針對(duì)性的攻擊不斷尋找新鮮途徑來入侵系統(tǒng),企業(yè)一直正在尋找并創(chuàng)新方法來快速檢測并應(yīng)對(duì)與日俱增的高級(jí)威脅。

無論安全專業(yè)人員圍繞其網(wǎng)絡(luò)建立了多高、多深、多厚的防火墻，攻擊者似乎都能找到辦法去跨越，挖掘，甚至鉆透。最近美國無線運(yùn)營商Verizon公司數(shù)據(jù)泄露的調(diào)查報(bào)告顯示，50%以上的攻擊源于黑客采用的不同形式,而檢測出超過三分之二的攻擊卻需耗時(shí)數(shù)月乃至數(shù)年。

鑒于該統(tǒng)計(jì)數(shù)據(jù)，加之企業(yè)在反復(fù)清理受病毒感染的系統(tǒng)過程中積累的經(jīng)驗(yàn),越來越多的企業(yè)已經(jīng)意識(shí)到網(wǎng)絡(luò)違規(guī)時(shí)間無時(shí)無刻不在發(fā)生。

目前重要的是，企業(yè)究竟能以怎樣迅捷的速度去檢測威脅并做出響應(yīng)。

“這是一場戰(zhàn)爭”，美國國家法律和生命科學(xué)律師事務(wù)所Fenwick & West LLP信息中心主任凱文•摩爾對(duì)此了然于胸。“正如其它所有企業(yè)和部門一樣,我們也在使用諸多安全設(shè)備來保護(hù)我們的網(wǎng)絡(luò)系統(tǒng)。從網(wǎng)絡(luò)防火墻、應(yīng)用程序防火墻、監(jiān)控系統(tǒng)、安全網(wǎng)關(guān),到反惡意軟件應(yīng)用程序,”摩爾說，“但隨著高級(jí)威脅的發(fā)展,遏制攻擊變得更富挑戰(zhàn)性，更加艱難。”

事實(shí)上,在過去的幾年里,美國聯(lián)邦調(diào)查局已多次發(fā)出警告,黑客已越來越針對(duì)律師事務(wù)所作為一種有力渠道來獲取其感興趣的行業(yè)客戶敏感信息。

基于這一切，摩爾一直致力于快速自動(dòng)檢測受感染的系統(tǒng)隨之進(jìn)行清理。他使用的工具之一就是用以自動(dòng)檢測惡意軟件的FireEye。雖然Fenwick & West LLP律師事務(wù)所具備一個(gè)小型的IT安全團(tuán)隊(duì),但是應(yīng)對(duì)潛在違規(guī)的諸多響應(yīng)措施都需手動(dòng)完成且異常耗時(shí)。

“譬如，一旦從FireEye或我們的安全網(wǎng)關(guān)得到惡意軟件的提示,我們立即試圖孤立問題機(jī)器,找出用戶,并且確定其實(shí)時(shí)方位。然后調(diào)派專業(yè)客服人員來全面檢查問題機(jī)器,”摩爾說。

這顯然比今天的大多數(shù)企業(yè)能力更強(qiáng)且更為主動(dòng)。然而,考慮到目前數(shù)據(jù)的泄漏速度,摩爾深知企業(yè)迫切需要更為迅捷的響應(yīng)。“一旦得到數(shù)據(jù),比如FireEye提供某惡意軟件正在試圖與指揮和控制服務(wù)器建立聯(lián)通路徑,我們將以最快速度予以處理。然而專業(yè)客服人員和其他技術(shù)人員尚有許多安全之外的其它工作,所以我們亟需更加自動(dòng)化的方法,”他說。

為了緊縮響應(yīng)時(shí)間,摩爾聯(lián)系到了負(fù)責(zé)威脅管理與安全分析的供應(yīng)商N(yùn)etCitadel。當(dāng)時(shí),恰逢該公司開始開發(fā)他們的威脅反應(yīng)平臺(tái),摩爾解釋到。

NetCitadel做出的承諾是，其能夠從摩爾的網(wǎng)絡(luò)和應(yīng)用防火墻、反惡意軟件、取證、及其它應(yīng)用程序中集成數(shù)據(jù)，然后預(yù)警和阻止基于實(shí)時(shí)數(shù)據(jù)的攻擊。“基于我定義的工作流和標(biāo)準(zhǔn)，企業(yè)系統(tǒng)可以做到確定正在進(jìn)行的攻擊并停止特定活動(dòng),如輸出到某個(gè)指揮和控制服務(wù)器IP地址的流量,”摩爾說。

此例中,我已經(jīng)有效地阻止了感染其指揮和控制服務(wù)器的威脅。這給了我們一些額外的時(shí)間來喘息，因?yàn)槲覀円呀?jīng)阻斷了病毒威脅,”他說。

昨天，NetCitadel交付了其威脅管理平臺(tái)ThreatOptics。該公司聲稱,集成數(shù)據(jù)來自反惡意軟件應(yīng)用程序、數(shù)據(jù)取證工具、應(yīng)用程序防火墻、網(wǎng)絡(luò)防火墻，以及安全事件和信息管理系統(tǒng)(SIEM)等，該威脅管理平臺(tái)還可使用防火墻和安全網(wǎng)關(guān)來實(shí)時(shí)響應(yīng)事件。

“今天好的安全不僅與檢測有關(guān),更事關(guān)迅速響應(yīng)。捕捉和集成數(shù)據(jù)的能力對(duì)保障系統(tǒng)和數(shù)據(jù)的安全至關(guān)重要,”摩爾認(rèn)為。