保護企業網絡安全面臨巨大挑戰,因為企業網絡內的主機可達數百上千臺,而罪犯僅需入侵其中一臺,即可覬覦收獲整個網絡。安全公司數十年來都在努力保護計算機網絡,用盡各種方法確保(或者說試圖確保)沒有任何一臺計算機被感染。
剛開始的時候,這很容易,威脅數量極少,能夠識別全部威脅便已足夠。但后來隨著惡意軟件的進化,成為反病毒公司的噩夢,因為這會消耗專家研究員數天甚至數周時間,才能創建新的檢測規則。
隨著互聯網的崛起,金錢成為網絡罪犯的動機。黑客攻擊能力提升巨大,無論在規模還是復雜性方面都如此。過去,一款病毒要數周或數月,才能從洛杉磯傳播到紐約。現在,互聯網上,數秒之內病毒就能從華盛頓傳到東京。滲透防御和隱藏惡意軟件的新技術,讓威脅能夠在企業網絡中駐留更長時間。而安全公司,被迫再次做出調整適應。
黑名單,是傳統反病毒公司用來對抗網絡犯罪的一種戰術。黑名單有著幾十年的經驗,包含準確的病毒特征檢測,能夠有效檢測億萬惡意軟件樣本。但不利的一面是,黑名單有很多不確定性。它們的目標是找出惡意軟件,任何被認為是非惡意的東西都被允許運行。盡管安全廠商和客戶都不清楚什么是“非惡意”,這些“非惡意的東西”又都干些什么。
為彌補該不確定性,我們又看到了白名單戰術。白名單因只允許好軟件在系統中執行而很有效果。然而,就像黑名單一樣,該方法也有缺陷,比如被植入了木馬的程序。
黑名單和白名單都曾輝煌一時,但在高級威脅時代,單純依靠黑/白名單是行不通的。萬一攻擊根本不涉及惡意軟件呢?那這兩種方法就都失效了,因為他們根本就是一體兩面,都只是在消除惡意軟件而已。網絡罪犯可以嘗試千萬次,而一旦一次成功,他們就贏了。這可不是一場公平競賽,我們的解決方案需要進化,要領先一步。
今年的威瑞森數據泄露調查報告中,他們涵蓋了安全事件及攻擊者使用的不同戰術。僅51%的案例中使用了惡意軟件,一半都根本沒涉及到惡意軟件!這意味著,黑名單和白名單兩種方法都毫無作用,保護不了你的公司。
那么,我們現在開始該怎么做呢?企業未來的高級網絡安全解決方案應該怎樣做呢?
1. 所有文件分類使用
黑名單:如上文解釋的,這些技術有其局限性,但同時,它們在執行檢測惡意軟件的工作上又十分突出;
白名單:有了它,我們可以摒除黑名單導致的不確定性。
2. 自動化
分類所有文件的唯一可擴展&可行方法,就是通過自動化,可提供最佳可能準確率。
3. 實時監測
攻擊者已經能很成功地利用好軟件,所有我們需要知道每臺電腦上實時發生的所有事,包括無惡意軟件攻擊檢測。
4. 取證
無論我們做得有多好,無論罪犯終會入侵計算機,我們不可能總是勝過他們。這就是為什么要有這最后一個組件的原因。一旦檢測到安全事件,在取證的支持下,我們可以回答所有需要被回答的問題:發生了什么?什么時候發生的?攻擊者是怎么進來的?他們做了什么?
納入所有這些組件對安全廠商而言是一場艱苦的戰斗,但作為一個行業,我們知道過去對抗最復雜的網絡攻擊需要付出什么。如今,這就是個執行問題,是企業認識到安全對自身目標重要性的問題。
京公網安備 11010502049343號