他們手中有哪些工具可以使用以及他們慣常采用的攻擊方法，企業機構就可以更有效地保護自己的網絡。

盡管對這些規則有效性的爭論還在持續，但亞洲各國政府應該加強在情報共享方面的工作，組織機構也應思考他們如何在行業內甚至跨行業共享威脅情報。為了實現 對網絡威脅、漏洞以及惡意行為的識別、防御、削減和響應，我們需要制定負責任的隱私保護措施（并落到實處）。機構在共享情報方面反應越快，我們網絡安全解 決方案供應商就能越有效的保護大家并增加攻擊者的成本。

且這個趨勢將會持續，緣于越來越多的機構已經開始意識到知識分享所帶來的優勢，并將其作為一種手段來團結各方力量對抗亞太區的網絡入侵。

三.間接受害者攻擊。目前，有越來越多的情況表明當攻擊者試圖發起攻擊時，通常情況下會有某個間接受害者受此牽連。據《2015年Verizon數據泄露報告》指出，攻擊者均利用第三方網站來發動攻擊，這表明那些首先被泄露的個人和機構并不是真正的目標，而只是一場更大攻擊里的一只棋子。

從攻擊者的角度而言，這種做法有助于他們獲取別人的信任，方便他們借助別家公司的資源為自己謀取利益。在亞太區，最常見的手段是“水坑攻擊”，即將漏洞代碼植入機構網站，并試圖感染訪客站點。且2016年此類攻擊事件將繼續呈現上升趨勢。

四.安全受信模式。過去數年間，網絡攻擊逐步升級，越來越具攻擊性，成功率也越來越高。我們發現，成功發動攻擊不但 變的更加容易和廉價，而且正在摧毀人們對在線系統的數字信任。此外，這種信任危機已延伸到原有的安全架構中（并導致防御失效），其原因，不僅源于那種過時 的機構網絡內部一切均可信的過時臆斷，還因為原有防御措施不能提供足夠的可視化、控制及保護。預計未來將有更多機構采用全新安全模式，如“零信任”，可彌 補包括以邊界為中心策略、原有設備以及部署這些設備所使用的技術的不足之處。“零信任”奉行“絕不信任，必須驗證”的指導原則。

與傳統的“信任但驗證”安全模式相比，“零信任”模式區別較大，其安全能力允許策略實施和保護功能針對所有用戶、設備、應用及其間的通信流量，不論使用者身在何處。預計2016年這種模式將在亞太區繼續被采用。

五.物聯網攻擊。從家用電器到家庭安全，作為全新一類產品，數字設備正在越來越多地與互聯網相連。據市場研究機構 Gartner預測，連接到互聯網的設備數量，將會從2015年的65億臺增加至2020的210億臺，相當于一天便會增加550萬臺，增長速度令人咋 舌。這一趨勢在2016年將繼續加速，但不幸的是，這些設備無疑將會成為網絡犯罪團伙的攻擊對象。2015年這一趨勢已經有點滴跡象，如今年8月在美國黑 帽大會上所展示的針對汽車、智能步槍以及更他更多的攻擊。2016年亞洲不會出現成千上萬的設備被攻擊的情況，但可以預見會發生更多此類的攻擊，或者有更 多試圖攻擊設備的情況的出現。

六.網絡犯罪立法。在亞太區，針對網絡安全的法律條文執行起來并不嚴格。這是一個全球性難題，而且在全球范圍內，用 以保護商業和消費者權益的法律法規也仍然處于發展之中。近些年來，由于有多個廣受矚目的攻擊都以美國公司為目標，美國政府在制定網絡犯罪法律法規方面占據 領導地位也不足為奇。網絡安全正在成為政策焦點，最近公布的《網絡安全信息共享法案》，其宗旨便是協助美國公司與政府協作共同打擊黑客。

同樣，歐盟公布了14項措施以改善網絡安全準備工作和保護關鍵信息基礎設施的政策 ，其目的便是強化關鍵ICT基礎設施在安全和適應方面的能力，實現高水平的準備、安全以及適應能力，以達到國家級和歐盟級水平。預計亞太區各國政府及立法 者將有巨大的思想轉變，他們在保護互聯網和使用者方面會更加積極主動。此外，與網絡犯罪法律相關的討論將會增加，過時的網絡安全標準也會得到修改，整體安 全形勢將得到有效提升。

最后，Sean Duca表示“我們Palo Alto Networks在每個攻擊過程中，所使用的解決方案，可以幫助客戶來應對黑客的攻擊手段，這就是所謂的知己知彼，百戰不殆，這也是我們現在攻擊防范的思 路，就是從了解黑客攻擊手段開始，再了解他們的行為，從而進行有針對性的安全防護，防止客戶出現安全問題的發生”。的確，“知己知彼，百戰不殆”才是 Palo Alto Networks告訴我們的安全平臺方法論。