現(xiàn)在所有類型的網絡罪犯都可以通過混入企業(yè)運作背景之中，很容易地繞過現(xiàn)有企業(yè)安全防御。有些高級攻擊可以潛伏幾個月甚至幾年，這完全顛覆了傳統(tǒng)惡意檢測產品--傳統(tǒng)產品只會在給定時間點掃描已知惡意軟件。

例如，新發(fā)現(xiàn)的木馬APT.BaneChant采用了多種檢測規(guī)避技術，包括偽裝成合法進程，監(jiān)控鼠標點擊來避免沙盒分析，以及執(zhí)行多字節(jié)XOR加密來規(guī)避網絡級二進制提取技術等。它還將fileless惡意代碼直接加載到內存中，并通過URL縮短和動態(tài)DNS服務，利用重定向來規(guī)避自動化域名黑名單。

這些攻擊正在測試現(xiàn)有安全分析工具的局限性，并且，最近的Mandiant公司APT1報告顯示，網絡間諜活動已經變?yōu)殚L期復雜的活動。根據(jù)LogRhythm公司的2013年網絡威脅準備情況調查顯示，75%的受訪者對其識別數(shù)據(jù)泄露關鍵指標的能力缺乏信心，這個數(shù)據(jù)讓人吃驚。

很多報道的數(shù)據(jù)泄露事故最初都未被發(fā)現(xiàn)，并且，通常最后大多數(shù)是由第三方發(fā)現(xiàn)，而不是內部安全團隊。

企業(yè)不能再單純依靠端點來阻止這種類型的惡意軟件感染。企業(yè)必須部署額外的動態(tài)的攻擊前防御，在所有層有效對抗高級攻擊，并識別沒有見過的行為。值得慶幸的是，很多安全供應商已經開始改進其情報驅動型安全產品以應對現(xiàn)在的高級威脅問題。

大數(shù)據(jù)分析

其中一種常見的方法是結合安全大數(shù)據(jù)分析來幫助發(fā)現(xiàn)深藏在企業(yè)網絡流量中的惡意活動。大數(shù)據(jù)是指可以對網絡活動提供線索的任何類型的數(shù)據(jù)，包括結構化和非結構化數(shù)據(jù)。這種大數(shù)據(jù)包括企業(yè)創(chuàng)造的海量數(shù)據(jù)：電子郵件、文檔、社交媒體數(shù)據(jù)、音頻、點擊流、網絡流量和日志文件(訪問文件的歷史和實時日志文件)、注冊表更改，以及進程啟動和停止。還有其他系統(tǒng)信息(例如處理器或內存利用率)也可以幫助發(fā)現(xiàn)系統(tǒng)狀態(tài)中意想不到的變化，另外，外部威脅情報源可以進一步明確什么是正?；蚩山邮苄袨?，這樣分析不再局限于企業(yè)本身創(chuàng)建的數(shù)據(jù)。雖然這些數(shù)據(jù)多年來被存儲在孤島式存儲庫或分散在企業(yè)內，不過，現(xiàn)在的攻擊形態(tài)的可怕現(xiàn)實正在推動對技術的新需求，新技術需要能夠聚合這些數(shù)據(jù)、快速分析數(shù)據(jù)，并提供發(fā)現(xiàn)高級攻擊的線索—否則這種攻擊可能繼續(xù)隱藏。

雖然安全信息和事件管理(SIEM)產品為企業(yè)活動數(shù)據(jù)提供了一個收集和監(jiān)控的中心點，但大部分企業(yè)部署這些產品主要是為了滿足合規(guī)要求，特別是針對商家的支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)。事實上，很少有企業(yè)利用該技術的事件關聯(lián)功能，并且，大多數(shù)產品都無法提供深度可視性來滿足現(xiàn)在的分析需求。供應商正在試圖通過下一代SIEM產品來解決這個問題，下一代SIEM產品擴大了數(shù)據(jù)收集與實時分析的范圍和規(guī)模，使不同的事件可以整合來發(fā)現(xiàn)異?；顒印?需要注意的是，網絡行為異常檢測(NBAD)產品也提供這種功能，但只有在網絡層)。

利用這種大數(shù)據(jù)的自適應情報(了解什么是正常行為以發(fā)現(xiàn)異常行為)的實時分析可以顯著提高發(fā)現(xiàn)高級威脅或數(shù)據(jù)泄露指標的機會，這些威脅可能來自多種攻擊媒介，例如高級持續(xù)威脅、欺詐和惡意內部攻擊。這種攻擊前的重點在于保持領先于攻擊者，并找出潛在的攻擊模式，即使它們分布在不同時間。

