只要稍微看看新聞就會知道，在過去三到五年，惡意軟件、數據泄露事故和其他信息安全威脅已經成倍增長。僅在不到一個星期前才發生了又一起引人注目的價值數百萬美元的攻擊事件。Target、易趣網、家得寶、摩根大通、索尼，甚至美國郵政服務都遭受了攻擊。

雖然網絡攻擊很少瞄準網絡設備，但在這些攻擊中，易受攻擊的網絡經常被攻擊者利用來傳輸惡意流量或竊取的數據。IT專業人員必須對付來自伊朗、朝鮮和俄羅斯等國的政府資助的攻擊，還有與犯罪組織有關聯的以營利為目的的攻擊者，以及隨心所欲入侵網絡的攻擊者。這種局面正促使網絡和安全團隊更緊密地合作，讓他們可以更肯定地回答一個看似基本的問題：網絡安全嗎?

知名烘豆生產商Bush Brothers and Company公司高級網絡工程師Ron Grohman表示，面對所有最近的威脅和攻擊，他不敢冒險。

這也是為什么他沒有僅僅依靠一種安全產品來保護企業網絡的原因。Grohman結合使用思科ASA 5525-X防火墻與Sourcefire URL過濾器、FireEye的網絡惡意軟件保護系統(MPS)1310來尋找可疑惡意軟件，并使用賽門鐵克殺毒軟件作為最后的備份。

Grohman表示他使用思科和Sourcefire(被思科在2013年收購)的產品，作為防火墻和URL過濾器來管理網絡流量。而FireEye產品則部署在網絡中來進行異常檢測，如果FireEye平臺檢測到可疑惡意軟件，該軟件會阻止惡意軟件，并發送警報給Grohman，然后他會將該事件告知幫助臺的人員，從而刪除惡意軟件。賽門鐵克軟件則負責捕獲HTTPS流量，作為攻擊實現目標之前的最后一道防線。

“我采用雙層和三層防御，”他表示，“沒有哪個產品是完美的，我喜歡使用多個系統來檢測異常，特別是對于保護網絡。”

在一家財富500強公司，可能有幾十位網絡和安全人員參與了各自領域的交叉培訓，并共同在網絡安全部門工作。但在私營中型企業Bush Brothers并不是這樣。Grohman是基礎設施八名成員中的一名，他是唯一具有安全證書的員工。為了增強他在網絡領域的知識，他在去年秋天完成了ISC2的CISSP課程，并在獲得了思科網絡專業認證。Grohman幾年前還在ITT Tech獲得了信息安全學位。

“所有的安全工作都落在了我肩上，”他表示，“人們會問我網絡是否安全，我只能說，‘我認為是這樣’。但其實我并不確定一切是否都是安全的，這讓我很困擾，這也是為什么我們添加了這些額外層的原因。”

這種不安在網絡和安全管理人員間很常見。Frost&Sullivan公司信息和網絡安全研究主管Frank Dickson表示，這種做法是可以理解的。

“真的沒有萬能解決方案，”他表示，“不管供應商怎么說，惡意軟件都將不可避免地進入網絡。請記住，零日攻擊利用的是未知的漏洞。抵御未知事物是一種挑戰。”

Dickson表示，現在安全環境已經發生了轉變，我們不再能單純地依靠傳統的殺毒軟件—它會在檢測到數據泄露事故后對以前未被發現的惡意軟件創建簽名。現在，來自思科的SourceFire、FireEye和Palo Alto的WildFire及Traps工具采用了更積極的做法。

Dickson解釋道：“這個行業正在轉變為使用更多基于行為的方法，例如在隔離的虛擬化環境測試可疑文件的行為，或利用大數據分析來監測網絡流量，建立基準，并尋找異常行為。”#p#

保護vs.預防

傳統的智慧以及當今威脅的現實可能需要采取像Bush Brothers使用的做法。但電信、銀行和能源公司IDT Corporation首席信息安全官Golan Ben-Oni并不這么認為。他表示，我們需要更加專注于阻止攻擊者，而不是在攻擊后作出響應。這個行業已經陷入了一種模式，認為他們遭受攻擊只是時間問題，而不是他們是否會受到攻擊。Ben-Oni表示，這是一種失敗主義態度。他說道：“如果你說你們放棄了防御，你在本質上是說你們已經完全放棄。”

