|
刚开始的时候,这很容易,威胁数量极少,能够识别所有威胁便已足够。但后来随着恶意软件的进化,成为反病毒公司的噩梦,因为这会消耗专家研究员数天甚至数周时间,才能创建新的检测规则。 随着互联网的崛起,金钱成为网络罪犯的动机。黑客攻击能力提升巨大,无论在规模还是复杂性方面都如此。过去,一款病毒要数周或数月,才能从洛杉矶传播到纽约。现在,互联网上,数秒之内病毒就能从华盛顿传到东京。渗透防御和隐藏恶意软件的新技术,让威胁能够在企业网络中驻留更长时间。而安全公司,被迫再次做出调整适应。 黑名单,是传统反病毒公司用来对抗网络犯罪的一种战术。黑名单有着几十年的经验,包含准确的病毒特征检测,能够有效检测亿万恶意软件样本。但不利的一面是,黑名单有很多不确定性。它们的目标是找出恶意软件,任何被认为是非恶意的东西都被允许运行。尽管安全厂商和客户都不清楚什么是“非恶意”,这些“非恶意的东西”又都干些什么。 为弥补该不确定性,我们又看到了白名单战术。白名单因只允许好软件在系统中执行而很有效果。然而,就像黑名单一样,该方式也有缺陷,比如被植入了木马的程序。 黑名单和白名单都曾辉煌一时,但在高级威胁时代,单纯依靠黑/白名单是行不通的。万一攻击根本不涉及恶意软件呢?那这两种方式就都失效了,因为他们根本就是一体两面,都只是在消除恶意软件而已。网络罪犯可以尝试千万次,而一旦一次成功,他们就赢了。这可不是一场公平竞赛,我们的搞定方案需要进化,要领先一步。 今年的威瑞森数据泄露调查报告中,他们涵盖了安全事件及攻击者运用的不一样战术。仅51%的案例中运用了恶意软件,一半都根本没涉及到恶意软件!这意味着,黑名单和白名单两种方式都毫无作用,保护不了你的公司。 那么,我们现在开始该怎么做呢?企业未来的高级网络安全搞定方案应该怎样做呢? 1. 所有文件分类运用
2. 自动化 分类所有文件的唯一可扩展&可行方式,就是通过自动化,可提供最佳可能准确率。 3. 实时监测 攻击者已经能很成功地利用好软件,所有我们需要知道每台电脑上实时发生的所有事,包括无恶意软件攻击检测。 4. 取证 无论我们做得有多好,无论罪犯终会入侵计算机,我们不可能总是胜过他们。这就是为什么要有这最后一个组件的原因。一旦检测到安全事件,在取证的支持下,我们可以回答所有需要被回答的问题:发生了什么?什么时候发生的?攻击者是怎么进来的?他们做了什么? 纳入所有这些组件对安全厂商而言是一场艰苦的战斗,但作为一个行业,我们知道过去对抗最复杂的网络攻击需要付出什么。如今,这就是个执行问题,是企业认识到安全对自身目标重要性的问题。 |
