縱觀近期的數據泄露事故，我們驚訝地發現，企業在受到攻擊后的很長一段時間內都沒有發現數據泄露事故的發生。

[[123849]]

根據Verizon數據泄露報告和Mandiant M趨勢報告顯示，企業在受到攻擊的14個多月后才發現數據泄露事故的發生。我們只能得出這樣的結論，企業缺乏適當的入侵防御功能，或者檢測技術和流程未能防范攻擊。

身處這樣一個行業我們必須接受的事實是，攻擊遲早會發生;這并不是軟弱的表現，只是基于現在的高級攻擊性質得出的結論。同樣重要的是，企業必須更好地進行檢測。受到攻擊幾個小時或者甚至幾天都是可以接受的，但當攻擊延續更長時間，特別是超過12個月，這就屬于疏忽了。

我們不應該因此而感到沮喪，而應該提出基本問題：“為什么?”為什么企業無法檢測受攻擊系統?原因之一在于攻擊者越來越多地依賴于一種混淆方法，這種方法利用了信息安全的最佳戰略防御之一：加密。

了解加密的命令控制通道

人們常說，加密可以阻止攻擊者讀取企業的信息;這是部分正確的。加密通常可以阻止任何人讀取任何人的信息，包括阻止企業讀取攻擊者的信息。

當系統受到攻擊，攻擊者將會建立加密的出站命令控制(C2)通道，這幾乎可以繞過企業的所有網絡安全防御。原因很簡單：大多數網絡安全設備無法讀取加密流量本身，因此，加密的C2流量讓攻擊者有效地躲過網絡檢測。

雖然出站代理最初是解密和審查加密C2流量的有效方法，但攻擊者已經找到方法來對付這種保護機制。我們仍然建議企業使用出站網絡代理服務器，因為它們可以有效過濾流量，并將阻止一些攻擊。然而，有些企業有太多出口點，而無法有效代理所有流量，并且，它無法阻止高端攻擊者找到辦法繞過這些代理。因此，我們需要另一種解決方案，這個解決方案就是無加密區。

了解無加密區

在介紹無加密區的概念之前，重要的是要明白：

1)猛烈攻擊時代需要嚴厲的措施;

2)并非所有解決方案在所有環境中正常工作;

3)當得到戰略性部署時，解決方案方可正常工作，并且不能集中于所有方面;

4)在你批評之前進行嘗試。

筆者已經為多個客戶成功部署的無加密區系統，這個系統包括創建最后一英里未加密通道。這個想法是創建一個高度交換的LAN，其中不僅具有加密檢測，還不允許任何加密通信。并且，這對當前網絡設計并沒有什么影響。本質上，企業只需要部署或利用DLP或其他類似技術，即可以檢測和阻止加密通信的技術。

在采用這個概念后，我們驚奇地看到在追趕攻擊者方面發生的變化：

• 在使用無加密區之前：用戶收到APT電子郵件，打開附件，系統會開啟一個出站加密C2連接，繞過所有網絡安全設備，然后系統被攻擊長達14個月。

• 在使用無加密區之后：用戶收到APT電子郵件，打開附件，系統嘗試建立出站加密C2連接，加密通道被檢測并被阻止，系統現在僅被攻擊持續14秒，而不是14個月。

通過創建這個無代理區，我們基本上抑制了攻擊者的最大優勢(C2加密)，并將其變成最大的劣勢。這種變化創建了一個環境，讓我們可以容易地捕捉和控制高級攻擊。

正如上文所說，這個技術并不適合于所有情況。例如，在默認情況下，用戶不應該被允許使用個人身份信息(PII)進行個人網上沖浪，或者傳輸支付數據，因為這些信息不會被加密，但這個問題可以得到解決，例如為用戶提供單獨的僅供個人使用的計算機。同樣重要的是要注意，加密網關(例如SSL)可以設置在到網絡的網關處。只有最后一英里(或本地LAN)未被加密，但任何離開網絡的數據都會被加密和受到保護。

再次，筆者并不建議在整個企業部署無加密區，而是建議將它們設置作為選擇性機制。如果用戶表明他或她不能保護系統和數據，并且他們可能做出錯誤判斷而點擊郵件附件并受到感染，那么政策應該將這個用戶加入到這個機制，并將他或她進入無加密區。這已被證明非常有效，因為如果沒有特殊控制，因錯誤決定而受到攻擊的用戶很有可能會再次這樣出錯。

通過創造性思考，創造性的解決方案可用于增加攻擊者的難度和降低企業防御難度。大家通常認為加密會提高安全性，但正如本文所討論的，不使用加密可以創建一個環境來實際提高安全性。