下一代防火墙：二、定义应用和威胁环境

　　今天使用的网络安全相对简单–把一切东西都分成好与坏–或者说非白即黑。释放良好的应用，阻止不好的应用。

　　这种方法产生了很多问题，包括了以下情况：

　　✓越来越多的“灰色” – 把应用类型分为好与坏不是一项容易的工作;

　　✓很多情况越来越难回避;

　　✓今天网络犯罪分子和威胁开发者成为主要力量。

　　本部分探讨应用进化和威胁环境，用户应用和业务应用之间的差别日益模糊，以及当今业务针对这些应用(以及相关的风险)的策略。

　　应用不是非好即坏

　　在过去的十年中，企业的应用环境发生了巨大的变化。企业生产力应用已经加入了过多的个人和面向消费者的应用。企业基础设施和个人技术的融合正被一种称为消费化的趋势所推动，根据加特纳公司(Gartner)的报告，这个趋势将在2015年显著影响IT行业。

　　随着消费化过程的出现，用户越来越发现：比起企业的IT解决方案，个人技术和更强大、更能干、更方便、更便宜、安装更快的应用更容易使用。这些以用户为中心的“生活方式”应用和技术使他们在处理工作事务、非工作事务、保持在线和其他事情都提高了效率。常见的例子如：谷歌文档(Google Doc)、即时消息(IM)和Web电子邮件。企业2.0应用展现了企业和个人应用之间传统化分的消失。更多的情况是，社交应用与工作应用使用了相同的应用。随着工作和个人生活之间的界限日益模糊，用户实际上都需要把这些相同的工具用于他们的工作场所。

　　为了迎合这种需求，供应商和开发者都高兴享受这种规模经济和营销收益。销售模式变成了为成千上万个人用户小批量销售，而不是为几个屈指可数的企业客户大量销售。

　　✓缩短购买周期 -- 购买是个人的选择，而不是公司的决定;

　　✓着眼于功能和易用，而不是标准和互操作;

　　✓基于大规模和马上的用户反馈，持续和迅速改进产品。

　　用户正在推动公司采用企业2.0应用，而不是由IT部门推动。容易使用符合今天知识型员工的习惯，顺应了消费化的趋势。按照应用百科()的定义：企业2.0应用是“一种基于Web技术的系统，在企业的发展中，能够提供快速灵活的协作，信息共享，不断增长的集成能力”，企业2.0应用的风暴已经席卷全球。最开始的几个应用大多集中在搜索、链接和标签，现在迅速转移到创作、连网和共享等一大波应用。

　　第一代企业2.0应用的例子包括：

　　✓维基百科，例如Socialtext;

　　✓博客工具，如Blogger;

　　✓RSS工具，如NewsGator;

　　✓企业书签和标记工具，如Cogenz;

　　✓消息工具，如AOL的即时信使(AIM)。

　　第二代企业2.0应用的例子包括：

　　✓内容管理工具，如SharePoint;

　　✓基于浏览器的文件共享工具，如;

　　✓复杂的社交网络，如脸谱(Facebook);

　　✓出版工具，如YouTube;

　　✓统一消息工具，如Skype;

　　✓发布工具，如推特(Twitter)和社交书签。

　　如何使这些应用能推动创新和获得增值，需要考虑下面的内容(基于对世界范围内347个企业的分析)：

　　✓从2008年4月开始以来不到18个月的时间，在内企业的Facebook聊天已经超越了雅虎的IM和AIM，这进一步表明企业2.0应用比企业1.0应用更加火爆;

　　✓从2009年3月和2009年9月之间，谷歌文档的企业普及率从33%提高到82%;

　　✓同一时期，企业Twitter的使用，在会话上跃升了252%，在带宽上跃升了775%。

　　因为不知道在业务中如何利用消费化的趋势，许多企业要么隐含地让这些个人技术和企业2.0应用在工作场所使用，要么明确地禁止，而传统的防火墙和安全技术无法有效地执行这样的策略。这两种方式都不理想，并且两者都对企业存在风险。除了生产上的损失，不利的问题还包括：

