數(shù)據(jù)泄漏、加密勒索、惡意刪除，在企業(yè)數(shù)字化轉(zhuǎn)型的大趨勢(shì)之下，企業(yè)的數(shù)據(jù)安全正面臨著嚴(yán)峻挑戰(zhàn)。企業(yè)的數(shù)據(jù)安全應(yīng)當(dāng)如何防護(hù)？網(wǎng)絡(luò)化時(shí)代，應(yīng)用態(tài)勢(shì)產(chǎn)生了巨大的變化，在這種情況之下安全防御手段又需要發(fā)什么樣的改變？為此，至頂網(wǎng)的《數(shù)字化轉(zhuǎn)型方略》以“應(yīng)用態(tài)勢(shì)巨變之下的端點(diǎn)安全”為主題，通過一系列走訪，對(duì)各大安全廠商在端點(diǎn)安全方面的防護(hù)手段進(jìn)行深入了解，以求尋找到一種“從天而降的掌法”從根本上去解決企業(yè)數(shù)據(jù)安全的困擾。

從天而降的掌法為什么那么厲害，因?yàn)槟鞘墙稻S打擊。實(shí)際上在信息安全與網(wǎng)絡(luò)安全上，也曾經(jīng)歷過兩次降維打擊一般的技術(shù)革新。溫故而知新，下面我們不妨回顧一下這兩次安全降維打擊的效果，并展望一下，現(xiàn)如今又可以采用什么降維打擊的技術(shù)手段保障企業(yè)的數(shù)據(jù)安全。

信息安全時(shí)代殺毒軟件的降維打擊

作者第一次親身經(jīng)歷安全防護(hù)的降維打擊，應(yīng)該是2000年的4月26日。對(duì)計(jì)算機(jī)病毒有所了解的同學(xué)應(yīng)該清楚，4月26日是一種叫CIH病毒的發(fā)作日期，因?yàn)?/span>CIH這個(gè)病毒不但會(huì)破壞硬盤的引導(dǎo)區(qū)，還會(huì)破壞主板的BIOS文件，因此在每年4月26日，防病毒廠商的技術(shù)服務(wù)部門都會(huì)接到海量被病毒破壞的主機(jī)和硬盤，需要防病毒廠商協(xié)助進(jìn)行修復(fù)。巧的是作者那時(shí)候也正是一個(gè)防毒廠商的小小客服。在經(jīng)歷了99年CIH的摧殘之后，2000年4月26號(hào)也是早早就做好了接待客戶的準(zhǔn)備工作。但是不出意外的意外發(fā)生了，那年的4月26日和平常沒有什么太大的區(qū)別，和以往4月26日過節(jié)一樣的熱鬧有著天壤之別。其原因就是，這個(gè)防病毒廠商在99年推出了一個(gè)實(shí)時(shí)防護(hù)功能，可以讓病毒在進(jìn)入內(nèi)存后就直接進(jìn)行查殺，根本不給病毒進(jìn)入硬盤進(jìn)行傳播的機(jī)會(huì)。于是臭名昭著的CIH病毒就這樣被降伏了。

為什么說這是降維打擊？當(dāng)年CIH病毒爆發(fā)之后，不知有多少安全專家，甚至病毒作者本人，都曾想盡了辦法，但依然無法阻止病毒的泛濫，以至于每到4月26日，防病毒廠商就會(huì)像過節(jié)一樣，應(yīng)接不暇的去接待那些被病毒破壞數(shù)據(jù)、破壞主板的用戶。然而，一個(gè)病毒廠商新推出的安全功能，卻讓這個(gè)縱橫肆虐的病毒就此絕跡。最主要的是，這個(gè)功能卻并非專門為這個(gè)病毒，有針對(duì)性而推出的。充分地體現(xiàn)了什么叫毀滅你，但和你無關(guān)。

網(wǎng)絡(luò)安全時(shí)代下一代防火墻的降維打擊

對(duì)病毒的降維打擊有效地制止了病毒的泛濫，但并未能阻止黑客的腳步。于是戰(zhàn)場(chǎng)又轉(zhuǎn)移到了網(wǎng)絡(luò)安全的方向。那個(gè)時(shí)候黑客使用的手段也十分的簡(jiǎn)單粗暴——DDoS。只需要組織足夠多的攻擊流量，就可以將企業(yè)的網(wǎng)站門戶撐爆。安全廠商的應(yīng)對(duì)方案也是十分的直接，用防火墻硬抗。然而防火墻的處理能力畢竟有限，黑客總有辦法組織起更大規(guī)模的僵尸網(wǎng)絡(luò)，使用更大的攻擊流量將這些抵抗給擊毀。這種情況直到一款劃時(shí)代的網(wǎng)絡(luò)安全產(chǎn)品，下一代防火墻的出現(xiàn)，才慢慢得到改善。

