隨著惡意軟件日益復(fù)雜化，企業(yè)必須擴(kuò)展其安全最佳實(shí)踐來加入雙層安全技術(shù)。目前有很多雙層安全技術(shù);攻擊檢測系統(tǒng)(BDS)作為單層安全工具的補(bǔ)充技術(shù)，其價(jià)值在于檢測惡意軟件的能力。具體來說，攻擊檢測既能識別惡意軟件被傳入網(wǎng)絡(luò)的初始狀態(tài)，也能確認(rèn)感染系統(tǒng)或網(wǎng)絡(luò)后的情況。

BDS部署模型

攻擊檢測部署模式和入侵檢測系統(tǒng)或入侵防御系統(tǒng)類似，這取決于你選擇的供應(yīng)商，它們包含以下內(nèi)容：

帶外部署—使用跨越交換機(jī)的端口或者映射數(shù)據(jù)到BDS的網(wǎng)絡(luò)分流器

內(nèi)線部署—這與網(wǎng)絡(luò)入侵防御系統(tǒng)完全相同

端點(diǎn)部署—利用安裝在每個(gè)企業(yè)資產(chǎn)上的客戶端

每種部署方案都有其優(yōu)缺點(diǎn)。而選擇哪一種則完全取決于你所了解的攻擊面、網(wǎng)絡(luò)架構(gòu)、垂直行業(yè)和數(shù)據(jù)隱私法(物理數(shù)據(jù)所在國家的法律)。其中數(shù)據(jù)隱私法很重要，因?yàn)橛行S商需要從你的網(wǎng)絡(luò)收集數(shù)據(jù)，再發(fā)送到他們的云基礎(chǔ)設(shè)施中。雖然這并不是技術(shù)問題，但是如果供應(yīng)商需要在你的企業(yè)內(nèi)部執(zhí)行分析或者數(shù)據(jù)要被發(fā)送到其云計(jì)算進(jìn)行后處理，你就需要向供應(yīng)商了解這些問題。

在供應(yīng)商的云計(jì)算中進(jìn)行后處理有很多優(yōu)勢，他們采用大規(guī)模并行處理，并根據(jù)需要擴(kuò)展資源，這對你完全是公開的，而且還是可擴(kuò)展的。但是，其他供應(yīng)商也能夠在你的企業(yè)內(nèi)提供相同水平的優(yōu)勢。最終，如果所有這些處理工作是在你的企業(yè)或者供應(yīng)商的云中進(jìn)行，這兩種部署模式都將得出相同的答案：基于先前已知的樣本或者全新的事物來識別未知或已知惡意軟件。

了解你的攻擊面

了解你的攻擊面是企業(yè)基礎(chǔ)設(shè)施中最重要的一方面。BDS在這方面非常成功，前提是它了解你的操作系統(tǒng)和經(jīng)批準(zhǔn)的應(yīng)用(特別是那些連接到互聯(lián)網(wǎng)的應(yīng)用)，因?yàn)檫@是攻擊者用來攻擊的主要載體。這是一個(gè)非常重要的工作，因?yàn)槟阈枰钟槍Σ僮鳝h(huán)境的威脅。

進(jìn)入你的基礎(chǔ)設(shè)施的最終途徑是通過內(nèi)部用戶，這包括內(nèi)部員工和遠(yuǎn)程員工。企業(yè)應(yīng)該禁用遠(yuǎn)程VPN用戶的分離通道;否則，你的惡意軟件檢測投資將失去作用。如果禁用分離通道難以實(shí)現(xiàn)，筆者建議考慮提供端點(diǎn)BDS客戶端的供應(yīng)商。

你需要從選擇正確的BDS開始，幫助你檢測企業(yè)可能面臨的威脅。