數年前,網絡安全行業有種新思維:
這條思路受到業界野火(huǒ)般蔓延的一(yī)句超簡單格言支持:
公司分(fēn)兩類:已經被入侵的,以及被入侵了還毫無所覺的。
這種論斷存有幾分(fēn)真實性。過去(qù)的很多安全技術都漏成篩子了,因爲它們就是設計來解決已知(zhī)威脅而非零日威脅的。而且,相對而言,網絡對攻擊非常開(kāi)放(fàng)。
面對這些弱點,很多公司都轉向了爲威脅檢測而設計的新技術——惡意軟件沙箱、用戶實體(tǐ)行爲分(fēn)析(UEBA)、終端檢測響應(EDR)、網絡安全分(fēn)析等等。于是,發生(shēng)了什麽呢?公司很快便被各自爲戰的各種技術、汪洋大(dà)海般的新安全數據,以及刺耳的安全警報聲給淹沒。然後,很多公司意識到,他們既沒有足夠的員(yuán)工(gōng),也沒有相應的技術來充分(fēn)利用起該威脅檢測技術。而且,大(dà)面積網絡安全人才短缺的事實,也意味着這一(yī)情況不會很快得到解決。
這裏就有2個問題:
新型高級威脅預防技術
幸運的是,變化即将到來。網絡安全技術供應商(shāng)正在引入一(yī)波可被稱之爲高級威脅預防的技術。這些工(gōng)具在封堵漏洞利用、攻擊方法和惡意軟件上出色得多,且還能大(dà)幅減小(xiǎo)攻擊界面。這就衍生(shēng)出降低威脅檢測噪音和複雜(zá)性的效果了。
随着這些技術的到來和成熟,領先企業将會藉由對以下(xià)技術的開(kāi)發,讓2018年成爲高級威脅預防年:
1. 下(xià)一(yī)代終端安全軟件
此處的重大(dà)技術進展,是惡意軟件檢測/封鎖實時分(fēn)析及機器學習算法的引入。這些創新,令對所有威脅類型的檢測/封鎖效率得到了大(dà)幅提升。Cylance在幾年前就攜機器學習橫空出世,攪亂了終端安全市場的一(yī)池春水。自此,其他廠商(shāng),比如CrowdStrike、邁克菲、Sophos(Invincea)、賽門鐵克和趨勢科技,也加入了類似功能。明年,CISO們也将迅速跟進此方向。
2. 威脅情報網關
過去(qù)幾年,操作化威脅情報的努力一(yī)直沒斷,但此項工(gōng)作很難開(kāi)展。威脅情報網關,例如:Centripetal Networks、Ixia、LookingGlass Networks等,則可以通過威脅評分(fēn)和網絡邊界級攔阻,轉變這項勞動密集型工(gōng)作。爲什麽不用久經驗證的防火(huǒ)牆來幹這事兒呢?因爲在追蹤/封堵大(dà)量威脅上,防火(huǒ)牆做不到專門打造的威脅情報網關那麽好。
3. 安全DNS
與威脅網關關系緊密,安全DNS服務也用于自動追蹤并封堵惡意域名、區域和相關IP地址。思科OpenDNS就是其中(zhōng)佼佼者。但其他廠商(shāng),包括Comodo、Infoblox和Neustar,也提供類似服務。值得指出的是,還有很多免費(fèi)的安全DNS服務,如IBM最近發布的Quad9。
4. 微隔離(lí)
思科ACI和VMware NSX之類的技術,将防火(huǒ)牆、訪問控制列表(ACL)和網絡分(fēn)隔的概念,與基于軟件的策略管理及實現結合了起來。其他廠商(shāng)(Illumio、vArmour、ShieldX等)也提供相似的多平台功能。2018年,CISO會更普遍地使用這些技術,不僅僅局限在數據中(zhōng)心,目的就是要大(dà)幅減小(xiǎo)整體(tǐ)攻擊界面。
5. 智能應用控制
有沒有什麽工(gōng)具可以做到:分(fēn)析應用,确定正常行爲基線,然後在出現混亂的時候發出警報,或者鎖定表征異常/可疑行爲的活動?嗯,Edgewise、VMware AppDefense和ThreatStack或許可以。
雖然真的沒有什麽安全技術是設置好就可以再也不管的,這些工(gōng)具确實用不着像遺留安全控制/監視/分(fēn)析系統那麽頻(pín)繁的關注和饋送。這意味着,CISO不需要龐大(dà)的團隊,不需要長達數月的部署/定制,不需要數周的員(yuán)工(gōng)培訓,就可以享受到這些安全投資(zī)帶來的好處。
有個老梗:兩個人被熊追,第一(yī)個人說“沒用的,熊比我(wǒ)們跑得快多了”,第二個人說,“我(wǒ)不需要跑得比熊快,我(wǒ)跑赢你就夠了”。在網絡安全領域,網絡罪犯、黑客主義者和國家支持的網絡對手,就是熊。高級威脅預防不是萬靈藥,但聰明的CISO,會利用這些工(gōng)具,跑在依靠初級安全控制而門戶大(dà)開(kāi)的其他公司前面。
上一(yī)篇:2018網絡安全預算:到底花多少錢才能有效保護企業
下(xià)一(yī)篇:《新型智慧城市惠民服務評價指數報告2017》正式發布