信息技術(shù)的步伐正在挑戰傳統觀(guān)念：到底IT是什么?如今這個(gè)時(shí)代數據中心技術(shù)，如虛擬化、軟件定義網(wǎng)絡(luò )[SDN)、面向服務(wù)的交付模型、以及云計算等都已從根本上改變了典型的IT基礎設施，即從一組被企業(yè)控制和定義的資產(chǎn)，變成了能夠在IT部門(mén)之間不斷往返波動(dòng)的資源。

這些改變的發(fā)生，就如同寒武紀時(shí)代爆發(fā)了新的網(wǎng)絡(luò )生活方式：移動(dòng)設備、平板電腦、傳感器、家用電器、監測系統、內容訪(fǎng)問(wèn)設備和無(wú)線(xiàn)終端等。在這些設備上運行的應用程序范圍從娛樂(lè )服務(wù)到對我們社會(huì )和經(jīng)濟基礎設施至關(guān)重要的應用功能。以這些設備的增長(cháng)速度來(lái)推算，我們預計世界設備聯(lián)網(wǎng)人口的數量將從今天的100億增長(cháng)到2020年超過(guò)500億。

從安全的角度來(lái)看，這些包括包括網(wǎng)絡(luò )設備擴張在內的互聯(lián)網(wǎng)變化，導致攻擊面的相應增加?，F在IT運維的使命已遠非保護大量已知和封閉的IT邊界，而是必須準備抵御任何黑客能夠創(chuàng )新出來(lái)的針對人類(lèi)網(wǎng)絡(luò )設備安全的威脅。顯然，如果不是擴建到更大的范圍，而是僅僅使用已經(jīng)建立的安全措施將是遠遠不夠的。

簡(jiǎn)單地說(shuō)，我們需要另辟蹊徑，重新思考網(wǎng)絡(luò )安全的概念。

一個(gè)經(jīng)典策略和兩個(gè)新策略

以上這些威脅聽(tīng)起來(lái)很勢不可擋，因為這些包含了對資產(chǎn)和財產(chǎn)的損害以及對利用信息技術(shù)的人們的傷害。然而，我仍然樂(lè )觀(guān)地相信依然有應對的策略。具有諷刺意味的是，其中一些舊的策略又變成新的方法，主要有三點(diǎn)：

做好基本工作

這包括及時(shí)對軟件進(jìn)行修補、用戶(hù)身份管理、網(wǎng)絡(luò )管理，來(lái)消除在你基礎設施上的任何黑暗空間。主要目標包括減少可能的黑客攻擊面并在適當授權的原則基礎之上建立資源訪(fǎng)問(wèn)路徑。甚至只是更好的修補都可以減少70%的攻擊面。執行資產(chǎn)庫存的企業(yè)往往驚訝于之前發(fā)現了多少接入其網(wǎng)絡(luò )的非法系統。

這種基于基礎的策略聽(tīng)起來(lái)可能很普通，但當考慮到如今IT運營(yíng)必須保障的設備和系統之多樣時(shí)，這會(huì )是非常搶手的。一個(gè)匯集了最新的強密碼、聯(lián)合身份、網(wǎng)絡(luò )準入控制的領(lǐng)導者聯(lián)軟已經(jīng)可以做到了。

營(yíng)造假象

有很多方法可以做到這一點(diǎn)。你可以通過(guò)先改變地址、基礎設施拓撲和每天的可用資源，來(lái)讓你的基礎設施成為一個(gè)移動(dòng)的目標。SDN技術(shù)可以將欺詐過(guò)程進(jìn)行虛擬化，同時(shí)精簡(jiǎn)構建安全管理和控制網(wǎng)絡(luò )結構特性的過(guò)程。簡(jiǎn)而言之，盡你所能地防止對手看到兩次相同的基礎設施。

你還可以在你網(wǎng)絡(luò )上設定蜜罐和虛假的程序，這能夠消耗對手大把的時(shí)間，把他們的關(guān)注點(diǎn)從真正的資產(chǎn)數據中轉移出來(lái)，誘使他們進(jìn)入偽造的知識產(chǎn)權，或讓他們跌跌絆絆撞到警報，來(lái)告知你他們正存在于你的領(lǐng)域。最先進(jìn)的是，這些技術(shù)可以動(dòng)搖對手的信心及攻擊能力，增加他們畏懼被抓獲、暴露和被起訴的焦慮感。

多收集、關(guān)聯(lián)并分析可操作的數據

這種策略十分重要，因為它意味著(zhù)網(wǎng)絡(luò )治理模式的轉變，當攻擊正在發(fā)生時(shí)能夠迅速徹底地檢測和擊敗攻擊和入侵。你可以從數據中尋找攻擊指標(IoCs)：異常指標設備或用戶(hù)行為、來(lái)自或者流向已知地址的網(wǎng)絡(luò )流量及其他舉報。數據分析范圍從基礎設施，到超越基礎設施的包括當地遙測信息和情報等信息，以及不符合正?；顒?dòng)模式的數據流量。

改變精神意志很關(guān)鍵

從前，我們認為安全設備、或反惡意軟件的軟件已經(jīng)做好了阻斷已知威脅的準備，能夠讓我們通過(guò)基本的防御來(lái)自由地探測、識別和控制并管理這些威脅。

人們已經(jīng)越發(fā)明白，最危險的威脅通常安靜迅速地做自己的工作，然后消失。這種類(lèi)型的威脅通常會(huì )在幾分鐘、幾小時(shí)或者幾天內造成嚴重損害。相比之下，太多的安全團隊需要幾天、幾周、甚至幾個(gè)月的時(shí)間來(lái)發(fā)現和糾正這種突兀的威脅。而這種時(shí)滯是非常糟糕的。

我們也需要轉變問(wèn)責制，來(lái)定義功效并改變我們打破所擁有現狀的意愿。否則，如果我們今天想繼續從既有的東西中獲得更多，是不可能的。

本文推薦的策略做了三件事，讓非法攻擊者的工作更加困難：

第一，減少攻擊面和通過(guò)基礎滲透的漏洞攻擊；

第二，轉移恐懼、不確定性和并制造攻擊者的疑惑，以增加其焦慮感；

第三，減少威脅登錄基礎設施、檢測和處理威脅之間的延時(shí)。

雖然網(wǎng)絡(luò )威脅挑戰重重，但是新技術(shù)、網(wǎng)絡(luò )情報和網(wǎng)絡(luò )安全的全新思維卻給了我們一個(gè)努力的機會(huì )。

相關(guān)閱讀：企業(yè)安全管理實(shí)踐:有效提升安全能力

網(wǎng)絡(luò )安全防御是一項需要長(cháng)期堅持的工程