增强型威胁检测:“第二层”安全技术(一)
2014-01-03 TechTarget中国 编辑:邹铮
威胁检测已经超越了基于签名的防火墙和入侵检测系统,包含了监测内容和通信的新技术。然而,这些第二层技术并没有包括在安全预算中,原因有很多。其一:这些新系统和服务(安全智能、威胁预测和建模、攻击检测系统、取证)被排除在外是因为企业目光短浅地专注于传统最佳做法或过时的合规性。
最高级别的安全性可以分为三个方面:人、流程和技术。根据公司收入、垂直行业和地理位置的不同,人和流程将有所不同。然而,在大多数垂直行业,大部分安全技术和威胁检测保持相对稳定和静态,其中包括第一层安全技术。这些技术被认为是安全最佳做法的基础:防火墙、防病毒、入侵检测/防御系统、安全web网关、消息传递安全、VPN和安全信息及事件管理。
第一层安全技术是任何安全架构的基础,但我们已经使用它们长达20年,防病毒软件甚至长达30年。现在我们是时候开始采用和拥抱新技术了。(这里的新技术并不是在产品类别前加上“下一代”的已知技术)。
坦白地说,我们需要“现代”技术,这些网络安全设备和服务被称为第二层技术。这些概念说明了安全行业内独特模式的转变,同时,解决了安全最佳做法的根本误解。
增强型威胁检测的重要性
威胁形式是动态的,总是会不断出现新的漏洞利用方法。第一层安全技术的最大的问题是它们无法阻止未知恶意软件,或者当攻击成功执行后你甚至都不知道。
对于第一层安全技术的常见误解是,这些设备和软件声称覆盖恶意软件,但覆盖的深度水平并没有明确,这取决于安全供应商。例如,一家安全供应商声称对数百未知漏洞提供零日覆盖,如果你仔细看其过滤器设置,你会发现,大部分零日过滤器在默认下是禁用的,这是对零日覆盖的营销说法,但如果在默认下它没有打开,它如何帮助你抵御威胁和降低风险?
大多数第一层安全技术可以保护你免受已知威胁的攻击。这方面一个很好的例子是微软。在微软星期二补丁日(即每个月的第二个星期二)都会发布Windows的补丁修复。微软做得好的地方在于,他们与其微软主动保护计划(Microsoft Active Protections Program)的安全供应商成员建立了协作关系。微软在将漏洞信息向公众发布之前,会先发给这些供应商。这使这些供应商有时间来创建过滤器和签名来识别已知漏洞。
然而,问题是识别在传输中或者目标资产中的未知恶意内容的能力。下一步是确定攻击是否成功。大多数第一层安全技术无法提供这些急需的功能。
一些第一层安全设备(例如入侵防御系统)无法追踪交易的状态,因为它们在执行多个操作来验证流经IPS的数据是否与特定过滤器/签名或模式匹配。此外,一些系统缺乏解析包含恶意软件的复合文档(例如PDF或者Word文档)的能力。了解正在保护企业基础设施的产品中存在的问题可以让你重新考虑你的安全策略。