浅谈安全威胁检测和管理的演变

现在所有类型的网络罪犯都可以通过混入企业运作背景之中，很容易地绕过现有企业安全防御。有些高级攻击可以潜伏几个月甚至几年，这完全颠覆了传统恶意检测产品–传统产品只会在给定时间点扫描已知恶意软件。

例如，新发现的木马APT.BaneChant采用了多种检测规避技术，包括伪装成合法进程，监控鼠标点击来避免沙盒分析，以及执行多字节XOR加密来规避网络级二进制提取技术等。它还将fileless恶意代码直接加载到内存中，并通过URL缩短和动态DNS服务，利用重定向来规避自动化域名黑名单。

这些攻击正在测试现有安全分析工具的局限性，并且，最近的Mandiant公司APT1报告显示，网络间谍活动已经变为长期复杂的活动。根据LogRhythm公司的2013年网络威胁准备情况调查显示，75%的受访者对其识别数据泄露关键指标的能力缺乏信心，这个数据让人吃惊。

很多报道的数据泄露事故最初都未被发现，并且，通常最后大多数是由第三方发现，而不是内部安全团队。

企业不能再单纯依靠端点来阻止这种类型的恶意软件感染。企业必须部署额外的动态的攻击前防御，在所有层有效对抗高级攻击，并识别没有见过的行为。值得庆幸的是，很多安全供应商已经开始改进其情报驱动型安全产品以应对现在的高级威胁问题。

大数据分析

其中一种常见的方法是结合安全大数据分析来帮助发现深藏在企业网络流量中的恶意活动。大数据是指可以对网络活动提供线索的任何类型的数据，包括结构化和非结构化数据。这种大数据包括企业创造的海量数据：电子邮件、文档、社交媒体数据、音频、点击流、网络流量和日志文件(访问文件的历史和实时日志文件)、注册表更改，以及进程启动和停止。还有其他系统信息(例如处理器或内存利用率)也可以帮助发现系统状态中意想不到的变化，另外，外部威胁情报源可以进一步明确什么是正常或可接受行为，这样分析不再局限于企业本身创建的数据。虽然这些数据多年来被存储在孤岛式存储库或分散在企业内，不过，现在的攻击形态的可怕现实正在推动对技术的新需求，新技术需要能够聚合这些数据、快速分析数据，并提供发现高级攻击的线索—否则这种攻击可能继续隐藏。

虽然安全信息和事件管理(SIEM)产品为企业活动数据提供了一个收集和监控的中心点，但大部分企业部署这些产品主要是为了满足合规要求，特别是针对商家的支付卡行业数据安全标准(PCI DSS)。事实上，很少有企业利用该技术的事件关联功能，并且，大多数产品都无法提供深度可视性来满足现在的分析需求。供应商正在试图通过下一代SIEM产品来解决这个问题，下一代SIEM产品扩大了数据收集与实时分析的范围和规模，使不同的事件可以整合来发现异常活动。(需要注意的是，网络行为异常检测(NBAD)产品也提供这种功能，但只有在网络层)。

利用这种大数据的自适应情报(了解什么是正常行为以发现异常行为)的实时分析可以显著提高发现高级威胁或数据泄露指标的机会，这些威胁可能来自多种攻击媒介，例如高级持续威胁、欺诈和恶意内部攻击。这种攻击前的重点在于保持领先于攻击者，并找出潜在的攻击模式，即使它们分布在不同时间。

现在有很多新的创新产品进入市场。LogRhythm SIEM 2.0平台现在结合了Rapid7的Nexpose漏洞管理产品来在LogRhythm控制台提供数据安全分析和统一风险评估功能。IBM正在利用IBM QRadar Security Intelligence和IBM Big Data Platform结合安全情报和大数据，以跨大规模结构化和非机构化数据提供一种全面的综合的方法来进行实时分析。RSA Security Analytics产品利用来自全球安全社区的威胁情报和RSA FirstWatch，利用别人已经发现的情报，提高企业大数据的恶意活动检测率。

在评估下一代SIEM产品时，可扩展性、强大的分析工具以及对异构事件来源的支持是最重要的因素，特别是当涉及时间敏感程序(例如欺诈检测)时，以确保它们能够处理大量的多样化数据。当然，在评估解决方案时，还应该考虑其根据业务情况创建可操作情报的能力，从而，对企业构成最大风险的威胁可以优先采取行动。另外一个重要特点是可视化和探索大数据的工具，这种工具可以快速发现受感染设备和其他热点。

沙箱和白名单

对于缓解现在的威胁，SIEM和大数据并不是唯一的选择。沙箱和白名单是值得考虑的技术。Bit9的白名单安全软件是利用端点代理的基于信任的解决方案，它允许管理员指定可在桌面和台式机执行的软件。另外一个新功能是利用按需基于云的Bit9 Software Reputation Service来高精度检测可疑恶意软件和相关文件。

沙箱可以隔离应用程序，这样恶意软件就不会从一个程序传输到另一个程序。任何未知的应用程序或内容都可以被视为不可信，并隔离在自己的沙箱中。McAfee等安全供应商正在试图添加相关技术到其产品系列中。该公司还计划在其ePolicy Orchestrator套件中提供沙箱技术。通过在沙箱中运行可疑恶意软件，我们可以知道该恶意软件可能对端点带来的影响，并自动阻止未来攻击，同时修复所有已经感染的端点。Fortinet的FortiCloud基于云的沙箱服务提供了一个在线沙箱门户网站，以在虚拟环境中执行可疑代码。

当然，安全团队需要扩展威胁检测和保护到连接到其网络的移动设备，特别是因为，与桌面用户相比，移动设备用户沦为网络钓鱼攻击的受害者的几率至少要高两倍。Lookout Mobile Security的Mobile Threat Network向移动用户提供空中保护。Lookout是利用大数据分析方法来发现恶意软件并预测下一次攻击的另一个产品。另外，运行自己应用商店的企业还可以利用Lookout API来确保其提供的应用的安全性。RSA FraudAction Anti Rogue App Service也能够检测渗透到在线应用商店的任何恶意或未经授权移动应用。

无论企业部署了何种高级威胁检测技术，其有效性将取决于配置和监控这些技术的人员。人员是所有管理计划的重要组成部分。管理员必须学会如何有效地利用新型技术，让它们真正提供额外的保护。赛门铁克的Cyber Threat Detection和Incident Response Training等培训，以及SANS等供应商提供的深度培训课程将帮助安全人员了解如何识别威胁并作出响应，同时从恶意事件恢复。

对于任何新IT技术，重要的是，不要被供应商的营销炒作蒙蔽了双眼。更专注于检测和响应并不意味着端点防御技术(例如防火墙和防病毒)不再具有相关性。保护任何网络都需要成文的政策和程序作为成功的基础。同时，资产和数据分类是重点，需要记住的是，虽然威胁管理始于威胁识别，但恢复也是成功的威胁管理过程的重要组成部分。