息來源：企業(yè)網(wǎng) 

大概15年前，縱深防御首次運用于網(wǎng)絡安全行業(yè)時，徹底改變了這個行業(yè)。如今，使用一系列安全對策來保護網(wǎng)絡這個想法已成了公認的最佳實踐，而網(wǎng)絡安全領域的傳統(tǒng)思想領袖(金融服務公司和美國聯(lián)邦政府)更是將它奉為金科玉律。

但是，雖然縱深防御在過去15年為行業(yè)發(fā)揮了良好的作用，但是現(xiàn)在是時候開始質(zhì)問它是不是在今后15年應該采取的那種方法。我認為，如果縱深防御要想在當今和未來行之有效，就需要行業(yè)改變觀念。原因如下。

如果你仔細分析一下最近大肆報道的黑客事件，它們的共同點就是，采用了不法分子或黑帽黑客開發(fā)的高度復雜的高級持續(xù)性威脅(APT)，這些人擁有相應的專長、資金和時間，開發(fā)專門對付縱深防御模式采用的安全措施的工具。無論是國家撐腰的黑客，還是牟取不義之財?shù)姆缸锓肿?，攻擊者完全了解攻擊目標的縱深防御功能，因而設計了規(guī)避的手法。

然而，開發(fā)和策劃這類泄密事件中使用的高級攻擊很復雜、很燒錢，這讓它們完全超出了絕大多數(shù)網(wǎng)絡犯罪分子的承受范圍。至于這些攻擊的潛在目標，許多小規(guī)模企業(yè)組織認為自己很安全，因為它們沒有會吸引能力更強的黑客注意的那種類型的信息(信用卡數(shù)據(jù)和專有知識產(chǎn)權(quán))或知名度。

現(xiàn)在出現(xiàn)了什么新的變數(shù)?

如今，高級的網(wǎng)絡攻擊工具唾手可得，這歸功于大行其道的地下市場在兜售用戶登錄信息、工具包、僵尸網(wǎng)絡以及網(wǎng)絡犯罪分子可能需要的其他許多工具。開發(fā)這些工具的人員甚至向客戶提供服務級別協(xié)議(SLA)，保證竊取而來的用戶登錄信息是有效、有用的，從而提高攻擊的成功幾率。此外，許多這些工具現(xiàn)在是自動化，所以不太在行的網(wǎng)絡犯罪分子現(xiàn)在可以同時對某個目標發(fā)動高強度的高級攻擊。

這就導致了網(wǎng)絡攻擊數(shù)量大幅增長，以至于縱深防御模式跟不上步伐。這種模式最令人擔憂的薄弱環(huán)節(jié)是在滲入點(point of infiltration)。如今的網(wǎng)絡每天都在記錄數(shù)百萬個事件，所以安全團隊幾乎不可能識別、分析以及根據(jù)需要來響應實際威脅。即便安全團隊阻止得了企圖攻破網(wǎng)絡邊界的1000次攻擊中的999次，但得逞的那一次攻擊足以帶來嚴重的問題。

別放棄網(wǎng)絡邊界

攻擊的絕對數(shù)量之大已促使一些安全團隊完全放棄了阻止攻擊滲入網(wǎng)絡邊緣這一想法。在他們看來，更好的辦法就是，在攻擊危及網(wǎng)絡邊界之后，專注于檢測并消除攻擊。這只會招致災難。安全團隊幾乎不可能隨時了解攻擊者用來突破網(wǎng)絡邊界所使用的最新工具。

此外，如果放棄了預防，就需要龐大的安全團隊才能檢測并消除涌向網(wǎng)絡的所有APT和惡意軟件，而大多數(shù)公司沒有相應的財力，也缺乏合格的安全專業(yè)人員處理得了這么大的工作量。所以，盡管包括預防的縱深防御模式仍是保護網(wǎng)絡的最佳方法，要想有一線生機，就需要安全行業(yè)轉(zhuǎn)變觀念。

零信任+自動化安全=未來的出路

如果說縱深防御模式想要在將來行之有效，網(wǎng)絡安全技術(shù)廠商需要在阻止攻擊方面做得更好。為此，最好的辦法就是采取零信任安全策略，并且實現(xiàn)安全流程自動化。零信任網(wǎng)絡安全使用應用程序、數(shù)據(jù)和用戶信息，制定策略，規(guī)范數(shù)據(jù)如何進入網(wǎng)絡、如何在網(wǎng)絡上移動，而不是依賴基于端口和協(xié)議的安全策略。安全自動化需要整合最新的威脅信息以及ATP安全平臺，這種平臺可檢查所有的網(wǎng)絡流量，根據(jù)應用程序、用戶和數(shù)據(jù)，運用策略。通過結(jié)合零信任政策和阻止絕大多數(shù)攻擊的自動化安全策略，安全信息和事件管理(SIEM)技術(shù)或網(wǎng)絡安全專業(yè)人員就有時間來主動尋找確實設法滲透進來的少數(shù)攻擊。

縱深防御模式要想保持其重要性，唯一的辦法就是與時俱進，為此要采取自動化安全和零信任模式。只有那樣，安全團隊才能在不斷變化的網(wǎng)絡安全領域提高工作成效。

原文標題：Does Defense In Depth Still Work Against Today’s Cyber Threats? 作者：Frank Mong