攻击者与安全厂商的对垒是永无止境的，正如没有绝对的网络安全，有了一种防护技术，就会出现有针对性的攻击技术。我们所说的广泛使用的安全产品，其核心技术与理念至少已经有10年以上历史，而攻击者所具有的多种手段，用以突破这些传统意义上的安全技术的攻击，我们称之为---------新一代威胁。

传统安全设备所直面的威胁与困境

传统威胁，一直存在着。现有的安全产品如AV、IPS、Anti-DDoS、WAF等，都可以专门针对这些攻击进行防御，这一类防御技术目前市场已经相对成熟。现在用已知威胁签名建立特征库，配以网络边界位置的检测、组织入侵，足以抵挡住过去的种种威胁。

而与时俱进的是，当前攻击行为已经开始不再依赖传统签名特征等安全防御检测，选择了在攻击行为发起前，测试绕过目标网络安全检测，并通过使用一些新型攻击手段，零日威胁、变形及多态等高级逃避技术、多阶段攻击、APT攻击等手段，发起的更有威胁的攻击。这些，也构成了新一代威胁的攻击方式，目前它们是传统安全机制无法有效检测与防御的，因此也具备更大的破坏力与关注热度。

新一代威胁与传统安全的不足

如果我们将Web应用攻击、溢出攻击、DDoS与传统蠕虫木马病毒，视为上一个十年的网络安全，那么，新一代威胁所针对的，即是上一个十年安全技术的“缺口”。

我们知道，上一个十年，我们依赖于已知签名的检测与网络边界的防御，做好安全。在新一代威胁里，这两个传统安全里的安全“壁垒”，已经不再那么牢靠。

先说基于签名的检测技术。当一个新威胁出现时，总是需要一段时间，被视为流行的才会被发现并提供相应的签名。新一代威胁，通过零日攻击，多态变形等攻击手法，都可以让签名技术名存实亡。一些恶意样本数量剧增，签名匹配引擎性能上也承受不住。安全公司Symantec Mcafee公开的样本库大概有数亿规模，如此庞大数量，检测引擎因为性能只能选择加载少量主流，所以，传统的安全检测，没有想象的那么安全。

在NTT Group发布的《2014Global Threat Intelligence Report》中可以看到，在加载了11家不同商业与免费防病毒引擎后，测试了基于蜜罐系统获得的恶意软件，查杀率仅为46%。这个数字表明了，传统防病毒产品与基于已知签名检测技术的不足。

再来谈一谈网络边界安全防御。传统网络七层架构，对边界的定义比较明确，所以在安全产品的部署上面，逻辑结构相对清晰。在新一代威胁下，单纯的依靠网络边界难以界定，内网防护也不再安全，攻击者去接触高密级内网中的核心IT资产，更具备了多种通道：

-通过内部的邮件系统与外部沟通依旧是重要信息通道之一，在渗透企业内网中，邮件诈骗获取权限的行为，依旧很普遍；

-远程办公的需要，外部通过VPN接入内网，也是攻击通道之一；

-BYOD的出现，个人移动设备随意接入企业内部网络，也成为新的攻击通道；

-APT攻击中，基于物理设备感染，社交工程的方式，单纯的互联网边界防御也是无法应对的。

总之，在互联互通的时代下，攻击者如果想要，即使是某个严格隔离防范的企业内网，也是存在诸多可行方法的。单纯的边界防御，不能有效发现威胁，阻止危害发生。

以上种种说明，新一代威胁防护，势在必行。在下一篇里，绿盟科技将带着大家一起聊聊，新一代威胁的防护与方案。

（转自绿盟科技）