您的位置: 网界网 > 安全 > 正文

APT威胁防护的四大关键

2015年03月30日 21:48:41 | 作者:佚名 | 来源:CIO时代网

摘要:预防并没有奏效,因为使用的主要安全工具(防火墙和杀毒软件)更多地依赖于反应性基于签名的方法。这些工具的制造商看到攻击者绕过这些工具,并宣传杀毒软件毫无用处。

标签
APT
大数据
信息安全

根据2014年Ponemon研究所的调查显示,大多数受访企业表示有针对性攻击是最大的威胁,单从品牌价值来看,这就给他们造成平均940万美元的损失。而这些泄露事故的成本继续在增加,特别是随着企业转移数据到云计算[注]混合云[注]基础设施后。根据Ponemon的《2014年数据泄露成本调查报告》显示,企业数据泄露成本已经从540万美元提高到590万美元。

对于真正的APT[注]威胁防护,请记住下面这四个关键点:

1.预防是根本

预防并没有奏效,因为使用的主要安全工具(防火墙和杀毒软件)更多地依赖于反应性基于签名的方法。这些工具的制造商看到攻击者绕过这些工具,并宣传杀毒软件毫无用处,而这并没有让很多人惊讶。

安全专家在三年前意识到这方面的发展,并开发了新类型的预防技术。这些技术是基于行为引擎、深度包检测以及新的内嵌阻拦方法。当部署在企业时,这些技术非常有用。当结合新的安全智能检测,它们会变得更加有效。

例如,一个主要医疗服务提供商最近部署了基于行为的方法来保护敏感的患者数据,尽管杀毒解决方案和下一代防火墙[注]等传统工具都部署到位,但该技术还是检测到了超过100个高风险感染。该公司通过部署这个方法可以缓解这些感染,并只带来最小的运营影响,现在还可以进行事件分析和解决方案调优。

2.安全智能是支柱

数据是安全的核心,也是网络罪犯的主要目标,大数据[注]分析是解决下一代信息安全问题的基础。

例如,一个大型石油企业在一天内发现25次试图数据攻击。阻止这些泄露事故是基于数据、异常行为、应用程序的不正常行为以及其他细微差别。通过利用这些数据攻击尝试来了解潜在的攻击者,他们可以延长数据的保存期限。

好消息是,通过分析工作,企业限制可以筛选海量数据(企业内部和外部)来发现隐藏的关系、发现攻击模式、阻止安全威胁,以及优先排序补救工作。安全情报需要一个包罗万象的系统(不只是传统的日志记录)来摄取大量数据,以及应用行为分析来实际确定泄漏事故可能发生的时间。

3.集成实现保护

企业安全防护主要是保护其人员、数据、应用程序和基础设施(云端或内部部署)。问题是,随着时间的推移,企业已经部署了几十个终端产品来保护每个领域,首席信息安全官需要一种方法来管理对数据的控制以及对系统的访问。安全情报可以跨这些不同的安全领域和各种安全工具提供分析仪表板,这是整合的第一步。

整合的真正目标是,你的所有安全功能可以协调一致地工作来阻止攻击。例如,特权用户的异常行为会触发警报,让你可以阻止一个网段。或者,移动设备上出现恶意软件可以让你停止对顾客的身份验证。或者在应用程序中检测到漏洞会让你阻止网络中对这个漏洞的利用。这些都是安全整合的例子。

对于真正的集成保护,部署技术和解决方案作为基础设施的一部分是不够的(+本站微信networkworldweixin),技术必须无缝地与流程和人员来实现保护。

4. 开放性很重要

企业需要能够跨各种新的和现有安全技术共享信息和触发行动。很多这些安全投资包括移动和云计算功能。根据IBM的2013年CISO调查显示,70%的安全高管表达了对云计算和移动安全的关注。企业需要在云计算提供传统IT环境相同水平的安全性。

这似乎有悖常理,但云计算和移动实际上会提高安全性。随着企业部署新技术(现在是云计算、社交媒体和移动设备),你可以更容易从一开始就建立安全性,让你可以实时控制和更改应用程序、权限和身份验证过程。

通过学习上面这四个关键点,银行可以关联实时和历史账户活动来发现异常用户和应用程序行为,阻止可疑交易和发现欺诈行为。全球能源供应商可以每秒分析100万个事件,每天超过850亿个事件,以确保其操作更加安全,以及符合合规性要求。国际服装公司可以使用安全情报来发现内部人士窃取重要的产品设计。

简单地说,对于安全性,并不只是关于"一分的预防",还应该将安全看作是一种免疫系统,可以通过成熟的预测分析变得更强,并提供企业范围的风险视图,以及不牺牲创新能力的情况下,拥抱移动和云计算。

参考资料

1.大数据:(Big Data),研究机构Gartner给出了这样的定义。“大数据”是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。 ...详情>>

2.APT:(Advanced Persistent Threat,高级持续性威胁),是指黑客或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为...详情>>

3.云计算:(Cloud Computing)描述了一种基于互联网的新的IT服务增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展而且经常是虚拟化的资源。云计算是继1980年代大型计算机到...详情>>

4.混合云:(Hybrid cloud)由两个或更多云端系统组成云端基础设施,这些云端系统包含了私有云、社群云、公用云等。这些系统保有独立性,但是借由标准化或封闭式专属技术相互结合,确...详情>>

5.下一代防火墙:(Next Generation Firewall),简称NGFW,是可以全面应对应用层威胁的高性能防火墙。通过借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安...详情>>

[责任编辑:网络安全 lin_hongji@cnw.com.cn]

我也说几句