為什么我們不能再過度依賴網關了？

過度依賴網關，會將數據、用戶、客戶、企業及其聲譽置于風險之中！

近幾年來威脅態勢不斷變化，網關也是如此。現如今，網關的功能也遠遠超出了合規性和 HR 政策需求，企業依賴網關來阻止網絡威脅。雖然網關自誕生起已有數十年，并且一直在進化，但網關并不防彈；過度依賴網關，會將數據、用戶、客戶、企業及其聲譽置于風險之中。

為什么網關已經無法“防彈“了”？下面 Fireglass 的 CEO 兼聯合創始人 Guy Guzner 來為你解釋。

URL 過濾總是落后

每秒鐘有 571 個新網站誕生，大量的域隨之產生，其中一些網站安全控制不到位的概率也隨之升高。此外，許多攻擊者使用的 URL 都只能由其攻擊目標觸發，壽命很短（短于 24 小時）；他們使用的動態域也比靜態域難防。

阻攔未分類網站并不是正解

攔截未分類的網站將嚴重降低終端用戶的工作效率。這不僅對于終端用戶來說無法接收，對安全團隊而言也很難受，因為客戶需要合法訪問網關未能分類的信息，將需要安全團隊的支持，這種需求可能很多，將給安全團隊造成較大壓力。攔截未分類網站這種設置將導致“策略規則地獄”，也就是說，安全團隊必須要維護越來越的策略和規則時就會陷入這樣的窘境，這種過程也確實痛苦。

“安全”網站也能感染訪客

許多人認為，只有在訪問可疑的或者惡意的網站時，才會發生感染，這種觀點是不正確的。相反，Forcepoint（前身為 Websense）估計，85% 的感染是通過合法的、“安全的”網站發生的。所謂安全的網站常常被當作一些惡意內容的載體，這些惡意內容來自一些他們無法控制的其他源。惡意廣告就是個很好的例子，惡意廣告將惡意的內容注入合法的在線廣告網絡，然后發布者在不知情的情況下將其發布。

另一個例子就是，攻擊者會利用網站本身的一些漏洞，上載惡意內容。當年，中國黑客就通過福布斯網站上的“今日遐思”（Thought of the Day）彈出屏，劫持了福布斯網站，并用其攻擊美國軍工承包商。

惡意文件越過網關

雖然有些網關整合了反病毒引擎和其他文件掃描服務，這些在檢測惡意程序時并沒有起到太大的作用。據 Fireglass 的統計，反病毒掃描服務只能檢測到 20% 到 30% 的惡意程序。沙盒的效果也并不顯著，因為沙盒需要時間運行和分析文件。為了不影響用戶體驗，網關常常會將文件先給到用戶，與此同時，沙盒在后臺完成分析，這種做法叫做二次防御，這也意味著用戶可能遭受攻擊。

網關無法滅活已感染設備上的惡意軟件

網關要區分合法流量與惡意流量，或者檢測和滅活已感染設備上的惡意程序，都是很難的。實際上，高級威脅一旦到達端點，可能好幾周甚至好幾個月都不會被檢測出來。Seculert 最近的調查發現，80% 的網關都無法阻攔惡意的出站流量。遠程訪問木馬的存在，就說明了網關無法檢測和阻止惡意流量。

參考來源：csoonline，FB 小編 kuma 編譯，轉載請注明來自 Freebuf

來自: www.freebuf.com