《經濟學人》信息部的最新報告指出，很多企業對其入侵檢測和響應程序缺乏信心，他們擔憂的問題包括快速檢測新事件，尤其是涉及高級威脅的事件，以及處理涉及員工的意外事故。

現在越來越多的統一威脅管理(UTM)產品開始支持新的高級防御和檢測功能，這些功能可以用來幫助解決這些問題。這篇文章介紹了這些新興的UTM功能，并闡述了企業應該如何使用它們來防止入侵以及加速對可能發生事件的檢測。

數據丟失防護

數據丟失防護(DLP)技術主要用于檢測和阻止攻擊者試圖將敏感數據從企業內部滲出到外部位置的行為。DLP可以保護的敏感數據包括社會安全號碼、信用卡號碼、醫療記錄和知識產品。雖然很多人認為DLP是基于文本的技術，專注于電子郵件和文字處理文檔，但事實上，它也能夠分析音頻、視頻和其他非文本形式的文件。

因此，UTM很適合于部署DLP技術來分析出站流量的內容，并確保防止基于網絡的滲出，無論是有意還是無意的。

要做到這一點，首先將DLP配置為測試模式，讓它記錄但不阻止可疑行為。這樣一來，安全團隊就有機會來完善DLP規則集，而不會在不經意間阻止良性流量。在DLP經過調整后，它可以被切換為正常模式，以阻止可疑流量。

“云中沙盒”

某些供應商的UTM產品可以配合基于云的沙盒服務。如果企業的UTM設備看到一個試圖通過它的可執行文件，并且覺得該文件非常可疑，那么UTM可以暫停該可執行文件的傳輸，并轉發副本到基于云的沙盒以進行進一步評估。這個沙盒提供了安全的隔離環境來運行這個可執行文件以及分析其行為，這樣UTM就可以確定是否允許或拒絕這個文件。

基于云的沙盒服務可以非常好地發現高級和新興惡意軟件，特別是當UTM定位為“監控試圖進入企業網絡的流量”時。然而，有些企業的政策禁止通過電子郵件和其他機制來傳輸可執行文件，在這種未經授權可執行文件已經被阻止的環境中，使用基于云的沙盒技術將會浪費資源，而不會提供更高的安全性。

帶寬管理

一些UTM產品還提供的另一個功能是服務質量(QoS)執行。這允許通過UTM的部分或全部的網絡服務管理自己的帶寬，這樣就沒有服務會使用太多UTM的帶寬。QoS執行可以有效地限制一些分布式拒絕服務攻擊(DDoS)的影響，例如，當DDoS攻擊瞄準受UTM保護的web服務器時，這不太可能影響UTM保護的其他服務器和系統的帶寬。

企業應該認真考慮在激活QoS執行前監控網絡使用情況。這可以幫助確保設置的QoS閾值是基于實際需求的。否則，由于帶寬限制，企業關鍵的流量可能會在無意中被減慢或者完全停止。

結論

UTM產品可以越來越好地檢測和阻止針對企業系統的高級攻擊。對其處理高級威脅的能力缺乏信心的企業應該認真考慮購買新的UTM產品，或者在其現有的UTM產品中激活新的功能，以提高其入侵檢測功能，從而有效地防止事故的發生。