據(jù)最新的Palo Alto應(yīng)用使用和風(fēng)險(xiǎn)年中報(bào)告透露，企業(yè)為帶寬支付的每一塊錢里，大概有三分之一是用來(lái)支持流媒體或文件共享應(yīng)用的，而這兩個(gè)大項(xiàng)中有近250個(gè)應(yīng)用是專供個(gè)人使用的。

　　在這項(xiàng)調(diào)查中，Palo Alto對(duì)全球2036家企業(yè)2011年11月到2012年5月間原始應(yīng)用的流量進(jìn)行了評(píng)估，他們發(fā)現(xiàn)相比2011年4月到11月的調(diào)查，端到端的文件共享和視頻流媒體應(yīng)用的帶寬消耗增長(zhǎng)了300%到700%。

　　而企業(yè)更擔(dān)心的是企業(yè)網(wǎng)絡(luò)中40%的應(yīng)用都比較含糊。Palo Alto安全分析師Wade Williamson稱：“有一半的企業(yè)應(yīng)用可以傳輸文件。因此我們不僅要擔(dān)心防火墻無(wú)法有效的檢測(cè)它們，還要擔(dān)心它們把數(shù)據(jù)帶出公司，以及把惡意軟件帶入公司。”

　　一方面，流視頻利用社交網(wǎng)絡(luò)的信任關(guān)系帶來(lái)了間接的安全威脅。一段視頻可能是誘惑用戶進(jìn)行點(diǎn)擊操作或下載惡意軟件的誘餌。另一方面，病毒可能內(nèi)植于可以下載的媒體播放器或是視頻文件中。

　　侵犯版權(quán)和數(shù)據(jù)的處理不當(dāng)都是常見的P2P文件共享風(fēng)險(xiǎn)。是P2P的分布式屬性帶來(lái)的風(fēng)險(xiǎn)。文件可輕易下載到P2P網(wǎng)絡(luò)，可以匿名分配給追蹤器。即便僵尸程序的命令和控制服務(wù)器已被破壞，P2P還允許僵尸程序存活下來(lái)。這一點(diǎn)已經(jīng)引起網(wǎng)絡(luò)罪犯的注意。

　　為了與這些威脅作斗爭(zhēng)，Williamson提出了三個(gè)關(guān)鍵措施——重新控制所有網(wǎng)絡(luò)流量并對(duì)其進(jìn)行監(jiān)控，控制攻擊范圍，包括移動(dòng)用戶和防火墻周邊以外的云，查找并阻止威脅，包括未知威脅。

　　1、重新控制和監(jiān)控

　　可視性是管理威脅的關(guān)鍵，特別是對(duì)于能輕易繞過(guò)防火墻的應(yīng)用而言。這些應(yīng)用越過(guò)端口，使用標(biāo)準(zhǔn)協(xié)議，如SSL和SSH，潛入80端口或是使用非標(biāo)準(zhǔn)端口。

　　在最近的應(yīng)用使用和風(fēng)險(xiǎn)報(bào)告中，Palo Alto發(fā)現(xiàn)只有23%的應(yīng)用使用80端口，而這些賬號(hào)占用的帶寬僅為35%。因此，只關(guān)注80端口只能保護(hù)好前門，后門的安全成了隱患。

　　意識(shí)到這一點(diǎn)后，Palo Alto的下一代防火墻便要對(duì)所有流量使用分類技術(shù)，而不管數(shù)據(jù)的傳輸端口，要對(duì)每次會(huì)話和連接的流量進(jìn)行解碼。“你需要看看流量中夾帶的數(shù)據(jù)，不要走捷徑。”Williamson說(shuō)。“現(xiàn)在，我們可以看到流量中的異常情況。這并不是禁止員工使用Facebook或即時(shí)通訊，而是要知道傳輸?shù)臄?shù)據(jù)究竟是什么。對(duì)堆棧的全面分析應(yīng)該成為例行公事而不是偶爾為之。”