為什么說下一代防火墻是一款劃時(shí)代的網(wǎng)絡(luò)安全產(chǎn)品，是因?yàn)樗�是在�?yīng)用層基于應(yīng)用流量行為分析，而對(duì)網(wǎng)絡(luò)威脅進(jìn)行判斷。換句大家都可以明白的話來講，就是下一代防火墻可以“看”到網(wǎng)絡(luò)中攻擊威脅的來龍去脈，并有針對(duì)性地去進(jìn)行處理，這就為網(wǎng)絡(luò)攻擊的溯源提供了先決的技術(shù)條件。當(dāng)時(shí)DDoS攻擊之所以泛濫，是因?yàn)楹诳驼瓶刂�大批僵尸網(wǎng)絡(luò)，可以近乎零成本的實(shí)現(xiàn)網(wǎng)絡(luò)攻擊。而當(dāng)網(wǎng)絡(luò)攻擊有跡可循，每發(fā)動(dòng)一次攻擊，就會(huì)損失一批僵尸網(wǎng)絡(luò)，甚至連隱藏在幕后的黑客也會(huì)因此而被追蹤后，DDoS的攻擊成本就會(huì)顯著提升。

想當(dāng)年作者正在一個(gè)網(wǎng)絡(luò)媒體做產(chǎn)品評(píng)測(cè)工作，正好在下一代防火墻產(chǎn)品出現(xiàn)后，就對(duì)其進(jìn)行了深入的功能性分析。在發(fā)現(xiàn)了下一代防火墻的與眾不同之處后，開始撰寫技術(shù)分析文章，對(duì)此進(jìn)行大力推廣。正好分析文章發(fā)出時(shí)，趕上了第一屆的網(wǎng)絡(luò)安全宣傳周的有利時(shí)機(jī)。借著這陣東風(fēng)，攻擊溯源的理念也迅速獲得國(guó)內(nèi)安全企業(yè)的廣泛重視。經(jīng)過多年的不懈努力之后，DDoS這樣的網(wǎng)絡(luò)攻擊在我們國(guó)內(nèi)，已經(jīng)基本絕跡了。

通過這個(gè)事例我們可以了解，要想實(shí)施降維打擊，首先需要在更高的層次上對(duì)威脅進(jìn)行了解，然后才可以采用無法抵抗、無所遁形的方式進(jìn)行打擊。

數(shù)據(jù)安全時(shí)代端點(diǎn)安全如何實(shí)現(xiàn)降維打擊

DDoS之類的破壞性網(wǎng)絡(luò)攻擊，在我們國(guó)內(nèi)雖然基本絕跡，但是利用系統(tǒng)漏洞，通過技術(shù)手段非法獲得利益的黑色產(chǎn)業(yè)鏈，并未就此而被斬?cái)唷，F(xiàn)在這支黑手現(xiàn)在已經(jīng)伸向了企業(yè)及個(gè)人用戶的數(shù)據(jù)信息，個(gè)人用戶的信息被盜竊、被販賣，企業(yè)的核心數(shù)據(jù)被竊取、被加密、被勒索。

說實(shí)話，當(dāng)?shù)谝淮卫账鞑《舅僚暗臅r(shí)候，作者本來以為這是一個(gè)因未知漏洞所引發(fā)的偶然事件�？墒菦]有想到，隨著時(shí)間的推移，加密勒索的方式越來越隱秘，目標(biāo)針對(duì)性也越來越強(qiáng)，勒索的成功率與破壞性也在與日俱增�？紤]到當(dāng)前企業(yè)都在實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型的大趨勢(shì)，如果數(shù)據(jù)安全得不到很好的保障，勢(shì)必會(huì)對(duì)數(shù)字化轉(zhuǎn)型企業(yè)造成重大影響。于是開始更進(jìn)一步地對(duì)企業(yè)數(shù)據(jù)安全應(yīng)當(dāng)如何防護(hù)進(jìn)行了解。

仔細(xì)一看，問題確實(shí)不小，如今無論是在PC端、移動(dòng)端以及服務(wù)器端，應(yīng)用再也不是一個(gè)個(gè)獨(dú)立程序，而是以網(wǎng)絡(luò)為渠道與其他應(yīng)用互聯(lián)互通所構(gòu)成的一個(gè)整體。這就導(dǎo)致應(yīng)用程序的使用態(tài)勢(shì)發(fā)生了巨大變化。以往針對(duì)病毒查殺的殺毒軟件，很難分辨遠(yuǎn)程連接是正常網(wǎng)絡(luò)接入，還是利用漏洞的惡意行為，而具備應(yīng)用識(shí)別能力的下一代防火墻又離端點(diǎn)太遠(yuǎn)，對(duì)滲透到內(nèi)網(wǎng)的網(wǎng)絡(luò)威脅難以察覺。

