|
企业五种高级威胁防御技术推荐Gartner的报告称可以用五种基本方式来保护企业免遭攻击,并且建议结合其中两种及以上的方式,效果会更好。 众所周知,网络攻击者经常使用复杂的恶意软件来危害网络和计算机,以窃取企业的敏感信息。近期,Gartner的报告称可以用五种基本方式来保护企业免遭攻击,并且建议结合其中两种及以上的方式,效果会更好。 该报告详述了科学解决隐形攻击(又称先进的持续威胁)的“五种高级威胁防御模式”, 简单的传统安全防御技术如反病毒或防火墙除并不包括在其中。这篇报告通过分析一些已经上市的安全产品,来帮助识别隐形攻击或收集被入侵的系统的相关信息,也就是所谓的取证。Gartner把它们放在一个安全框架里,分成五种技术方法,从而形成五种具体的“模式”。 根据Gartner的研究,首先要考虑的是旨在窃取重要数据的攻击的时间段,要把实时防御(或接近实时防御)落实到位。但是当攻击不幸成功了,其他工具就会被当做“后入侵”对象,也就没必要去取证了。 一般来说,有必要去分析入站和出站点的网络流量,从而检测出受损端点,要做到这一点,端点处不需要安装代理软件,另外还需要考虑攻击者的负载情况。这里有一个沙箱方法,就是通过在一个安全的、隔离的模拟环境中,标记一些危险目标,观察它们的负载情况。Gartner指出还要确定端点是如何被恶意软件所影响的,但是要管理和部署这些端点,通常需要耗费很大的运营成本。 五大防御技术: 模式1——使用网络流量分析技术,确定标准流量模式的基准线(例如异常的DNS流量说明可能有僵尸网络流量),并对异常模式进行标注,代表着一个被入侵的环境。这种方法实现了实时检测,能够囊括匿名和非匿名技术,还不需要端点代理。但是该方法面临的挑战是,可能需要“仔细调节和知识渊博的员工来避免错误信息”,如果产品是一个带外的工具,它阻止攻击的能力有限,可能无法监控移动终端离线网络的流量。该模式取样的产品供应商包括Arbor、Damballa、 Fidelis、 Lancope和 Sourcefire的 AMP。 模式2——网络取证通常提供“网络流量的全包捕获和存储”,分析和报告工具对先进威胁事件的响应。这种方法的优点包括减少了事件的响应时间、可以在几天或几周时间里重建和回放流量,有时候还会提供详细的报告,以满足监管要求。而缺点都有哪些呢?这些工具的复杂性和成本会随着数据和保留时间的增长而增长;有时候由于数据量太大,只能在非高峰时期来生成报告。关于模式2的产品供应商有Blue Coa和RSA。 模式3——有效负载分析,可使用沙箱技术近实时地检测攻击目标,但他们通常不会“花几天、几周或几个月的时间去跟踪端点的行为”。Gartner追加道,有效负载分析产品有各种能力准确检测到恶意软件。虽然它们的优势在于能够成功绕过非匿名的产品而检测到恶意软件,还有的产品有选择性屏蔽功能,但是这种方法依然面临着一些挑战,行为分析需要花费几秒或几分钟才能完成,这给恶意软件通过网络侵入端点提供了足够的时间。特别是当恶意软件使用逃避技术如睡眠定时器时,响应就会延迟。不过,一些供应商正在努力修复这个缺点。其它还有的缺点就是在端点上执行恶意软件前没有确认信息。 恶意软件在模拟环境中表现出的某种行为方式,并不意味着当它攻击真正的目标时也会采取同样的方式。据Gartner研究,一些负载产品只支持有限范围的负载量,譬如可执行文件。而大部分都支持微软的Windows系统,有些云产品也支持Android系统,但还没有支持苹果的Mac OS X系统的产品。 责编:王雅京 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|