移动安全安全管理 应用案例 网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 安全管理 >

浅谈安然威胁检测和治理的演变

时间:2014-04-02 10:31来源:TuZhiJiaMi企业信息安全专家 点击:
此刻所有类型的收集罪犯都可以经由过程混进企业运作布景当中,很等闲地绕过现有企业安然防御。有些高级报复打击可以暗藏几个月乃至几年,这完全倾覆了传统歹意检测产品--传统产品只会
Tags安全威胁(85)应用安全(1006)安全管理(325)  

  此刻所有类型的收集罪犯都可以经由过程混进企业运作布景当中,很等闲地绕过现有企业安然防御。有些高级报复打击可以暗藏几个月乃至几年,这完全倾覆了传统歹意检测产品--传统产品只会在给按时候点扫描已知歹意软件。

  例如,新发现的木马APT.BaneChant采取了多种检测规避手艺,包含假装成合法过程,监控鼠标点击来避免沙盒阐发,和履行多字节XOR加密来规避收集级二进制提取手艺等。它还将fileless歹意代码直接加载到内存中,并经由过程URL缩短和动态DNS办事,操纵重定历来规避主动化域名黑名单。

  这些报复打击正在测试现有安然阐发东西的局限性,并且,比来的Mandiant公司APT1陈述显示,收集间谍勾当已变成持久复杂的勾当。按照LogRhythm公司的2013年收集威胁预备环境查询拜访显示,75%的受访者对其辨认数据泄漏关头指标的能力贫乏决定信念,这个数据让人吃惊。

  良多报导的数据泄漏变乱最初都未被发现,并且,凡是最后大年夜大都是由第三方发现,而不是内部安然团队。

  企业不克不及再纯真依托端点来禁止这类类型的歹意软件传染。企业必需摆设额外的动态的报复打击前防御,在所有层有效匹敌高级报复打击,并辨认没有见过的行动。值得光荣的是,良多安然供给商已开端改进其谍报驱动型安然产品以应对此刻的高级威胁标题问题。

  大年夜数据阐发

  此中一种常见的编制是连络安然大年夜数据阐发来帮忙发现深躲在企业收集流量中的歹意勾当。大年夜数据是指可以对收集勾当供给线索的任何类型的数据,包含布局化和非布局化数据。这类大年夜数据包含企业创作发现的海量数据:电子邮件、文档、社交媒体数据、音频、点击流、收集流量和日记文件(拜候文件的汗青和实光阴记文件)、注册表更改,和过程启动和遏制。还有其他系统信息(例如措置器或内存操纵率)也能够帮忙发现系统状况中意想不到的改变,别的,外部威胁谍报源可以进一步明白甚么是正常或可接管行动,如许阐发不再局限于企业本身成立的数据。当然这些数据多年来被存储在孤岛式存储库或分离在企业内,不外,此刻的报复打击形态的可骇实际正在鞭策对手艺的新需求,新手艺需要可以或许聚合这些数据、快速阐发数据,并供给发现高级报复打击的线索—不然这类报复打击可能继续隐躲。

  当然安然信息和事务治理(SIEM)产品为企业勾当数据供给了一个汇集和监控的中间点,但大年夜部门企业摆设这些产品主如果为了知足合规要求,出格是针对商家的付出卡行业数据安然尺度(PCI DSS)。事实上,很少有企业操纵该手艺的事务联系关系功能,并且,大年夜大都产品都没法供给深度可视性来知足此刻的阐发需求。供给商正在试图经由过程下一代SIEM产品来解决这个标题问题,下一代SIEM产品扩大年夜了数据汇集与及时阐发的范围和范围,使不合的事务可以整合来发现异常勾当。(需要寄望的是,收集行动异常检测(NBAD)产品也供给这类功能,但只有在收集层)。

  操纵这类大年夜数据的自适应谍报(体味甚么是正常行动以发现异常行动)的及时阐发可以较着进步发现高级威胁或数据泄漏指标的机缘,这些威胁可能来自多种报复打击媒介,例如高级延续威胁、讹诈和歹意内部报复打击。这类报复打击前的重点在于保持领先于报复打击者,并找出暗藏的报复打击模式,即便它们漫衍在不应时候。

