與防火牆共舞危險 我們的未來是一個無牆的時代

2021-02-09 安全牛

柏拉圖曾經說過,像亞特蘭蒂斯古城這樣充滿先進技術和工程壯舉的世界,我們永遠將無緣再見。雖然亞特蘭蒂斯的最高統治者亞特蘭斯用黃金和白銀鑄造了奇偉的城牆,並一心想要徵服浩瀚的大海,但他們卻無法遏制洶湧的潮水和憤怒的神將亞特蘭蒂斯及其壯麗世界沉入海底。

中國古人亦有詩云:萬裡長城今猶在,不見當年秦始皇。

長話短說,言歸正傳。當今的企業又何嘗不是固守在同樣的城牆之內,城牆之外卻危機四伏,無休止的網絡安全威脅就像亞特蘭蒂斯城外的潮水一般洶湧澎湃,只是城內的亞特蘭斯們已經沒有了當年的傲慢。伴隨著企業間的連接變得越來越普遍,我們也構建了日益複雜的防火牆,來保護我們的數據免受惡意之入侵。

而現在,築牆禦敵的時代已成窮途末日。再堅固的城牆也無法抵擋潮流的浩浩蕩蕩,過去的防火牆只能用來查漏補缺。當洪水來襲時,百尺城牆也將不堪一擊而轟然倒塌,要想活下去惟一能做的,就是學會中流擊水,做時代的弄潮兒。

防火牆只不過把網絡當做城堡

防火牆是今天安全業的標杆。一般的想法是,防火牆和入侵防禦系統(IPS)放置在網絡的外圍,用以創建不可信外部與可信內部之間的邊界。位於可信內部的各系統可以暢通無阻地處理其合法業務,而潛在的入侵者則都被封鎖在防火牆之外。

這種方法和亞特蘭蒂斯位建造用於防禦外敵入侵的城堡並無二致,都是創建帶有內部安全區域、外部危險區域、並且完整清晰用於防禦的一道牆。假設這種戰略在技術和戰術永不改變的情況下,的確能夠起到很好的防禦作用。

然而,這種假設從來都只是假設。中世紀的城堡一直在隨著技術和戰術的進步不斷發展,從簡單的木製堡壘到石徹堡壘,而後又使用護城河來防止在城牆底下挖隧道攻破城牆。就像防火牆也一直在隨著入侵技術的進步不斷發展一樣,目前已經進化到能夠執行深度包檢測和其他能力。但所有的這些創新都忽略了一個事實,那就是城堡被拿下,往往都通過內部完成的。同樣的,大多數網絡安全洩露也都並不是試圖全面禁用防火牆的正面攻擊。通常情況下的網絡安全洩露都是從小處著手,通過惡意軟體進入很小的漏洞,然後感染某臺機器。所謂千裡長堤,潰於蟻穴,就是這個道理。

惡意軟體真正進行的惡意行為一般是進行數據的竊取,或通過所攻陷的機器對其他目標發起新的攻擊,通常是出站攻擊。防火牆和入侵防禦系統很難對出站流量進行預警,因為這些流量來自被認為的「可信」環境。

外敵好御,內賊難防

包括索尼被黑事件在內的最近許多備受矚目的數據洩露事件都是從內部進行攻擊的模式。儘管索尼被黑事件是在2014年11月才公之於眾,但最初的入侵則很早很早之前就已經發生了,被盜的幾個G的數據也是經過幾個月才慢慢流出的。所有這一切都發生得神不知、鬼不覺,沒有任何的預警,這對所有的安全專家來說都是啞巴吃黃連——有苦難言。

理想情況下,防火牆應該能夠阻止進入邊界的任何惡意內容,並在其進行攻擊前對進行阻斷。當然,現在大家都已經開始意識到這是不可能的了。因為總會有更厲害的黑客、使用更厲害的工具,並最終獲得防火牆內部的訪問權限。

外圍預警無法阻止,甚至檢測不到惡意軟體在環境內部的傳播。惡意軟體通常不能直接感染真正有價值的系統。正如我們所看到的那樣,惡意軟體通常從有漏洞的機器入手,並從那裡發現有價值的攻擊目標。惡意軟體的內部橫向運動對其成功至關重要,因此我們必須開發可見性,以便立即發現和識別任何可疑的橫向運動。

考慮到這一點,在敵人的性質及其目標每天都在發生變化的情況下,繼續投入資源建立過濾更嚴格、門檻更高的防火牆是否還合情合理呢?

