2018高级威胁防护年:你不需要跑得比熊快 跑赢别人就够了
作者:星期六, 十二月 9, 20170

数年前,网络安全行业有种新思维:

  • 网络安全控制不是特别有效;
  • 因此,高级网络对手可以轻易绕过它们,入侵网络,执行数据窃取;
  • 而且,试图预防攻击基本上是徒劳无功的,所以公司企业应将注意力集中在事件检测和响应上。

这条思路受到业界野火般蔓延的一句超简单格言支持:

公司分两类:已经被入侵的,以及被入侵了还毫无所觉的。

这种论断存有几分真实性。过去的很多安全技术都漏成筛子了,因为它们就是设计来解决已知威胁而非零日威胁的。而且,相对而言,网络对攻击非常开放。

面对这些弱点,很多公司都转向了为威胁检测而设计的新技术——恶意软件沙箱、用户实体行为分析(UEBA)、终端检测响应(EDR)、网络安全分析等等。于是,发生了什么呢?公司很快便被各自为战的各种技术、汪洋大海般的新安全数据,以及刺耳的安全警报声给淹没。然后,很多公司意识到,他们既没有足够的员工,也没有相应的技术来充分利用起该威胁检测技术。而且,大面积网络安全人才短缺的事实,也意味着这一情况不会很快得到解决。

这里就有2个问题:

1) 安全控制无甚效果,于是大量坏员工纷纷接入网络;
2) 威胁检测噪音太多且复杂难用。

新型高级威胁预防技术

幸运的是,变化即将到来。网络安全技术供应商正在引入一波可被称之为高级威胁预防的技术。这些工具在封堵漏洞利用、攻击方法和恶意软件上出色得多,且还能大幅减小攻击界面。这就衍生出降低威胁检测噪音和复杂性的效果了。

随着这些技术的到来和成熟,领先企业将会藉由对以下技术的开发,让2018年成为高级威胁预防年:

1. 下一代终端安全软件

此处的重大技术进展,是恶意软件检测/封锁实时分析及机器学习算法的引入。这些创新,令对所有威胁类型的检测/封锁效率得到了大幅提升。Cylance在几年前就携机器学习横空出世,搅乱了终端安全市场的一池春水。自此,其他厂商,比如CrowdStrike、迈克菲、Sophos(Invincea)、赛门铁克和趋势科技,也加入了类似功能。明年,CISO们也将迅速跟进此方向。

2. 威胁情报网关

过去几年,操作化威胁情报的努力一直没断,但此项工作很难开展。威胁情报网关,例如:Centripetal Networks、Ixia、LookingGlass Networks等,则可以通过威胁评分和网络边界级拦阻,转变这项劳动密集型工作。为什么不用久经验证的防火墙来干这事儿呢?因为在追踪/封堵大量威胁上,防火墙做不到专门打造的威胁情报网关那么好。

3. 安全DNS

与威胁网关关系紧密,安全DNS服务也用于自动追踪并封堵恶意域名、区域和相关IP地址。思科OpenDNS就是其中佼佼者。但其他厂商,包括Comodo、Infoblox和Neustar,也提供类似服务。值得指出的是,还有很多免费的安全DNS服务,如IBM最近发布的Quad9。

4. 微隔离

思科ACI和VMware NSX之类的技术,将防火墙、访问控制列表(ACL)和网络分隔的概念,与基于软件的策略管理及实现结合了起来。其他厂商(Illumio、vArmour、ShieldX等)也提供相似的多平台功能。2018年,CISO会更普遍地使用这些技术,不仅仅局限在数据中心,目的就是要大幅减小整体攻击界面。

5. 智能应用控制

有没有什么工具可以做到:分析应用,确定正常行为基线,然后在出现混乱的时候发出警报,或者锁定表征异常/可疑行为的活动?嗯,Edgewise、VMware AppDefense和ThreatStack或许可以。

虽然真的没有什么安全技术是设置好就可以再也不管的,这些工具确实用不着像遗留安全控制/监视/分析系统那么频繁的关注和馈送。这意味着,CISO不需要庞大的团队,不需要长达数月的部署/定制,不需要数周的员工培训,就可以享受到这些安全投资带来的好处。

有个老梗:两个人被熊追,第一个人说“没用的,熊比我们跑得快多了”,第二个人说,“我不需要跑得比熊快,我跑赢你就够了”。在网络安全领域,网络罪犯、黑客主义者和国家支持的网络对手,就是熊。高级威胁预防不是万灵药,但聪明的CISO,会利用这些工具,跑在依靠初级安全控制而门户大开的其他公司前面。

相关阅读

IBM联合发布威胁情报驱动的安全DNS服务
赛门铁克宣称其终端防护产品已超越所有竞争者
真正的云安全微隔离技术来了 云·格全面支持VMware NSX平台

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章