怎樣才是建構企業安全架構的正确姿勢？

palo alto networks召開媒體溝通會前一天雅虎被曝使用者資料遭竊事件，事件中5億使用者中槍，數量可謂歎為觀止。

似乎不約而同，從target資料遭竊開始，大規模資料洩漏事故近兩年頻現，涉及數量也在輪番疊高。這一起起事件亦暴露了企業安全防禦所處的現狀，在攻擊手段日新月異的局面下企業安全架構預算大多停留在幾年前的标準，這就直接導緻防禦成本和攻擊成本的不均衡。 當然，企業并非無動于衷，确實也在不斷增加大量經費來平衡這一差異。然而現實是，企業被攻擊事件仍不斷發生，且在今後很長一段時間内，企業首先要意識到的就是“被攻擊成常态”這一事實，這與計算機能力的增加導緻犯罪成本降低、次數更頻發、攻擊形式更為複雜多樣直接相關。

那麼，基于此情境，怎樣才能更好地建構企業安全架構，更好地防禦威脅呢?

攻防失衡：企業需先樹立“正确的防禦觀”

似乎不約而同，從target資料遭竊開始，大規模資料洩漏事故近兩年頻現，涉及數量也在輪番疊高。這一起起事件亦暴露了企業安全防禦所處的現狀，在攻擊手段日新月異的局面下企業安全架構預算大多停留在幾年前的标準，這就直接導緻防禦成本和攻擊成本的不均衡。

當然，企業并非無動于衷，确實也在不斷增加大量經費來平衡這一差異。然而現實是，企業被攻擊事件仍不斷發生，且在今後很長一段時間内，企業首先要意識到的就是“被攻擊成常态”這一事實，這與計算機能力的增加導緻犯罪成本降低、次數更頻發、攻擊形式更為複雜多樣直接相關。

那麼，基于此情境，怎樣才能更好地建構企業安全架構，更好地防禦威脅呢？

首先需要樹立“正确的防禦觀”。據palo alto networks大中華區總裁徐湧介紹，在攻擊和防禦失衡愈發嚴重的節奏下企業安全防禦應該從“提高攻擊成功率的成本”着手，“提高被入侵後拿走（洩漏）資料的成本”。

在其看來，新的安全防禦政策應随着攻擊形勢和企業業務做出相應變化。從防火牆的部署來看，從傳統的4層牆轉向7層牆；需改變原有安全架構暗箱操作的特點，使其具備可視化；化原來的單點防禦為整體防禦，化單兵單牆防禦為全球一體的防禦；通過快速和自動的防禦體系應對‘被攻擊成常态’的局面；正視内網的不安全性，采用零信任的安全架構；最後安全并非一家能夠玩轉，需要各方攜手打破行業壁壘，建構更好的企業聯盟。

在企業安全架構中，如ciso直接報告給ceo/董事會，該企業的安全能力會直接提高，因為安全已不再是孤立的問題，而是涉及企業營運的方方面面。據調查顯示，在北美地區cio平均每天要使用的安全工具為69個，這其中涉及來自不同提供商的不同工具，這對安全的自動化提出了挑戰，而自動化恰是解決未來攻防失衡的關鍵所在，是以能用計算機解決的都不是事兒。

攻擊者挑軟柿子捏：如何建構正确的安全架構？

安全的重要性展現在事故發生時，是以在安全上做投資常是費力不讨好的，短期投入回報比并不明顯，但這并不意味着企業可以放松對安全的重視。

事實上，攻擊者并沒有足夠的耐心從事攻擊，跟某個防禦系統過不去，總會尋求更為容易攻破的下手。從之前一起大型資料洩漏事故來看，攻擊者先是将矛頭對準了香港和新加坡，受阻後轉向了美國，并成功實施攻擊。

這再次強調了提高攻擊成功門檻的重要性，那麼如何建構一個正确的安全架構呢？據palo alto networks中國區技術總監程文傑講述，企業可從這三方面入手：減少攻擊途徑、阻止已知威脅、識别并阻止未知威脅。

首先應用可視化，減少攻擊途徑。企業應建立網絡流量的可視化分析并阻止未知流量；實施基于應用和使用者的通路控制政策；阻止高危應用中的危險檔案類型；部署與風險對應的終端保護政策。

其次預防已知威脅。企業應阻止已知的漏洞攻擊、惡意軟體和c&c流量；阻止對惡意或釣魚url的通路；掃描saas應用中的已知惡意軟體；阻止終端商的惡意軟體和漏洞利用。

最後也是最具挑戰最為關鍵的地方——預防未知威脅。企業要能夠檢測、分析檔案及url中的未知威脅；在整個阻止中自動更新對未知威脅的識别和防禦能力；建立積極的威脅防禦和緩解機制；在終端上阻止未知惡意軟體和漏洞利用行為。

授人以魚不如授人以漁，安全技術具有替代性，企業不能太過依賴某項技術，而是從業務出發，着手建構一個完善的安全架構，聚沙成塔，以在攻防之戰中擷取主動權。

本文轉自d1net（轉載）