威胁检测已经超越了基于签名的防火墙和入侵检测系统,包含了监测内容和通信的新技术。然而,这些第二层技术并没有包括在安全预算中,原因有很多。其一:这些新系统和服务(安全智能、威胁预测和建模、攻击检测系统、取证)被排除在外是因为企业目光短浅地专注于传统最佳做法或过时的合规性。
最高级别的安全性可以分为三个方面:人、流程和技术。根据公司收入、垂直行业和地理位置的不同,人和流程将有所不同。然而,在大多数垂直行业,大部分安全技术和威胁检测保持相对稳定和静态,其中包括第一层安全技术。这些技术被认为是安全最佳做法的基础:防火墙、防病毒、入侵检测/防御系统、安全web网关、消息传递安全、VPN和安全信息及事件管理。
第一层安全技术是任何安全架构的基础,但我们已经使用它们长达20年,防病毒软件甚至长达30年。现在我们是时候开始采用和拥抱新技术了。(这里的新技术并不是在产品类别前加上“下一代”的已知技术)。
坦白地说,我们需要“现代”技术,这些网络安全设备和服务被称为第二层技术。这些概念说明了安全行业内独特模式的转变,同时,解决了安全最佳做法的根本误解。
增强型威胁检测的重要性
威胁形式是动态的,总是会不断出现新的漏洞利用方法。第一层安全技术的最大的问题是它们无法阻止未知恶意软件,或者当攻击成功执行后你甚至都不知道。
对于第一层安全技术的常见误解是,这些设备和软件声称覆盖恶意软件,但覆盖的深度水平并没有明确,这取决于安全供应商。例如,一家安全供应商声称对数百未知漏洞提供零日覆盖,如果你仔细看其过滤器设置,你会发现,大部分零日过滤器在默认下是禁用的,这是对零日覆盖的营销说法,但如果在默认下它没有打开,它如何帮助你抵御威胁和降低风险?
大多数第一层安全技术可以保护你免受已知威胁的攻击。这方面一个很好的例子是微软。在微软星期二补丁日(即每个月的第二个星期二)都会发布Windows的补丁修复。微软做得好的地方在于,他们与其微软主动保护计划(Microsoft Active Protections Program)的安全供应商成员建立了协作关系。微软在将漏洞信息向公众发布之前,会先发给这些供应商。这使这些供应商有时间来创建过滤器和签名来识别已知漏洞。
然而,问题是识别在传输中或者目标资产中的未知恶意内容的能力。下一步是确定攻击是否成功。大多数第一层安全技术无法提供这些急需的功能。
一些第一层安全设备(例如入侵防御系统)无法追踪交易的状态,因为它们在执行多个操作来验证流经IPS的数据是否与特定过滤器/签名或模式匹配。此外,一些系统缺乏解析包含恶意软件的复合文档(例如PDF或者Word文档)的能力。了解正在保护企业基础设施的产品中存在的问题可以让你重新考虑你的安全策略。
任何安全策略的目标是降低你的总体风险。重要的是要明白,并没有万能的方法来抵御全部威胁。安全社区经常引述《孙子兵法》中的这句话:“知己知彼百战百胜。”我们需要了解敌人以及他们用来规避检测的方法。但是,在“知己”方面我们做的还不够,大多数人专注于增加安全措施,对于每个企业基础设施来说,这并不是千篇一律的。
降低未知风险的很好的方法是填补与第二层安全技术的差距,例如攻击检测系统(BDS)。BDS的关键功能是它能够感知攻击。BDS可以检测恶意文件或命令的初始状态,并控制未知恶意软件的通信。这些系统被部署在网络边界作为网络设备或者软件,其中加载了端点资产。它们使用多种识别向量,例如IP地址和域名声誉数据、模式匹配、启发式、流量监控、浏览器仿真和操作系统行为分析。图1展示了今年早些时候我们的BDS测试中一家供应商的结果,其中显示了该产品识别成功地通过HTTP传播的恶意软件的两个方面的能力。
重要的是要知道,对于任何未知恶意软件,总是会有一个初始感染资产。BDS让你可以识别这个初始感染资产,以及提供相应的情报来修复被感染的基础设施上的其他资产。这绝对是纵深防御方法,基本上是增加额外的安全性来缩小其他安全技术留下的空白。
然而,纵深防御有点不确切。我们应该将它看做是利用现代技术(而不是下一代产品和服务)的“信心深度”。笔者的建议是,你应该开始考虑在你的预算中涵盖第二层安全技术提供的增强威胁检测。从概念证明开始,并在你的基础设施中测试一些第二层系统。
威胁检测技术以及这些系统的成熟度和可扩展性因供应商而异。要考虑的一些方面包括:这些系统是否需要网络或端点部署,或者两者结合。如果它使用沙箱技术,数据被发送到云计算,如果是这样,这个功能能否被关闭?这个系统能否检测已存在的攻击以及通过侧面通道进入的恶意软件?即使供应商声称能够解决这些问题,企业还是应该验证这些技术能否像宣传那样运作。
在NSS实验室,我们已经对这项技术进行全面检测,并相信它提供了一个坚实的额外安全控制,能够完善现有安全基础设施。而在现有安全基础设施内采用第二层安全技术是对付持续和未知威胁的好办法。这些资本支出采购类型需要在企业的财年预算周期前提前计划好。
