快速检测新的预防？

信息安全领域有一种趋势，可以从预防心态转移 - 在哪些组织尝试使周边难以穿越并且避免违反攻击 - 以快速检测，他们可以快速识别和减轻威胁。

信息安全领域的趋势是从预防心态转移的趋势 - 在哪些组织尝试使周边难以穿越，避免违反攻击 - 在快速检测中，他们可以快速识别和减轻威胁。

一些供应商已经应对这种转变,一些安全管理人员表示，这是在当今环境中接近安全的最佳方式。但如果意味着意味着削减预防努力和资源，有太多强调的潜在陷阱。

显然，快速检测正在得到重视。研究公司国际数据公司(IDC)已经指定了一个新类别的产品，这些产品可以检测为网络间谍而设计的、基于恶意软件的隐秘攻击(“专门威胁分析和保护”)，预计全球市场规模将从2012年的2亿美元增长到2017年的11.7亿美元。

在安全方法的转变背后的想法是，不可能排除一切，所以公司应该关注快速检测和减轻威胁．虽然它并不意味着放弃预防，但它建议公司投入更多的资源来检测和修复，而且过去的违约会发生这种情况。

+更多关于网络世界有个足球雷竞技app查看Outlook故事的完整列表+

“预防是它的工作原因是一个伟大的策略。但遗憾的是，克罗尔咨询解决方案的董事总经理蒂莫西·瑞安说，克尔咨询解决方案，风险缓解产品和服务提供商。

“因为这个原因，公司不能依靠预防和保护，”Ryan说。他们还必须依赖于融合技术和流程的信息安全计划，以便快速识别和响应妥协。他说，正确的工具和流程通常会降低调查的时间和成本。

在预防和快速检测方面不可能有一种“非此即彼”的方法。绝大多数组织必须两者兼顾。

——咨询公司德勤(Deloitte)安全与隐私国家管理负责人埃德•鲍尔斯(Ed Powers)

“迅速检测和高效，有效的反应是新的预防，”安全技术提供商Damballa首席执行官David Scholtz说。“这里的思维方式是被阻止的。我们不能再阻止我们的网络和系统变得感染，但我们可以防止这些感染生长和不断发展，以损坏违规。“

Scholtz说，组织可以通过发现那些成功绕过层层预防的威胁，并在它们造成损害之前将其削减，从而做到这一点。他说:“今天，你可以继续在已经加固但正在消失的边界上添加基于预防的解决方案，但通过的威胁的小百分比就相当于你的风险的100%。”

Scholtz说，网络罪犯正在使用更复杂的方法来逃避检测。“他们正准确地利用这些方法，因为它们可以轻松切换攻击载体，或略微调整他们的恶意软件，并立即通过传统的预防方法再次不可检测，”他说。

入侵者是否是值得信赖的内幕Windowtraq，网络安全提供商CENO CEO的Vincent Berk表示，凭借持久性和狡猾的方式设计了一丝不苟的攻击者。“底线是黑客已经在你的网络中，”他说。“一旦企业达到这一实现，他们将自动开始将他们的防御哲学从外围防御转移到深防御。”

伯克说，这种思考的转变更加强调了仔细的系统日志和流量记录，并侧重于检测网络中不寻常的内容。“大数据传输，不寻常的访问模式或侦察行为是已经在里面寻找皇冠珠宝的人的迹象，”他说。

但不是每个人都认为安全心态的转变是一个好主意。

“我认为，从预防策略转向检测策略的想法是错误的二分法，”451研究公司(451 research)安全研究主管温迪•纳瑟(Wendy Nather)表示。“首先，因为预防往往更自动化，因此比检测更便宜。第二，因为检测和预防一样不完美。人们可能会抱怨反病毒程序遗漏了很多恶意软件，但入侵检测系统也是如此。防火墙和siem只和配置它们的专家一样好，不管他们自称是哪一代人。”

