當(dāng)前世界充斥著各種復(fù)雜的惡意軟件、入侵威脅及多級(jí)攻擊，使用單點(diǎn)安全工具的傳統(tǒng)安全措施早已不能滿足需求，現(xiàn)代安全措施必須具備智能、聯(lián)動(dòng)及互用的特點(diǎn)。

通過(guò)安裝多種單項(xiàng)優(yōu)勢(shì)軟件系統(tǒng)來(lái)為計(jì)算機(jī)提供全面保護(hù)的時(shí)代已經(jīng)過(guò)去了。讓我們首先回顧一起2009年發(fā)生的、在全球范圍內(nèi)引起廣泛關(guān)注的網(wǎng)絡(luò)攻擊事件:

2009年7月4日，一起近年來(lái)最為嚴(yán)重的、使用了僵尸網(wǎng)絡(luò)的分布式拒絕服務(wù)攻擊(DDoS)發(fā)生了。當(dāng)天，大部分美國(guó)人都在享受休閑時(shí)光，眾多安全機(jī)構(gòu)的工作人員也處于放假狀態(tài)。攻擊者設(shè)計(jì)了一款危險(xiǎn)的惡意軟件，通過(guò)該軟件成功營(yíng)造了覆蓋二十萬(wàn)余臺(tái)計(jì)算機(jī)的僵尸網(wǎng)絡(luò)。通過(guò)刪除主要文件及重寫(xiě)主引導(dǎo)記錄，該惡意軟件使計(jì)算機(jī)硬件無(wú)法正常運(yùn)轉(zhuǎn)，同時(shí)它還具備自動(dòng)升級(jí)更新的功能。幾家美國(guó)政府部門(mén)網(wǎng)站受到了這個(gè)僵尸網(wǎng)絡(luò)的攻擊，其中包括聯(lián)邦貿(mào)易委員會(huì)(FTC)、聯(lián)邦航空局(FAA)以及美國(guó)財(cái)政部。攻擊目標(biāo)隨后迅速擴(kuò)散至美國(guó)及韓國(guó)的其他政府網(wǎng)站和商業(yè)網(wǎng)站，導(dǎo)致其中一些站點(diǎn)癱瘓。

在這起事件中，為什么有些受攻擊目標(biāo)安然無(wú)恙，有些卻損失慘重?答案就在于“全球威脅智能感知系統(tǒng)”(Global Threat Intelligence)。

卷入此次破壞性攻擊的僵尸網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)IP地址信譽(yù)均顯示不佳。這些計(jì)算機(jī)系統(tǒng)在參與此次惡意攻擊之前，僵尸網(wǎng)絡(luò)的操作者已經(jīng)利用它們進(jìn)行了多次惡意活動(dòng)，發(fā)送垃圾郵件就是其中之一。邁克菲捕獲了攻擊型IP地址發(fā)送的垃圾郵件，從而降低了上述地址在邁克菲全球威脅智能感知系統(tǒng)中的信譽(yù)級(jí)別。

這樣處理的獨(dú)特之處在哪里?以此次真實(shí)攻擊為例，企業(yè)防火墻通過(guò)郵件安全設(shè)備提前搜集到的威脅情報(bào)來(lái)保護(hù)用戶安全。兩個(gè)截然不同的保護(hù)裝置通過(guò)云分享威脅情報(bào)，從而阻止了一次惡意攻擊。

這種情況只有在相互關(guān)聯(lián)的防御體系中才有可能實(shí)現(xiàn)。該防御系統(tǒng)中的各個(gè)層級(jí)彼此關(guān)聯(lián)，共享情報(bào)信息，并最終聯(lián)合提供預(yù)測(cè)性保護(hù)。

還有一起引起廣泛關(guān)注的網(wǎng)絡(luò)攻擊事件:2009年12月發(fā)生的“極光行動(dòng)”，攻擊者意欲竊取谷歌及其他某些公司的高價(jià)值知識(shí)產(chǎn)權(quán)信息。谷歌在其博客上宣稱受到了復(fù)雜網(wǎng)絡(luò)攻擊，自此“極光行動(dòng)”才為世人所知。隨著時(shí)間的推移，“極光行動(dòng)”的深度和廣度都有所增加。攻擊者的目標(biāo)是眾多美國(guó)公司的高價(jià)值知識(shí)產(chǎn)權(quán)信息，此類攻擊形式并非罕見(jiàn)，以往主要用于攻擊政府和國(guó)防承包商，而不是像谷歌這樣的私人企業(yè)。

邁克菲一直處于調(diào)查此次攻擊并部署保護(hù)措施的最前線，我們之所以能夠取得突破性的成果，是因?yàn)槲覀兊恼{(diào)查范圍覆蓋了安全領(lǐng)域的各個(gè)方面。

例如，在針對(duì)谷歌和其他公司的攻擊中，邁克菲發(fā)現(xiàn)了IE瀏覽器中一個(gè)從未被攻擊過(guò)的漏洞。一天之內(nèi)，針對(duì)這一漏洞的攻擊代碼公之于眾，這極大地增加了IE瀏覽器用戶的使用風(fēng)險(xiǎn)。幸運(yùn)的是，企業(yè)用戶很快得到了防御攻擊的相關(guān)幫助。

從上述兩起攻擊事件中我們能獲得什么啟示呢?問(wèn)題的關(guān)鍵在于縮短保護(hù)時(shí)間間隔。當(dāng)前信息安全行業(yè)的一般保護(hù)時(shí)間間隔最長(zhǎng)為一周，但以7月4日發(fā)生的攻擊為例，針對(duì)某些攻擊提供零日保護(hù)已成為可能。

單點(diǎn)安全時(shí)代已經(jīng)一去不復(fù)返了。我們需要將各種安全產(chǎn)品聯(lián)系起來(lái)，共享威脅信息，同時(shí)借助安全管理平臺(tái)實(shí)現(xiàn)實(shí)時(shí)可見(jiàn)功能，實(shí)現(xiàn)安全行業(yè)從“深度防御”向“深度情報(bào)防御”的轉(zhuǎn)變。這意味著什么呢?“深度防御”并不等同于“深度情報(bào)防御”。我們需要的是開(kāi)放式的安全防護(hù)，連接所有安全工具，引入核心合作伙伴，打破傳統(tǒng)信息孤島的限制。只有這樣，企業(yè)才能以更低成本獲得更高級(jí)別的安全保護(hù)，徹底擺脫使用單點(diǎn)安全工具的落后的防御措施。