五必须

  • 时间:
  • 浏览:42
  • 来源:it300
五必须

精心设计的恶意软件可确保防病毒产品无法检测到它。组织必须准备处理未知文件。

2011年至少可以说是IT安全活跃的一年。现代恶意软件和高级攻击是安全管理人员的首选。在本系列课程中,我们回顾了构建安全基础架构所需的一些关键功能和最佳实践,以便为迎接这些威胁的挑战做好准备。

基于网络的恶意软件控制

恶意软件已经成为一种网络传播和网络威胁,因此我们需要将网络控制与恶意软件作斗争。如今,网络对于恶意软件生命周期的所有部分都是不可或缺的,从感染到逐个驱动加载,深入挖掘受损网络,以及用于协调恶意软件并最终泄露数据的命令和控制流量。如果你可以剥夺恶意软件的通信能力,你可以有效地消除它的大部分功能。

问题是大多数企业都没有准备好在网络层面处理恶意软件。多年来,反恶意软件被视为终端技术,而入侵防御被视为一种网络技术,这两个领域很少重叠。此外,恶意软件分析通常太慢而无法内联执行,因为安全解决方案需要在分析之前下载整个文件。通过使用基于流的反恶意软件技术越来越多地解决这个问题ich允许安全解决方案在收到文件后立即开始分析文件,并在文件到达时继续进行分析。这极大地加速了分析,并允许安全性以与行业对IPS和其他安全技术大致相同的速度扫描恶意软件。

全面检查所有流量

现代恶意软件和攻击使用一个诡计和逃避的网络,以避免被发现。这包括混合到批准的流量类型,在批准的应用程序内隧道,在奇怪或非标准端口上行进或隐藏在加密,代理或其他规范中。简而言之,攻击者利用他们知道我们懒得看的地方,或者我们无法寻找技术原因的地方。

简单的tr确保我们实际分析所有与恶意软件相关的流量的唯一方法是对所有端口上的所有流量进行全面检查。这是一个很大的转变,因为过去二十年的安全基础设施建立在假设基于端口对流量进行分类,尽可能快速路径并且仅选择性地在预定类型的流量上更深入的基础上。如果我们继续接受安全基础设施中存在系统性盲点,那么当恶意软件出现在这些渠道中时,我们不会感到惊讶。好消息是,硬件和软件方面的进步使得对流量进行全面分析的目标成为一种切实可行的选择,并为重新获得过去十年中我们慢慢失去的可见度打开了大门。

一个理由le返回默认拒绝

积极控制的概念(意味着只允许批准或“列入白名单”的流量,其他一切都被拒绝)是历史上假设防火墙的基本构建块之一去做。随着时间的推移,随着应用程序开始共享公共端口或智能足以找到任何开放端口,这种控制受到侵蚀。这通常意味着拒绝政策无效并且还有可能无意中阻止有效的,经批准的应用程序。

然而,随着分类技术的改进和威胁变得更加复杂,我们开始看到白色的概念 - 列表和积极控制使强势回归。这对于控制恶意软件很重要,因为我们限制了应用程序和流量c允许在网络上,我们大幅减少恶意软件必须操纵的空间并避免检测。例如,组织可以选择默认拒绝所有隧道其他应用程序的应用程序,然后为员工特别需要的应用程序创建例外。或者通过政策,IT可能允许应用程序,但不允许隧道以降低风险。通过利用积极控制,我们可以立即删除恶意软件的关键安全港。

执法阶段的背景

在现代安全中,背景是王道。我们有很多用户,设备,应用程序和许多威胁。很少有IT团队有能力在一天中的所有时间梳理每个日志,我们已经转向上下文以便做出更明智的决定关于什么构成真实和主动威胁的离子。

今天的背景问题是它主要应用于法医能力而不是实时执法。在事后调查中具有背景是至关重要的,但如果我们能够首先利用这种背景来捕捉和预防威胁,则更为有益。这需要内联安全技术实时共享信息。这是为什么集成的网络安全方法再次变得流行的一个关键原因 - 不是因为方便,而是因为它在阻止复杂攻击方面更加强大和有效。如果我们可以将应用程序,用户,漏洞利用,恶意软件,文件传输和URL的知识集成到单个实时安全上下文中,那么我们可以在与现代恶意软件和威胁相同的复杂程度。

分析未知

任何类型的安全性的一个关键是识别何时不属于某些东西,现代恶意软件尤其如此。一旦我们检查了所有流量并尽最大努力识别它,我们就必须为我们如何处理未知数做好准备。这可能包括未知(或未分类)的网络流量,也可能是我们以前没有遇到过的新文件。恶意软件流量通常表现为未知的UDP或TCP,因为它们通常使用自己的自定义协议,这些协议甚至包含在未知加密中。通过检查所有流量,我们可以重新建立我们希望在网络中看到的基线,以便我们可以轻松识别并阻止suspi当它出现时,一些最复杂和最危险的恶意软件是定制的,以确保它不被防病毒产品捕获,因此准备处理未知文件也很重要。 IT需要在网络上预期这种类型的流量,并构建处理它的程序和系统,例如沙盒解决方案,这可以揭示文件是否是恶意的。

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01