2021 美国黑帽大会主要网络安全热点及思考

2021 年上半年，全球网络安全界遭受了勒索软件攻击、重大供应链攻击以及有组织的黑客行动的轮番轰炸，攻击目标遍及医疗、金融、制造业、电信及交通等重点行业。数据泄露的规模、漏洞存在的年限、影响设备的数量、破坏效果呈扩大趋势。黑客攻击手段也更加复杂化，单笔勒索赎金更是达到创记录的 7000 万美元。其中的 Colonial Pipeline 黑客攻击事件导致美国最大的成品油管道运营商关闭整个能源供应网络，政府宣布进入国家紧急状态。正如美国土安全部部长琼森在本次黑帽大会上所言，网络威胁已经从有关数据泄露和间谍活动，转向破坏医院、学校、食品供应商和管道的勒索软件攻击。埃森哲最新版《网络调查、取证和响应报告》数据显示，与去年同期相比，2021 年上半年全球网络入侵活动量增长了125% 。Cybersecurity Ventures 预测，到 2021 年全球因网络安全事件导致的损失将高达 6 万亿美元。因此，强化网络安全、管理互联网，并构建一个自由安全的网络空间至关重要。

1 2021 年黑帽大会以线上线下的混合方式如期举行

在网络安全形势日益严峻的情况下，备受瞩目的 2021 年美国黑帽大会于 7 月 31 日至 8 月 4 日在拉斯维加斯以线上线下混合方式举行，各国顶尖黑客们在大会上分享了当前世界最先进的网络安全研究成果，议题涉及人工智能、机器学习和数据科学、AppSec、应用安全、云和平台安全、社区、CorpSec 、加密学、网络/物理系统、数据取证和事件响应、防御、exploit开发、硬件/嵌入式、恶意软件、移动手机、网络安全、策略以及逆向工程等 19 个领域，14 家知名网络安全供应商的高管就勒索软件、供应链和关键基础设施攻击、第三方风险管理、零信任体系结构和人工智能威胁情报等主题发布了演讲，公开展示了一系列最新的安全漏洞、攻击技术和安全工具。

2 大会的五大聚焦点

从安全研究人员的交流内容来看，移动平台和开源软件成为了最受关注的关键网络安全问题。其次，DNS 即服务使企业网络成为窃听对象，GPT-3的高级文本功能将受到虚假消息攻击的青睐，最后是攻击者也有勒索软件的困扰。

· 移动平台成为恶意攻击者的下一个攻击重点

移动安全目前已经成为了网络安全威胁来源的头牌，随着智能手机的普及、应用日渐多样化，以及互联网不断的深入人们的生活，移动端也承载了比以往更多的数据信息，其中不乏敏感信息，这也招致了大量的外来者攻击。且越来越多的证据表明，恶意攻击者正将大量资源用于利用移动平台的漏洞，针对移动设备的攻击与日俱增。Corellium LLC 首席运营长、英国国家安全局前分析师马特•泰特的研究表明，针对移动电话设备的“零日”漏洞正在被急剧利用，这个问题正变得越来越严重。此外，一些移动平台的架构自己本身也产生了一系列问题，谷歌 Zero 项目的安全研究员娜塔莉•西尔瓦诺维奇对手机短信漏洞进行了分析，发现用户可以在未经对方同意的情况下打开另一个用户的摄像头或音频，并在 FaceTime 、Signal、Facebook Messenger、JioChat 和 Mocha 中也发现了各种漏洞。

· 需要更加关注开源社区安全

开源软件的代码公开、易获取、可重用的特点成为企业构建信息技术的重要选择，目前在教育、金融、医疗等传统行业渗透率已超过 60% ，随着开源软件的广泛使用，一旦被发现安全漏洞，必将给开发、安全团队带来严峻的挑战。而开源漏洞信息往往散落分布在各大社区，很多漏洞信息不能及时被官方收录。同时，对于软件使用者，由于缺少漏洞信息跟踪能力，使得漏洞修复具有滞后性，提升了软件被攻击的风险。就本质而言，开源软件并不能生成完全安全的代码，其安全性容易被忽略而成为黑客攻击的目标。此外，应用程序的复杂性也在增加，开源软件中报告的漏洞数量每年都在增长。如果没有认真和协调的干预，情况会变得更糟。开源软件软件和芯片设计公司 Synopsys 发布的《2020 年开源安全和风险分析报告》指出不安全的开源软件无处不在。因此，需要更加注意开源软件的安全问题。