　　✓创建反向通道或地下工作流程对企业运营是至关重要的亚文化，但只有很少的用户能认识到，完全依靠个人技术和应用。

　　✓对整个网络和计算基础设施引入了新的风险，由于未知的存在，因此没办法识别、打补丁、修补漏洞，以及对正常应用和用户行为的威胁--在这些应用中是否存在漏洞。

　　✓使企业暴露在违约处罚的环境下，因为企业这时没有符合法规的要求，如HIPAA，FINRA和PCI DSS。

　　✓有些员工使用外部代理、加密隧道、以及远程桌面应用规避管制，使得它很难被发现，如果可能，安全和风险管理人员应能够看到他们试图管理的风险。

　　挑战不仅在于应用的日益多样化，而且还无法清楚地把他们分成好或坏。尽管有好的一面(低风险，高回报)，也有坏的一面(高风险，低回报)，而大多数则是介于两者之间。而且，这些应用落入的光谱端，场景有所变化，从这个位置到下个位置，从这个用户到那个用户，从这个会话到那个会话。

　　例如，使用社交网络应用与潜在客户共享产品文档应是“好”的一面(中等风险，高回报)，而使用相同应用转发即将发布的详细信息到“好友列表”，包括竞争对手就是“不太好”的一面(高风险，无回报)。

　　事实上，许多企业现在使用的各种社交网络应用，支持多种合法的业务功能，如招聘、研发、市场营销和客户支持-- 许多甚至允许生活方式的应用，在一定程度上，用此来提供一种“员工友好”的工作环境，提高士气。

　　来自麦肯锡(McKinsey)公司和信息和图像管理(AIIM)协会的研究表明，企业正在从企业2.0应用的使用中看到可测量的收益。具体的收益有：共享思想增加的能力、更快获得专家的知识，减少了出差、操作和通讯费用。例如，你现在可以在脸谱上的达美(Delta)航空页面预订机票!

　　因此，今天的网络安全解决方案，必须不仅能区分应用类型，还要考虑使用的上下文变量，适当改变采取的最终动作。

　　应用规避

　　“区分不同类型应用”听起来简单，但由于许多原因，实际上实现起来不简单。为了最大化他们的使用，很多应用从设计开始就规避传统的防火墙，通过动态调整实现他们通信。对于最终用户，这意味着应用可以在任何地方、任何时间使用。常见的手法包括：

　　✓跳端口，会话过程的端口/协议随机转移;

　　✓使用非标准端口，如用TCP 80号端口(HTTP)运行Yahoo! Messenger，而不是用Yahoo! Messenger的标准TCP端口(5050);

　　✓常用服务内的隧道，例如，当对等(P2P)文件共享或即时消息(IM)时，客户端就像Meebo运行在HTTP上;

　　✓隐藏在SSL加密中，掩盖了应用的流量，例如，通过TCP端口443(HTTPS)。

　　在帕洛阿尔托网络2010年的应用使用与风险报告中说：分析了741个独特应用后，65%使用了上述技术。图2-1显示了使用访问“特性”应用在过去18个月的增长。

　　许多标准的客户端-- 服务器应用按照Web技术的优势重新进行设计。图2-1显示，报告中分析了以访问为重点的应用30%(149)基于客户端-- 服务器，这一事实与“访问”应用总是使用浏览器的观念相矛盾。与此同时，企业越来越多地使用基于云的Web服务，如、WebEx和谷歌App -- 这通常从浏览器开始，但现在更多地切换到客户端-- 服务器行为(富客户端、专有交易和其它)。

