現(xiàn)在所有類型的網(wǎng)絡(luò)罪犯都可以通過混入企業(yè)運(yùn)作背景之中，很容易地繞過現(xiàn)有企業(yè)安全防御。有些高級攻擊可以潛伏幾個(gè)月甚至幾年，這完全顛覆了傳統(tǒng)惡意檢測產(chǎn)品--傳統(tǒng)產(chǎn)品只會在給定時(shí)間點(diǎn)掃描已知惡意軟件。

例如，新發(fā)現(xiàn)的木馬APT.BaneChant采用了多種檢測規(guī)避技術(shù)，包括偽裝成合法進(jìn)程，監(jiān)控鼠標(biāo)點(diǎn)擊來避免沙盒分析，以及執(zhí)行多字節(jié)XOR加密來規(guī)避網(wǎng)絡(luò)級二進(jìn)制提取技術(shù)等。它還將fileless惡意代碼直接加載到內(nèi)存中，并通過URL縮短和動態(tài)DNS服務(wù)，利用重定向來規(guī)避自動化域名黑名單。

這些攻擊正在測試現(xiàn)有安全分析工具的局限性，并且，最近的Mandiant公司APT1報(bào)告顯示，網(wǎng)絡(luò)間諜活動已經(jīng)變?yōu)殚L期復(fù)雜的活動。根據(jù)LogRhythm公司的2013年網(wǎng)絡(luò)威脅準(zhǔn)備情況調(diào)查顯示，75%的受訪者對其識別數(shù)據(jù)泄露關(guān)鍵指標(biāo)的能力缺乏信心，這個(gè)數(shù)據(jù)讓人吃驚。

很多報(bào)道的數(shù)據(jù)泄露事故最初都未被發(fā)現(xiàn)，并且，通常最后大多數(shù)是由第三方發(fā)現(xiàn)，而不是內(nèi)部安全團(tuán)隊(duì)。

企業(yè)不能再單純依靠端點(diǎn)來阻止這種類型的惡意軟件感染。企業(yè)必須部署額外的動態(tài)的攻擊前防御，在所有層有效對抗高級攻擊，并識別沒有見過的行為。值得慶幸的是，很多安全供應(yīng)商已經(jīng)開始改進(jìn)其情報(bào)驅(qū)動型安全產(chǎn)品以應(yīng)對現(xiàn)在的高級威脅問題。

大數(shù)據(jù)分析

其中一種常見的方法是結(jié)合安全大數(shù)據(jù)分析來幫助發(fā)現(xiàn)深藏在企業(yè)網(wǎng)絡(luò)流量中的惡意活動。大數(shù)據(jù)是指可以對網(wǎng)絡(luò)活動提供線索的任何類型的數(shù)據(jù)，包括結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)。這種大數(shù)據(jù)包括企業(yè)創(chuàng)造的海量數(shù)據(jù)：電子郵件、文檔、社交媒體數(shù)據(jù)、音頻、點(diǎn)擊流、網(wǎng)絡(luò)流量和日志文件(訪問文件的歷史和實(shí)時(shí)日志文件)、注冊表更改，以及進(jìn)程啟動和停止。還有其他系統(tǒng)信息(例如處理器或內(nèi)存利用率)也可以幫助發(fā)現(xiàn)系統(tǒng)狀態(tài)中意想不到的變化，另外，外部威脅情報(bào)源可以進(jìn)一步明確什么是正常或可接受行為，這樣分析不再局限于企業(yè)本身創(chuàng)建的數(shù)據(jù)。雖然這些數(shù)據(jù)多年來被存儲在孤島式存儲庫或分散在企業(yè)內(nèi)，不過，現(xiàn)在的攻擊形態(tài)的可怕現(xiàn)實(shí)正在推動對技術(shù)的新需求，新技術(shù)需要能夠聚合這些數(shù)據(jù)、快速分析數(shù)據(jù)，并提供發(fā)現(xiàn)高級攻擊的線索—否則這種攻擊可能繼續(xù)隱藏。

雖然安全信息和事件管理(SIEM)產(chǎn)品為企業(yè)活動數(shù)據(jù)提供了一個(gè)收集和監(jiān)控的中心點(diǎn)，但大部分企業(yè)部署這些產(chǎn)品主要是為了滿足合規(guī)要求，特別是針對商家的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)。事實(shí)上，很少有企業(yè)利用該技術(shù)的事件關(guān)聯(lián)功能，并且，大多數(shù)產(chǎn)品都無法提供深度可視性來滿足現(xiàn)在的分析需求。供應(yīng)商正在試圖通過下一代SIEM產(chǎn)品來解決這個(gè)問題，下一代SIEM產(chǎn)品擴(kuò)大了數(shù)據(jù)收集與實(shí)時(shí)分析的范圍和規(guī)模，使不同的事件可以整合來發(fā)現(xiàn)異常活動。(需要注意的是，網(wǎng)絡(luò)行為異常檢測(NBAD)產(chǎn)品也提供這種功能，但只有在網(wǎng)絡(luò)層)。

利用這種大數(shù)據(jù)的自適應(yīng)情報(bào)(了解什么是正常行為以發(fā)現(xiàn)異常行為)的實(shí)時(shí)分析可以顯著提高發(fā)現(xiàn)高級威脅或數(shù)據(jù)泄露指標(biāo)的機(jī)會，這些威脅可能來自多種攻擊媒介，例如高級持續(xù)威脅、欺詐和惡意內(nèi)部攻擊。這種攻擊前的重點(diǎn)在于保持領(lǐng)先于攻擊者，并找出潛在的攻擊模式，即使它們分布在不同時(shí)間。