· “DNS 即服务”使企业网络成为窃听对象

Wiz 公司的研究人员披露了他们从 DNS 托管服务供应商构建的服务逻辑中发现的一种新型 DNS 漏洞。这种新的 DNS 漏洞使国家级别的窃密活动变得非常简单。他们演示了如何对一个示例账户的域注册系统做出简单调整，由此轻松访问超过 100 万个端点、涉及 15000 名亚马逊云科技客户的查询流量。

· GPT-3 的高级文本功能让虚假消息攻击者垂涎三尺

GPT-3 是一种自回归语言模型，使用深度学习来生成类人文本。作为OpenAI 内部的一个高级项目，GPT-3 生成类人文本的能力是强大的，但是它可能非常危险。乔治城大学安全与新兴技术中心的研究分析师发现，GPT-3 尤其擅长在极少的指令下生成推文，它的速度和准确性使得一个社交媒体账户可以传播大量信息，而且就连专家小组也无法辨别其真伪。

· 黑客也存在勒索软件攻击的问题

IBM 公司 X-Force 的安全研究人员分析了Threat Group 18 的漏洞利用，该组织与伊朗的网络战争组织 Charming Kitten 存在联系，一直在对制药公司、记者和伊朗持不同政见者进行网络钓鱼攻击。2020 年 5 月，IBM 研究人员发现了该组织发布的一系列培训视频，这些材料显示黑客在解决验证码时遇到的问题，就像我们中的许多人一样提供证据，由于安全性差，他们自己也是勒索软件攻击的受害者。

3 主要网络安全威胁与漏洞

在本次大会上，来自世界各地的网络安全研究人员公开演示了包括供应链威胁、加密缺陷等在内的网络安全威胁与漏洞，如下：

· 供应链威胁

近期爆发的 SolarWinds 与 Kaseya 勒索软件事件直接把供应链安全问题送上了今年的主舞台、成为各小组讨论环节的核心议题。其中具有代表性的是前英国政府通讯总部情报人员 Matt Tait 的主题演讲，讨论了实现供应链完整性的各项要素，包括攻击者将软件交付机制视为一种极为高效、覆盖范围极广的恶意代码传播载体。

· 加密缺陷

作为实现计算保密性与隐私性的支柱，密码学与加密协议多年以来一直是黑帽研究人员们最关注的话题之一。弗劳恩霍夫安全信息技术研究所网络安全分析与防御部门主任Haya Shulman 展示了从 Let’s Encrypt 的分布式域验证服务中发现的种种隐患，并声称要削弱 Let’s Encrypt 相较于其他证书颁发机构的一切安全优势。

· PrintNightmare

PrintNightmare 是 Windows Print Spooler 中的一项严重远程执行漏洞，会影响运行该服务器的任何系统。就在微软公司 2021 年 6 月初发布了针对不同 Print Spooler RCE 的补丁之后，国内公司深信服的三位研究人员就发布了 PrintNightmare 的概念验证（PoC），PoC 能够全面控制存在该陷的Active Directory 域，甚至在打过补丁的系统上也仍然有效。虽然他们从GitHub 上移除了 PoC ，但其已经被恶意人士所掌握并应用于实际攻击，这种状况迫使微软在一周之后发布了紧急更新。

· Active Directory 威胁

作为本地及云系统中重要的身份与访问管理手段，Active Directory 已经成为当今企业网络防御中最重要的一个领域。SpecterOps 公司的 WillSchroeder 与 Lee Christensen 讨论了如何以八种不同方式利用 ActiveDirectory 证书服务上的功能与错误配置，借此在Acitve Directory 公共加密基础设施上提升权限、进而操纵其他服务。

· 下一代 Mac 恶意软件

Mac 设备在企业环境下的应用以及用户规模的持续扩大吸引了不少攻击者的目光，其中最值得关注的是恶意人士会如何针对基于全新 M1 芯片的下一代 Mac 平台。

M1采用基于ARM 64架构的微处理器，带有一系列新的内置安全功能，但存在安全隐患。Objective-See 公司的研究员 Patrick Wardle 提到，相当一部分端点恶意软件检测机制还没有能力检测到专为 M1 系统原生开发的恶意软件，他展示了这一检测能力在应对 M1 平台时如何显著下降，并解释行业应如何加强分析与检测技术、用于解决基于 ARM 架构的下一代 Mac 面临的实际威胁。

