公输盘九设攻城之机变，子墨子九距之……，安全厂商经常以“九攻九距”来形容，其与黑客之间的缠斗。但事实真的是这样吗？安全厂商如何应对层出不穷的未知攻击。

以成本理论看未知攻击

       近日，在2013云安全联盟高峰论坛中，绿盟科技首席战略官赵粮提出了应对未知攻击新的思路。在赵粮看来，既然黑客的攻击大多以盈利为目的，用户采购安全防护设备也需要成本支出，那我们就不妨从成本的角度考虑，如何实现安全世界中攻守平衡。

       基于此理论看一下目前的安全形势，应对传统防病毒和一般性网络攻击，攻击获利和防御成本趋于相同。针对一般性Web网络入侵，一台传统防火墙也能发挥很多的作用，守方似乎处于优势，但针对“未知威胁”攻击，守方虽然设置了层层叠叠的边界，付出了高额的安全成本，但总感觉防不胜防。

       如何改变针对未知威胁中的攻守成本不对称，赵粮认为，“可以变革一下我们的安全防御体系，甚至牺牲部分安全防护效率。”赵粮将目前防范未知APT攻击的安全体系，形容为九龙治水，在预算充足时，防病毒、防火墙、IPS、IDS、防DDoS攻击、蜜罐、沙箱等，这些安全设备和技术可以一一地部署在网络边界。“但购买这些安全设备需要高额的采购和运维成本，更重要的是，如何让这些设备在同一体系下协同工作。”

从已知求未知

       如何解决九龙治水，但不协同的问题？我们可以将攻击分为“已知”、“已知的未知”、“未知的未知”三种，出于最经济的考虑，应该将重点放在防御“已知的未知”。攻击者为了躲开九龙治水的安全体系，总是在创造新的“未知”攻击，但出于成本的考虑，攻击者也在复用“已知”，换个马甲似乎更经济实惠。对此，赵粮认为，“这就给了我们机会，通过已知的检测，判定未知的攻击。”

       黑客发起攻击，通常要设计一个组合性武器，该武器由投掷部分（投掷部分可以通过E-mail、Web、U盘等渠道入侵）、导航部分（漏洞）、载荷组成。其中，投掷部分可能为已知，导航部分可能是未知。也就是说，通过一个已知的文件，可以发现一个未知的恶意IP地址，再通过这个IP地址，发现 更多的未知的文件。

       以此顺藤摸瓜的做法，我们可以将更多的“未知”变为“已知”。对此，赵粮认为，“为什么九龙治水的安全体系不能发挥有效地作用，他们只知道攻击的某一片段，而且不能相互说话。经常是反垃圾邮件网关、IPS阻截了恶意文件，但他们从哪来，还有干什么，我们并不知道，其实我们还有机会知道更多。”

下一代安全模型

       基于此理论，我们导出下一代安全的七大关键特征：其一，基于产品协同及智能分析地实现威胁感知，而且还要做到全天候和多源头地应对。其二，基于行为模型与安全信誉的异常检测，结合采用静态和动态应用安全测试技术。其三，基于云计算的交付模式，保护云，也使用云。其四，实现安全可视化，实现安全的所见即所得，揭示虚拟空间的风险。其五，闭环管理，及时评价防护效果，优化防护措施；其六，安全协同，实现人人为我，我为人人；其七，实现面向云计算环境的安全产品虚拟化。

       同时，基于此特征，我们看一下未来安全系统的模型。出于成本考虑，通常情况下，对防护目标只采用一般性防护级别，而一旦攻击触发体系中的某一项检测时，系统立即将其定位为疑似攻击。此时，通过调度，加入更深层的检测手段，监视疑似攻击所有网络和系统行为。同时，经过专家手工计算，并经过深度分析确认入侵并将其清除，并同步更新信誉库。而总结此模型，赵粮认为，“未来协调和信誉库是将已知变成未知的关键。”