現代網絡的複雜拓撲結構進一步放大了這個巨大的安全挑戰,並對基於邊界、面向外部的基本安全概念提出了質疑。使用雲來部署應用程式和無處不在的自帶隨身設備,意味著內部網絡和外部世界之間清晰邊界的概念已經越來越模糊。

假設我們有一個員工的智慧型手機連接到了公司網絡,該員工可能也會通過公司提供的數據連接瀏覽公共網際網路,所以很容易受到惡意軟體的感染,那麼這時候再劃分什麼內部網絡、外部網絡還有什麼用處嗎,甚至或者說還有什麼意義嗎?

可見性與防護設施一樣重要

把存儲著信用卡數據的資料庫比做是存放著貴重物品的倉庫再合適不過了。倉庫安全系統就像防火牆一樣,同樣也包含著像鐵絲網柵欄以及防止進入倉庫的緊鎖著的大門這樣的物理邊界壁壘。但鐵絲網柵欄有高有低,大門的鎖也有好有壞,所以這些壁壘從來都不是惟一可依賴的安全系統。相反,物理安全的一個重要組成部分是其可見性,主要是閉路電視的形式,而且要設在重要的內部入口,可移動並具有紅外探測裝置。

當竊賊試圖突破物理壁壘進入邊界時,很重要的的一點是,閉路電視及其他傳感器可以對闖入事件提供及時的響應,或對於了解闖入如何發生以及防止闖入事件在未來的再次發生提供必要的信息。

同樣的可見性原則也適用於網絡安全。進入IT基礎設施的所有活動的可見性和預防屏障一樣重要,而且很快將變得更為重要。

網絡安全的未來

網絡安全威脅態勢不斷發展,遠遠領先於防火牆、入侵防禦系統以及殺毒軟體,而它們都是基於規則而採取行動來應對以往的威脅。如果某個新的威脅與之前的規則不匹配,它就會不受阻礙、不被察覺地通過這些防護設施。沒有全面的實時可見性,安全運行中心(SOC)就沒有辦法進行實時檢測並採取行動來應對攻擊。沒有對所有活動進行辯證地記錄,安全運行中心就沒有辦法充分評估未來攻擊,或從攻擊中吸取教訓來防止類似的攻擊。

網絡安全的挑戰是嚴峻的,要實現邊界的完全防護是不可能的事情,任何的邊界洩漏都將是災難性的,而且甚至連哪裡是邊界之所在都搞不清楚了。

所以需要有新一代的安全系統,並且一切都將圍繞可見性的重要性。而現今的防火牆將不得不從屬於更明智、更綜合的、對任何影響網絡的東西都實現細粒度可見性的安全架構。但只是對影響網絡的行為數據進行收集還是遠遠不夠的,新一代的安全系統還必須能夠進行實時分析,能從紛繁複雜的網絡數據中分離出每種數據所代表的意義才意味著完整的可見性。

威脅已經從四面八方紛至沓來,不知不覺中可信網絡時代即將結束,沒有清晰邊界的碧海深藍已經悄然拉開帷幕,我們很快就會發現自己將陷入亞特蘭斯的窘境,到那時天下一片汪洋,再堅固的城池又能如何呢?