　　2、控制攻擊范圍

　　移動(dòng)辦公人員的增加以及云計(jì)算的推廣都顯著增長(zhǎng)了企業(yè)的攻擊面。Williamson說(shuō)，“當(dāng)你轉(zhuǎn)移到云中的時(shí)候，會(huì)將應(yīng)用和大量數(shù)據(jù)進(jìn)行轉(zhuǎn)移，企業(yè)要牢記他們不止是把安全策略轉(zhuǎn)嫁給云供應(yīng)商而已。”畢竟，很多網(wǎng)絡(luò)安全都是在逐漸創(chuàng)建的。出于節(jié)約成本的目的把資產(chǎn)轉(zhuǎn)移到云中，但是如果保護(hù)不當(dāng)就得不償失。

　　Williamson說(shuō)，“獲得持續(xù)安全保護(hù)的方式是創(chuàng)建基于邏輯的周邊設(shè)備。不論你身處何處，你仍然可以連接到網(wǎng)絡(luò)。這就是說(shuō)通過(guò)物理周邊的防火墻選擇傳輸路徑或是通過(guò)云中的防火墻來(lái)提供相同的防火墻，IPS，漏洞與惡意軟件檢測(cè)功能。”

　　但是，控制攻擊面應(yīng)該從減少那些作者不詳和威脅網(wǎng)絡(luò)安全的應(yīng)用開始。應(yīng)避免使用刻意避開防火墻的應(yīng)用。因此，用戶應(yīng)該有能力看到所有的應(yīng)用，不論應(yīng)用是被加密，通過(guò)奇怪的端口發(fā)送還是進(jìn)行奇怪的操作。

　　Williamson還提議限制端到端應(yīng)用以及認(rèn)證代理和遠(yuǎn)程桌面的使用。代理常被僵尸網(wǎng)絡(luò)作為發(fā)送惡意軟件的工具，而遠(yuǎn)程桌面應(yīng)用通常會(huì)向網(wǎng)絡(luò)罪犯提供通往企業(yè)系統(tǒng)的遠(yuǎn)程訪問(wèn)鏈接。

　　Williamson表示，“企業(yè)必須了解底線是什么，人們需要的是什么以及如何創(chuàng)建有效的策略，比如，你可以為用戶制定社交媒體使用規(guī)則，但是要強(qiáng)調(diào)有風(fēng)險(xiǎn)的行為。你可以通過(guò)特性來(lái)顯示社交媒體的使用，如在工作場(chǎng)所設(shè)置為只讀。”

　　3、找到并阻止威脅

　　Palo Alto防火墻方案在應(yīng)用級(jí)別對(duì)流量進(jìn)行分類。Williamson說(shuō)，“當(dāng)我們用盡所有工具都無(wú)法分辨流量的類別時(shí)，要么它是惡意軟件，要么就是用自定義代碼編寫的應(yīng)用，這對(duì)于基準(zhǔn)線的設(shè)置也非常有價(jià)值，因?yàn)槲覀冞€要看到惡意軟件如何發(fā)送數(shù)據(jù)，最常見的情況是——它發(fā)送不明數(shù)據(jù)和虛假的http地址。如果你可以通過(guò)識(shí)別應(yīng)用和指出不明應(yīng)用來(lái)減少不明數(shù)據(jù)流量，那么惡意軟件可藏匿的地方也會(huì)相應(yīng)減少。”

　　另一個(gè)挑選惡意軟件的方法是看對(duì)話消耗的帶寬。普通應(yīng)用占用的帶寬不會(huì)很大。Williamson說(shuō)，“雖然帶寬驟增不一定是劍指惡意軟件，但至少說(shuō)明情況有些可疑，因?yàn)閻阂廛浖ǔ１苊馐褂眠^(guò)長(zhǎng)連接，最終需要?jiǎng)?chuàng)建大量會(huì)話。”

　　另一個(gè)挑戰(zhàn)是大量通過(guò)Web傳播的惡意軟件來(lái)自形態(tài)各異的客戶端，版本的獨(dú)特性避開了基于簽名的檢測(cè)?；谠频腤ildFire方案可以轉(zhuǎn)發(fā)不明文件，保護(hù)云引擎或是沙盒。公司可以觀察到可疑惡意軟件如何對(duì)虛擬目標(biāo)做出響應(yīng)，再尋找可以揭露其是惡意軟件的70多種惡意行為。

原文鏈接：http://safe.it168.com/a2012/0808/1382/000001382660.shtml