· 对抗人工智能

人工智能与机器学习功能正越来越多地成为关键业务软件中的核心主体。而随着二者在商务智能、理解客户需求以及自动化流程中的广泛普及，其背后蕴藏的巨大价值必然吸引到攻击者的关注。因此，必须关注新兴人工智能威胁，包括对抗人工智能（破坏性模型）、数据中毒与模型盗窃等。

IBM 欧洲研究中心的Killian Levacher、Ambrish Rawat 以及Mathieu Sinn讨论针对深度生成模型的对抗人工智能攻击，并分享关于行业应如何有效检测这些攻击的看法；微软的 Ram Shankar Siva Kumar 、哈佛法学院的Kendra Albert、约克大学奥斯古德霍尔法学院的Jonathon Penney 以及 BruceSchneier 从法律层对恶意利用人工智能及机器学习系统的行为做出分析。

4 不断演进的网络攻击形式对网络安全构成严重威胁

在本次大会上，网络安全研究人员演示了包括离地攻击、被窃数据的武器化、勒索软件攻击等在内等多种网络攻击形式和手段，相较之前，这些攻击手段具有攻击速度快、覆盖面更广、攻击自动化程度高、杀伤力大、目标针对性强、隐蔽性强等特点，对基础设施等将形成更大威胁。

· 离地攻击的隐蔽性更强

攻击者越来越多地利用受害者使用的合法工具，通过融入受害者的流量来更好地隐藏自己。攻击者可以利用合法工具实施攻击链的每一个环节——从初始访问、资产发现、横向移动到数据外泄和凭证盗窃。Trend Micro威胁情报副总裁认为，离地攻击是一种反取证行动，因为这些攻击迫使企业建立机制，对 Cobalt Strike、Mimikatz 和 PS Exec 等工具的使用进行检查，从而确定一些特定事件是合法的还是非法的。Trend Micro 的数据表示，目前有 20 到 30 种合法工具正被勒索软件攻击者用于恶意目的。

· 被窃数据的武器化更普遍

Barracuda 首席技术官 Fleming Shi 发现，很多用户和组织的数据在以前的攻击事件中被盗，并且又在随后的攻击中被武器化。攻击者利用他们已经获取的个人身份信息再次获取用户的凭据和密码，然后将这些目标用户登录的 SaaS 应用程序作为攻击目标。

· 勒索软件攻击的威胁更大

攻击者不再满足于简单地加密受害者数据并拒绝受害者访问其自己的系统。目前，勒索软件已经从瞄准单个设备或服务器发展为通过造成广泛破坏来威胁整个组织。简单来说，就是勒索软件攻击者通过供应链攻击，向受害企业及其上下游客户索要赎金，否则就泄露敏感数据。2021 年 9 月发布的欧盟 ENISA 威胁态势报告称，勒索软件已成为最大威胁。

· 供应链攻击的破坏性更强

供应链攻击作为一种新型威胁，具有威胁对象多、极端隐蔽、检测难度大、涉及维度广等特点，已成为国家级攻击行为的重要选项，供应链攻击为黑客提供的良好投资回报使之成为黑客攻击的重要突破口，它已经从高级网络攻击者对特定行业实施的武器化攻击转变为更为普遍的恶意软件攻击的一部分，并且在未来一段时间内将是最难防范的威胁之一，而且攻击数量还会增加。企业必须确保他们能够了解自己的供应链、与每个供应商相关的风险以及在发生事件时进行快速补救。

· 商业网络犯罪日趋复杂

随着民族国家组织越来越多地将攻击目标对准私人商业和民间组织，受害者面临的威胁挑战正在变大。Varonis 联合创始人、总裁兼首席执行官Yaki Faitelson 表示，网络犯罪分子发现实施勒索软件攻击更容易获得报酬，然后这些威胁组织又将赎金的收益投资于获取更复杂的黑客工具。此外，网络犯罪分子通过供应链攻击传播勒索软件，并无缝地将自己伪装到受害者的环境中，从而使得其攻击手段更为老练也更为复杂。而与数字化转型相关的生产力提升、从任何地方都可以访问数据的边缘趋势，都伴随着更高的风险和更大的攻击面。

