為什么檢測網絡攻擊需耗時數個月
網絡威脅解決方案現狀
現有網絡威脅解決方案通常是嘗試解決特定問題或阻止特定攻擊步驟的發生,其中包含了試圖強固安全“邊界”的防火墻(FW)、防止未經授權的設備連接到網絡的網絡訪問控制(NAC)及負責保護網絡上設備的終端防護方案。 雖然這些解決方案大多能夠自動解決小規模問題,卻很難將它們作為高效安全生態圈中協同防御的一部分。而可提供實時分析的安全信息和事件管理(SIEM)系統其質量也僅僅與所收到的日志和告警類似,并且通常現有的解決方案都過于龐大。例如需要部署復雜的沙箱、欺騙環境或者基于代理的解決方案,而此方案必須將利用(Exploit)做頻繁地更新。
隨著廣泛地使用過往只有國家級黑客才會運用的工具和技術,安全團隊和首席信息安全官們(CISOs)面對的是更加難搞的對手,并且這些對手都已配備了最先進的網絡武器。此外,由于技術的進步,過去相當簡單且大部分為臺式機和服務器所構建的的企業網絡,現在已經變成了一個連接所有東西的復雜環境,這環境從移動設備到咖啡機、車輛等不一而足,這使得企業的防御任務變得更加困難。
安全團隊要實現網絡完全的安全這一目標,與企業要實現業務便于開展這一最終目標之間必然存在著天然的矛盾。只要存在人為因素,這個差距就會體現在有瑕疵的工作流程,人為錯誤,未管理或未知的設備和零日漏洞上,而以上所述使得大規模地創建自動化防御解決方案幾乎成為不可能的任務。 無論差距是墻上的小裂縫,還是大到像高速公路中間的隔離地帶,對手都會利用它而侵入。
為了自動防止小規模安全問題和保護他們負責的復雜網絡,安全公司和CISOs經常試著利用這種情況并嘗試通過捆綁不同的檢測和防御技術來創建大規模的“自動防御”解決方案,但每個解決方案都只專注于一個特定的問題且只提供一個狹隘的實施場景。
通過這樣的方式,CISOs面臨需定制不同產品的安全解決方案,這些產品不一定能夠協同防御,并且在許多情況下,因技術層面不兼容,需要復雜的產品配置或實施網絡環境的問題也層出不窮。
調查與發現
從調查中發現,相對于對資金充足且難搞的對手所發動的復雜網絡攻擊,大多數企業所采用的零零總總安全檢測解決方案,皆類似于拼圖游戲里嘗試把不完整的拼圖重新拼湊起來,每片拼圖卻都是由不相關的人所構建的狀況一樣。誠然地,這是一項耗時的任務。要解決這個拼圖難題,首先必須要能看到或勾勒出更大的圖景,否則即使是訓練有素的應急響應措施和安全專家也經常會遇到困難。
企業必須重新考慮目前實施檢測攻擊的方式并采用一個簡單易用的解決方案,這樣才能大大縮短企業對網絡威脅攻擊的反應時間,也使得企業能夠在處理過程中節省開支。
【本文為51CTO專欄“柯力士信息安全”原創稿件,轉載請聯系原作者(微信號:JW-assoc)】
