企业五种高级威胁防御技术推荐

众所周知，网络攻击者经常使用复杂的恶意软件来危害网络和计算机，以窃取企业的敏感信息。近期，Gartner的报告称可以用五种基本方式来保护企业免遭攻击，并且建议结合其中两种及以上的方式，效果会更好。

该报告详述了科学解决隐形攻击(又称先进的持续威胁)的“五种高级威胁防御模式”， 简单的传统安全防御技术如反病毒或防火墙除并不包括在其中。这篇报告通过分析一些已经上市的安全产品，来帮助识别隐形攻击或收集被入侵的系统的相关信息，也就是所谓的取证。Gartner把它们放在一个安全框架里，分成五种技术方法，从而形成五种具体的“模式”。

根据Gartner的研究，首先要考虑的是旨在窃取重要数据的攻击的时间段，要把实时防御(或接近实时防御)落实到位。但是当攻击不幸成功了，其他工具就会被当做“后入侵”对象，也就没必要去取证了。

一般来说，有必要去分析入站和出站点的网络流量，从而检测出受损端点，要做到这一点，端点处不需要安装代理软件，另外还需要考虑攻击者的负载情况。这里有一个沙箱方法，就是通过在一个安全的、隔离的模拟环境中，标记一些危险目标，观察它们的负载情况。Gartner指出还要确定端点是如何被恶意软件所影响的，但是要管理和部署这些端点，通常需要耗费很大的运营成本。

五大防御技术：

模式1——使用网络流量分析技术，确定标准流量模式的基准线(例如异常的DNS流量说明可能有僵尸网络流量)，并对异常模式进行标注，代表着一个被入侵的环境。这种方法实现了实时检测，能够囊括匿名和非匿名技术，还不需要端点代理。但是该方法面临的挑战是，可能需要“仔细调节和知识渊博的员工来避免错误信息”，如果产品是一个带外的工具，它阻止攻击的能力有限，可能无法监控移动终端离线网络的流量。该模式取样的产品供应商包括Arbor、Damballa、 Fidelis、 Lancope和 Sourcefire的 AMP。

模式2——网络取证通常提供“网络流量的全包捕获和存储”，分析和报告工具对先进威胁事件的响应。这种方法的优点包括减少了事件的响应时间、可以在几天或几周时间里重建和回放流量，有时候还会提供详细的报告，以满足监管要求。而缺点都有哪些呢?这些工具的复杂性和成本会随着数据和保留时间的增长而增长;有时候由于数据量太大，只能在非高峰时期来生成报告。关于模式2的产品供应商有Blue Coa和RSA。

模式3——有效负载分析，可使用沙箱技术近实时地检测攻击目标，但他们通常不会“花几天、几周或几个月的时间去跟踪端点的行为”。Gartner追加道，有效负载分析产品有各种能力准确检测到恶意软件。虽然它们的优势在于能够成功绕过非匿名的产品而检测到恶意软件，还有的产品有选择性屏蔽功能，但是这种方法依然面临着一些挑战，行为分析需要花费几秒或几分钟才能完成，这给恶意软件通过网络侵入端点提供了足够的时间。特别是当恶意软件使用逃避技术如睡眠定时器时，响应就会延迟。不过，一些供应商正在努力修复这个缺点。其它还有的缺点就是在端点上执行恶意软件前没有确认信息。

恶意软件在模拟环境中表现出的某种行为方式，并不意味着当它攻击真正的目标时也会采取同样的方式。据Gartner研究，一些负载产品只支持有限范围的负载量，譬如可执行文件。而大部分都支持微软的Windows系统，有些云产品也支持Android系统，但还没有支持苹果的Mac OS X系统的产品。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友