随着安全威胁的不断演变,以及黑客技术也逐渐变得复杂,这些意味着企业也要做出相应改变才能免于高级安全攻击。黑客不再只关注于传统的攻击目标——企业周边,他们现在还关注整个攻击的过程,利用一组攻击向量就可以不断获取核心数据,然后再伺机发动攻击,而且还能隐藏数据的泄露。
许多黑客成功实施攻击的原因是因为目前大多数安全工具都只是侧重防御——主要通过控制访问,检测和拦截等手段实施,而这些都是部署在入口处。通常,输入的文件只会被扫描一次,即在输入的端口,目的是检测他们是否感染恶意软件。
要想检测高级威胁和破坏行为,更有效且安全的方式是不能只关注检测和防御,还应该在黑客入侵后具备降低其影响的能力。
企业要从整体的角度查看自己的安全模式,对整个数据传输进行持续保护——从入口,到传播再到感染后的补救。
我们需要一种将大数据架构和持续保护功能结合在一起的安全模式。只有这样,我们才能克服传统时间点检测和响应技术的限制。
在这种模式下,网络和进程级的遥测数据都会持续被收集,所以数据一直在更新,以备不时之需。分析也在同一时间进行,这样可以缓解控制点的影响并且在一段时间内提供高级别的检测。分析不仅仅是事件枚举和相关性;它还包括把遥测数据编排到一起,使安全人员进一步了解整个环境的状况。对广大用户和全球情报的利用也得到持续更新和及时共享,而且将之与本地数据关联起来可以进一步帮助管理者做决策。
连续化方法,再加上大数据分析可以为打击高级威胁带来改革型的创新,例如:
1. 超越时间点的检测
连续化方法可以让检测更有效,渗入性更强。行为检测方法,如沙箱,充当连续分析和关联性的录入。行为展开的时候便会被捕捉,情报则通过检测引擎和控制点共享。
2. 监控促成攻击链的形成
及时回看数据,以便监控文件,进程和对话,然后编排信息创建活动历程,对抵挡攻击提供前所未有的理解。
3. 自动的高级分析一直观测行为
将大数据分析和连续方法结合起来识别模式和IoCs(危害指示),如此,安全团队就可以专注于最具破坏性的威胁之上。
4. 调查更为定向,快速和有效
以真实事件和IoCs为基础,专门针对威胁实施的转换型调查让安全团队有了更快更有效的方式了解和审视攻击行为。
5. 围堵政策很灵活
有了连续方法带来的可视性,安全团队可以识别特定的根原因,并关闭所有被破坏和感染的网关,阻碍攻击者的进一步动作,最终阻断攻击链。
在这种模式里,检测和响应不再对进程或秩序做分离,而是做相同目的的拓展:即组织高级威胁。
超越传统时间点方法,检测和响应能力的防护具有持续和综合的特点。
这也是针对进程的高级威胁检测和响应所需要的。