---

要聞/乾貨/原創/專業 關注「安全牛

相關焦點

  • 輕質隔牆板可以當作防火牆使用嗎?
    許多建築在搭建時,都需要設置防火牆,以避免火災的蔓延。市面上,有很多材料可以用作防火牆,有的輕質隔牆板企業在售賣輕質隔牆板時,他們也把它(防火)作為宣傳產品的優勢。那麼,輕質隔牆板可以用作防火牆使用嗎?哪些輕質隔牆板可用作防火牆使用?下面,深州市東恆圍牆工程部就來告訴大家答案。
  • mac防火牆軟體有哪些?超實用的防火牆軟體推薦!
    因此避免網絡黑客對於電腦內部資料的盜取,一款強大的防火牆軟體也是非常必要的,下面是小編整理的幾個超實用防火牆軟體,讓你的MAC更加安全!(排名不分前後)一、Radio Silence for Mac(簡單好用的防火牆)支持big surRadio Silence是一款可以禁止任意應用聯網的mac防火牆軟體。
  • 防火牆與防火隔斷牆
    北京一隻船教育科技有限公司用來分隔防火室的牆都是防火牆,在特殊地方使用的分隔牆是防火分隔牆,例如機房,風扇室,通風井,前室和樓梯間。
  • 洩爆牆抗爆牆鋼桁架與鋼檁條結構連接正確間距
    有的人可能會憂慮洩爆牆的裝bai置和運用會添加牆體的分量,du乃至是導致zhi其不經用等等問題。其dao實這一點我們是不用憂慮的,尤其是輕質的防火牆,它的分量是很輕的,不只可以削減承重牆的分量壓力,也是在運送的進程傍邊十分便利的。
  • 新手學電腦,windows7防火牆的設置方法,防火牆規則設置
    新手學電腦,windows7防火牆的設置方法。Windows 7系統自帶的防火牆做了進一步的調整,更改了高級設置的訪問方式,增加了更多的網絡選項,支持多種防火牆策略,讓防火牆更加便於用戶使用。防火牆的基本設置主要用於普通用戶,包括打開和關閉防火牆、更改通知設置、允許程序或功能通過防火牆等。如果設置混亂了,用戶還可以還原為默認設置,從而實現對系統的保護。
  • ISC2017周鴻禕定義未來,大安全時代人是核心
    網際網路在中國出現之後20年間的網絡安全,與之後我們將要經歷的網絡安全會有很大不同,但這個不同在哪裡,一直都沒有人很好闡釋一下,直到360用概括的方式將之定義出來。在信息網際網路時代,網絡通信數據的要害程度,顯然要比目前正在運行的這個產業網際網路要低得多。
  • 我們在外灘愛情牆憧憬未來時,浦東在醞釀城市的未來|睡前分享
    我們穿過昏暗路燈閃爍的陋巷,來到擺渡口過江。排隊候船,船靠岸,行人與騎車人分為兩個通道,人們步履匆忙,騎車者推著自行車沿斜下坡小跑。船票是6分錢買兩枚小小的圓形塑料牌,上船前,往一大塑料桶裡一丟,便可灑脫地來回。張春海攝 資料圖江水輕輕地拍打船體,我趕緊搶佔船邊,手扶鐵護欄,從江中眺望外灘璀璨的燈光,這算是當年第一次的浦江遊覽。
  • 今年優選:汕尾ALC防火牆板廠家價格
    汕尾ALC防火牆板廠家價格感謝多年來廣大朋友和客戶的支持和信賴,公司以客戶為中心,以其需求為動力,供應的alc輕質樓層板廠家質量獲得了業界的認可,歡迎各界朋友蒞臨參觀、指導和業務洽談,在路上讓我們一起攜手創造新裡程。供應的alc板包工多少錢一平方,全部採用的生產原料,產品質量值得信賴,廣大客戶可放心使用。
  • 與貓共舞的餐飲店
    咱們現在處的位置,在我們的右手邊45度角,能看到小店裡的所有飲品,正前方,有一個玻璃門,裡面呢就是咱們的就餐區域,在我們的左手邊是一組照片牆,來,上個圖近距離圍觀一下。這個呢就是咱們左手邊看到的景象了,上面夾著很多的照片,大致有這個舊屋子翻新之前的景象,據說當時這個牆基本上要坍塌了,小野怕有危險,就給推倒重建了,所以現在的牆是很結實的,上面還有很多可愛貓咪的照片,大概有六隻之多,別急,待會兒我就會詳細介紹的。走,進就餐區去坐坐休息一下吧!
  • 不撞南牆不回頭的我們
