现在的网络攻击如此之多,以至于许多企业都认为黑客和不法分子会找到办法侵入他们的系统。
一些大型企业在过去两年中制定的策略是迅速识别和隔离这些攻击,可能是关闭系统或网络的一部分,这样黑客就没有几天或几周的时间来彻底搜查并获取企业的敏感数据。
该企业专注于对网络和计算机上的各种攻击进行快速检测和响应,不会取代传统的安全工具来防止攻击。相反,企业依赖于预防软件和检测软件。
最近发生的事情是,安全软件供应商正在开发通过高级分析评估攻击的方法。这种分析可以反馈到现有的预防系统中,以帮助阻止未来的攻击。检测成为安全周期的一部分,至少在理论上是如此。
Gartner分析师Avivah Litan在一次采访中表示:“企业非常重视快速检测和响应,因为预防往往忽略入侵和恶意活动。”大约两年前,随着美国零售商、餐馆和医院的数据泄露大幅增加,这一关注点才真正开始。
利坦说:“安全官员醒来后意识到,(2014年)在预防方面花费了800亿美元,很多袭击都得以通过。”。其主要目的是尽早发现攻击,“这样攻击者就不会像大多数攻击者那样进入并在六个月内坐视不理地窃取信息。”
Juniper Research分析师詹姆斯·摩尔(James Moar)在一封电子邮件中表示,网络安全的现代状态已经发生了变化。他在一封电子邮件中说:“现在已经没有一个可靠的网络周界,无法防范,而是一系列必须缓解或暴露的风险。为了保护和保护这样的环境,异常检测工具是确定攻击是否正在进行的第一步。”
检测如何帮助
通常情况下,当检测到攻击时,安全管理人员会将其隔离,通常是将恶意软件或其他威胁限制在公司网络的一部分,在那里,尽可能少的端点(服务器和计算机)可能受到攻击。对于一家大公司来说,一个网络可以由许多小型网络组合而成,这些小型网络可以按一种拓扑结构进行安排,即使其中一部分关闭了,也可以允许许多重要的业务功能继续运行。
IDC分析师Robert Ayoub在一次采访中表示:“如今,安全管理人员正在对他们的网络进行更多的细分,这样,如果他们检测到重大问题,就可以关闭一部分网络。”。
一种古老的欺骗方法,叫做蜜罐他说,在一些安全组织内部的网络中,这种技术正重新流行起来。“研究机构和一些管理服务提供商将试图引诱(攻击者)进来,看看正在使用什么攻击。我们已经看到很多人对欺骗技术重新产生了兴趣,尽管还没有被主流采用。”
去年秋天,宾夕法尼亚州立大学的计算机科学家们描述一种有助于转移黑客攻击的诱饵网络方法。研究人员创建了一个计算机防御系统,可以感知网络中可能存在的恶意探测。然后,通过称为反射器的网络设备将攻击重定向到虚拟网络,该虚拟网络仅包含真实网络的提示。研究人员在不使用实际网络的情况下模拟了攻击和防御,但计划将其部署到实际网络中。
检测软件通常通过挖掘异常行为来工作。Litan说,最先进的检测系统是在网络或服务器、计算机或其他终端设备的正常活动基线上工作的。
她说,用户的正常行为、系统中传输的数据量和类型以及其他网络活动的概况会不断与使用高级分析的正在进行的交易进行比较。
她说:“这些方法甚至可以查看用户相对于同事的活动,看看他是否在做一些不寻常的事情。”最近,一些安全供应商开始使用机器学习来支持分析。
这里有一个检测分析如何工作的例子:一名伦敦员工在新加坡凌晨3点发出的采购请求可能会被标记为可疑。但安全系统可以检查商务旅行应用程序,看到员工在新加坡预订了航班和酒店,然后批准采购。
或者,根据公司的政策,可能会出现完全不同的结果,例如采购需要经理的批准。
检测产品
分析人士说,检测产品种类繁多,几乎每个安全厂商都在用最新技术对其进行更新。“在这一领域,有超过一百家供应商,包括所有的主要品牌,如McAfee、Cisco和Symantec,以及更新的品牌,如幻影”阿尤布说。
利坦说,这些产品主要由大型银行、零售商、科技和国防相关公司部署在美国。中小型公司可以选择聘请托管服务提供商提供检测服务,作为更大的安全产品包的一部分。这些服务提供商包括大型电信公司,但也包括较小的网络安全公司赛博季节和Crowdstrike,等等。
高德纳将企业使用的检测技术划分为三个相对较新的市场,它们结合了高级分析技术。2016年,端点[威胁]检测和响应(EDR)在美国的市场规模超过6亿美元。用户和实体行为分析(UEBA)去年是一个价值1亿美元的市场。网络流量分析(NTA)是第三个新领域,但Gartner没有给出该市场规模的估计。
这些较新的检测市场可以与一个更大但更老的检测技术市场(称为安全信息和事件管理Gartner表示,该公司2016年在美国的营收约为16亿美元。Litan说,SIEM和最新技术的主要区别在于,SIEM是基于规则的,而更新的检测系统依赖于高级分析,通常(但不总是)包括机器学习软件。
向保安队提供意见
大型企业通常使用较新的检测工具与较旧的预防工具相结合的方式来满足其安全需求。
利坦说:“有了安全性,总有改进的余地,你永远无法解决所有的安全问题。”。“你不能只预防。你必须有检测,但没有银弹。”
J. Gold Associates的分析师杰克·戈尔德(Jack Gold)对此表示赞同。戈尔德说:“其实并不是两者择一。“如果你能迅速找到黑客并将其关闭,那么你基本上就阻止了一次入侵。最好的方法是将预防和检测结合起来。只拥有其中一种并不像同时部署两种那样安全。许多供应商也在朝着这个方向发展。”
Juniper的Moar表示,对于企业来说,拥有一个与预防和调解软件配合良好的检测工具是“至关重要的”。
莫尔说:“如果你无法应对这些威胁,那么拥有一种能够显示威胁的工具是没有用的。”“在公司网络上寻找新连接的软件,使它们对安全检测和补救可见,消除了这个问题。”
利坦说,在一家公司购买检测产品之前,可以采取一系列简单的步骤来加强系统。其中包括看似显而易见的措施:从最终用户帐户中删除管理员权限,这样恶意软件就不会在整个系统中传播。
“在你等待供应商变得更聪明之前,在检测上投入更多资金之前,你可以做很多事情。我的主要建议是,你要确保与供应商密切合作,并确保拥有他们的最新版本,”利坦说。
利坦说,供应商正在开发自动检测工具,这可能最终减少公司对安全分析师跟踪攻击的严重依赖。
尽管如此,阿尤布说,安全仍然是一个不断扩大的领域,将继续依靠人民的力量。“如果发生了安全事件,公司就会开始收集相关数据,这仍然需要一些通常不具备的技能。我们仍然需要安全分析师来追踪这些东西。”
这个故事“直面现实:企业网络攻击即将发生”最初由《计算机世界》 .