現在所有類型的網絡罪犯都可以通過混入企業運作背景之中，很容易地繞過現有企業安全防御。有些高級攻擊可以潛伏幾個月甚至幾年，這完全顛覆了傳統惡意檢測產品--傳統產品只會在給定時間點掃描已知惡意軟件。

例如，新發現的木馬APT.BaneChant采用了多種檢測規避技術，包括偽裝成合法進程，監控鼠標點擊來避免沙盒分析，以及執行多字節XOR加密來規避網絡級二進制提取技術等。它還將fileless惡意代碼直接加載到內存中，并通過URL縮短和動態DNS服務，利用重定向來規避自動化域名黑名單。

這些攻擊正在測試現有安全分析工具的局限性，并且，最近的Mandiant公司APT1報告顯示，網絡間諜活動已經變為長期復雜的活動。根據LogRhythm公司的2013年網絡威脅準備情況調查顯示，75%的受訪者對其識別數據泄露關鍵指標的能力缺乏信心，這個數據讓人吃驚。

很多報道的數據泄露事故最初都未被發現，并且，通常最后大多數是由第三方發現，而不是內部安全團隊。

企業不能再單純依靠端點來阻止這種類型的惡意軟件感染。企業必須部署額外的動態的攻擊前防御，在所有層有效對抗高級攻擊，并識別沒有見過的行為。值得慶幸的是，很多安全供應商已經開始改進其情報驅動型安全產品以應對現在的高級威脅問題。

大數據分析

其中一種常見的方法是結合安全大數據分析來幫助發現深藏在企業網絡流量中的惡意活動。大數據是指可以對網絡活動提供線索的任何類型的數據，包括結構化和非結構化數據。這種大數據包括企業創造的海量數據：電子郵件、文檔、社交媒體數據、音頻、點擊流、網絡流量和日志文件(訪問文件的歷史和實時日志文件)、注冊表更改，以及進程啟動和停止。還有其他系統信息(例如處理器或內存利用率)也可以幫助發現系統狀態中意想不到的變化，另外，外部威脅情報源可以進一步明確什么是正常或可接受行為，這樣分析不再局限于企業本身創建的數據。雖然這些數據多年來被存儲在孤島式存儲庫或分散在企業內，不過，現在的攻擊形態的可怕現實正在推動對技術的新需求，新技術需要能夠聚合這些數據、快速分析數據，并提供發現高級攻擊的線索—否則這種攻擊可能繼續隱藏。

雖然安全信息和事件管理(SIEM)產品為企業活動數據提供了一個收集和監控的中心點，但大部分企業部署這些產品主要是為了滿足合規要求，特別是針對商家的支付卡行業數據安全標準(PCI DSS)。事實上，很少有企業利用該技術的事件關聯功能，并且，大多數產品都無法提供深度可視性來滿足現在的分析需求。供應商正在試圖通過下一代SIEM產品來解決這個問題，下一代SIEM產品擴大了數據收集與實時分析的范圍和規模，使不同的事件可以整合來發現異常活動。(需要注意的是，網絡行為異常檢測(NBAD)產品也提供這種功能，但只有在網絡層)。

利用這種大數據的自適應情報(了解什么是正常行為以發現異常行為)的實時分析可以顯著提高發現高級威脅或數據泄露指標的機會，這些威脅可能來自多種攻擊媒介，例如高級持續威脅、欺詐和惡意內部攻擊。這種攻擊前的重點在于保持領先于攻擊者，并找出潛在的攻擊模式，即使它們分布在不同時間。

現在有很多新的創新產品進入市場。LogRhythm SIEM 2.0平臺現在結合了Rapid7的Nexpose漏洞管理產品來在LogRhythm控制臺提供數據安全分析和統一風險評估功能。IBM正在利用IBM QRadar Security Intelligence和IBM Big Data Platform結合安全情報和大數據，以跨大規模結構化和非機構化數據提供一種全面的綜合的方法來進行實時分析。RSA Security Analytics產品利用來自全球安全社區的威脅情報和RSA FirstWatch，利用別人已經發現的情報，提高企業大數據的惡意活動檢測率。

在評估下一代SIEM產品時，可擴展性、強大的分析工具以及對異構事件來源的支持是最重要的因素，特別是當涉及時間敏感程序(例如欺詐檢測)時，以確保它們能夠處理大量的多樣化數據。當然，在評估解決方案時，還應該考慮其根據業務情況創建可操作情報的能力，從而，對企業構成最大風險的威脅可以優先采取行動。另外一個重要特點是可視化和探索大數據的工具，這種工具可以快速發現受感染設備和其他熱點。

沙箱和白名單

對于緩解現在的威脅，SIEM和大數據并不是唯一的選擇。沙箱和白名單是值得考慮的技術。Bit9的白名單安全軟件是利用端點代理的基于信任的解決方案，它允許管理員指定可在桌面和臺式機執行的軟件。另外一個新功能是利用按需基于云的Bit9 Software Reputation Service來高精度檢測可疑惡意軟件和相關文件。

沙箱可以隔離應用程序，這樣惡意軟件就不會從一個程序傳輸到另一個程序。任何未知的應用程序或內容都可以被視為不可信，并隔離在自己的沙箱中。McAfee等安全供應商正在試圖添加相關技術到其產品系列中。該公司還計劃在其ePolicy Orchestrator套件中提供沙箱技術。通過在沙箱中運行可疑惡意軟件，我們可以知道該惡意軟件可能對端點帶來的影響，并自動阻止未來攻擊，同時修復所有已經感染的端點。Fortinet的FortiCloud基于云的沙箱服務提供了一個在線沙箱門戶網站，以在虛擬環境中執行可疑代碼。

當然，安全團隊需要擴展威脅檢測和保護到連接到其網絡的移動設備，特別是因為，與桌面用戶相比，移動設備用戶淪為網絡釣魚攻擊的受害者的幾率至少要高兩倍。Lookout Mobile Security的Mobile Threat Network向移動用戶提供空中保護。Lookout是利用大數據分析方法來發現惡意軟件并預測下一次攻擊的另一個產品。另外，運行自己應用商店的企業還可以利用Lookout API來確保其提供的應用的安全性。RSA FraudAction Anti Rogue App Service也能夠檢測滲透到在線應用商店的任何惡意或未經授權移動應用。

無論企業部署了何種高級威脅檢測技術，其有效性將取決于配置和監控這些技術的人員。人員是所有管理計劃的重要組成部分。管理員必須學會如何有效地利用新型技術，讓它們真正提供額外的保護。賽門鐵克的Cyber Threat Detection和Incident Response Training等培訓，以及SANS等供應商提供的深度培訓課程將幫助安全人員了解如何識別威脅并作出響應，同時從惡意事件恢復。

對于任何新IT技術，重要的是，不要被供應商的營銷炒作蒙蔽了雙眼。更專注于檢測和響應并不意味著端點防御技術(例如防火墻和防病毒)不再具有相關性。保護任何網絡都需要成文的政策和程序作為成功的基礎。同時，資產和數據分類是重點，需要記住的是，雖然威脅管理始于威脅識別，但恢復也是成功的威脅管理過程的重要組成部分。