众所周知,网络攻击者经常使用复杂的恶意软件来危害网络和计算机,以窃取企业的敏感信息。近期,Gartner的报告称可以用五种基本方式来保护企业免遭攻击,并且建议结合其中两种及以上的方式,效果会更好。
该报告详述了科学解决隐形攻击(又称先进的持续威胁)的“五种高级威胁防御模式”, 简单的传统安全防御技术如反病毒或防火墙除并不包括在其中。这篇报告通过分析一些已经上市的安全产品,来帮助识别隐形攻击或收集被入侵的系统的相关信息,也就是所谓的取证。Gartner把它们放在一个安全框架里,分成五种技术方法,从而形成五种具体的“模式”。
根据Gartner的研究,首先要考虑的是旨在窃取重要数据的攻击的时间段,要把实时防御(或接近实时防御)落实到位。但是当攻击不幸成功了,其他工具就会被当做“后入侵”对象,也就没必要去取证了。
一般来说,有必要去分析入站和出站点的网络流量,从而检测出受损端点,要做到这一点,端点处不需要安装代理软件,另外还需要考虑攻击者的负载情况。这里有一个沙箱方法,就是通过在一个安全的、隔离的模拟环境中,标记一些危险目标,观察它们的负载情况。Gartner指出还要确定端点是如何被恶意软件所影响的,但是要管理和部署这些端点,通常需要耗费很大的运营成本。
五大防御技术:
模式1——使用网络流量分析技术,确定标准流量模式的基准线(例如异常的DNS流量说明可能有僵尸网络流量),并对异常模式进行标注,代表着一个被入侵的环境。这种方法实现了实时检测,能够囊括匿名和非匿名技术,还不需要端点代理。但是该方法面临的挑战是,可能需要“仔细调节和知识渊博的员工来避免错误信息”,如果产品是一个带外的工具,它阻止攻击的能力有限,可能无法监控移动终端离线网络的流量。该模式取样的产品供应商包括Arbor、Damballa、 Fidelis、 Lancope和 Sourcefire的 AMP。
模式2——网络取证通常提供“网络流量的全包捕获和存储”,分析和报告工具对先进威胁事件的响应。这种方法的优点包括减少了事件的响应时间、可以在几天或几周时间里重建和回放流量,有时候还会提供详细的报告,以满足监管要求。而缺点都有哪些呢?这些工具的复杂性和成本会随着数据和保留时间的增长而增长;有时候由于数据量太大,只能在非高峰时期来生成报告。关于模式2的产品供应商有Blue Coa和RSA。
模式3——有效负载分析,可使用沙箱技术近实时地检测攻击目标,但他们通常不会“花几天、几周或几个月的时间去跟踪端点的行为”。Gartner追加道,有效负载分析产品有各种能力准确检测到恶意软件。虽然它们的优势在于能够成功绕过非匿名的产品而检测到恶意软件,还有的产品有选择性屏蔽功能,但是这种方法依然面临着一些挑战,行为分析需要花费几秒或几分钟才能完成,这给恶意软件通过网络侵入端点提供了足够的时间。特别是当恶意软件使用逃避技术如睡眠定时器时,响应就会延迟。不过,一些供应商正在努力修复这个缺点。其它还有的缺点就是在端点上执行恶意软件前没有确认信息。
恶意软件在模拟环境中表现出的某种行为方式,并不意味着当它攻击真正的目标时也会采取同样的方式。据Gartner研究,一些负载产品只支持有限范围的负载量,譬如可执行文件。而大部分都支持微软的Windows系统,有些云产品也支持Android系统,但还没有支持苹果的Mac OS X系统的产品。
模式3涉及到的供应商及产品有:AhlLab、FireEye、Lastline、ThreatGrid、 Check Point的威胁仿真软件刀片、迈克菲的ValidEdge、Palo Alto的Wildfire服务和趋势科技的Deep Discovery。
模式4——终端行为分析,在应用程序容器中,通过把虚拟容器中的应用程序和文件进行分离,来保护端点安全。该模式的其他创新点包括为阻止攻击而进行系统配置、内存和进程监控,另外还有实时响应技术。Gartner说,模式4需要在每个端点上安装一个代理,它可以拦截内核系统调用并阻止恶意活动,比如线程注入式攻击;另外,该模式能通过隔离的Web浏览,保护用户免遭任意软件的攻击,包括路过式下载和“水坑”下载。
这种模式的主要优点是能够阻止“零日攻击”,提供一些基础证据,检查系统是否打开或关闭网络。但是它面临的挑战是部署和管理代理软件在操作上是很密集的,在BYOD环境中尤其困难。该模式的供应商包括Blue Ridge Networks、Bromium、 Invincea、Sandoxie和 Trustware,支持内存监控的供应商有Cyvera、ManTech、HBGary和 RSA的 Ecat。
模式5——最后一个模式是端点取证,涉及到了事件响应工具。端点代理商从他们监控的主机中收集数据,帮助事件自动响应,监控公司网络的主机打开或关闭。但是它们的缺点也是部署和管理时操作比较密集,对非Windows端点的支持是非常有限的。该模式涉及到的供应商及产品有Bit9、Carbon Black、Mandiant、 ManTech、HBGary的 Responder Pro 和Guidance Software的EnCase Analytics,
Gartner建议在细分出的这五种高级威胁防御模式中,选择至少两个模式一起使用,比如使用模式3进行有效负载分析以及用模式5进行端点取证。
“一些有效负载分析供应商会和终端取证供应商合作,把他们的解决方案进行整合,来减少事件的响应时间。虽然网络流量分析(模式1)和终端取证(模式5)的优点有些相似,但很少有供应商会把这两种模式放在一起使用。”Gartner的分析师Lawrence Orans说在决策过程中,供应商合作也是一个影响因素。另外,一些模式仍然是以Windows系统为核心的,网络分析除外。
Gartner的报告还包括了很多其他的模式,并指出一些供应商,尤其是比较大型的已经开始交付集成两个或多个模式的产品。然而,选择一个模式的企业可能会带来一些负面影响,Gartne补充道:“那些专注于一种模式的专业厂商提供的产品,其功能将不会很全面。”
面对先进持久威胁对企业数据的窃取行径,可以使用这五种模式来进行对抗,但这并不意味着要放弃如反病毒这样的传统安全技术。这五种模式是专门针对那些主动参与到对抗入侵者的企业安全管理者而提出来的。
链接:http://www.networkworld.com/news/2013/103013-gartner-defense-attacks-275438.html?hpg1=bn