2018高级威胁防护年:你不需要跑得比熊快 跑赢别人就够了


 

  数年前,网络安全行业有种新思维:

  •   网络安全控制不是特别有效;
  •   因此,高级网络对手可以轻易绕过它们,入侵网络,执行数据窃取;
  •   而且,试图预防攻击基本上是徒劳无功的,所以公司企业应将注意力集中在事件检测和响应上。

这条思路受到业界野火般蔓延的一句超简单格言支持:

  公司分两类:已经被入侵的,以及被入侵了还毫无所觉的。

这种论断存有几分真实性。过去的很多安全技术都漏成筛子了,因为它们就是设计来解决已知威胁而非零日威胁的。而且,相对而言,网络对攻击非常开放。

面对这些弱点,很多公司都转向了为威胁检测而设计的新技术——恶意软件沙箱、用户实体行为分析(UEBA)、终端检测响应(EDR)、网络安全分析等等。于是,发生了什么呢?公司很快便被各自为战的各种技术、汪洋大海般的新安全数据,以及刺耳的安全警报声给淹没。然后,很多公司意识到,他们既没有足够的员工,也没有相应的技术来充分利用起该威胁检测技术。而且,大面积网络安全人才短缺的事实,也意味着这一情况不会很快得到解决。

  这里就有2个问题:

  •   1) 安全控制无甚效果,于是大量坏员工纷纷接入网络;
  •   2) 威胁检测噪音太多且复杂难用。

  新型高级威胁预防技术

幸运的是,变化即将到来。网络安全技术供应商正在引入一波可被称之为高级威胁预防的技术。这些工具在封堵漏洞利用、攻击方法和恶意软件上出色得多,且还能大幅减小攻击界面。这就衍生出降低威胁检测噪音和复杂性的效果了。

随着这些技术的到来和成熟,领先企业将会藉由对以下技术的开发,让2018年成为高级威胁预防年:

  1. 下一代终端安全软件

此处的重大技术进展,是恶意软件检测/封锁实时分析及机器学习算法的引入。这些创新,令对所有威胁类型的检测/封锁效率得到了大幅提升。Cylance在几年前就携机器学习横空出世,搅乱了终端安全市场的一池春水。自此,其他厂商,比如CrowdStrike、迈克菲、Sophos(Invincea)、赛门铁克和趋势科技,也加入了类似功能。明年,CISO们也将迅速跟进此方向。

  2. 威胁情报网关

过去几年,操作化威胁情报的努力一直没断,但此项工作很难开展。威胁情报网关,例如:Centripetal Networks、Ixia、LookingGlass Networks等,则可以通过威胁评分和网络边界级拦阻,转变这项劳动密集型工作。为什么不用久经验证的防火墙来干这事儿呢?因为在追踪/封堵大量威胁上,防火墙做不到专门打造的威胁情报网关那么好。

  3. 安全DNS

与威胁网关关系紧密,安全DNS服务也用于自动追踪并封堵恶意域名、区域和相关IP地址。思科OpenDNS就是其中佼佼者。但其他厂商,包括Comodo、Infoblox和Neustar,也提供类似服务。值得指出的是,还有很多免费的安全DNS服务,如IBM最近发布的Quad9。

  4. 微隔离

思科ACI和VMware NSX之类的技术,将防火墙、访问控制列表(ACL)和网络分隔的概念,与基于软件的策略管理及实现结合了起来。其他厂商(Illumio、vArmour、ShieldX等)也提供相似的多平台功能。2018年,CISO会更普遍地使用这些技术,不仅仅局限在数据中心,目的就是要大幅减小整体攻击界面。

  5. 智能应用控制

有没有什么工具可以做到:分析应用,确定正常行为基线,然后在出现混乱的时候发出警报,或者锁定表征异常/可疑行为的活动?嗯,Edgewise、VMware AppDefense和ThreatStack或许可以。

虽然真的没有什么安全技术是设置好就可以再也不管的,这些工具确实用不着像遗留安全控制/监视/分析系统那么频繁的关注和馈送。这意味着,CISO不需要庞大的团队,不需要长达数月的部署/定制,不需要数周的员工培训,就可以享受到这些安全投资带来的好处。

有个老梗:两个人被熊追,第一个人说“没用的,熊比我们跑得快多了”,第二个人说,“我不需要跑得比熊快,我跑赢你就够了”。在网络安全领域,网络罪犯、黑客主义者和国家支持的网络对手,就是熊。高级威胁预防不是万灵药,但聪明的CISO,会利用这些工具,跑在依靠初级安全控制而门户大开的其他公司前面。

(责任编辑:安博涛)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

为什么说数字世界是由「黑客」创造的?

为什么说数字世界是由「黑客」创造的?

《黑客与画家》是一本为黑客正名的技术散文集。一提到熊猫烧香、网络游戏盗号木马以及...[详细]

2018高级威胁防护年:你不需要跑得比熊快

2018高级威胁防护年:你不需要跑得比熊快 跑赢别人就够了

数年前,网络安全行业有种新思维: 网络安全控制不是特别有效; 因此,高级网络对手可...[详细]

网络安全产业思路调整严防死守变为应急响应

网络安全产业思路调整严防死守变为应急响应

为进一步健全公共互联网网络安全突发事件应急机制,提高公共互联网网络安全突发事件综...[详细]

没有互联网的朝鲜,却已成为“黑客帝国”

没有互联网的朝鲜,却已成为“黑客帝国”

编者注: 要说这世界上哪个国家互联网最发达,可能会有争议。中国人会说我们国家网民...[详细]

伯炎有话说:安全从业人员的价值

伯炎有话说:安全从业人员的价值

信息化、智能化社会形势下,信息安全问题不仅与企业自身利益息息相关,更是上升为关系...[详细]

返回首页 返回顶部