进化，一直都是我们所处这个世界的主题，无论生物、事物，各类进化一直都未曾停止，网络安全同样如此。“攻”与“防”相伴而生，并将纠缠一生。“攻”为能够突破防线在不断武装自己，采取新的战术、运用新的武器；“防”为了确保身后世界的安宁也在不断强壮自己，采用新的策略、布设新的防线。攻者在为了生存而不断进化，防者同样在为了生存而进化。这场攻防之间的战争于进化的道路上将不死不休！

国际知名网络安全公司PaloAlto副总裁兼亚太区首席安全官Sean Duca先生就为我们深入剖析了正在进化的网络攻击。

　　骇客们说：俺们也在正规化、产业化

如今网络犯罪的产业规模已经达到4450亿美元，网络战争的战火已经波及超过100个国家。与往年前相比，恶意攻击发生着显著的进化，它们建立起了指挥控制渠道，更为主动的逃避各种安全检测，掌握着更多的零日漏洞，愈加难以被发现。

传统安全架构缺乏自动性和关联性，当有安全事件发生时还需要人工响应、手动处理，这不仅耗费了巨大的人力资源，而且很可能处理结果还未出来但黑客的攻击却已得手——高价值信息早被窃取出去。

如今骇客所实施的更多是链式攻击：外围突破、传递恶意软件、内网横向移动、渗透主机、窃取并传输数据，那么就需要针对攻击链的各个阶段进行有针对性的安全防护。要知己知彼，透彻了解骇客的攻击手段、攻击行为，这样所采取的安全防御措施才能做到一针见血。

精准而脆弱的恶意攻击链

如今，经典的APT类攻击往往要耗费数年时间，其攻击动作环环相扣精准异常。但与魔术套环一样，精准攻击的背后也潜藏着一个脆弱的“缺口”，防御者们一旦发现这个“缺口”，就能够摧枯拉朽般的破解整条恶意攻击链。

Sean Duca认为对恶意攻击进行侦测的阶段最难进行防御，如何从海量事件中提取威胁情报、于海量数据里挖掘出异常攻击行为特征十分困难。反之一旦能够捕获特征就能够很容易的按图索骥，通过深度溯源渗透整体攻击链中被黑掉的其他主机，最终消弭全部恶意威胁。精准攻击链的任何一个环节一旦被阻断，那么骇客的攻击都将无法完成。

另外，用户的安全环境状态则决定了哪个环节才是最佳的安全防护时机。“每个公司的用户中招的情况和被黑的状态不一样，有些主机是刚刚点了垃圾邮件，有些主机是已经中招了，有些主机是当肉鸡很久了”，所以安全体系的建立不能头疼医头脚疼医脚，要从根源着手进行防御部署，才能实现有效的阻截。

不断进化中的下一代安全

Sean Duca提出，应对新型恶意攻击需要搭建下一代的安全平台，而不仅仅是依赖于某款新型安全产品。将端点安全、网络安全、智能威胁云端安全平台相融合，三位一体互相协同工作，对恶意威胁实施整体防御。“单一的产品和方案已经无法满足当下的安全防护需求，要提供整体的安全平台，要能够灵活的调整安全防护资源、安全防护能力。”

现今的安全防护在与用户业务系统愈加紧密融合，这虽然给用户带来了更为贴身、严密的保护，但也可能会对用户业务系统造成额外的负担。不过，安全公司明显早已意识到了这个问题，并纷纷采取不同的解决方法。

Palo Alto的防御方法更为专注于威胁检测和攻击防护，由于采用了“管控分离”的架构方式，通过独立的应用检测芯片对应用流量进行安全检测，使其在真实网络环境里对于用户业务系统性能上的影响很小。

威胁情报(PaloAlto的Unit 42威胁情报团队就在专门负责相关信息数据的搜集)、大数据、安全云平台，这些不仅加强了用户系统的安全防御体系强度，也避免给用户系统增加过多负担。

没有终点的马拉松？……

曾经松散的恶意攻击者开始拉帮结派了，好在防御者们也没有闲着，一方面见招拆招，一方面积极利用先进的IT技术，努力的比恶意攻击者多迈出一步。这是一场没有终点的马拉松，攻防之间的战争将于进化中持续不停。