  此刻有良多新的立异产品进进市场。LogRhythm SIEM 2.0平台此刻连络了Rapid7的Nexpose缝隙治理产品来在LogRhythm节制台供给数据安然阐发和统一风险评估功能。IBM正在操纵IBM QRadar Security Intelligence和IBM Big Data Platform连络安然谍报和大年夜数据,以跨大年夜范围布局化和非机构化数据供给一种周全的综合的编制来进行及时阐发。RSA Security Analytics产品操纵来自全球安然社区的威胁谍报和RSA FirstWatch,操纵他人已发现的谍报,进步企业大年夜数据的歹意勾当检测率。

  在评估下一代SIEM产品时,可扩大性、强大年夜的阐发东西和对异构事务来历的撑持是最首要的身分,出格是当涉及时候敏感法度(例如讹诈检测)时,以确保它们可以或许措置大年夜量的多样化数据。当然,在评估解决方案时,还应当考虑其按照营业环境成立可把持谍报的能力,从而,对企业构成最大年夜风险的威胁可以优先采纳步履。别的一个首要特点是可视化和摸索大年夜数据的东西,这类东西可以快速发现受传染设备和其他热点。

  沙箱和白名单

  对减缓此刻的威胁,SIEM和大年夜数据其实不是独一的选择。沙箱和白名单是值得考虑的手艺。Bit9的白名单安然软件是操纵端点代办署理的基于信赖的解决方案,它承诺治理员指定可在桌面和台式机履行的软件。别的一个新功能是操纵按需基于云的Bit9 Software Reputation Service来高精度检测可疑歹意软件和相干文件。

  沙箱可以隔离利用法度,如许歹意软件就不会从一个法度传输到另外一个法度。任何未知的利用法度或内容都可以被视为不成信,并隔离在本身的沙箱中。McAfee等安然供给商正在试图添加相干手艺到其产品系列中。该公司还打算在其ePolicy Orchestrator套件中供给沙箱手艺。经由过程在沙箱中运行可疑歹意软件,我们可以知道该歹意软件可能对端点带来的影响,并主动禁止将来报复打击,同时修复所有已传染的端点。Fortinet的FortiCloud基于云的沙箱办事供给了一个在线沙箱门户网站,以在虚拟环境中履行可疑代码。

  当然,安然团队需要扩大威胁检测和呵护到连接到其收集的移动设备,出格是因为,与桌面用户比拟,移动设备用户沦为收集垂钓报复打击的受害者的概率起码要高两倍。Lookout Mobile Security的Mobile Threat Network向移动用户供给空中呵护。Lookout是操纵大年夜数据阐发编制来发现歹意软件并猜想下一次报复打击的另外一个产品。别的,运行本身利用商铺的企业还可以操纵Lookout API来确保其供给的利用的安然性。RSA FraudAction Anti Rogue App Service也能够或许检测渗入到在线利用商铺的任何歹意或未经授权移动利用。

  不管企业摆设了何种高级威胁检测手艺,其有效性将取决于建设和监控这些手艺的人员。人员是所有治理打算的首要构成部门。治理员必需学会若何有效地操纵新型手艺,让它们真正供给额外的呵护。赛门铁克的Cyber Threat Detection和Incident Response Training等培训,和SANS等供给商供给的深度培训课程将帮忙安然人员体味若何辨认威胁并作出响应,同时从歹意事务恢复。

  对任何新IT手艺,首要的是,不要被供给商的营销炒作蒙蔽了双眼。更专注于检测和响应其实不料味着端点防驭手艺(例如防火墙和防病毒)不再具有相干性。呵护任何收集都需要成文的政策和法度作为成功的根本。同时,资产和数据分类是重点,需要记住的是,当然威胁治理始于威胁辨认,但恢复也是成功的威胁治理过程的首要构成部门。

------分隔线----------------------------

推荐内容