纳瑟补充说，许多被视为“预防”的产品实际上依赖于检测工作，无论是通过签名、黑名单、规则、启发式还是其他算法。“你要在数据或行为中寻找特定的模式，并根据发现采取行动。”

预防措施，如白名单和减轻已知的漏洞，“总是和检测一样重要，”纳瑟说。“因为无法做到完美而放弃预防是一种非常狭隘的心态，安全专业人士承受不起。”

预防“仍然是防守者的首要任务”，沃尔夫冈·坎德克（Ruolfys）在一个安全平台提供商，CTO AT Qualts Wolfgang Kandek。“重大转变是周边已经溶解。今天，工作站在直接攻击下与互联网连接的服务器一样多，并且在企业网络内部，在用户的家庭，酒店，机场和咖啡店，他们需要受到保护。“

在实施全面的预防策略之后，检测是最优越的，才能在经过先进的威胁之后，即使所有预防性措施都被采取，凯德克说。“在一个没有禁止预防技术的网络中，检测将充满警报，这将很快压倒它可以跟进并调查每个警报，”他说。

许多专家表示，理想情况下应该是一个混合，组织同等强调预防和检测。

“不能有”/或“的预防和快速检测方法，”咨询公司德勤委员会委托国会主管，安全和隐私说。“绝大多数组织必须做两者。”

这是因为企业不断地引入新的网络风险，力量说。此外，恶意行为者在利用这些变化方面是不懈的，导致威胁的快速发展 - 许多人不能被传统预防手段检测到。

“与此同时，今天的大型组织非常复杂，有可能对该问题抛出的资源有实际限制，”鲍尔斯说。“这种环境中唯一可行的选择是认识到为所有资产提供相同程度的保护是不可行的，或将所有风险因素视为平等。”

根据CIO和CSO杂志和咨询公司PWC的全球信息安全调查2014年，安全漏洞正在增加。两年前，平均受访者有2,562个威胁计算机安全的某些方面，这升至2013年的3,741。

“并非所有这些都是有影响力的，但随着这种类型的数量，有些人会通过，你需要能够检测和回应，”PWC的安全咨询惯例的校长Mark Lobel说。“这就是为什么需要在预防和检测/响应之间存在平衡 - 而不是一个或另一个。”

公司不应该“放弃他们的预防心态取代迅速的检测和有效的回应”，加入约翰南，CSO哈特兰支付系统这是一家大型支付处理公司。“事实上，我认为，考虑到攻击者的能力，这些措施在有效的安全策略中相互支持。我们仍然需要提供纵深防御——城堡的围墙、绊网和警报——这些都是我们过去为保护环境而提供的。”

South说，今天思维的变化应该是，虽然预防能力已经到位并有效发挥作用，但对异常活动的快速检测需要增加。“实际上，我们的平均检测时间(MTD)需要从几个月减少到几分钟，”他说。“根据你今天阅读的统计数据，平均MTD从100天到180天甚至更长，这给了攻击者明显的时间优势。”

有一些硬件解决方案和应用程序可以帮助公司检测攻击，South说，但是“对于一个实体来说，仅使用自己的资源和人员来保护自己是困难的，在某些情况下是不可能的。”由于攻击者的复杂性，很难降低足够的信噪比来检测所有其他网络活动中的异常活动。有助于早期预防和发现的一个基本要素是信息和情报共享。”

实际上，前进公司可能会发现自己分享有关安全的更多信息。多年来，组织将他们的安全信息秘密保密，根据哲学，南方说，弱点可以被用作对他们的企业优势。“这导致了唯一对谁攻击的智力来源的环境，”他说。

South说，金融服务业与金融服务信息共享和分析中心(FS-ISAC)合作，开发了一个模型，供公司参与和消费许多金融机构收集的情报。

“这扩展了组织在击中网络之前看到潜在威胁的能力，”南德说。

Bob Violino是一名自由撰稿人。可以和他联系bviolino@optonline.net．