近幾年(nián)來威脅态勢不斷變化，網關也是如此。現如今，網關的功能(néng)也遠(yuǎn)遠(yuǎn)超出了合規性和HR政策需求，企業(yè)依賴網關來阻止網絡威脅。雖然網關自(zì)誕生(shēng)起已有數十年(nián)，并且一(yī)直在進化，但網關并不防彈;過度依賴網關，會(huì)将數據、用戶、客戶、企業(yè)及其聲譽置于風險之中。

　　為(wèi)什麽網關已經無法“防彈“了”?下(xià)面Fireglass的CEO兼聯合創始人GuyGuzner來為(wèi)你解釋。

　　URL過濾總是落後

　　每秒(miǎo)鍾有571個(gè)新網站誕生(shēng)，大量的域随之産生(shēng)，其中一(yī)些網站安全控制不到(dào)位的概率也随之升高(gāo)。此外，許多(duō)攻擊者使用的URL都隻能(néng)由其攻擊目标觸發，壽命很短(短于24小(xiǎo)時);他們使用的動态域也比靜(jìng)态域難防。

　　阻攔未分類網站并不是正解

　　攔截未分類的網站将嚴重降低(dī)終端用戶的工(gōng)作效率。這不僅對于終端用戶來說無法接收，對安全團隊而言也很難受，因為(wèi)客戶需要合法訪問網關未能(néng)分類的信息，将需要安全團隊的支持，這種需求可能(néng)很多(duō)，将給安全團隊造成較大壓力。攔截未分類網站這種設置将導緻“策略規則地獄”，也就(jiù)是說，安全團隊必須要維護越來越的策略和規則時就(jiù)會(huì)陷入這樣的窘境，這種過程也确實痛苦。

　　“安全”網站也能(néng)感染訪客

　　許多(duō)人認為(wèi)，隻有在訪問可疑的或者惡意的網站時，才會(huì)發生(shēng)感染，這種觀點是不正确的。相(xiàng)反，Forcepoint(前身為(wèi)Websense)估計，85%的感染是通(tōng)過合法的、“安全的”網站發生(shēng)的。所謂安全的網站常常被當作一(yī)些惡意内容的載體，這些惡意内容來自(zì)一(yī)些他們無法控制的其他源。惡意廣告就(jiù)是個(gè)很好的例子，惡意廣告将惡意的内容注入合法的在線廣告網絡，然後發布者在不知情的情況下(xià)将其發布。

　　另一(yī)個(gè)例子就(jiù)是，攻擊者會(huì)利用網站本身的一(yī)些漏洞，上(shàng)載惡意内容。當年(nián)，中國(guó)黑(hēi)客就(jiù)通(tōng)過福布斯網站上(shàng)的“今日遐思”(ThoughtoftheDay)彈出屏，劫持了福布斯網站，并用其攻擊美國(guó)軍工(gōng)承包商。

　　惡意文件(jiàn)越過網關

　　雖然有些網關整合了反病毒引擎和其他文件(jiàn)掃描服務，這些在檢測惡意程序時并沒有起到(dào)太大的作用。據Fireglass的統計，反病毒掃描服務隻能(néng)檢測到(dào)20%到(dào)30%的惡意程序。沙盒的效果也并不顯著(zhe)，因為(wèi)沙盒需要時間運行和分析文件(jiàn)。為(wèi)了不影響用戶體驗，網關常常會(huì)将文件(jiàn)先給到(dào)用戶，與此同時，沙盒在後台完成分析，這種做法叫做二次防禦，這也意味著(zhe)用戶可能(néng)遭受攻擊。

　　網關無法滅活已感染設備上(shàng)的惡意軟件(jiàn)

　　網關要區分合法流量與惡意流量，或者檢測和滅活已感染設備上(shàng)的惡意程序，都是很難的。實際上(shàng)，高(gāo)級威脅一(yī)旦到(dào)達端點，可能(néng)好幾周甚至好幾個(gè)月(yuè)都不會(huì)被檢測出來。Seculert最近的調查發現，80%的網關都無法阻攔惡意的出站流量。遠(yuǎn)程訪問木(mù)馬的存在，就(jiù)說明了網關無法檢測和阻止惡意流量。