當(dāng)前的惡意威脅攻擊成本很低，有時所需要花費的時間僅僅是幾分鐘而已。但對于防守者卻需要幾個月甚至幾年的時間才能發(fā)現(xiàn)惡意攻擊，修復(fù)所需要花費的時間就更為漫長了。

《The 2015Data Breach Investigations Report》安全調(diào)查報告顯示，超過75%的黑客能夠在一天內(nèi)攻破企業(yè)網(wǎng)絡(luò)，但僅有不到20%的企業(yè)用戶能夠在一天內(nèi)發(fā)現(xiàn)所遭遇的惡意攻擊。在時間上，防守方處于明顯的劣勢。另外，惡意攻擊者所使用的IP是防守者辨識攻擊的特征之一，但這類惡意IP的存活時間越來越短，絕大部分已經(jīng)少于1天，這意味著僅靠IP地址對惡意攻擊進行辨識愈加困難。

如今的安全威脅在愈發(fā)復(fù)雜，攻防時間嚴(yán)重失衡，而用于安全防御的資源依然短缺，所以需要利用更少的資源更快地解決更嚴(yán)重的惡意威脅。

英特爾安全事業(yè)部北亞區(qū)售前技術(shù)總監(jiān)鄭林認(rèn)為，當(dāng)前許多安全防護措施都屬于“孤立的戰(zhàn)斗”，例如Web安全網(wǎng)關(guān)、IPS、端點安全軟件等雖然能夠擋住來自外界的攻擊，但卻無法實現(xiàn)安全情報的共享。惡意攻擊者在這里碰了頭，還可以去其他地方找尋漏洞。“現(xiàn)在的安全防御需要大幅度提高攻擊成本，讓惡意攻擊者需要花費的時間、資源劇增。”

　　安全更需知己知彼

“入侵殺傷鏈”，這是洛克希德馬丁公司的安全研究人員所發(fā)布的一個安全方法論。惡意攻擊者需要“外圍探測、構(gòu)造攻擊、交付攻擊、漏洞利用、安裝后門、遠程控制、采取行動”這7個入侵步驟。安全防御者可以針對這7個環(huán)節(jié)進行安全檢測，及時發(fā)現(xiàn)安全情報，在安全防御體系里實時共享，幫助各條安全防線升級更新知識庫，形成協(xié)同防御。

有鑒于此，英特爾安全事業(yè)部提出了“數(shù)據(jù)交換層(DXL) ”的概念，數(shù)據(jù)交換層猶如人身體里的脊柱，將安全情報迅速傳遞給“手、腿、腳”等安全防護產(chǎn)品?；贒XL所構(gòu)造的協(xié)作性通信架構(gòu)生態(tài)，快速、輕量級、流程化，能夠?qū)崿F(xiàn)統(tǒng)一的安全可視化，降低企業(yè)的TCO。

威脅防御的三大生命周期環(huán)節(jié)分別是保護、檢測、修復(fù)，“保護”是要阻止流行的攻擊，還要防護從未出現(xiàn)過的攻擊技術(shù)和方法。“檢測”是要采用高級智能和分析器探測復(fù)雜、隱蔽的威脅。而在“修復(fù)”方面，會通過分類和優(yōu)先級別劃分實現(xiàn)高效率的事件響應(yīng)和調(diào)查分析。此時安全情報的作用就是讓整個安全防御體系自適應(yīng)的運轉(zhuǎn)起來。

設(shè)想這樣一個場景：用戶要下載某個文件，但安全防御系統(tǒng)發(fā)現(xiàn)這個文件很可疑，那么就會把這個文件放入沙箱中運行，從其行為、代碼分析這個文件是否存在威脅，并在整個安全防御體系分享該安全情報，形成安全情報驅(qū)動的安全互聯(lián)架構(gòu)。

作為英特爾安全事業(yè)部一部分的邁克菲一直在推動的安全互聯(lián)生態(tài)系統(tǒng)，就是要做到無論廠商和底層架構(gòu)，各個安全部件都可以集成在一起形成統(tǒng)一的互聯(lián)系統(tǒng)。“未來的3-5年，開放、合作將是主流趨勢。”

持續(xù)進化的安全互聯(lián)

邁克菲的安全互聯(lián)發(fā)展經(jīng)歷了四個階段，第一代的安全互聯(lián)圍繞在EPO的周圍，AV、FW、HIPS、SA等安全產(chǎn)品集中起來，通過EPO進行統(tǒng)一的安全防御；第二代的安全互聯(lián)是不同技術(shù)、不同產(chǎn)品之間的互聯(lián)，網(wǎng)絡(luò)層的設(shè)備與主機層的安全設(shè)備之間可以進行聯(lián)動防御，能夠及時發(fā)現(xiàn)潛藏的安全漏洞；第三代的安全互聯(lián)主要指全球威脅情報系統(tǒng)，能夠?qū)⒆钚氯虬踩閳笸降浇K端安全、防火墻、SIEM等安全設(shè)備里；而第四代的安全互聯(lián)是將用戶已經(jīng)部署到本地的安全設(shè)備連接起來，并集成更多其他第三方的安全產(chǎn)品和威脅情報。

與傳統(tǒng)的分離式架構(gòu)相比較，安全互聯(lián)架構(gòu)平均響應(yīng)時間減少到了7分鐘以下，大幅降低了安全成本，減少了85%需要人工參與的步驟，有效幫助企業(yè)優(yōu)化資源到更重要的任務(wù)中，IOC處理能力增到35倍。安全情報的充分利用使得企業(yè)對于未來的安全防御更具信心。

出于盡可能降低對用戶既有安全架構(gòu)影響的考慮，邁克菲最新的安全互聯(lián)屬于輕量級架構(gòu)，用戶能夠很簡單的接入。另外，DXL屬于一種通訊架構(gòu)，主要目的是完成安全情報的傳遞。所以在安全互聯(lián)架構(gòu)里的安全設(shè)備既可以發(fā)布最新安全情報，也可以僅僅是被動訂閱接收最新的安全情報，而實現(xiàn)安全情報訂閱的功能相對比較簡單。