面对新兴威胁 安全防护需要打破传统

　　面对如今的新兴威胁，我们需要新的方法来保护网络和应用安全

　　新兴威胁已经将目标指向了应用、服务器和用户，也由此打开了安全威胁的新纪元，因此网络安全的视角也需要扩展出防火墙自身。搭载诸如反病毒、反垃圾邮件、应用控制和深度包检测等扩展功能的高级下一代防火墙（NGFW）和IPS，已经足以对抗已知威胁。但是他们不能很好的对抗零日攻击、七层DDoS攻击、高级可持续性威胁（APT）和邮件攻击。

　　新型威胁攻击的不只是防火墙

　　毋庸置疑，防火墙只是网络安全中最初级的一环。如今最先进的防火墙所拥有的功能已经很强大，能够抵御大多数的攻击，至少在Layer2 和Layer 3层面。这些人尽皆知的事情攻击者自然也知道，因此他们也在不断地提升技术来绕过防火墙的防护。

　　这并不是说他们不会试图寻找防火墙的漏洞，他们也知道，像金融机构，零售商和政府机构这样的高价值目标正在收紧安全策略，因此轻松做到数据泄露的日子已经过去了。

　　针对应用、应用层服务以及缺乏安全意识和经验的用户的攻击，是攻击和数据泄露的各个分支中增长最快的三个。这些代表了大多数剩余的薄弱环节，并且存在有无数的可能性，比如利用代码漏洞，应用模块漏洞（包含软件和业务层面），以及被信任用户认为收到的是合法的重设帐户密码的邮件等等。

　　Web应用攻击

　　越来越多的企业用户已将核心业务系统转移到网络上，Web浏览器成为业务系统的窗口。在此背景下，如何保障企业的应用安全，尤其是Web应用安全成为新形势下信息安全保障的关键所在。在2014年3月份Verizon发布的Verizon数据泄露调查报告中显示，有超过35%的数据泄露事件是由应用漏洞带来的。而OWASP也一直在报告应用安全漏洞，并且明确表示几乎所有的Web应用都有一个或多个符合2013 OWASP TOP10应用安全威胁列表。他们还报告说，95%的网站在过去一年中被一个或多个XSS（跨站脚本）或SQL注入攻击。Gartner在其最近发表的2014年Web应用防火墙魔力象限中表示，他们预计超过80％的企业将会在2018年前部署一台WAF设备，以防止Web应用程序攻击（这一比例在2014年是60％）。

　　应用层DDoS攻击

　　分布式拒绝服务（DDoS）攻击是最古老的安全威胁之一，然而在近10年中，攻击者已经将目标移向了应用层。不可否认，大流量的DDoS攻击仍然占据着头条的位置，但是应用层DDoS攻击其实是DDoS攻击子类中增长最快的。这是因为数百兆流量的应用层DDoS攻击完全可以达到数百G流量攻击的效果。成本更低、效果更好的应用层DDoS攻击已经成为了攻击者的首选。

　　高级可持续威胁（APT）

　　高级可持续威胁是针对性目标定制攻击。通过使用一些未知的恶意软件、0day、或利用未打补丁的漏洞，亦或使用一些看似正常或全新的URL和IP地址来绕过检测。他们使用一些高级代码技术来突破目标系统，并尝试规避安全检测来使自己在目标系统中尽可能长时间的潜伏。且随着网络中可获取的数据与访问的应用的丰富性，可触及的被选定为攻击目标的切入点也很多，APT也逐渐走向常态化。与此相对的是，去年Fortinet针对BYOD调研的数据中涉及APT攻击、DDos等攻击了解的人数不到37%。

　　安全防御的部署也应随着威胁格局的变化而转变，多维高效是防御的宗旨，也是需要突破的“传统”； 当然，这个前提是网络安全的“基础建设”不可或缺。