企業防御APT攻擊的方法

　　導語：隨著IT基礎架構的不斷升級變化，傳統的安全防御措施開始顯得捉襟見肘。而在面對未知威脅和高級持續威脅(APT)的挑戰時，小編不禁想到富蘭克林的著名格言：一分預防勝似十分治療!

　　這聽起來是很明智的建議!然而，很多企業的作法卻是添加了越來越多的安全工具到其安全資源池來保護企業的數據，包括在云中、內部系統以及移動設備中的數據。其實這讓問題變得更加復雜化，筆者最近遇到一位首席信息安全官使用了來自35家供應商的80款安全工具，而這并不少見。

　　所有這些安全工具都讓首席信息安全官無法清楚了解其安全基礎設施的問題所在。他們使用殺毒軟件來清除惡意軟件，防火墻來阻攔攻擊者，還有很多其他解決方案，但這些系統并沒有以智能的集成的方式在整個混合IT環境進行相互通信。

　　你可能會認為，企業越來越多地投資于新的安全和防御技術可以減少威脅。但正是由于它們之間缺乏真正的融合，而帶來的卻是相反的效果。與此同時攻擊者也在采用新技術，在復雜的APT攻擊時代，我們看到越來越多的安全泄露事故以及被攻擊者入侵的企業。

　　根據2014年Ponemon研究所的調查顯示，大多數受訪企業表示有針對性攻擊是最大的威脅，單從品牌價值來看，這就給他們造成平均940萬美元的損失。而這些泄露事故的成本繼續在增加，特別是隨著企業轉移數據到云計算和混合云基礎設施后。根據Ponemon的《2014年數據泄露成本調查報告》顯示，企業數據泄露成本已經從540萬美元提高到590萬美元。

　　對于真正的APT威脅防護，請記住下面這四個關鍵點：

　　1.預防是根本

　　預防并沒有奏效，因為使用的主要安全工具(防火墻和殺毒軟件)更多地依賴于反應性基于簽名的方法。這些工具的制造商看到攻擊者繞過這些工具，并宣傳殺毒軟件毫無用處，而這并沒有讓很多人驚訝。

　　安全專家在三年前意識到這方面的發展，并開發了新類型的預防技術。這些技術是基于行為引擎、深度包檢測以及新的內嵌阻攔方法。當部署在企業時，這些技術非常有用。當結合新的安全智能檢測，它們會變得更加有效。

　　例如，一個主要醫療服務提供商最近部署了基于行為的方法來保護敏感的患者數據，盡管殺毒解決方案和下一代防火墻等傳統工具都部署到位，但該技術還是檢測到了超過100個高風險感染。該公司通過部署這個方法可以緩解這些感染，并只帶來最小的運營影響，現在還可以進行事件分析和解決方案調優。

　　2.安全智能是支柱

　　數據是安全的核心，也是網絡罪犯的主要目標，大數據分析是解決下一代信息安全問題的基礎。

　　例如，一個大型石油企業在一天內發現25次試圖數據攻擊。阻止這些泄露事故是基于數據、異常行為、應用程序的不正常行為以及其他細微差別。通過利用這些數據攻擊嘗試來了解潛在的攻擊者，他們可以延長數據的保存期限。

　　好消息是，通過分析工作，企業限制可以篩選海量數據(企業內部和外部)來發現隱藏的關系、發現攻擊模式、阻止安全威脅，以及優先排序補救工作。安全情報需要一個包羅萬象的系統(不只是傳統的日志記錄)來攝取大量數據，以及應用行為分析來實際確定泄漏事故可能發生的時間。

　　3.集成實現保護

　　企業安全防護主要是保護其人員、數據、應用程序和基礎設施(云端或內部部署)。問題是，隨著時間的推移，企業已經部署了幾十個終端產品來保護每個領域，首席信息安全官需要一種方法來管理對數據的控制以及對系統的訪問。安全情報可以跨這些不同的安全領域和各種安全工具提供分析儀表板，這是整合的第一步。

　　整合的真正目標是，你的所有安全功能可以協調一致地工作來阻止攻擊。例如，特權用戶的異常行為會觸發警報，讓你可以阻止一個網段。或者，移動設備上出現惡意軟件可以讓你停止對顧客的身份驗證。或者在應用程序中檢測到漏洞會讓你阻止網絡中對這個漏洞的利用。這些都是安全整合的例子。

　　對于真正的集成保護，部署技術和解決方案作為基礎設施的一部分是不夠的，技術必須無縫地與流程和人員來實現保護。

　　4. 開放性很重要

　　企業需要能夠跨各種新的和現有安全技術共享信息和觸發行動。很多這些安全投資包括移動和云計算功能。根據IBM的2013年CISO調查顯示，70%的安全高管表達了對云計算和移動安全的關注。企業需要在云計算提供傳統IT環境相同水平的安全性。

　　這似乎有悖常理，但云計算和移動實際上會提高安全性。隨著企業部署新技術(現在是云計算、社交媒體和移動設備)，你可以更容易從一開始就建立安全性，讓你可以實時控制和更改應用程序、權限和身份驗證過程。

　　通過學習上面這四個關鍵點，銀行可以關聯實時和歷史賬戶活動來發現異常用戶和應用程序行為，阻止可疑交易和發現欺詐行為。全球能源供應商可以每秒分析100萬個事件，每天超過850億個事件，以確保其操作更加安全，以及符合合規性要求。國際服裝公司可以使用安全情報來發現內部人士竊取重要的產品設計。

　　簡單地說，對于安全性，并不只是關于“一分的預防”，還應該將安全看作是一種免疫系統，可以通過成熟的預測分析變得更強，并提供企業范圍的風險視圖，以及不犧牲創新能力的情況下，擁抱移動和云計算。