現(xiàn)在有很多新的創(chuàng)新產(chǎn)品進(jìn)入市場。LogRhythm SIEM 2.0平臺現(xiàn)在結(jié)合了Rapid7的Nexpose漏洞管理產(chǎn)品來在LogRhythm控制臺提供數(shù)據(jù)安全分析和統(tǒng)一風(fēng)險(xiǎn)評估功能。IBM正在利用IBM QRadar Security Intelligence和IBM Big Data Platform結(jié)合安全情報(bào)和大數(shù)據(jù)，以跨大規(guī)模結(jié)構(gòu)化和非機(jī)構(gòu)化數(shù)據(jù)提供一種全面的綜合的方法來進(jìn)行實(shí)時(shí)分析。RSA Security Analytics產(chǎn)品利用來自全球安全社區(qū)的威脅情報(bào)和RSA FirstWatch，利用別人已經(jīng)發(fā)現(xiàn)的情報(bào)，提高企業(yè)大數(shù)據(jù)的惡意活動檢測率。

在評估下一代SIEM產(chǎn)品時(shí)，可擴(kuò)展性、強(qiáng)大的分析工具以及對異構(gòu)事件來源的支持是最重要的因素，特別是當(dāng)涉及時(shí)間敏感程序(例如欺詐檢測)時(shí)，以確保它們能夠處理大量的多樣化數(shù)據(jù)。當(dāng)然，在評估解決方案時(shí)，還應(yīng)該考慮其根據(jù)業(yè)務(wù)情況創(chuàng)建可操作情報(bào)的能力，從而，對企業(yè)構(gòu)成最大風(fēng)險(xiǎn)的威脅可以優(yōu)先采取行動。另外一個(gè)重要特點(diǎn)是可視化和探索大數(shù)據(jù)的工具，這種工具可以快速發(fā)現(xiàn)受感染設(shè)備和其他熱點(diǎn)。

沙箱和白名單

對于緩解現(xiàn)在的威脅，SIEM和大數(shù)據(jù)并不是唯一的選擇。沙箱和白名單是值得考慮的技術(shù)。Bit9的白名單安全軟件是利用端點(diǎn)代理的基于信任的解決方案，它允許管理員指定可在桌面和臺式機(jī)執(zhí)行的軟件。另外一個(gè)新功能是利用按需基于云的Bit9 Software Reputation Service來高精度檢測可疑惡意軟件和相關(guān)文件。

沙箱可以隔離應(yīng)用程序，這樣惡意軟件就不會從一個(gè)程序傳輸?shù)搅硪粋€(gè)程序。任何未知的應(yīng)用程序或內(nèi)容都可以被視為不可信，并隔離在自己的沙箱中。McAfee等安全供應(yīng)商正在試圖添加相關(guān)技術(shù)到其產(chǎn)品系列中。該公司還計(jì)劃在其ePolicy Orchestrator套件中提供沙箱技術(shù)。通過在沙箱中運(yùn)行可疑惡意軟件，我們可以知道該惡意軟件可能對端點(diǎn)帶來的影響，并自動阻止未來攻擊，同時(shí)修復(fù)所有已經(jīng)感染的端點(diǎn)。Fortinet的FortiCloud基于云的沙箱服務(wù)提供了一個(gè)在線沙箱門戶網(wǎng)站，以在虛擬環(huán)境中執(zhí)行可疑代碼。

當(dāng)然，安全團(tuán)隊(duì)需要擴(kuò)展威脅檢測和保護(hù)到連接到其網(wǎng)絡(luò)的移動設(shè)備，特別是因?yàn)椋c桌面用戶相比，移動設(shè)備用戶淪為網(wǎng)絡(luò)釣魚攻擊的受害者的幾率至少要高兩倍。Lookout Mobile Security的Mobile Threat Network向移動用戶提供空中保護(hù)。Lookout是利用大數(shù)據(jù)分析方法來發(fā)現(xiàn)惡意軟件并預(yù)測下一次攻擊的另一個(gè)產(chǎn)品。另外，運(yùn)行自己應(yīng)用商店的企業(yè)還可以利用Lookout API來確保其提供的應(yīng)用的安全性。RSA FraudAction Anti Rogue App Service也能夠檢測滲透到在線應(yīng)用商店的任何惡意或未經(jīng)授權(quán)移動應(yīng)用。

無論企業(yè)部署了何種高級威脅檢測技術(shù)，其有效性將取決于配置和監(jiān)控這些技術(shù)的人員。人員是所有管理計(jì)劃的重要組成部分。管理員必須學(xué)會如何有效地利用新型技術(shù)，讓它們真正提供額外的保護(hù)。賽門鐵克的Cyber Threat Detection和Incident Response Training等培訓(xùn)，以及SANS等供應(yīng)商提供的深度培訓(xùn)課程將幫助安全人員了解如何識別威脅并作出響應(yīng)，同時(shí)從惡意事件恢復(fù)。

對于任何新IT技術(shù)，重要的是，不要被供應(yīng)商的營銷炒作蒙蔽了雙眼。更專注于檢測和響應(yīng)并不意味著端點(diǎn)防御技術(shù)(例如防火墻和防病毒)不再具有相關(guān)性。保護(hù)任何網(wǎng)絡(luò)都需要成文的政策和程序作為成功的基礎(chǔ)。同時(shí)，資產(chǎn)和數(shù)據(jù)分類是重點(diǎn)，需要記住的是，雖然威脅管理始于威脅識別，但恢復(fù)也是成功的威脅管理過程的重要組成部分。