對(duì)于系統(tǒng)的漏洞威脅，當(dāng)前的主流安全對(duì)策是深挖，通過安全對(duì)抗的方式對(duì)系統(tǒng)漏洞進(jìn)行深入挖掘，從而不讓黑客有可乘之機(jī)。雖然成果顯著，但是投入巨大、對(duì)專業(yè)性要求過高，一般企業(yè)難以承受。這與實(shí)時(shí)監(jiān)控技術(shù)出現(xiàn)之前的進(jìn)行被動(dòng)病毒防御的場(chǎng)景非常相似，區(qū)別是殺互軟件應(yīng)對(duì)的是不停變換的病毒變種，如今應(yīng)對(duì)的是層出不窮的安全漏洞。

于是作者開始設(shè)想，為什么不能在端點(diǎn)上再做點(diǎn)文章，將網(wǎng)絡(luò)應(yīng)用行為分析能力與殺毒軟件的實(shí)時(shí)防御功能進(jìn)行一下融合？當(dāng)年的防御病毒的實(shí)時(shí)監(jiān)控之所以成功，是因?yàn)椴《驹谶M(jìn)入內(nèi)存之前，可以采用加密、變種等多種方式躲避防毒軟件的查殺，但進(jìn)入內(nèi)存之后，就要開始其傳播、破壞等病毒行為，其病毒行為無法再次隱藏，否則就會(huì)失去了病毒應(yīng)有的能力。因此在內(nèi)存進(jìn)行監(jiān)控，可以有效的對(duì)病毒進(jìn)行發(fā)現(xiàn)，并及時(shí)處理。而黑客利用漏洞攻入端點(diǎn)也是同樣的道理，在攻入端點(diǎn)之前，在網(wǎng)絡(luò)上看到的只是正常的網(wǎng)絡(luò)連接，但黑客在進(jìn)入端點(diǎn)之后，必然也會(huì)進(jìn)行一系列的黑客行為，而這些行為在端點(diǎn)上，也是可以通過技術(shù)手段進(jìn)行察覺到的。比如，在端點(diǎn)上也同樣實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用行為實(shí)時(shí)監(jiān)控，只要可以對(duì)黑客行為進(jìn)行準(zhǔn)確監(jiān)控，防止惡意攻擊與破壞就是水到渠成的一件事情了。要知道防止自行車丟失的，并不是多么堅(jiān)固的車鎖，而是城市里無處不在的攝像頭。對(duì)于企業(yè)數(shù)據(jù)安全的防護(hù)，也應(yīng)該是同樣的道理。

但是通過增強(qiáng)端點(diǎn)安全進(jìn)行防護(hù)的方式，在技術(shù)上是否可行？是否會(huì)獲得安全廠商的認(rèn)可？帶著這些疑問至頂網(wǎng)發(fā)起了以“應(yīng)用態(tài)勢(shì)巨變之下的端點(diǎn)安全”為主題的技術(shù)訪談活動(dòng)。

安全企業(yè)端點(diǎn)安全面面觀

在本次訪談活動(dòng)中，至頂網(wǎng)從端點(diǎn)安全威脅、面臨技術(shù)挑戰(zhàn)、端點(diǎn)安全解決方案這三個(gè)方向，與多個(gè)國(guó)內(nèi)外的安全廠商進(jìn)行了探討。

在這次訪談活動(dòng)中，我們發(fā)現(xiàn)無論國(guó)內(nèi)還是國(guó)外的受訪安全廠商，均已充分認(rèn)識(shí)到由端點(diǎn)安全而引發(fā)的目前一系列安全問題，尤其是云計(jì)算技術(shù)出現(xiàn)后，對(duì)于端點(diǎn)安全帶來的全新技術(shù)挑戰(zhàn)，并且也在積極提供相關(guān)解決方案。但相對(duì)而言，國(guó)內(nèi)安全廠商在端點(diǎn)安全上的步子可能稍小一些，而受訪的國(guó)外安全廠商，無論在產(chǎn)品的成熟性還是在解決方案的周全程度上，都具備著很多值得我們?nèi)ミM(jìn)行學(xué)習(xí)的優(yōu)點(diǎn)。現(xiàn)在至頂網(wǎng)也已經(jīng)將幾個(gè)廠商的訪談內(nèi)容一一整理完畢并進(jìn)行發(fā)布。大家可以從這些文章中，對(duì)這些安全廠商的威脅洞察能力、技術(shù)解決方案進(jìn)行直觀的了解。

在此我們也衷心希望，未來可以有一種輕量級(jí)、具備云端及多種操作系統(tǒng)適用性的、可基于端點(diǎn)網(wǎng)絡(luò)應(yīng)用行為分析的安全產(chǎn)品出現(xiàn)，從而可以在更高的維度，為端點(diǎn)安全提供更好的防護(hù)能力，利用這種降維打擊的方式，對(duì)進(jìn)入用戶端點(diǎn)的惡意行為進(jìn)行識(shí)別，以便于更好地?cái)財(cái)嗪谏�產(chǎn)業(yè)伸向企業(yè)數(shù)據(jù)的罪惡黑手，令企業(yè)數(shù)字化轉(zhuǎn)型的目標(biāo)可以順利實(shí)現(xiàn)。