Nick Lewis(CISSP,GCWN))是一名信息安全分析师。他主要负责风险管理项目,并支持该项目的技术PCI法规遵从计划。2002年,Nick获得密歇根州立大学的电信理学硕士学位;2005年,又获得Norwich大学的信息安全保障理学硕士学位。在他09年加入目前的组织之前,Nick曾在波士顿儿童医院、哈佛医学院初级儿科教学医院,以及Internet2和密歇根州立大学工作。
最近的一项测试显示,有些知名威胁检测产品无法检测出自定义恶意软件。如果说这些系统没有用,企业是否仍然应该将它们加入到防御计划中?对于高级持续性威胁检测和防御,企业应该使用什么其他类型的技术和方法?
目前业界的共识是,旧的基于签名的反恶意软件工具无法抵御有针对性攻击,或者使用不具有签名的恶意软件的攻击。反恶意软件行业很早前就意识到单靠签名不足以保护其客户;为此,他们开始添加启发式、异常检测和其他功能(例如基于主机的入侵保护系统)。很多供应商表示他们的新功能可以抵御高级持续性威胁(APT)或者有针对性攻击。
目前安全行业正在改进新功能以抵御不断变化的攻击。独立研究机构MRG Effitas和CrySys实验室在2014年11月发布的技术报告(以及其他类似报告)可以帮助企业了解当前系统的局限性,从而做出改进。在企业确定工具是否适合其环境以及提高流程效率时,可以参考这些独立测试结果。
企业需要评估安全工具在其环境中如何运作;对于APT工具,这可能需要比标准供应商30天评估更长的时间,但企业必须相信其选择的工具将提供相应的功能和价值。
MRG Effitas和CrySyS实验室报告提醒读者,反APT工具的功能并非完全相同,可能在企业环境中无法互换。安全团队应该评估反APT工具是否适合其现有信息安全计划,并确定它将如何与其内部系统整合。他们还可以使用其企业环境的真正攻击数据来评估工具是否以及如何抵御攻击。
如果企业选择基于网络的反APT工具,还应该评估其他保护措施,例如端点反恶意软件、白名单和主机入侵检测保护工具,看看它们是否可以补充反APT工具。还要注意的是,还需要更新内部监控工具、日志分析、基于主机的入侵检测和其他技术来检测和低于现有威胁媒介。