网络安全的新挑战与对策

关键要点

企业网络逐渐分散，风险和攻击面也不断增加，传统的网络防御措施效果减弱。网络安全隐患常常在被攻击者曝光时才被发现，尤其是在勒索软件攻击中。现有的网络安全技术难以适应新的环境和复杂性，迫切需要新的识别和防范手段。建立在非加密架构和丰富元数据基础上的监控策略可以有效提高网络可见性，及早发现潜在威胁。

随着企业网络构成的变化，伴随而来的风险和曝光面也在不断扩大。网络不仅在本地服务器上运作，也向云端迁移，传统上依赖的网络防御能力已无效，安全专家往往对应集中在哪些安全措施上存在模糊不清的理解。

我们常常在为时已晚时才意识到网络的安全状态。那么，如果我们过去所依赖的措施已无用，现有的手段如何才能识别这些威胁，并有效消除它们呢？

clash 机场

一个鲜明的例子就是敌对行动者发起的勒索软件攻击。一旦他们入侵网络，便悄无声息地部署勒索软件。利用企业普遍使用的工具，他们可以自由活动，而无需担心被发现，并静静等待合适时机激活勒索软件。

但是，还有许多未知的风险存在，例如比特币挖矿或员工利用公司资源托管游戏服务器等政策或治理问题。由于缺乏有效的监测机制，这些活动往往在很长一段时间内无人察觉。数据外泄的情况也符合这种描述，在许多情况下，传统工具存在重大覆盖和范围缺口，导致敌对行为者能够在大多数企业网络中不被察觉，通常要过几个月才会被发现。

在最坏的情况下，组织通常是在攻击者浮出水面后才意识到已被攻击。根据 IBM 2023年数据泄露成本报告的最新研究，超过四分之一的泄露事件27是通过攻击者在勒索软件攻击时主动披露的。以这种方式披露的攻击，比通过自身工具发现的情况要贵得多高出195。

传统方法的挑战

这些风险与曝光，以及我们无法掌握或现有安全架构下不可知的活跃威胁行为者，为组织带来了真实的危险。

就勒索软件而言，反勒索软件系统旨在提供保护，但前提是必须首先遭遇勒索软件。在许多情况下，我们需要在勒索软件已被部署的情况下，工具才能迅速介入处理威胁。而寻找未知风险的最有效机制之一，就是在网络上广泛观察异常使用模式。要实现这一点，我们必须能够理解所有企业网络参与者无论是用户、设备还是应用的组成和活动。

依赖于设备架构和深度数据包检查DPI来获取网络可见性的传统网络安全技术，正因网络朝着更分散的方向演变以及加密的广泛应用而迅速失去效能。大多数组织没有资源在规模上部署和管理DPI，以在需要的时候提供可视化和控制。网络探测器和聚合器的需求，加上解密能力和广泛部署的DPI功能，费用和复杂度的增加可能迅速变得不可承受。