我說(shuō)的并不是基于內(nèi)容防止對(duì)某些網(wǎng)站訪問(wèn)的設(shè)施或者阻止P2P應(yīng)用程序的過(guò)濾器，我說(shuō)的是當(dāng)異常數(shù)據(jù)從內(nèi)部主機(jī)通過(guò)防火墻時(shí)，積極阻止或者發(fā)出警報(bào)的設(shè)備。例如，在秘魯工程設(shè)計(jì)公司工作的人不太可能會(huì)發(fā)送大量數(shù)據(jù)到俄羅斯網(wǎng)站，如果過(guò)濾器或者網(wǎng)絡(luò)流量監(jiān)控發(fā)現(xiàn)了這個(gè)不尋常的活動(dòng)，這些公司就不會(huì)損失數(shù)以萬(wàn)計(jì)的藍(lán)圖，但他們的防火墻輕易地讓這些機(jī)密信息發(fā)送了出去。

我們現(xiàn)在面臨著越來(lái)越多的內(nèi)部威脅，不僅僅是病毒和諸如此類的威脅，還有間諜活動(dòng)。最近有一些傳聞稱，在國(guó)外生產(chǎn)的計(jì)算機(jī)硬件的芯片中可能包含木馬程序，允許對(duì)任何敏感設(shè)備進(jìn)行遠(yuǎn)程控制，為攻擊者廣開(kāi)后門(mén)。

不要認(rèn)為這是不可能的事情，這在技術(shù)上是可行的。打擊這種深入入侵的唯一辦法就是對(duì)離開(kāi)網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行嚴(yán)格地監(jiān)控。我敢打賭，現(xiàn)在的絕大多數(shù)的企業(yè)基礎(chǔ)設(shè)施都沒(méi)有這種能見(jiàn)度，而使用這種監(jiān)控技術(shù)的人甚至沒(méi)有意識(shí)到這種威脅。

但我們?nèi)绾螌?duì)出站流量進(jìn)行控制?在第四層鎖定防火墻的內(nèi)部并不能防止數(shù)據(jù)泄露，即使你明確阻止屬于外國(guó)或者競(jìng)爭(zhēng)對(duì)手的IP地址范圍。創(chuàng)建和維護(hù)這樣一個(gè)黑名單是徒勞無(wú)功的。

處理這種情況的唯一方法是使用深度數(shù)據(jù)包檢測(cè)，并且在數(shù)據(jù)包出網(wǎng)絡(luò)之前，對(duì)每個(gè)數(shù)據(jù)包進(jìn)行檢查。例如NIKSUN的NetDetector設(shè)備就可以實(shí)現(xiàn)這一目的，它可以被配置為當(dāng)經(jīng)過(guò)的流量符合某種模式、包含某種文件或者顯示出特定文本字符串時(shí)，就會(huì)發(fā)出通知。當(dāng)然，使用重型加密可以規(guī)避這些觸發(fā)器，但如果突然出現(xiàn)發(fā)往未知IP地址的加密流量時(shí)，仍然需要進(jìn)行深度檢測(cè)，你就可以立即確定內(nèi)部來(lái)源，因?yàn)槟阌型暾臄?shù)據(jù)包流。

試想一下這樣的情況，主要硬件制造商在不知情的情況下將嵌入木馬的芯片放入防火墻產(chǎn)品本身中，你可以通過(guò)防火墻查看所有經(jīng)過(guò)的流量，但你可能無(wú)法發(fā)現(xiàn)有些數(shù)據(jù)已經(jīng)被復(fù)制或者發(fā)送到另一站點(diǎn)。這種木馬甚至還可能在內(nèi)部緩沖敏感數(shù)據(jù)，在正常流量中緩慢穩(wěn)定地釋放這些數(shù)據(jù)以降低其能見(jiàn)度。

數(shù)據(jù)也可能通過(guò)蜂窩數(shù)據(jù)供應(yīng)商，這樣在企業(yè)基礎(chǔ)設(shè)施內(nèi)就沒(méi)有任何該數(shù)據(jù)存在的痕跡，雖然一些數(shù)據(jù)中心有很少或者沒(méi)有蜂窩接收，但大部分?jǐn)?shù)據(jù)中心都有。這也是讓企業(yè)IT安全人員夜不能寐的事情。

在IT的很多方面，預(yù)先得到警報(bào)就能預(yù)先做好準(zhǔn)備。追求真正的網(wǎng)絡(luò)安全和能見(jiàn)度是一場(chǎng)持續(xù)不斷的斗爭(zhēng)，即使我們得到很多預(yù)先警告，但還是不能確保我們能夠打贏這場(chǎng)戰(zhàn)爭(zhēng)。但這并不意味著我們就應(yīng)該退出這場(chǎng)斗爭(zhēng)，如果你現(xiàn)在沒(méi)有監(jiān)控你的出站流量，那就應(yīng)該盡快計(jì)劃進(jìn)行監(jiān)控。不管你是從NTop還是從NIKSUN過(guò)濾設(shè)備開(kāi)始，這都是值得的投資。