　　图2-1：具有访问“特性”应用的增长。

　　最后，许多新业务应用也使用这些相同的技术，这样易于操作，同时，为客户、合作伙伴和企业的自身安全和运营部门造成的干扰最小。例如，远程过程调用(RPC)和共享点(SharePoint)使用跳端口技术，因为这对实现协议或应用(分别)功能是至关重要的，而不是作为逃避检测或增强访问的手段。

　　另外强调的是，许多应用不是他们看上去的那样，最常见的跳端口应用是企业和个人使用应用的组合(见图2-2)。其中，只有三个应用基于浏览器(SharePoint,、MediaFire和Ooyla);其余为对等或客户端-- 服务器应用。

　　图2-2：最常检测到的跳端口应用。

　　结果是HTTP和HTTPS现在大约占企业流量的三分之二。这本身不是问题，但确实放大了传统安全基础设施的弱点。具体来说，各种高端应用运行在HTTP和HTTPS之上-- 无论他们是否真正服务于合法的商业目的-- 实际上与旧的网络安全解决方案没有区别。这对组织的负面影响是明显的，他们进一步对失去对网络通信的控制，要强调的事实是：应用环境已经显箸地进化了。

　　威胁乘虚而来

　　应用层攻击的日益普及是一个令人不安的趋势。针对应用的威胁可以用正确的路径通过多数企业防御，这是历史上已建成的网络层保护。威胁开发者利用相同的方法(上部分描述的)来渗入网络，而应用开发者利用应用的易用性和广泛性，诸如在应用中的隧道。逃避技术内置在这些和许多现代应用中，利用其提供的“免费通行”，把威胁带入企业网络。这毫不奇怪，超过80%的新恶意件在入侵时利用了应用的弱点，如针对网络组件和服务的弱点。加上用户在他们应用中放置了隐含信任，所有这些因素结合起来，创造了一个“完美风暴”。黑客的动机也已经转移-- 从获得名声到为了赚钱。今天比赛的内容是信息窃取。因此，它不再是黑客按兴趣设计的威胁或“噪音”，是相对良性的。为了取得成功，小偷一定要快，或者隐身-- 或两者兼而有之。

　　对于那些喜欢速度超过诡辩的黑客-- 初始威胁生成的速度、修正的速度和传播的速度-- 目的就是在一个新漏洞披露时，立即开发、推出并迅速传播新威胁。由此产生的零日和近零日攻击，然后增加了成功的可能性，这是因为反应的对策，如修补和依赖威胁特征的工具(如防病毒软件和入侵防护)，都无法及时跟进-- 至少在新攻击的早期阶段。

　　这种基于速度方法的很大一部分是通过威胁开发网站、工具包和框架而普及推广的。不幸的是，这些资源的另一个副产品是很容易且快速地把“已知”威胁转换成“未知”威胁–至少从基于签名对策的观点是这样的。这种转换可以对威胁代码的一个小调整，或添加全新的传播和利用机制来完成，从而创建了通常被称为的混合威胁。

　　今天的许多威胁是建立在网络和系统上，暗中运行，悄悄收集敏感信息或个人资料，并尽可能不被发现。这种方法有助于维持窃取有价值的数据，并能重复使用相同的漏洞和攻击向量。其结果是，威胁已经变得越来越复杂。例如，根工具(rootkit)已经变得更加普遍。这些内核级漏洞能有效屏蔽其他类型恶意软件的存在，使它们能够持久地保证恶毒任务的完成(例如拦截击键)。

　　针对特定组织或个人有针对性攻击和高级的持续威胁(APT)，如“极光(Aurora)”，是另一个大问题。在这种情况下，黑客经常开发定制的攻击机制，利用特定设备、系统、应用、配置、甚至在一个特定组织或特定地点的人员，长时间悄悄地收集敏感数据。根据威瑞森(Verizon)公司2010年的数据泄露调查报告：70%的数据泄露来自外部因素。

　　威胁的速度和复杂性增长强调了有必要在网络计算堆栈的应用层采取广泛可见与控制的主动对策。