基于網絡的安全模式是上上之策

作者 | Edward G. Amoroso

Edward G. Amorosoat&t首席安全官曾擔任白宮Y2K信息協調中心實時安全防護項目的主要負責人

過去幾年，一些政府部門和私有企業的網絡受到了網絡犯罪分子越來越多的持續攻擊。這些網絡安全威脅種類繁多，從好奇心使然的潛伏者（Prowler），到以刺探機密信息、發動大規模分布式拒絕服務（DDoS）攻擊為目標的惡意入侵者，給不少人帶來不便，甚至引發了涉及面廣的停電事故。更重要的是，網絡攻擊可能產生長期的不穩定效應，比如客戶對系統崩潰的企業失去信心，或者民眾對當局失去信任等。

隨著技術應用范圍的不斷擴大、復雜程度的不斷加深，網絡犯罪分子的突破點也在不斷增多。智能手機、平板電腦和其他移動設備的不斷普及使情況變得更加嚴峻，據估計，這些設備在全球范圍內每天產生的數據流量高達700PB。同時，如今的威脅比過去簡單的蠕蟲和病毒要先進得多。例如，在僵尸網絡中，數千臺被入侵的電腦組成僵尸網絡，黑客利用整個網絡去攻擊企業或政府網絡，進而實施惡意活動。

網絡攻擊隨時都有可能發生，它們可能來自任何地方，沒有任何警告，每次攻擊都可能造成關鍵數據被竊取，也可能導致重要的業務系統或應用方案癱瘓。典型的分布式拒絕服務攻擊的工作原理是，用虛假流量排擠有用流量，比如業務郵件或者客戶下訂單等流量。2008年發現的蝴蝶（Mariposa）是迄今最大規模的已知僵尸網絡，感染了超過1200萬臺電腦，其入侵方式是竊取用戶的社交網絡連接。如果被蝴蝶感染的電腦只有1MB的帶寬，其DDoS攻擊總量可能高達每秒12TB（TeraByte）。如今，全球寬帶速率和可用性不斷提高（全球平均寬帶速率同比增長了25%，目前的平均速率為2.6Mbit/s），危險性也是與日俱增。企業甚至是許多大型云服務提供商對如此規模的攻擊也是束手無策，更不用說從原始流量中甄別出好壞。

由于多數高價值目標一般都會通過專用網絡或者作為共享網絡的一部分來接入互聯網，因此，采取一種基于網絡的安全模式才是上上之策。如果沒有一個保護整個網絡及接入點的計劃，任何防御措施都只是形同虛設。

基于網絡的安全模式將網絡本身塑造成防止內外攻擊的第一道防線。通過網絡管理安全，這種模式的優勢在于，能夠在問題到達客戶端之前就發現、隔離和消除盡可能多的問題。這樣有助于在發生此類攻擊事件時保護企業的持續運營能力，同時又不影響生產力和效率。服務提供商可以幫助企業實施一種主動式深度網絡安全模式，預先構筑防線，從每個層面嚴防潛在威脅。例如，at&t部署了數十臺核心路由器，其中任何一臺都有能力獨立處理數十TB的流量。與這種原始能力互為補充的是最先進的防DDoS能力、數據包擦除工具以及防病毒和反垃圾郵件過濾器。

防御威脅、監控網絡安全絕非易事，既費時間，又費資源。其維度眾多的特性往往要求多方全力配合——政府、網絡服務提供商、執法官員、互聯網用戶、內容提供商和安全提供商。對于安全并非核心業務的多數實體來說，可以將時間和資源投入到關鍵業務能力的建設上，從而發揮出更大的效益。

解決網絡犯罪問題不可能一蹴而就，即使只是經歷過短暫的IT服務中斷，人們也會因其對生產力的破壞作用而心有余悸。除此以外，網絡犯罪分子的接入點不斷增多，網絡犯罪正逐漸成為一項急速發展的業務，這些因素都會令人不安。在這種情況下，投資構筑網絡安全防線，實施可靠的網絡安全策略是我們的不二選擇。