大概15年前，纵深防御首次运用于网络安全行业时，彻底改变了这个行业。如今，使用一系列安全对策来保护网络这个想法已成了公认的最佳实践，而网络安全领域的传统思想领袖(金融服务公司和美国联邦政府)更是将它奉为金科玉律。

 

但是，虽然纵深防御在过去15年为行业发挥了良好的作用，但是现在是时候开始质问它是不是在今后15年应该采取的那种方法。我认为，如果纵深防御要想在当今和未来行之有效，就需要行业改变观念。原因如下。

如果你仔细分析一下最近大肆报道的黑客事件，它们的共同点就是，采用了不法分子或黑帽黑客开发的高度复杂的高级持续性威胁(APT)，这些人拥有相应的专长、资金和时间，开发专门对付纵深防御模式采用的安全措施的工具。无论是国家撑腰的黑客，还是牟取不义之财的犯罪分子，攻击者完全了解攻击目标的纵深防御功能，因而设计了规避的手法。

然而，开发和策划这类泄密事件中使用的高级攻击很复杂、很烧钱，这让它们完全超出了绝大多数网络犯罪分子的承受范围。至于这些攻击的潜在目标，许多小规模企业组织认为自己很安全，因为它们没有会吸引能力更强的黑客注意的那种类型的信息(信用卡数据和专有知识产权)或知名度。

　　现在出现了什么新的变数？

如今，高级的网络攻击工具唾手可得，这归功于大行其道的地下市场在兜售用户登录信息、工具包、僵尸网络以及网络犯罪分子可能需要的其他许多工具。开发这些工具的人员甚至向客户提供服务级别协议(SLA)，保证窃取而来的用户登录信息是有效、有用的，从而提高攻击的成功几率。此外，许多这些工具现在是自动化，所以不太在行的网络犯罪分子现在可以同时对某个目标发动高强度的高级攻击。

这就导致了网络攻击数量大幅增长，以至于纵深防御模式跟不上步伐。这种模式最令人担忧的薄弱环节是在渗入点(point of infiltration)。如今的网络每天都在记录数百万个事件，所以安全团队几乎不可能识别、分析以及根据需要来响应实际威胁。即便安全团队阻止得了企图攻破网络边界的1000次攻击中的999次，但得逞的那一次攻击足以带来严重的问题。

　　别放弃网络边界

攻击的绝对数量之大已促使一些安全团队完全放弃了阻止攻击渗入网络边缘这一想法。在他们看来，更好的办法就是，在攻击危及网络边界之后，专注于检测并消除攻击。这只会招致灾难。安全团队几乎不可能随时了解攻击者用来突破网络边界所使用的最新工具。

此外，如果放弃了预防，就需要庞大的安全团队才能检测并消除涌向网络的所有APT和恶意软件，而大多数公司没有相应的财力，也缺乏合格的安全专业人员处理得了这么大的工作量。所以，尽管包括预防的纵深防御模式仍是保护网络的最佳方法，要想有一线生机，就需要安全行业转变观念。

　　零信任+自动化安全=未来的出路

如果说纵深防御模式想要在将来行之有效，网络安全技术厂商需要在阻止攻击方面做得更好。为此，最好的办法就是采取零信任安全策略，并且实现安全流程自动化。零信任网络安全使用应用程序、数据和用户信息，制定策略，规范数据如何进入网络、如何在网络上移动，而不是依赖基于端口和协议的安全策略。安全自动化需要整合最新的威胁信息以及ATP安全平台，这种平台可检查所有的网络流量，根据应用程序、用户和数据，运用策略。通过结合零信任政策和阻止绝大多数攻击的自动化安全策略，安全信息和事件管理(SIEM)技术或网络安全专业人员就有时间来主动寻找确实设法渗透进来的少数攻击。

纵深防御模式要想保持其重要性，唯一的办法就是与时俱进，为此要采取自动化安全和零信任模式。只有那样，安全团队才能在不断变化的网络安全领域提高工作成效。

原文标题：Does Defense In Depth Still Work Against Today’s Cyber Threats？ 作者：Frank Mong

(责任编辑：安博涛)