傳統(tǒng)防御體系及不足

面對網(wǎng)絡(luò)威脅，很早就有了相應(yīng)的防御方案，無非是包括像防火墻、入侵檢測和防病毒技術(shù)等。而且這些防御技術(shù)經(jīng)過不斷地革新，其在相應(yīng)的層級防護中表現(xiàn)得非常出色。然而隨著網(wǎng)絡(luò)攻擊手段的不斷演進，其攻擊方式早已由單一的入侵變?yōu)槭侄胃佣鄻?、?shù)量更加龐大、技術(shù)更加復(fù)雜的“混合型威脅”，使得傳統(tǒng)的防御體系對其“束手無策”。

隨著IT環(huán)境的不斷變化，企業(yè)IT所面臨的安全威脅也產(chǎn)生了更多新的變化，未知威脅、零日漏洞、APT攻擊接踵而至。但是，企業(yè)已經(jīng)廣泛部署的傳統(tǒng)防火墻產(chǎn)品并沒有完全跟上黑客的腳步，受限于自身視野和技術(shù)實力，只能按照內(nèi)置的固有安全機制進行保護，無法有效發(fā)現(xiàn)和防御這些高級未知威脅。

圖1 安全協(xié)同

今天的信息安全已經(jīng)不再是孤島式防御所能應(yīng)對的，協(xié)同已經(jīng)成為網(wǎng)絡(luò)安全的唯一出路。Gartner指出，現(xiàn)有的攔截和阻止功能不足以抵擋有目的的高級攻擊，傳統(tǒng)防火墻產(chǎn)品也并不具備檢測高級威脅所需的持續(xù)可見性，要想對抗高級威脅，更好的發(fā)現(xiàn)、檢測和響應(yīng)功能都是必須的。

應(yīng)對威脅的方式及表現(xiàn)

現(xiàn)有扎籬笆方式的防護思路已無法應(yīng)對高級威脅，安全建設(shè)的重點已從過去的防護（Protection）為主轉(zhuǎn)換為：檢測和響應(yīng)。 然而盡管檢測和響應(yīng)的思路勝過單純的被動防護，但在檢測和響應(yīng)方面仍舊存在著一些“短板”：安全數(shù)據(jù)不足，安全信息缺乏共享與安全信息不對稱導(dǎo)致檢測與響應(yīng)能力不足；安全智能不足，安全智能匱乏導(dǎo)致無法有效檢測多步驟組合入侵行為與對APT攻擊的深度挖掘；安全協(xié)作不足，產(chǎn)業(yè)界相互間信任不足導(dǎo)致缺乏檢測與響應(yīng)的協(xié)作，進而失去了應(yīng)對攻擊的最佳時機。

那么應(yīng)當如何解決以上不足？答案就在于協(xié)同。

安全協(xié)同

利用協(xié)同的思想解決當前面臨的網(wǎng)絡(luò)防御策略中的各種弊端確實具有巨大優(yōu)勢。其具體體現(xiàn)在：首先，在數(shù)據(jù)協(xié)同方面，可以解決信息缺乏與信息不對稱導(dǎo)致的不可做；在產(chǎn)業(yè)協(xié)同方面，360建立的威脅情報工程共享和下一代安全運營平臺則創(chuàng)造性的實現(xiàn)了威脅防御的產(chǎn)業(yè)協(xié)同；在智能協(xié)同方面，邊界、終端與云端的協(xié)同響應(yīng)，解決分析能力不足，實現(xiàn)了在云、管、端、大數(shù)據(jù)平臺智能協(xié)同、響應(yīng)，如圖1所示。

安全協(xié)同能力，不論在數(shù)據(jù)、智能還是產(chǎn)業(yè)層面，是安全+大數(shù)據(jù)背景下的必然產(chǎn)物，也是從傳統(tǒng)安全向下一代安全的演進的重要能力。

新一代智慧防火墻

新一代智慧防火墻是360企業(yè)安全集團自主研發(fā)的基于網(wǎng)絡(luò)威脅檢測與響應(yīng)模型（NDR）的新一代防火墻產(chǎn)品。它兼具傳統(tǒng)防火墻（FW）及下一代防火墻（NGFW）的組網(wǎng)、深度識別與管控、應(yīng)用層威脅防御能力，并超越性地集成了互聯(lián)網(wǎng)威脅情報、安全可視化、異常行為建模分析能力，并能與終端、沙箱、云端協(xié)同智能防御，能夠幫助客戶輕松防御已知威脅，發(fā)現(xiàn)高級威脅，化解違規(guī)安全事件，并對威脅進行溯源分析。