增強型威脅檢測:“第二層”安全技術
威脅檢測已經超越了基于簽名的防火墻和入侵檢測系統,包含了監測內容和通信的新技術。然而,這些第二層技術并沒有包括在安全預算中,原因有很多。其一:這些新系統和服務(安全智能、威脅預測和建模、攻擊檢測系統、取證)被排除在外是因為企業目光短淺地專注于傳統最佳做法或過時的合規性。
最高級別的安全性可以分為三個方面:人、流程和技術。根據公司收入、垂直行業和地理位置的不同,人和流程將有所不同。然而,在大多數垂直行業,大部分安全技術和威脅檢測保持相對穩定和靜態,其中包括第一層安全技術。這些技術被認為是安全最佳做法的基礎:防火墻、防病毒、入侵檢測/防御系統、安全web網關、消息傳遞安全、VPN和安全信息及事件管理。
第一層安全技術是任何安全架構的基礎,但我們已經使用它們長達20年,防病毒軟件甚至長達30年。現在我們是時候開始采用和擁抱新技術了。(這里的新技術并不是在產品類別前加上“下一代”的已知技術)。
坦白地說,我們需要“現代”技術,這些網絡安全設備和服務被稱為第二層技術。這些概念說明了安全行業內獨特模式的轉變,同時,解決了安全最佳做法的根本誤解。
增強型威脅檢測的重要性
威脅形式是動態的,總是會不斷出現新的漏洞利用方法。第一層安全技術的最大的問題是它們無法阻止未知惡意軟件,或者當攻擊成功執行后你甚至都不知道。
對于第一層安全技術的常見誤解是,這些設備和軟件聲稱覆蓋惡意軟件,但覆蓋的深度水平并沒有明確,這取決于安全供應商。例如,一家安全供應商聲稱對數百未知漏洞提供零日覆蓋,如果你仔細看其過濾器設置,你會發現,大部分零日過濾器在默認下是禁用的,這是對零日覆蓋的營銷說法,但如果在默認下它沒有打開,它如何幫助你抵御威脅和降低風險?
大多數第一層安全技術可以保護你免受已知威脅的攻擊。這方面一個很好的例子是微軟。在微軟星期二補丁日(即每個月的第二個星期二)都會發布Windows的補丁修復。微軟做得好的地方在于,他們與其微軟主動保護計劃(Microsoft Active Protections Program)的安全供應商成員建立了協作關系。微軟在將漏洞信息向公眾發布之前,會先發給這些供應商。這使這些供應商有時間來創建過濾器和簽名來識別已知漏洞。
然而,問題是識別在傳輸中或者目標資產中的未知惡意內容的能力。下一步是確定攻擊是否成功。大多數第一層安全技術無法提供這些急需的功能。
一些第一層安全設備(例如入侵防御系統)無法追蹤交易的狀態,因為它們在執行多個操作來驗證流經IPS的數據是否與特定過濾器/簽名或模式匹配。此外,一些系統缺乏解析包含惡意軟件的復合文檔(例如PDF或者Word文檔)的能力。了解正在保護企業基礎設施的產品中存在的問題可以讓你重新考慮你的安全策略。
任何安全策略的目標是降低你的總體風險。重要的是要明白,并沒有萬能的方法來抵御全部威脅。安全社區經常引述《孫子兵法》中的這句話:“知己知彼百戰百勝。”我們需要了解敵人以及他們用來規避檢測的方法。但是,在“知己”方面我們做的還不夠,大多數人專注于增加安全措施,對于每個企業基礎設施來說,這并不是千篇一律的。
降低未知風險的很好的方法是填補與第二層安全技術的差距,例如攻擊檢測系統(BDS)。BDS的關鍵功能是它能夠感知攻擊。BDS可以檢測惡意文件或命令的初始狀態,并控制未知惡意軟件的通信。這些系統被部署在網絡邊界作為網絡設備或者軟件,其中加載了端點資產。它們使用多種識別向量,例如IP地址和域名聲譽數據、模式匹配、啟發式、流量監控、瀏覽器仿真和操作系統行為分析。圖1展示了今年早些時候我們的BDS測試中一家供應商的結果,其中顯示了該產品識別成功地通過HTTP傳播的惡意軟件的兩個方面的能力。
重要的是要知道,對于任何未知惡意軟件,總是會有一個初始感染資產。BDS讓你可以識別這個初始感染資產,以及提供相應的情報來修復被感染的基礎設施上的其他資產。這絕對是縱深防御方法,基本上是增加額外的安全性來縮小其他安全技術留下的空白。
然而,縱深防御有點不確切。我們應該將它看做是利用現代技術(而不是下一代產品和服務)的“信心深度”。筆者的建議是,你應該開始考慮在你的預算中涵蓋第二層安全技術提供的增強威脅檢測。從概念證明開始,并在你的基礎設施中測試一些第二層系統。
威脅檢測技術以及這些系統的成熟度和可擴展性因供應商而異。要考慮的一些方面包括:這些系統是否需要網絡或端點部署,或者兩者結合。如果它使用沙箱技術,數據被發送到云計算,如果是這樣,這個功能能否被關閉?這個系統能否檢測已存在的攻擊以及通過側面通道進入的惡意軟件?即使供應商聲稱能夠解決這些問題,企業還是應該驗證這些技術能否像宣傳那樣運作。
在NSS實驗室,我們已經對這項技術進行全面檢測,并相信它提供了一個堅實的額外安全控制,能夠完善現有安全基礎設施。而在現有安全基礎設施內采用第二層安全技術是對付持續和未知威脅的好辦法。這些資本支出采購類型需要在企業的財年預算周期前提前計劃好。
