增强型威胁检测:“第二层”安全技术(二)
2014-01-03 TechTarget中国 编辑:邹铮
任何安全策略的目标是降低你的总体风险。重要的是要明白,并没有万能的方法来抵御全部威胁。安全社区经常引述《孙子兵法》中的这句话:“知己知彼百战百胜。”我们需要了解敌人以及他们用来规避检测的方法。但是,在“知己”方面我们做的还不够,大多数人专注于增加安全措施,对于每个企业基础设施来说,这并不是千篇一律的。
降低未知风险的很好的方法是填补与第二层安全技术的差距,例如攻击检测系统(BDS)。BDS的关键功能是它能够感知攻击。BDS可以检测恶意文件或命令的初始状态,并控制未知恶意软件的通信。这些系统被部署在网络边界作为网络设备或者软件,其中加载了端点资产。它们使用多种识别向量,例如IP地址和域名声誉数据、模式匹配、启发式、流量监控、浏览器仿真和操作系统行为分析。图1展示了今年早些时候我们的BDS测试中一家供应商的结果,其中显示了该产品识别成功地通过HTTP传播的恶意软件的两个方面的能力。
重要的是要知道,对于任何未知恶意软件,总是会有一个初始感染资产。BDS让你可以识别这个初始感染资产,以及提供相应的情报来修复被感染的基础设施上的其他资产。这绝对是纵深防御方法,基本上是增加额外的安全性来缩小其他安全技术留下的空白。
然而,纵深防御有点不确切。我们应该将它看做是利用现代技术(而不是下一代产品和服务)的“信心深度”。笔者的建议是,你应该开始考虑在你的预算中涵盖第二层安全技术提供的增强威胁检测。从概念证明开始,并在你的基础设施中测试一些第二层系统。
威胁检测技术以及这些系统的成熟度和可扩展性因供应商而异。要考虑的一些方面包括:这些系统是否需要网络或端点部署,或者两者结合。如果它使用沙箱技术,数据被发送到云计算,如果是这样,这个功能能否被关闭?这个系统能否检测已存在的攻击以及通过侧面通道进入的恶意软件?即使供应商声称能够解决这些问题,企业还是应该验证这些技术能否像宣传那样运作。
在NSS实验室,我们已经对这项技术进行全面检测,并相信它提供了一个坚实的额外安全控制,能够完善现有安全基础设施。而在现有安全基础设施内采用第二层安全技术是对付持续和未知威胁的好办法。这些资本支出采购类型需要在企业的财年预算周期前提前计划好。