高級威脅防禦體係應運而生

大數據

作者：卜娜

在大數據分析技術快速發展的今天，黑客們也在利用“大數據”實施更難以被發覺的網絡攻擊。調查顯示，當前以盜取企業關鍵信息為目標的網絡攻擊，攻擊者平均要耗費6個月以上的時間用於搜集企業的“相關信息”，這些信息不僅包括企業員工的上網行為模式、使用企業級應用的網絡環境，還囊括了企業員工喜歡用哪些社交平台，喜歡用什麼樣的設備收發郵件等。

Verizon數據漏洞報告顯示，84%的高級別的針對性攻擊隻需幾秒、幾分鍾、幾小時就能攻破目標，然而78%的漏洞需要幾周、幾個月甚至幾年的時間才會被企業所發現。“這一差距之所以存在，是因為傳統安全防禦措施是針對檢測和攔截已知威脅而設計的。這樣的防禦體係無法幫企業看到‘零日威脅’和新型惡意軟件。”Blue Coat北亞區高級產品市場經理申強告訴記者，黑客的攻擊模式正在伴隨大數據等技術的演進而快速升級。傳統安全防禦體係最大的問題，是各係統間各自為政、獨立運作，不能在整個安全部門或環境中共享信息，無法預判未知威脅，導致企業對高級別的安全攻擊防不勝防。

APT攻擊成“燈下黑”

近年來，APT攻擊（高級持續性攻擊）已被企業公認為破壞力最大的網絡攻擊，主要因為APT攻擊的“潛伏性”和“持續性”難以被企業的防禦係統識別。

APT攻擊者的“耐心”足以讓人“膽寒”。他們使用的攻擊方法很容易被安全防禦係統當作“偶發性”事件而被忽略，比如密碼嗅探，攻擊者通常不會一天內進行上百次嚐試，而是將其變成耗時冗長的持續性嗅探。

“APT攻擊具有極明確的目標，所謂高持續性的攻擊一般都由一些看似獨立、分散的攻擊所組成。針對企業的IT係統，攻擊者可能會利用現有的已知的一些攻擊方法，也可能會為攻破某個係統而專門設計一些新的攻擊方法。”申強認為，APT攻擊無非就是兩種狀態：已知威脅和未知威脅。但傳統防禦體係是基於“識別威脅”的原則設計的，隻有“已知威脅”能被係統發現並處理，那些還不能被“識別”的新型攻擊或不夠密集的攻擊行為往往容易被係統“放行”。

主動防禦與共享信息的機製

近期，Blue Coat推出的一種高級威脅防護解決方案就可以讓企業不再擔憂APT攻擊的威脅。“從識別已知威脅到識別未知威脅，從安全事件的記錄到采樣，高級威脅防護解決方案可以幫用戶構建一種足以涵蓋整個安全問題控製流程的防禦體係。所以，這個解決方案除了對傳統的網絡威脅有效，也能對APT這樣的新興網絡攻擊有效。”申強表示。

要想防止高級別網絡攻擊的破壞，信息高度共享的機製非常重要。Blue Coat通過一個全球聯動共享的實時防禦體係，來識別威脅、惡意來源和惡意交付網絡，在造成損失前就能發現惡意網絡的陰謀並及時阻止其對企業IT係統的入侵。而新型威脅的背景信息，又可以通過由15，000家客戶和超過7，500萬用戶組成的Blue Coat全球情報網絡以連續反饋循環的方式在本地和全球進行共享。這種防禦方式，讓APT攻擊者的攻擊成本無限放大。

帶有惡意軟件分析和沙箱的Blue Coat內容分析係統，可以自動分析未知威脅的行為和特征，並讓分析情報實現共享，在網關處增強保護。Blue Coat安全分析平台能夠支持高級威脅分析和事件解決，利用已知威脅的情報進行事件調查，修複攻擊造成的破壞。當然，這些有價值的信息，也會在Blue Coat全球情報網絡上進行共享，以便在“檢測與保護”階段就能自動檢測新發現的威脅。