今日的 CISO(資訊安全長)得在好幾個地方滅火才能確保組織安全。他們被要求用更少的資源做更多的事情,並且得抵禦一連串更加複雜且具進階持續性滲透攻擊」(Advanced Persistent Threat,簡稱APT攻擊),還得防備DDoS攻擊和其他傳統威脅。但他們也必須去做好這一切,因為組織的受攻擊面也隨著時間變大,這部分得謝謝行動裝置、雲端服務和新發現軟體漏洞的爆炸性成長。而就好像這還不夠艱難一般,
作者:Eric Skinner
許多IT安全主管必須綁起一隻手來,這得謝謝他們所使用的各種安全解決方案。通常都會購買這些產品的最佳品牌,但它們之間無法有效地相互溝通而會阻礙有效的防禦。
剖析攻擊
一個完整的威脅防禦平台應該涵蓋橫跨整個威脅生命周期的四個要素:
預防:評估漏洞與潛在威脅,主動保護端點、伺服器和應用程式。
偵測:找到在第一階段沒有被偵測和封鎖的惡意軟體。
分析:評估風險和確認威脅所造成的影響。
反應:提供特徵碼和更新以防止之後的攻擊。
不幸的是,大多數組織沒有一個完全整合的平台可以集中控制跨越這四個象限。意味著威脅可以鑽空隙來滲透入商業網路,造成硬碟的破壞性損害或客戶資料與智慧財產巨大的損失。
這裡是沒有連接威脅防禦可能會發生的事情:
- 攻擊從一封電子郵件出現在使用者的收件匣開始,所夾帶的附件檔可以進行零時差漏洞攻擊及帶來資料竊取威脅。它可能會在預防階段經由特徵碼偵測、行為監控、漏洞防禦、應用程式白名單或單獨的工具加以阻止。
- 但是這零時差漏洞攻擊威脅被設計來繞過這所有的傳統防禦技術,讓偵測階段變得至為重要。惡意軟體沙箱和360度網路分析可以幫助識別進階惡意軟體,這惡意軟體是「進階持續性滲透攻擊」(Advanced Persistent Threat,簡稱APT攻擊)的一部分,特製來躲過雷達和藏匿起來數周、數月甚至幾年,竊取你最敏感的機密資料。
- 但僅是在這階段偵測到威脅還不夠好。還需要透過端點感應程式來加以分析和評估,讓你可以發現此威脅是否已經在你的組織內蔓延,並加以控制。沒有做到分析階段,就可能讓惡意軟體留在你的系統上。接下來是和雲端運算的大數據威脅情報系統進行關聯分析以產生可供行動的情報,分享給四個威脅防禦象限,提高你整體的網路防禦態勢。
- 分析完複雜威脅後就必須做出反應,畢竟,如果你已經用沙箱技術偵測到惡意軟體或用網路層分析找到C&C流量,就必須建立即時的特徵碼來立刻分享給所有的端點和閘道安全元件。沒有做到這一點,就無法在下一次遇到這威脅時自動加以封鎖 — 讓風險加乘。這一階段還應該包括損害清理來自動清除電腦上的任何惡意軟體,這樣做可以讓使用者的工作效率最大化。
