眾所周知，網(wǎng)絡攻擊者經(jīng)常使用復雜的惡意軟件來危害網(wǎng)絡和計算機，以竊取企業(yè)的敏感信息。近期，Gartner的報告稱可以用五種基本方式來保護企業(yè)免遭攻擊，并且建議結(jié)合其中兩種及以上的方式，效果會更好。

該報告詳述了科學解決隱形攻擊(又稱先進的持續(xù)威脅)的“五種高級威脅防御模式”， 簡單的傳統(tǒng)安全防御技術(shù)如反病毒或防火墻除并不包括在其中。這篇報告通過分析一些已經(jīng)上市的安全產(chǎn)品，來幫助識別隱形攻擊或收集被入侵的系統(tǒng)的相關信息，也就是所謂的取證。Gartner把它們放在一個安全框架里，分成五種技術(shù)方法，從而形成五種具體的“模式”。

根據(jù)Gartner的研究，首先要考慮的是旨在竊取重要數(shù)據(jù)的攻擊的時間段，要把實時防御(或接近實時防御)落實到位。但是當攻擊不幸成功了，其他工具就會被當做“后入侵”對象，也就沒必要去取證了。

一般來說，有必要去分析入站和出站點的網(wǎng)絡流量，從而檢測出受損端點，要做到這一點，端點處不需要安裝代理軟件，另外還需要考慮攻擊者的負載情況。這里有一個沙箱方法，就是通過在一個安全的、隔離的模擬環(huán)境中，標記一些危險目標，觀察它們的負載情況。Gartner指出還要確定端點是如何被惡意軟件所影響的，但是要管理和部署這些端點，通常需要耗費很大的運營成本。

五大防御技術(shù)：

模式1——使用網(wǎng)絡流量分析技術(shù)，確定標準流量模式的基準線(例如異常的DNS流量說明可能有僵尸網(wǎng)絡流量)，并對異常模式進行標注，代表著一個被入侵的環(huán)境。這種方法實現(xiàn)了實時檢測，能夠囊括匿名和非匿名技術(shù)，還不需要端點代理。但是該方法面臨的挑戰(zhàn)是，可能需要“仔細調(diào)節(jié)和知識淵博的員工來避免錯誤信息”，如果產(chǎn)品是一個帶外的工具，它阻止攻擊的能力有限，可能無法監(jiān)控移動終端離線網(wǎng)絡的流量。該模式取樣的產(chǎn)品供應商包括Arbor、Damballa、 Fidelis、 Lancope和 Sourcefire的 AMP。

模式2——網(wǎng)絡取證通常提供“網(wǎng)絡流量的全包捕獲和存儲”，分析和報告工具對先進威脅事件的響應。這種方法的優(yōu)點包括減少了事件的響應時間、可以在幾天或幾周時間里重建和回放流量，有時候還會提供詳細的報告，以滿足監(jiān)管要求。而缺點都有哪些呢?這些工具的復雜性和成本會隨著數(shù)據(jù)和保留時間的增長而增長;有時候由于數(shù)據(jù)量太大，只能在非高峰時期來生成報告。關于模式2的產(chǎn)品供應商有Blue Coa和RSA。

模式3——有效負載分析，可使用沙箱技術(shù)近實時地檢測攻擊目標，但他們通常不會“花幾天、幾周或幾個月的時間去跟蹤端點的行為”。Gartner追加道，有效負載分析產(chǎn)品有各種能力準確檢測到惡意軟件。雖然它們的優(yōu)勢在于能夠成功繞過非匿名的產(chǎn)品而檢測到惡意軟件，還有的產(chǎn)品有選擇性屏蔽功能，但是這種方法依然面臨著一些挑戰(zhàn)，行為分析需要花費幾秒或幾分鐘才能完成，這給惡意軟件通過網(wǎng)絡侵入端點提供了足夠的時間。特別是當惡意軟件使用逃避技術(shù)如睡眠定時器時，響應就會延遲。不過，一些供應商正在努力修復這個缺點。其它還有的缺點就是在端點上執(zhí)行惡意軟件前沒有確認信息。

