李大勇

威脅管理作為一種全新的技術(shù)在逐漸走向成熟,這是由于隨著企業(yè)內(nèi)部部署網(wǎng)絡(luò)安全的復(fù)雜度越發(fā)提高,信息安全、數(shù)據(jù)泄露等問題層出不窮造成的。

混合威脅令人頭疼

最讓IT部門頭痛的是有很多員工用的都是筆記本電腦,攜帶外出很容易受到感染,再加上頻繁使用移動硬盤和U盤,病毒通過這些途徑很容易進入到公司內(nèi)網(wǎng)。即使企業(yè)網(wǎng)絡(luò)中已經(jīng)部署了多層的防火墻,內(nèi)部計算機也都安裝了客戶端防毒軟件,每天仍然有計算機會中病毒,企業(yè)在外部網(wǎng)關(guān)上的防護就成了擺設(shè)。

全美產(chǎn)業(yè)監(jiān)控機構(gòu)Attrition.org的調(diào)查顯示,去年全球一共發(fā)生了1.62億次企業(yè)信息風(fēng)險事件;而美國身份盜竊資源調(diào)查中心最新統(tǒng)計顯示,去年美國總共發(fā)生了7900萬次信息安全事件。

正是由于員工辦公地點的不確定性,增加了惡意軟件進入內(nèi)部網(wǎng)絡(luò)的概率,致使企業(yè)面臨著更大的風(fēng)險。受感染的機器可能通過網(wǎng)絡(luò)向網(wǎng)絡(luò)罪犯泄漏資料,致使機密信息丟失的企業(yè)面臨諸如信譽受損、財產(chǎn)被盜等問題。

因此,針對這些威脅,企業(yè)更需要一個能夠支持從網(wǎng)絡(luò)層至應(yīng)用層的多種綜合協(xié)議的網(wǎng)絡(luò)流量檢測產(chǎn)品,以便確定相關(guān)事件的可疑威脅,還需要利用病毒掃描引擎分析文件內(nèi)容,達到深層次的威脅檢測。

針對這項需求,威脅發(fā)現(xiàn)管理技術(shù)被提上了日程,并且在北美逐漸被采用,這種新技術(shù)適用于檢測、減輕并管理企業(yè)內(nèi)部網(wǎng)絡(luò)威脅。這種技術(shù)用于鑒定并控制那些混合威脅,幫助企業(yè)最大程度地降低惡意軟件引起的數(shù)據(jù)損失,減少網(wǎng)絡(luò)損害控制成本并提高整體安全性能。

通常來說,利用威脅發(fā)現(xiàn)管理技術(shù)檢測網(wǎng)絡(luò)包括兩大步驟:首先,通過“發(fā)現(xiàn)威脅”,檢測內(nèi)部網(wǎng)絡(luò)安全威脅;其次,通過威脅發(fā)現(xiàn)管理服務(wù),對第一步驟檢測到的信息執(zhí)行清除、刪除及修補等動作。如果是在云計算環(huán)境中,威脅發(fā)現(xiàn)管理服務(wù)可以與保護網(wǎng)絡(luò)的相關(guān)云端服務(wù)器協(xié)作,提前檢測新威脅,按照企業(yè)用戶的要求發(fā)送報告并提出相應(yīng)建議。

網(wǎng)絡(luò)威脅的“放大鏡”

對于IT工程師而言,部署威脅發(fā)現(xiàn)系統(tǒng)后,他們可以非常直觀地從總體上看到節(jié)點和網(wǎng)絡(luò)中正在發(fā)生的事情。有了對網(wǎng)絡(luò)和員工行為的了解,IT部門就能夠清除網(wǎng)絡(luò)中的混合威脅。

比如,美國Guess公司的IT團隊就曾在安全上花費了大量時間。由于他們以前的安全解決方案無法捕捉更新的混合式威脅,因此使得管理工作變得困難而且耗時。

在兩周的時間內(nèi),Guess實施了威脅發(fā)現(xiàn)系統(tǒng)的試用評估并于隨后在網(wǎng)絡(luò)中部署了相關(guān)設(shè)備——趨勢科技威脅發(fā)現(xiàn)設(shè)備(Threat Discovery Appliance,TDA)。該設(shè)備允許IT人員識別并分析公司范圍內(nèi)的威脅安全問題,包括未被檢測的感染、危險的惡意代碼行為、潛在混合威脅進入位置以及其他可能造成漏洞的情況。

事實上,企業(yè)部署威脅發(fā)現(xiàn)系統(tǒng),可以為企業(yè)增加一個提供自動威脅監(jiān)測的安全層。過去,兩名工程師每周都需要用兩天的時間來按照《薩班斯?奧克斯法案》(SOX)和支付卡行業(yè)(PCI)的相關(guān)規(guī)定,對日志文件進行手動審查,問題的解決過程非常耗時。

當(dāng)部署威脅發(fā)現(xiàn)系統(tǒng)后,工程師每天只需用10分鐘或15分鐘的時間就能滿足SOX和PCI的相關(guān)規(guī)定,并且能夠更快速地發(fā)現(xiàn)威脅,大大減少響應(yīng)時間,有助于更好地保護公司資產(chǎn)。高可視性使得IT部門對保護公司和滿足安全需求充滿了信心。

企業(yè)部署威脅管理系統(tǒng)后的另外一個好處是,在各個網(wǎng)絡(luò)層次交換機上可以執(zhí)行綜合的全面覆蓋,管理員可以通過監(jiān)控將網(wǎng)絡(luò)中的可疑活動都看得一清二楚,從網(wǎng)絡(luò)層至應(yīng)用層的多種協(xié)議流量情況也盡在眼中。威脅管理系統(tǒng)就像“放大鏡”一樣幫助IT部門發(fā)現(xiàn)網(wǎng)絡(luò)中的已知、未知威脅和安全問題,從而構(gòu)建了企業(yè)的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)。