5 新型安全工具的防御水平有较大提升

自 2017 年以来，黑帽大会一直是网络安全人员发布和展示安全工具的盛会。本次会议上，他们展示了以下 21 款能代表当前世界先进水平的网络防御工具，这些安全工具无论从自动化、智能化、协同性来说，都有了很大提升。

· Cloud Sniper

Cloud Sniper 是一个管理云安全操作的平台，目的是通过准确分析和关联云构件来响应安全事件，通过显示公司云安全状况的完整可见性来检测和修复安全问题。

· Cloud Katana

Cloud Katana 是一种由 Microsoft 开发的工具，可在 Azure Functions 的辅助下自动执行 Azure 中的对抗性技术，主要目标是验证检测规则并了解攻击的潜在行为。

· Kubetriker

Kubetriker 是一个极快的 Kubernetes 安全审计工具，可以对 Kubernetes基础设施进行大量深入检查，以识别任何使其容易成为攻击者目标的错误配置，防止对 Kubernetes 集群的潜在攻击。

· REW-sploit

REW-sploit 是一种分析 Windows shellcode 或源自 Metasploit 或 CobaltStrike（红队、渗透测试人员和其他攻击者广泛使用的工具）攻击的工具。REW-sploit 可以模拟有效载荷、提取加密密钥并关联 PCAP 转储以获取正在发生的攻击的更多相关信息。

· LUDA

LUDA 是一个大型 URL 数据集安全分析器，该工具由 Akamai 的安全研究人员开发，通常被用于恶意软件和网络钓鱼检测。安全团队可以使用该工具来发掘与已知恶意软件或威胁组织相关的 URL 方案。LUDA 支持与各种恶意软件库的集成，如 PhishTank、URLHaus 、Virus Total 等等。

· SGXRay

SGXRay 是一个由百度工程师开发的自动化工具，用于检测源于违反可信边界的 SGX enclave 错误。

· Cotopaxi

Cotopaxi 是一个由三星开发的用于测试各种物联网协议安全性的工具。

· Packet Sender

Packet Sender 是一个可用于Windows、Mac 和 Linux 的开源实用程序，允许发送和接收 TCP、UDP 和 SSL（加密 TCP）数据包。其核心功能是通过 IPv4 或 IPv6 制作和监听 UDP、TCP 和 SSL/TLS 数据包，它可以在发送到任何 UDP 、TCP、SSL/TLS 数据包服务器的同时监听任意数量的端口。

· Kubesploit

Kubesploit 是一种用于对 Kubernetes 集群进行安全性渗透测试的工具，配有一个已开发的 HTTP/2 命令和控制服务器和代理。

· Siembol

Siembol 是一个基于大数据技术的开源、实时安全信息和事件管理(SIEM) 工具。

· Cloudtopolis

Cloudtopolis 是一个在 Google Cloud Shell 平台上运行密码破解系统的工具。通过 Cloudtopolis 和 Google Collaboratory，用户可以在不需要任何浏览器专用硬件的情况下破解哈希。

· Racketeer

Racketeer 旨在帮助红队建立模型并实施严格控制的勒索软件活动。安全团队可以利用 Racketeer 工具，针对一组公司资产和网络端点，以受控方式模拟和测试常见勒索软件的操作。

· Phishmonger

Phishmonger 是一种电子邮件网络钓鱼工具，可以使渗透测试人员快速模板化、测试和部署网络钓鱼活动。

· Blue Pigeon

Blue Pigeon 是一种基于蓝牙的数据窃取和代理工具，可实现远程命令和控制(C2)服务器与受感染主机之间的通信。

· Magpie

Magpie 是一种开源云安全态势管理 (CSPM) 工具，旨在帮助公司保护云基础架构。Magpie 已经在拥有数十万系统的大规模云环境中进行了测试。

· PurpleSharp 2.0

PurpleSharp 2.0 是一种对手模拟工具，它执行对手技术，目的是在受监控的 Windows 环境中生成攻击遥测。由此产生的遥测可以用来衡量和提高检测程序的效率。PurpleSharp 在整个攻击过程中按照 MITRE ATT&CK 框架的策略执行不同的操作：执行、持久性、提权、凭证访问、横向移动等。

· WARCannon

WARCannon 是一种在互联网上大规模搜索网络漏洞的工具。由Common Crawl 通过 AWS 开放数据程序提供数据，可以对相关网站进行 PB级分析。安全研究人员和“漏洞赏金猎人”可以利用 WARCannon 以快速、经济高效且完全非侵入性和隐蔽的方式在整个互联网上横向扩展他们的研究。

