接上阅读《网络安全追问：我们会是下一个受害者吗？（一）》

保护vs.预防

传统的智慧以及当今威胁的现实可能需要采取像Bush Brothers使用的做法。但电信、银行和能源公司IDT Corporation首席信息安全官Golan Ben-Oni并不这么认为。他表示，我们需要更加专注于阻止攻击者，而不是在攻击后作出响应。这个行业已经陷入了一种模式，认为他们遭受攻击只是时间问题，而不是他们是否会受到攻击。Ben-Oni表示，这是一种失败主义态度。他说道：“如果你说你们放弃了防御，你在本质上是说你们已经完全放弃。”

IDT使用了Palo Alto的三种产品来保护其网络：WildFire网络检测软件；Traps用于端点保护，由Palo去年从以色列的Cyvera收购；以及Global Protect，它让IDT扩展WildFire和Traps的优势到移动设备以及离开办公室的电脑。

下面让我们看看这些产品在IDT的使用情况：Traps总是在端点监测恶意软件，如果Traps检测到零日攻击或其他异常进入网络，它会通知WildFire，WildFire会进行分析。在WildFire确认是恶意软件后，它会阻止和纠正该恶意软件。这样在检测到恶意软件时WildFire增加了另一层保护，终端和网络（通过Palo Alto防火墙）都会受到保护。网络将不允许恶意流量通过，如果文件由其他方式导入（例如通过USB闪存驱动器或本地文件副本），Traps会阻止其执行。

在过去，IT人员检测恶意软件，断开计算机和网络，并上传文件到反病毒实验室，他们需要24小时来写一个签名。但现在IT团队没有这么多时间。

“传统上，所有这一切都是手动完成，而现在几乎在近实时发生，”Ben-Oni表示，通过避免对人力的需要，横向感染的风险大大降低。攻击者会使用自动化，因此，企业与攻击者公平竞争的唯一方法就是使用自动化。

在美国印第安纳州、肯塔基和俄亥俄州拥有超过100家银行的First Financial Bank企业信息安全官Dan Polly表示，这是非常重要的一点。

First Financial在端点和网络使用思科高级恶意软件保护（AMP），这让该公司可以快速分析恶意软件。如果AMP检测到恶意软件，它会推送可疑文件到门户网站--该网站会作为一个沙箱，在其中该软件会运行分析来检测这个威胁的内容。

“需要记住的是，在这些工具可用之前，你需要安排人员来深入分析恶意软件，这个人需要同时具备编程和安全技能，”Polly解释道，“现在，我们可以自动化部分工作，这节省了时间，让我们可以更快地阻止威胁。”

与IDT的Ben-Oni一样，Polly意识到了使用单个供应商提供的多种功能所带来的好处。除了AMP产品，该公司的安全工程团队还使用思科ASA和Sourcefire下一代防火墙，他说这不仅可以执行传统防火墙功能，还支持入侵检测和防护以及URL内容过滤。Polly也喜欢通过开发和收购，思科已经投资于Talos--该公司的安全情报和研究组。Talos组建了一支分析威胁的研究人员团队，他们的工作主要是试图提高思科的安全产品。

“通过可扩展的平台，我们减少了解决新兴威胁所需的时间，”Polly表示，“毫无疑问，安全行业是分阶段的；过去有段时间，最佳产品是唯一的选择，但现在似乎转移到其他方式，即选择具有多种功能的单一来源。”

多年来，信息安全和网络团队工作在不同的部门，在某些情况下，他们还会相互竞争。

FireEye公司首席技术官Dave Merkel表示，当前的威胁环境已经改变了这种情况。“现在，安全必须整合到企业的架构中，”他补充说，安全和网络团队必须更密切的合作。

思科公司安全业务部产品营销副总裁Scott Harrell表示同意，这两个领域的合作对打击更复杂的威胁是至关重要的。

他说道：“虽然这两个团队仍然有着角色分工，但我认为这会发展到这样的阶段，即安全团队更多地参与网络架构开发工作，而网络人员将会处理1级安全要求，而2级和3级警报仍由经验丰富的安全专业人士处理。”

IDT公司首席信息安全官Golan Ben-Oni表示，在其企业，IT内的所有团队都一起合作。他补充说：“在我们公司，每个人都会获得所有其他计算领域的交叉培训。”