IDT使用了Palo Alto的三種產品來保護其網絡：WildFire網絡檢測軟件;Traps用于端點保護，由Palo去年從以色列的Cyvera收購;以及Global Protect，它讓IDT擴展WildFire和Traps的優勢到移動設備以及離開辦公室的電腦。

下面讓我們看看這些產品在IDT的使用情況：Traps總是在端點監測惡意軟件，如果Traps檢測到零日攻擊或其他異常進入網絡，它會通知WildFire，WildFire會進行分析。在WildFire確認是惡意軟件后，它會阻止和糾正該惡意軟件。這樣在檢測到惡意軟件時WildFire增加了另一層保護，終端和網絡(通過Palo Alto防火墻)都會受到保護。網絡將不允許惡意流量通過，如果文件由其他方式導入(例如通過USB閃存驅動器或本地文件副本)，Traps會阻止其執行。

在過去，IT人員檢測惡意軟件，斷開計算機和網絡，并上傳文件到反病毒實驗室，他們需要24小時來寫一個簽名。但現在IT團隊沒有這么多時間。

“傳統上，所有這一切都是手動完成，而現在幾乎在近實時發生，”Ben-Oni表示，通過避免對人力的需要，橫向感染的風險大大降低。攻擊者會使用自動化，因此，企業與攻擊者公平競爭的唯一方法就是使用自動化。

在美國印第安納州、肯塔基和俄亥俄州擁有超過100家銀行的First Financial Bank企業信息安全官Dan Polly表示，這是非常重要的一點。

First Financial在端點和網絡使用思科高級惡意軟件保護(AMP)，這讓該公司可以快速分析惡意軟件。如果AMP檢測到惡意軟件，它會推送可疑文件到門戶網站--該網站會作為一個沙箱，在其中該軟件會運行分析來檢測這個威脅的內容。

“需要記住的是，在這些工具可用之前，你需要安排人員來深入分析惡意軟件，這個人需要同時具備編程和安全技能，”Polly解釋道，“現在，我們可以自動化部分工作，這節省了時間，讓我們可以更快地阻止威脅。”

與IDT的Ben-Oni一樣，Polly意識到了使用單個供應商提供的多種功能所帶來的好處。除了AMP產品，該公司的安全工程團隊還使用思科ASA和Sourcefire下一代防火墻，他說這不僅可以執行傳統防火墻功能，還支持入侵檢測和防護以及URL內容過濾。Polly也喜歡通過開發和收購，思科已經投資于Talos--該公司的安全情報和研究組。Talos組建了一支分析威脅的研究人員團隊，他們的工作主要是試圖提高思科的安全產品。

“通過可擴展的平臺，我們減少了解決新興威脅所需的時間，”Polly表示，“毫無疑問，安全行業是分階段的;過去有段時間，最佳產品是唯一的選擇，但現在似乎轉移到其他方式，即選擇具有多種功能的單一來源。”

多年來，信息安全和網絡團隊工作在不同的部門，在某些情況下，他們還會相互競爭。

FireEye公司首席技術官Dave Merkel表示，當前的威脅環境已經改變了這種情況。“現在，安全必須整合到企業的架構中，”他補充說，安全和網絡團隊必須更密切的合作。

思科公司安全業務部產品營銷副總裁Scott Harrell表示同意，這兩個領域的合作對打擊更復雜的威脅是至關重要的。

他說道：“雖然這兩個團隊仍然有著角色分工，但我認為這會發展到這樣的階段，即安全團隊更多地參與網絡架構開發工作，而網絡人員將會處理1級安全要求，而2級和3級警報仍由經驗豐富的安全專業人士處理。”

IDT公司首席信息安全官Golan Ben-Oni表示，在其企業，IT內的所有團隊都一起合作。他補充說：“在我們公司，每個人都會獲得所有其他計算領域的交叉培訓。”