· PMapper

PMapper 是一个脚本和库，用于识别 AWS 账户或 AWS 组织的身份和访问管理（IAM ，Identity andAccess Management) 配置中的风险。

· Ping Castle

Ping Castle 是一个用于在 Active Directory 服务器上执行安全审核的工具。

· reNgine

reNgine 是一个自动化侦察框架，可以在 Web 应用程序的渗透测试期间收集信息。

· Solitude

Solitude 是一种开源隐私分析工具，旨在帮助用户了解他们的私人数据从移动网络或应用程序泄露后的去向。

6 几点思考

透过今年黑帽大会不难看出，恶意组织正不断地调整策略，执行新的威胁行动计划，无论是民族黑客组织还是犯罪团体，都变得更聪明且更迅速，这种情况在近期内都不会发生改变。因此可以预计，勒索软件仍然是关注的焦点，并将蔓延到物联网。勒索软件攻击一直是近来最具影响力的网络威胁，未来恶意团体将继续扩大勒索软件攻击规模，并将目标瞄准物联网。恶意行为者或利用物联网设备的漏洞，通过物联网设备接管通信能力，利用受害者的恐惧和焦虑，并通过社会工程学来操纵他们的行为。网络犯罪和民族国家行动的融合将变得更加普遍。民族国家会雇佣网络犯罪分子来发起恶意软件攻击。网络犯罪与民族国家行为者之间的模糊程度将增加，国家力量将成为网络间谍行动的主要推动力。社交媒体将继续成为黑客渗透组织以获取犯罪收益的首选平台，以个人作为攻击目标已被证明是一种非常有效的途径，这种方式的使用不仅会在间谍团体中增长，还会在其他试图渗透进入组织以获取自身非法利益的威胁行为者之间增长。

魔高一尺，道高一丈。面对恶意组织如此复杂多变、令人眼花缭乱的攻击手段和方法，未来我们将面临更加严峻的网络安全形势，无论是国家、企业还是组织机构都应积极主动地保护信息并采取行动。

6.1　针对供应链漏洞，引入第三方机构进行技术测试

供应链攻击的频率和成熟度正在不断提高，当攻击发生时，很难检测和缓解此种攻击。对于供应链安全来说，最重要的是保证软件供应链从源头开始安全无风险，在整个软件应用程序开发全周期中加强对产品的安全检测，并对自身产品流程进行风险管控。因此，应该通过一个集中的机制来加强对供应链漏洞的技术测试，保证政府部门、企业等所使用软件的安全性和质量。作为供应商的技术公司应事先使其产品经过第三方机构的测试和认证。预计美国政府将在 SolarWinds 攻击事件后采取类似行动保护供应链安全，Splunk 的安全战略师表示，希望看到技术供应商更好地检测供应链漏洞。

6.2　针对勒索软件威胁，应用人工智能进行检测

勒索软件已经成为一个全球性问题，而且勒索攻击事件的数量也不断攀升，根据澳大利亚信息专员办公室的一份报告，与 2020 年下半年相比，2021 年上半年，由勒索软件攻击引起的数据泄露事件增长了 24% 。勒索攻击不仅带来了代价高昂的服务中断，还直接威胁政治安全、经济安全、科技安全等各个方面。现在勒索软件已成为严重的国家安全问题。

RSA 大会专家委员会在 2021 年 11 月对未来网络空间安全趋势进行预测时认为，恶意组织会继续扩大勒索软件攻击规模，并使之更加专业化。因此，勒索软件是当前网络世界面临的重大威胁。

人工智能技术的引入将大大提高勒索软件的检测率。人工智能使人们更好地了解黑客所使用勒索软件的类型并分析黑客的个人资料。更重要的是，经过人工智能训练的网络安全检测工具能够有效地识别勒索软件威胁并防御它们。人工智能驱动的网络安全防御措施意味着我们可以更早地发现勒索攻击和漏洞，降低安全成本，而且网络安全团队无需随时关注日常威胁。因此，保持安全和保护数据正越来越多地掌握在人工智能的手中，这是网络安全的未来。

目前趋势科技公司正在开发的勒索软件移除解决方案本质上是一个智能反勒索软件工具，它带有一个很大的安全包，并利用了最新的人工智能算法，其中包括防病毒、家庭保护、密码管理和隐私保护，该工具对检测勒索软件极为有效。

