针对性的攻击不断寻找新鲜途径来入侵系统,企业一直正在寻找并创新方法来快速检测并应对与日俱增的高级威胁。
无论安全专业人员围绕其网络建立了多高、多深、多厚的防火墙,攻击者似乎都能找到办法去跨越,挖掘,甚至钻透。最近美国无线运营商Verizon公司数据泄露的调查报告显示,50%以上的攻击源于黑客采用的不同形式,而检测出超过三分之二的攻击却需耗时数月乃至数年。
鉴于该统计数据,加之企业在反复清理受病毒感染的系统过程中积累的经验,越来越多的企业已经意识到网络违规时间无时无刻不在发生。
目前重要的是,企业究竟能以怎样迅捷的速度去检测威胁并做出响应。
“这是一场战争”,美国国家法律和生命科学律师事务所Fenwick & West LLP信息中心主任凯文•摩尔对此了然于胸。“正如其它所有企业和部门一样,我们也在使用诸多安全设备来保护我们的网络系统。从网络防火墙、应用程序防火墙、监控系统、安全网关,到反恶意软件应用程序,”摩尔说,“但随着高级威胁的发展,遏制攻击变得更富挑战性,更加艰难。”
事实上,在过去的几年里,美国联邦调查局已多次发出警告,黑客已越来越针对律师事务所作为一种有力渠道来获取其感兴趣的行业客户敏感信息。
基于这一切,摩尔一直致力于快速自动检测受感染的系统随之进行清理。他使用的工具之一就是用以自动检测恶意软件的FireEye。虽然Fenwick & West LLP律师事务所具备一个小型的IT安全团队,但是应对潜在违规的诸多响应措施都需手动完成且异常耗时。
“譬如,一旦从FireEye或我们的安全网关得到恶意软件的提示,我们立即试图孤立问题机器,找出用户,并且确定其实时方位。然后调派专业客服人员来全面检查问题机器,”摩尔说。
这显然比今天的大多数企业能力更强且更为主动。然而,考虑到目前数据的泄漏速度,摩尔深知企业迫切需要更为迅捷的响应。“一旦得到数据,比如FireEye提供某恶意软件正在试图与指挥和控制服务器建立联通路径,我们将以最快速度予以处理。然而专业客服人员和其他技术人员尚有许多安全之外的其它工作,所以我们亟需更加自动化的方法,”他说。
为了紧缩响应时间,摩尔联系到了负责威胁管理与安全分析的供应商NetCitadel。当时,恰逢该公司开始开发他们的威胁反应平台,摩尔解释到。
NetCitadel做出的承诺是,其能够从摩尔的网络和应用防火墙、反恶意软件、取证、及其它应用程序中集成数据,然后预警和阻止基于实时数据的攻击。“基于我定义的工作流和标准,企业系统可以做到确定正在进行的攻击并停止特定活动,如输出到某个指挥和控制服务器IP地址的流量,”摩尔说。
此例中,我已经有效地阻止了感染其指挥和控制服务器的威胁。这给了我们一些额外的时间来喘息,因为我们已经阻断了病毒威胁,”他说。
昨天,NetCitadel交付了其威胁管理平台ThreatOptics。该公司声称,集成数据来自反恶意软件应用程序、数据取证工具、应用程序防火墙、网络防火墙,以及安全事件和信息管理系统(SIEM)等,该威胁管理平台还可使用防火墙和安全网关来实时响应事件。
“今天好的安全不仅与检测有关,更事关迅速响应。捕捉和集成数据的能力对保障系统和数据的安全至关重要,”摩尔认为。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/137134.html<