現(xiàn)在有很多新的創(chuàng)新產品進入市場。LogRhythm SIEM 2.0平臺現(xiàn)在結合了Rapid7的Nexpose漏洞管理產品來在LogRhythm控制臺提供數(shù)據(jù)安全分析和統(tǒng)一風險評估功能。IBM正在利用IBM QRadar Security Intelligence和IBM Big Data Platform結合安全情報和大數(shù)據(jù)，以跨大規(guī)模結構化和非機構化數(shù)據(jù)提供一種全面的綜合的方法來進行實時分析。RSA Security Analytics產品利用來自全球安全社區(qū)的威脅情報和RSA FirstWatch，利用別人已經發(fā)現(xiàn)的情報，提高企業(yè)大數(shù)據(jù)的惡意活動檢測率。

在評估下一代SIEM產品時，可擴展性、強大的分析工具以及對異構事件來源的支持是最重要的因素，特別是當涉及時間敏感程序(例如欺詐檢測)時，以確保它們能夠處理大量的多樣化數(shù)據(jù)。當然，在評估解決方案時，還應該考慮其根據(jù)業(yè)務情況創(chuàng)建可操作情報的能力，從而，對企業(yè)構成最大風險的威脅可以優(yōu)先采取行動。另外一個重要特點是可視化和探索大數(shù)據(jù)的工具，這種工具可以快速發(fā)現(xiàn)受感染設備和其他熱點。

沙箱和白名單

對于緩解現(xiàn)在的威脅，SIEM和大數(shù)據(jù)并不是唯一的選擇。沙箱和白名單是值得考慮的技術。Bit9的白名單安全軟件是利用端點代理的基于信任的解決方案，它允許管理員指定可在桌面和臺式機執(zhí)行的軟件。另外一個新功能是利用按需基于云的Bit9 Software Reputation Service來高精度檢測可疑惡意軟件和相關文件。

沙箱可以隔離應用程序，這樣惡意軟件就不會從一個程序傳輸?shù)搅硪粋€程序。任何未知的應用程序或內容都可以被視為不可信，并隔離在自己的沙箱中。McAfee等安全供應商正在試圖添加相關技術到其產品系列中。該公司還計劃在其ePolicy Orchestrator套件中提供沙箱技術。通過在沙箱中運行可疑惡意軟件，我們可以知道該惡意軟件可能對端點帶來的影響，并自動阻止未來攻擊，同時修復所有已經感染的端點。Fortinet的FortiCloud基于云的沙箱服務提供了一個在線沙箱門戶網站，以在虛擬環(huán)境中執(zhí)行可疑代碼。

當然，安全團隊需要擴展威脅檢測和保護到連接到其網絡的移動設備，特別是因為，與桌面用戶相比，移動設備用戶淪為網絡釣魚攻擊的受害者的幾率至少要高兩倍。Lookout Mobile Security的Mobile Threat Network向移動用戶提供空中保護。Lookout是利用大數(shù)據(jù)分析方法來發(fā)現(xiàn)惡意軟件并預測下一次攻擊的另一個產品。另外，運行自己應用商店的企業(yè)還可以利用Lookout API來確保其提供的應用的安全性。RSA FraudAction Anti Rogue App Service也能夠檢測滲透到在線應用商店的任何惡意或未經授權移動應用。

無論企業(yè)部署了何種高級威脅檢測技術，其有效性將取決于配置和監(jiān)控這些技術的人員。人員是所有管理計劃的重要組成部分。管理員必須學會如何有效地利用新型技術，讓它們真正提供額外的保護。賽門鐵克的Cyber Threat Detection和Incident Response Training等培訓，以及SANS等供應商提供的深度培訓課程將幫助安全人員了解如何識別威脅并作出響應，同時從惡意事件恢復。

對于任何新IT技術，重要的是，不要被供應商的營銷炒作蒙蔽了雙眼。更專注于檢測和響應并不意味著端點防御技術(例如防火墻和防病毒)不再具有相關性。保護任何網絡都需要成文的政策和程序作為成功的基礎。同時，資產和數(shù)據(jù)分類是重點，需要記住的是，雖然威脅管理始于威脅識別，但恢復也是成功的威脅管理過程的重要組成部分。