    我認為,我們大部分麻煩從不聽智慧人的勸誡而來。我們的悖逆之心考慮著怎麼樣擺脫各種約束和規則,嘗試各種危險與刺激,想要證明不走尋常路的我們,其實更加瀟灑。因為,我們那年輕幼稚的心,已經嘗過足夠的失敗和教訓,讓我們意識到:其實即便沒有那些所謂的頑劣和叛逆,我們也可以很快樂,可以玩得有花樣,很瘋狂,同時可以學到很多。其實,真正讓我們回心轉意的可能是:如果當時聽話一點,本可以少一些不必要不值得的危險,本可以少傷一些父母師長的心,本可以少犯一些無法彌補的錯誤。我們開始珍惜傳統、規則和好心人的勸。
  • 洩爆牆外側洩爆板雙層錯縫排列施工設計安裝
    有的人可能會憂慮洩爆牆的裝置和運用會添加牆體的分量,乃至是導致其不經用等等問題。其實這一點我們是不用憂慮的,尤其是輕質的防火牆,它的分量是很輕的,不只可以削減承重牆的分量壓力,也是在運送的進程傍邊十分便利的。
  • 防止域名被牆DNS劫持汙染方法
    隨著網際網路迅速發展,移動網際網路時代對人們生活的影響越來越多,通訊、購物、學習、娛樂、工具、物聯網、支付等,出門成為必不可少的。但網際網路也缺乏嚴重的安全問題,他會直接影響到用戶訪問網際網路的結果,甚至直接會造成經濟影響。
  • 現澆板上砌牆規定 現澆板上砌12牆危險嗎
    相信有很多人對於這方面的問題不是很了解,所以就會在建築的時候,造成一些困擾,接下來我們來跟大家分享一下現澆板上砌牆規定?現澆板上砌12牆危險嗎?想要了解的朋友們一起來看看吧,希望可以給大家帶來幫助。現澆板上砌牆規定計算方法及公式:應區分不同牆厚和砌築砂漿種類以m3計算。
  • 哪個牌子路由器最好用,360家庭防火牆路由器怎麼樣
    360家庭防火牆·路由器5Pro拿到手,我竟然被其外觀驚豔到了:與一般冷冰冰的路由不一樣,該款產品不僅十分有質感,而且表面有標準的凸點矩陣,可以兼容多品牌積木。家中孩子可在其上面搭積木,使路由器成為家中一個靚麗的擺件。這份用心,讓我不禁暗暗為360點讚。
  • 斯諾克運動迎來最好的時代,也可能締造一個「危險」的時代
    在丁俊暉奪下自己的首個世界級的排名賽冠軍之後,中國人總算有了自己的全民偶像,也是從這個時候起,斯諾克運動迎來了最好的時代。亨得利狀態的不斷下滑,七五三傑的快速崛起,丁俊暉的強勢回應,這讓中國很多的企業看到了斯諾克可能帶來的巨大商機。斯諾克設備品牌星牌就是在這個時候崛起的,他讓世界看到了中國斯諾克製造實力。
  • 危險!這堵斜牆隨時可能倒塌!
    日前,家住武江區毛巾廠宿舍的郭大媽向韶關日報社反映稱,他們宿舍13棟旁的圍牆已呈現傾斜狀態,居民們擔憂老舊不堪的圍牆隨時會有倒塌的危險,希望有關部門能夠妥善處理一下。 近日,記者來到毛巾廠宿舍樓,在市民郭大媽的帶領下,來到該面圍牆下,看到此圍牆一面是圍著毛巾廠宿舍,另一面則是藍屋村村民出行的馬路。
  • 用「危險動作」撐起默片時代半邊天:巴斯特基頓那劍走偏鋒的演繹
    巴斯特出生在美國堪薩斯州一個歌舞雜耍表演家庭裡,因此在自己僅僅3歲的時候,他就和父母一起同臺表演。不過由於當時出演的風格比較危險,父親會不斷將巴斯特拋向背景板,甚至是觀眾,因此此類項目很容易導致小演員受傷而遭到抵制。
  • 【「秋警」安保路上】他們為機場平安築起安全「防火牆」
    【「秋警」安保路上】他們為機場平安築起安全「防火牆」 2020-10-01 21:58 來源:澎湃新聞 政務
  • 成功不是一個引導我們走向未來的可靠嚮導
    任何一個奮鬥者都可以下車的,車子仍然會一直往前走,逐步地它不會再與人的生命相關聯,抽象為一種形式。新人又上車,又下車……機制就能百年永存下去。相對真理因我們的寬容而延續。整個商業生態環境發生了很大的變化,這個時候我們不能不考慮適應,我們必須要以此推動變革。包括技術環節也發生了很大的變化,從話音時代走向寬帶時代,從寬帶時代走向資訊時代。
  • 科技的下一個時代,我們誓要搏未來,但要去哪裡?
    其背後更隱晦的問題是,當我們逐步走向科技頂峰時,我們的價值觀還能跟上嗎?每一代人都認為自己處在人類最壞、最好的時代。無知和不相信在同時作用,人們不願承認一個事實:科技發展速度之快,人的思想已經跟不上了。