高级威胁时代的企业安全
保护企业网络安全面临巨大挑战,因为企业网络内的主机可达数百上千台,而罪犯仅需入侵其中一台,即可觊觎收获整个网络。安全公司数十年来都在努力保护计算机网络,用尽各种方法确保(或者说试图确保)没有任何一台计算机被感染。
刚开始的时候,这很容易,威胁数量极少,能够识别全部威胁便已足够。但后来随着恶意软件的进化,成为反病毒公司的噩梦,因为这会消耗专家研究员数天甚至数周时间,才能创建新的检测规则。
随着互联网的崛起,金钱成为网络罪犯的动机。黑客攻击能力提升巨大,无论在规模还是复杂性方面都如此。过去,一款病毒要数周或数月,才能从洛杉矶传播到纽约。现在,互联网上,数秒之内病毒就能从华盛顿传到东京。渗透防御和隐藏恶意软件的新技术,让威胁能够在企业网络中驻留更长时间。而安全公司,被迫再次做出调整适应。
黑名单,是传统反病毒公司用来对抗网络犯罪的一种战术。黑名单有着几十年的经验,包含准确的病毒特征检测,能够有效检测亿万恶意软件样本。但不利的一面是,黑名单有很多不确定性。它们的目标是找出恶意软件,任何被认为是非恶意的东西都被允许运行。尽管安全厂商和客户都不清楚什么是“非恶意”,这些“非恶意的东西”又都干些什么。
为弥补该不确定性,我们又看到了白名单战术。白名单因只允许好软件在系统中执行而很有效果。然而,就像黑名单一样,该方法也有缺陷,比如被植入了木马的程序。
黑名单和白名单都曾辉煌一时,但在高级威胁时代,单纯依靠黑/白名单是行不通的。万一攻击根本不涉及恶意软件呢?那这两种方法就都失效了,因为他们根本就是一体两面,都只是在消除恶意软件而已。网络罪犯可以尝试千万次,而一旦一次成功,他们就赢了。这可不是一场公平竞赛,我们的解决方案需要进化,要领先一步。
今年的威瑞森数据泄露调查报告中,他们涵盖了安全事件及攻击者使用的不同战术。仅51%的案例中使用了恶意软件,一半都根本没涉及到恶意软件!这意味着,黑名单和白名单两种方法都毫无作用,保护不了你的公司。
那么,我们现在开始该怎么做呢?企业未来的高级网络安全解决方案应该怎样做呢?
1. 所有文件分类使用
黑名单:如上文解释的,这些技术有其局限性,但同时,它们在执行检测恶意软件的工作上又十分突出;
白名单:有了它,我们可以摒除黑名单导致的不确定性。
2. 自动化
分类所有文件的唯一可扩展&可行方法,就是通过自动化,可提供最佳可能准确率。
3. 实时监测
攻击者已经能很成功地利用好软件,所有我们需要知道每台电脑上实时发生的所有事,包括无恶意软件攻击检测。
4. 取证
无论我们做得有多好,无论罪犯终会入侵计算机,我们不可能总是胜过他们。这就是为什么要有这最后一个组件的原因。一旦检测到安全事件,在取证的支持下,我们可以回答所有需要被回答的问题:发生了什么?什么时候发生的?攻击者是怎么进来的?他们做了什么?
纳入所有这些组件对安全厂商而言是一场艰苦的战斗,但作为一个行业,我们知道过去对抗最复杂的网络攻击需要付出什么。如今,这就是个执行问题,是企业认识到安全对自身目标重要性的问题。