惡意軟件在模擬環(huán)境中表現(xiàn)出的某種行為方式，并不意味著當它攻擊真正的目標時也會采取同樣的方式。據(jù)Gartner研究，一些負載產(chǎn)品只支持有限范圍的負載量，譬如可執(zhí)行文件。而大部分都支持微軟的Windows系統(tǒng)，有些云產(chǎn)品也支持Android系統(tǒng)，但還沒有支持蘋果的Mac OS X系統(tǒng)的產(chǎn)品。

模式3涉及到的供應商及產(chǎn)品有：AhlLab、FireEye、Lastline、ThreatGrid、 Check Point的威脅仿真軟件刀片、邁克菲的ValidEdge、Palo Alto的Wildfire服務和趨勢科技的Deep Discovery。

模式4——終端行為分析，在應用程序容器中，通過把虛擬容器中的應用程序和文件進行分離，來保護端點安全。該模式的其他創(chuàng)新點包括為阻止攻擊而進行系統(tǒng)配置、內(nèi)存和進程監(jiān)控，另外還有實時響應技術(shù)。Gartner說，模式4需要在每個端點上安裝一個代理，它可以攔截內(nèi)核系統(tǒng)調(diào)用并阻止惡意活動，比如線程注入式攻擊;另外，該模式能通過隔離的Web瀏覽，保護用戶免遭任意軟件的攻擊，包括路過式下載和“水坑”下載。

這種模式的主要優(yōu)點是能夠阻止“零日攻擊”，提供一些基礎證據(jù)，檢查系統(tǒng)是否打開或關閉網(wǎng)絡。但是它面臨的挑戰(zhàn)是部署和管理代理軟件在操作上是很密集的，在BYOD環(huán)境中尤其困難。該模式的供應商包括Blue Ridge Networks、Bromium、 Invincea、Sandoxie和 Trustware，支持內(nèi)存監(jiān)控的供應商有Cyvera、ManTech、HBGary和 RSA的 Ecat。

模式5——最后一個模式是端點取證，涉及到了事件響應工具。端點代理商從他們監(jiān)控的主機中收集數(shù)據(jù)，幫助事件自動響應，監(jiān)控公司網(wǎng)絡的主機打開或關閉。但是它們的缺點也是部署和管理時操作比較密集，對非Windows端點的支持是非常有限的。該模式涉及到的供應商及產(chǎn)品有Bit9、Carbon Black、Mandiant、 ManTech、HBGary的 Responder Pro 和Guidance Software的EnCase Analytics,

Gartner建議在細分出的這五種高級威脅防御模式中，選擇至少兩個模式一起使用，比如使用模式3進行有效負載分析以及用模式5進行端點取證。

“一些有效負載分析供應商會和終端取證供應商合作，把他們的解決方案進行整合，來減少事件的響應時間。雖然網(wǎng)絡流量分析(模式1)和終端取證(模式5)的優(yōu)點有些相似，但很少有供應商會把這兩種模式放在一起使用。”Gartner的分析師Lawrence Orans說在決策過程中，供應商合作也是一個影響因素。另外，一些模式仍然是以Windows系統(tǒng)為核心的，網(wǎng)絡分析除外。

Gartner的報告還包括了很多其他的模式，并指出一些供應商，尤其是比較大型的已經(jīng)開始交付集成兩個或多個模式的產(chǎn)品。然而，選擇一個模式的企業(yè)可能會帶來一些負面影響，Gartne補充道：“那些專注于一種模式的專業(yè)廠商提供的產(chǎn)品，其功能將不會很全面。”

面對先進持久威脅對企業(yè)數(shù)據(jù)的竊取行徑，可以使用這五種模式來進行對抗，但這并不意味著要放棄如反病毒這樣的傳統(tǒng)安全技術(shù)。這五種模式是專門針對那些主動參與到對抗入侵者的企業(yè)安全管理者而提出來的。

鏈接：http://www.networkworld.com/news/2013/103013-gartner-defense-attacks-275438.html?hpg1=bn