《经济学人》信息部的最新报告指出,很多企业对其入侵检测和响应程序缺乏信心,他们担忧的问题包括快速检测新事件,尤其是涉及高级威胁的事件,以及处理涉及员工的意外事故。
现在越来越多的统一威胁管理(UTM)产品开始支持新的高级防御和检测功能,这些功能可以用来帮助解决这些问题。这篇文章介绍了这些新兴的UTM功能,并阐述了企业应该如何使用它们来防止入侵以及加速对可能发生事件的检测。
数据丢失防护
数据丢失防护(DLP)技术主要用于检测和阻止攻击者试图将敏感数据从企业内部渗出到外部位置的行为。DLP可以保护的敏感数据包括社会安全号码、信用卡号码、医疗记录和知识产品。虽然很多人认为DLP是基于文本的技术,专注于电子邮件和文字处理文档,但事实上,它也能够分析音频、视频和其他非文本形式的文件。
因此,UTM很适合于部署DLP技术来分析出站流量的内容,并确保防止基于网络的渗出,无论是有意还是无意的。
要做到这一点,首先将DLP配置为测试模式,让它记录但不阻止可疑行为。这样一来,安全团队就有机会来完善DLP规则集,而不会在不经意间阻止良性流量。在DLP经过调整后,它可以被切换为正常模式,以阻止可疑流量。
“云中沙盒”
某些供应商的UTM产品可以配合基于云的沙盒服务。如果企业的UTM设备看到一个试图通过它的可执行文件,并且觉得该文件非常可疑,那么UTM可以暂停该可执行文件的传输,并转发副本到基于云的沙盒以进行进一步评估。这个沙盒提供了安全的隔离环境来运行这个可执行文件以及分析其行为,这样UTM就可以确定是否允许或拒绝这个文件。
基于云的沙盒服务可以非常好地发现高级和新兴恶意软件,特别是当UTM定位为“监控试图进入企业网络的流量”时。然而,有些企业的政策禁止通过电子邮件和其他机制来传输可执行文件,在这种未经授权可执行文件已经被阻止的环境中,使用基于云的沙盒技术将会浪费资源,而不会提供更高的安全性。
带宽管理
一些UTM产品还提供的另一个功能是服务质量(QoS)执行。这允许通过UTM的部分或全部的网络服务管理自己的带宽,这样就没有服务会使用太多UTM的带宽。QoS执行可以有效地限制一些分布式拒绝服务攻击(DDoS)的影响,例如,当DDoS攻击瞄准受UTM保护的web服务器时,这不太可能影响UTM保护的其他服务器和系统的带宽。
企业应该认真考虑在激活QoS执行前监控网络使用情况。这可以帮助确保设置的QoS阈值是基于实际需求的。否则,由于带宽限制,企业关键的流量可能会在无意中被减慢或者完全停止。
结论
UTM产品可以越来越好地检测和阻止针对企业系统的高级攻击。对其处理高级威胁的能力缺乏信心的企业应该认真考虑购买新的UTM产品,或者在其现有的UTM产品中激活新的功能,以提高其入侵检测功能,从而有效地防止事故的发生。