在上一篇文章《世界是灰色的：也谈对NGFW的几点思考》中，笔者已提及：NGFW开始聚焦FW、UTM尚未涉及的“灰色区域”。大家都知道“白”是指信息完全明确，可以信任；“黑”是指信息未知，不能信任；那么“灰”呢？它是指信息部分明确，部分不明确，不可不信，也不可全信。伴随着各种互联网应用的快速发展，灰色区域也呈几何级增长，几乎每一种应用都存在灰色内容，它们都是各种攻击的风险引入点。

“灰色区域”：网络犯罪重灾区

根据Ponemon的报告《2015年网络犯罪成本研究》对全球7个国家的252家组织调查显示，2015年网络犯罪造成的成本在持续上升，平均每个公司每年会受到99次网络攻击，应对网络犯罪的平均成本为770万美元，而在2012年则仅为68次，在4年时间里提升了46%。可以看出，各公司遭到网络攻击的次数在明显上升。如果从图中列出的不同网络攻击所造成损失的具体数值来看，确定应用层“灰色区域”已经成为网络犯罪重灾区，从图中可以看出内部威胁与DoS攻击造成的损失最多，分别为14.5万美元和12.7万美元。其余的攻击方式还有（按所造成损失从高到低排列）：基于Web的攻击、网络钓鱼、恶意代码、设备被盗窃、恶意软件、病毒、蠕虫、木马还有僵尸网络。这些攻击方式全部都是针对应用层进行，并且这些威胁直接攻击企业核心服务器和应用，给企业带来了重大损失。甚至之前典型的以网络层流量“制胜”的DDoS攻击，近年来也有向应用层上移的趋势。

不同的攻击造成的损失（数据来源于Ponemon《2015年网络犯罪成本研究》）

“灰色区域”为何沦为黑客手中“软柿子”？

大家看完上面图表估计内心都会有一个疑问，为什么现在网络攻击逐渐从网络层上移至应用层呢？应用层为何成为黑客攻击首选阵地呢？笔者认为有以下三个原因：

首先，从产品技术角度，超过90%应用都属于灰色系统，对于它们认知都是模糊不确定的，类似安全“老三样”这样产品面对应用层早就显得力不从心，基本失去防御能力。笔者在上篇文章中已经讲解过，像UTM、FW这类产品对于灰色内容是“弃之不管”的，而这部分内容无疑成为了最大风险引入点。

其次，从市场角度，应用层安全防护产品尚未形成主流市场，处于网络7层中防守最薄弱环节。即便像下一代防火墙这样作为应用层安全防护首选产品，目前在国内也尚未形成统一标准，各厂家产品的防护能力更是参差不齐。这无疑会成为攻击者最易攻破地方。

最后，从安全意识角度，大家对于应用中灰色区域认知和安全意识不够。比如对垃圾邮件这样包含灰色内容应用，没有足够意识，只需通过“求职信”、“工资条”这样简单社会工程学技术就能让很多人中招病毒、木马，使其成为后期被攻击对象。正所谓网络安全本质就是人与人之间智力对抗，如果你安全意识不够，那么第一个沦陷就是自己。

让“灰色区域”阳光化

应用系统多样复杂，没有特定的安全技术能够完全解决所有的安全问题，对于如何减少应用层风险与威胁对网络影响，需要让“灰色区域”阳光化，笔者有几个小建议大家分享。

首先，禁止企业中不必要应用——从源头缩减“灰色区域”。任何一种应用中可能都存在潜在的风险，因此上好的办法就是缩小应用入口，禁用一些不必要的应用，例如P2p应用，减少风险引入点。这样可以最大程度缩减灰色区域，一定程度上降低防护复杂度。

其次，使用具备应用识别和可视化能力应用层安全设备代替传统安全设备。想要发现应用中的威胁，一定要能够精确识别流量，必须基于应用、行为的特征来实现。正如当今医学上要准确的确定一个人，绝不能再仅仅基于其身高、体貌来判断，而是要检验其指纹甚至DNA的特征，利用网络数据包的“指纹”、“DNA”对数据类型进行鉴别的技术，就是我们常说的基于应用层的应用识别技术，找出灰色区域中“黑名单”，让应用更加安全。对于剩余无法做出确切判断的“灰色内容”，引入风险视角思维，通过可视化这样工具将灰色空间中的不确认的威胁告知用户，让用户参与决策。

最后，为应用层安全防护提供更多武器。根据Ponemon的报告显示已经有部分公司正在将预算资源从网络层缓慢转向应用层。应用层的预算支出从2013年的15%增长到2015年的20%，而网络安全支出则由40%下降到36%。面对越来越猖獗应用层威胁，我们需要提供更多弹药，让灰色区域“阳光化”。