我說的并不是基于內(nèi)容防止對某些網(wǎng)站訪問的設施或者阻止P2P應用程序的過濾器，我說的是當異常數(shù)據(jù)從內(nèi)部主機通過防火墻時，積極阻止或者發(fā)出警報的設備。例如，在秘魯工程設計公司工作的人不太可能會發(fā)送大量數(shù)據(jù)到俄羅斯網(wǎng)站，如果過濾器或者網(wǎng)絡流量監(jiān)控發(fā)現(xiàn)了這個不尋常的活動，這些公司就不會損失數(shù)以萬計的藍圖，但他們的防火墻輕易地讓這些機密信息發(fā)送了出去。

我們現(xiàn)在面臨著越來越多的內(nèi)部威脅，不僅僅是病毒和諸如此類的威脅，還有間諜活動。最近有一些傳聞稱，在國外生產(chǎn)的計算機硬件的芯片中可能包含木馬程序，允許對任何敏感設備進行遠程控制，為攻擊者廣開后門。

不要認為這是不可能的事情，這在技術上是可行的。打擊這種深入入侵的唯一辦法就是對離開網(wǎng)絡的數(shù)據(jù)進行嚴格地監(jiān)控。我敢打賭，現(xiàn)在的絕大多數(shù)的企業(yè)基礎設施都沒有這種能見度，而使用這種監(jiān)控技術的人甚至沒有意識到這種威脅。

但我們?nèi)绾螌Τ稣玖髁窟M行控制?在第四層鎖定防火墻的內(nèi)部并不能防止數(shù)據(jù)泄露，即使你明確阻止屬于外國或者競爭對手的IP地址范圍。創(chuàng)建和維護這樣一個黑名單是徒勞無功的。

處理這種情況的唯一方法是使用深度數(shù)據(jù)包檢測，并且在數(shù)據(jù)包出網(wǎng)絡之前，對每個數(shù)據(jù)包進行檢查。例如NIKSUN的NetDetector設備就可以實現(xiàn)這一目的，它可以被配置為當經(jīng)過的流量符合某種模式、包含某種文件或者顯示出特定文本字符串時，就會發(fā)出通知。當然，使用重型加密可以規(guī)避這些觸發(fā)器，但如果突然出現(xiàn)發(fā)往未知IP地址的加密流量時，仍然需要進行深度檢測，你就可以立即確定內(nèi)部來源，因為你有完整的數(shù)據(jù)包流。

試想一下這樣的情況，主要硬件制造商在不知情的情況下將嵌入木馬的芯片放入防火墻產(chǎn)品本身中，你可以通過防火墻查看所有經(jīng)過的流量，但你可能無法發(fā)現(xiàn)有些數(shù)據(jù)已經(jīng)被復制或者發(fā)送到另一站點。這種木馬甚至還可能在內(nèi)部緩沖敏感數(shù)據(jù)，在正常流量中緩慢穩(wěn)定地釋放這些數(shù)據(jù)以降低其能見度。

數(shù)據(jù)也可能通過蜂窩數(shù)據(jù)供應商，這樣在企業(yè)基礎設施內(nèi)就沒有任何該數(shù)據(jù)存在的痕跡，雖然一些數(shù)據(jù)中心有很少或者沒有蜂窩接收，但大部分數(shù)據(jù)中心都有。這也是讓企業(yè)IT安全人員夜不能寐的事情。

在IT的很多方面，預先得到警報就能預先做好準備。追求真正的網(wǎng)絡安全和能見度是一場持續(xù)不斷的斗爭，即使我們得到很多預先警告，但還是不能確保我們能夠打贏這場戰(zhàn)爭。但這并不意味著我們就應該退出這場斗爭，如果你現(xiàn)在沒有監(jiān)控你的出站流量，那就應該盡快計劃進行監(jiān)控。不管你是從NTop還是從NIKSUN過濾設備開始，這都是值得的投資。