6.3　针对传统防护手段的缺陷，采用零信任架构降低风险

零信任架构是一种主动的安全战略，其先进性弥补了传统防护理念在应对勒索攻击中的先天不足，能够极大减少攻击暴露面，以及横向移动的可能，保证内网应用以及数据安全，最大限度地降低与供应链问题和勒索软件威胁相关的风险。零信任的核心是了解数据所在的位置以及哪些用户可以访问哪些数据，随着机构越来越多地共享更多数据，零信任方法对于数据安全至关重要。此外，目前有多种工具可以扫描网络并确定数据所在的位置，但这些工具的质量差异很大，因此，组织机构需要确保拥有合适的工具来评估数据位置和归属。

美国总统拜登 2021 年 5 月发布的“改善国家网络安全行政命令”，呼吁联邦政府和私营部门合作，共同应对威胁美国安全的“持续不断、越来越复杂的恶意网络活动”。其中的重点一项就是联邦政府应该迈向零信任架构，增加对安全最佳实践的采用，并持续部署基础安全工具，如多因素身份验证和数据加密。并同时要求 NIST 制定实施零信任架构的计划，以确保零信任能够完全发挥作用，实现层级化的网络防御。毫无疑问，零信任将作为一个重要举措应用于网络安全领域。美国能源部已于 2021 年 10 月率先启动了用于清洁能源系统的零信任网络安全解决方案，该项目将支持电网现代化，解决网络安全漏洞，并创建一个能够承受向清洁能源经济过渡的电网。Gigamon 2020 年 10 月的一项研究报告也表明，超过三分之二的欧洲企业和组织机构表示已采用或计划采用零信任框架以应对不断变化的威胁形势。

6.4 针对数据泄露风险，引入隐私增强技术

隐私增强计算技术（PET）可以在数据使用的过程中保护数据，而不仅仅是在数据静止或移动时。PET 可以实现安全的数据处理、共享、跨境传输和分析，即使在不受信任的环境中也是如此。当前，PET 技术正在从学术研究迅速转变为提供真正商业价值的实际项目，支持新形式的计算和共享，并降低数据泄露的风险。欧洲率先通过《通用数据保护条例》（GDPR）实施了更严格的数据保护法规，从而促进了以消费者为中心的数字市场，世界各国都陆续纷纷推出了自己本国的 GDPR。Gartner 预计到 2025 年，60%的大型企业机构将使用一种或多种隐私增强计算技术。

6.5　针对可能出现的新漏洞，引入第三方风险管理

随着现代社会的分工日益细化和专业化以及节约成本的考虑，企业机构将会和越来越多的第三方产生商业往来，做好第三方风险管理对于提升己方对风险的风控能力至关重要，因此，企业需要投入更多的资源以确保第三方供应商不会成为威胁的来源。企业应首先审查供应商合同，以确保其供应商拥有合适的人员、控制措施和治理结构，从而可以有能力应对网络风险。其次，由于基于数据驱动的第三方风险管理技术和工具已经逐步成熟，企业可以通过对外部大数据的采集，分析第三方供应商或者合作伙伴的安全事件和漏洞，并对其进行持续的监测、风险评估和安全评价，使企业能够在第三方风险方面实现基于等级测量的风险决策，将有效的资源投入在高风险的地方。总之，企业必须将其第三方风险管理，从静态调查问卷转变为持续监控和快速行动，以解决关键的新漏洞。根据 BlueVoyant2021 年 10 月最新发布的报告，不重视第三方风险的公司比例已从从去年的 31%降到 2021 年的 13% ，Gartner 同期发布的“2021-2022 年 8 大网络安全预测”报告中也称，到 2025 年 60%的公司将把网络安全风险作为进行第三方交易和业务往来的主要决定因素。

7 结束语

随着 5G 技术、人工智能、大数据、边缘计算、云计算等新兴 IT 技术的发展与成熟，随之而来的网络安全威胁也进一步加剧，没有一种网络安全工具能够一劳永逸。网络安全防护的任务不仅是实施工具和分析的组合，识别和保护不断扩大的威胁媒介，更是要结合最佳实践以更好地指导其部署理念，避免成为攻击对象和攻击的跳板。因此，应该考虑更为广泛地采用包括多因素身份验证、数据加密、流量解密、回溯取证分析、建立全面管理的安全营运中心等多种手段完美结合的最佳安全实践，降低网络攻击的风险。