当前世界充斥着各种复杂的恶意软件、入侵威胁及多级攻击,使用单点安全工具的传统安全措施早已不能满足需求,现代安全措施必须具备智能、联动及互用的特点。
　　通过安装多种单项优势软件系统来为计算机提供全面保护的时代已经过去了。让我们首先回顾一起2009年发生的、在全球范围内引起广泛关注的网络攻击事件:
　　2009年7月4日,一起近年来最为严重的、使用了僵尸网络的分布式拒绝服务攻击(DDoS)发生了。当天,大部分美国人都在享受休闲时光,众多安全机构的工作人员也处于放假状态。攻击者设计了一款危险的恶意软件,通过该软件成功营造了覆盖二十万余台计算机的僵尸网络。通过删除主要文件及重写主引导记录,该恶意软件使计算机硬件无法正常运转,同时它还具备自动升级更新的功能。几家美国政府部门网站受到了这个僵尸网络的攻击,其中包括联邦贸易委员会(FTC)、联邦航空局(FAA)以及美国财政部。攻击目标随后迅速扩散至美国及韩国的其他政府网站和商业网站,导致其中一些站点瘫痪。
　　在这起事件中,为什么有些受攻击目标安然无恙,有些却损失惨重?答案就在于“全球威胁智能感知系统”(Global Threat Intelligence)。
　　卷入此次破坏性攻击的僵尸网络中的计算机系统IP地址信誉均显示不佳。这些计算机系统在参与此次恶意攻击之前,僵尸网络的操作者已经利用它们进行了多次恶意活动,发送垃圾邮件就是其中之一。迈克菲捕获了攻击型IP地址发送的垃圾邮件,从而降低了上述地址在迈克菲全球威胁智能感知系统中的信誉级别。
　　这样处理的独特之处在哪里?以此次真实攻击为例,企业防火墙通过邮件安全设备提前搜集到的威胁情报来保护用户安全。两个截然不同的保护装置通过云分享威胁情报,从而阻止了一次恶意攻击。
　　这种情况只有在相互关联的防御体系中才有可能实现。该防御系统中的各个层级彼此关联,共享情报信息,并最终联合提供预测性保护。
　　还有一起引起广泛关注的网络攻击事件:2009年12月发生的“极光行动”,攻击者意欲窃取谷歌及其他某些公司的高价值知识产权信息。谷歌在其博客上宣称受到了复杂网络攻击,自此“极光行动”才为世人所知。随着时间的推移,“极光行动”的深度和广度都有所增加。攻击者的目标是众多美国公司的高价值知识产权信息,此类攻击形式并非罕见,以往主要用于攻击政府和国防承包商,而不是像谷歌这样的私人企业。
　　迈克菲一直处于调查此次攻击并部署保护措施的最前线,我们之所以能够取得突破性的成果,是因为我们的调查范围覆盖了安全领域的各个方面。
　　例如,在针对谷歌和其他公司的攻击中,迈克菲发现了IE浏览器中一个从未被攻击过的漏洞。一天之内,针对这一漏洞的攻击代码公之于众,这极大地增加了IE浏览器用户的使用风险。幸运的是,企业用户很快得到了防御攻击的相关帮助。
　　从上述两起攻击事件中我们能获得什么启示呢?问题的关键在于缩短保护时间间隔。当前信息安全行业的一般保护时间间隔最长为一周,但以7月4日发生的攻击为例,针对某些攻击提供零日保护已成为可能。
　　单点安全时代已经一去不复返了。我们需要将各种安全产品联系起来,共享威胁信息,同时借助安全管理平台实现实时可见功能,实现安全行业从“深度防御”向“深度情报防御”的转变。这意味着什么呢?“深度防御”并不等同于“深度情报防御”。我们需要的是开放式的安全防护,连接所有安全工具,引入核心合作伙伴,打破传统信息孤岛的限制。只有这样,企业才能以更低成本获得更高级别的安全保护,彻底摆脱使用单点安全工具的落后的防御措施。