管理威脅 讓混合威脅清晰可見(jiàn)

李大勇

威脅管理作為一種全新的技術(shù)在逐漸走向成熟,這是由于隨著企業(yè)內(nèi)部部署網(wǎng)絡(luò)安全的復(fù)雜度越發(fā)提高,信息安全、數(shù)據(jù)泄露等問(wèn)題層出不窮造成的。

混合威脅令人頭疼

最讓IT部門頭痛的是有很多員工用的都是筆記本電腦,攜帶外出很容易受到感染,再加上頻繁使用移動(dòng)硬盤和U盤,病毒通過(guò)這些途徑很容易進(jìn)入到公司內(nèi)網(wǎng)。即使企業(yè)網(wǎng)絡(luò)中已經(jīng)部署了多層的防火墻,內(nèi)部計(jì)算機(jī)也都安裝了客戶端防毒軟件,每天仍然有計(jì)算機(jī)會(huì)中病毒,企業(yè)在外部網(wǎng)關(guān)上的防護(hù)就成了擺設(shè)。

全美產(chǎn)業(yè)監(jiān)控機(jī)構(gòu)Attrition.org的調(diào)查顯示,去年全球一共發(fā)生了1.62億次企業(yè)信息風(fēng)險(xiǎn)事件;而美國(guó)身份盜竊資源調(diào)查中心最新統(tǒng)計(jì)顯示,去年美國(guó)總共發(fā)生了7900萬(wàn)次信息安全事件。

正是由于員工辦公地點(diǎn)的不確定性,增加了惡意軟件進(jìn)入內(nèi)部網(wǎng)絡(luò)的概率,致使企業(yè)面臨著更大的風(fēng)險(xiǎn)。受感染的機(jī)器可能通過(guò)網(wǎng)絡(luò)向網(wǎng)絡(luò)罪犯泄漏資料,致使機(jī)密信息丟失的企業(yè)面臨諸如信譽(yù)受損、財(cái)產(chǎn)被盜等問(wèn)題。

因此,針對(duì)這些威脅,企業(yè)更需要一個(gè)能夠支持從網(wǎng)絡(luò)層至應(yīng)用層的多種綜合協(xié)議的網(wǎng)絡(luò)流量檢測(cè)產(chǎn)品,以便確定相關(guān)事件的可疑威脅,還需要利用病毒掃描引擎分析文件內(nèi)容,達(dá)到深層次的威脅檢測(cè)。

針對(duì)這項(xiàng)需求,威脅發(fā)現(xiàn)管理技術(shù)被提上了日程,并且在北美逐漸被采用,這種新技術(shù)適用于檢測(cè)、減輕并管理企業(yè)內(nèi)部網(wǎng)絡(luò)威脅。這種技術(shù)用于鑒定并控制那些混合威脅,幫助企業(yè)最大程度地降低惡意軟件引起的數(shù)據(jù)損失,減少網(wǎng)絡(luò)損害控制成本并提高整體安全性能。

通常來(lái)說(shuō),利用威脅發(fā)現(xiàn)管理技術(shù)檢測(cè)網(wǎng)絡(luò)包括兩大步驟:首先,通過(guò)“發(fā)現(xiàn)威脅”,檢測(cè)內(nèi)部網(wǎng)絡(luò)安全威脅;其次,通過(guò)威脅發(fā)現(xiàn)管理服務(wù),對(duì)第一步驟檢測(cè)到的信息執(zhí)行清除、刪除及修補(bǔ)等動(dòng)作。如果是在云計(jì)算環(huán)境中,威脅發(fā)現(xiàn)管理服務(wù)可以與保護(hù)網(wǎng)絡(luò)的相關(guān)云端服務(wù)器協(xié)作,提前檢測(cè)新威脅,按照企業(yè)用戶的要求發(fā)送報(bào)告并提出相應(yīng)建議。

網(wǎng)絡(luò)威脅的“放大鏡”

對(duì)于IT工程師而言,部署威脅發(fā)現(xiàn)系統(tǒng)后,他們可以非常直觀地從總體上看到節(jié)點(diǎn)和網(wǎng)絡(luò)中正在發(fā)生的事情。有了對(duì)網(wǎng)絡(luò)和員工行為的了解,IT部門就能夠清除網(wǎng)絡(luò)中的混合威脅。

比如,美國(guó)Guess公司的IT團(tuán)隊(duì)就曾在安全上花費(fèi)了大量時(shí)間。由于他們以前的安全解決方案無(wú)法捕捉更新的混合式威脅,因此使得管理工作變得困難而且耗時(shí)。

在兩周的時(shí)間內(nèi),Guess實(shí)施了威脅發(fā)現(xiàn)系統(tǒng)的試用評(píng)估并于隨后在網(wǎng)絡(luò)中部署了相關(guān)設(shè)備——趨勢(shì)科技威脅發(fā)現(xiàn)設(shè)備(Threat Discovery Appliance,TDA)。該設(shè)備允許IT人員識(shí)別并分析公司范圍內(nèi)的威脅安全問(wèn)題,包括未被檢測(cè)的感染、危險(xiǎn)的惡意代碼行為、潛在混合威脅進(jìn)入位置以及其他可能造成漏洞的情況。

事實(shí)上,企業(yè)部署威脅發(fā)現(xiàn)系統(tǒng),可以為企業(yè)增加一個(gè)提供自動(dòng)威脅監(jiān)測(cè)的安全層。過(guò)去,兩名工程師每周都需要用兩天的時(shí)間來(lái)按照《薩班斯?奧克斯法案》(SOX)和支付卡行業(yè)(PCI)的相關(guān)規(guī)定,對(duì)日志文件進(jìn)行手動(dòng)審查,問(wèn)題的解決過(guò)程非常耗時(shí)。

當(dāng)部署威脅發(fā)現(xiàn)系統(tǒng)后,工程師每天只需用10分鐘或15分鐘的時(shí)間就能滿足SOX和PCI的相關(guān)規(guī)定,并且能夠更快速地發(fā)現(xiàn)威脅,大大減少響應(yīng)時(shí)間,有助于更好地保護(hù)公司資產(chǎn)。高可視性使得IT部門對(duì)保護(hù)公司和滿足安全需求充滿了信心。

企業(yè)部署威脅管理系統(tǒng)后的另外一個(gè)好處是,在各個(gè)網(wǎng)絡(luò)層次交換機(jī)上可以執(zhí)行綜合的全面覆蓋,管理員可以通過(guò)監(jiān)控將網(wǎng)絡(luò)中的可疑活動(dòng)都看得一清二楚,從網(wǎng)絡(luò)層至應(yīng)用層的多種協(xié)議流量情況也盡在眼中。威脅管理系統(tǒng)就像“放大鏡”一樣幫助IT部門發(fā)現(xiàn)網(wǎng)絡(luò)中的已知、未知威脅和安全問(wèn)題,從而構(gòu)建了企業(yè)的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)。