針對性的攻擊不斷尋找新鮮途徑來入侵系統(tǒng),企業(yè)一直正在尋找并創(chuàng)新方法來快速檢測并應(yīng)對與日俱增的高級威脅。

無論安全專業(yè)人員圍繞其網(wǎng)絡(luò)建立了多高、多深、多厚的防火墻，攻擊者似乎都能找到辦法去跨越，挖掘，甚至鉆透。最近美國無線運營商Verizon公司數(shù)據(jù)泄露的調(diào)查報告顯示，50%以上的攻擊源于黑客采用的不同形式,而檢測出超過三分之二的攻擊卻需耗時數(shù)月乃至數(shù)年。

鑒于該統(tǒng)計數(shù)據(jù)，加之企業(yè)在反復(fù)清理受病毒感染的系統(tǒng)過程中積累的經(jīng)驗,越來越多的企業(yè)已經(jīng)意識到網(wǎng)絡(luò)違規(guī)時間無時無刻不在發(fā)生。

目前重要的是，企業(yè)究竟能以怎樣迅捷的速度去檢測威脅并做出響應(yīng)。

“這是一場戰(zhàn)爭”，美國國家法律和生命科學律師事務(wù)所Fenwick & West LLP信息中心主任凱文•摩爾對此了然于胸。“正如其它所有企業(yè)和部門一樣,我們也在使用諸多安全設(shè)備來保護我們的網(wǎng)絡(luò)系統(tǒng)。從網(wǎng)絡(luò)防火墻、應(yīng)用程序防火墻、監(jiān)控系統(tǒng)、安全網(wǎng)關(guān),到反惡意軟件應(yīng)用程序,”摩爾說，“但隨著高級威脅的發(fā)展,遏制攻擊變得更富挑戰(zhàn)性，更加艱難。”

事實上,在過去的幾年里,美國聯(lián)邦調(diào)查局已多次發(fā)出警告,黑客已越來越針對律師事務(wù)所作為一種有力渠道來獲取其感興趣的行業(yè)客戶敏感信息。

基于這一切，摩爾一直致力于快速自動檢測受感染的系統(tǒng)隨之進行清理。他使用的工具之一就是用以自動檢測惡意軟件的FireEye。雖然Fenwick & West LLP律師事務(wù)所具備一個小型的IT安全團隊,但是應(yīng)對潛在違規(guī)的諸多響應(yīng)措施都需手動完成且異常耗時。

“譬如，一旦從FireEye或我們的安全網(wǎng)關(guān)得到惡意軟件的提示,我們立即試圖孤立問題機器,找出用戶,并且確定其實時方位。然后調(diào)派專業(yè)客服人員來全面檢查問題機器,”摩爾說。

這顯然比今天的大多數(shù)企業(yè)能力更強且更為主動。然而,考慮到目前數(shù)據(jù)的泄漏速度,摩爾深知企業(yè)迫切需要更為迅捷的響應(yīng)。“一旦得到數(shù)據(jù),比如FireEye提供某惡意軟件正在試圖與指揮和控制服務(wù)器建立聯(lián)通路徑,我們將以最快速度予以處理。然而專業(yè)客服人員和其他技術(shù)人員尚有許多安全之外的其它工作,所以我們亟需更加自動化的方法,”他說。

為了緊縮響應(yīng)時間,摩爾聯(lián)系到了負責威脅管理與安全分析的供應(yīng)商NetCitadel。當時,恰逢該公司開始開發(fā)他們的威脅反應(yīng)平臺,摩爾解釋到。

NetCitadel做出的承諾是，其能夠從摩爾的網(wǎng)絡(luò)和應(yīng)用防火墻、反惡意軟件、取證、及其它應(yīng)用程序中集成數(shù)據(jù)，然后預(yù)警和阻止基于實時數(shù)據(jù)的攻擊。“基于我定義的工作流和標準，企業(yè)系統(tǒng)可以做到確定正在進行的攻擊并停止特定活動,如輸出到某個指揮和控制服務(wù)器IP地址的流量,”摩爾說。

此例中,我已經(jīng)有效地阻止了感染其指揮和控制服務(wù)器的威脅。這給了我們一些額外的時間來喘息，因為我們已經(jīng)阻斷了病毒威脅,”他說。

昨天，NetCitadel交付了其威脅管理平臺ThreatOptics。該公司聲稱,集成數(shù)據(jù)來自反惡意軟件應(yīng)用程序、數(shù)據(jù)取證工具、應(yīng)用程序防火墻、網(wǎng)絡(luò)防火墻，以及安全事件和信息管理系統(tǒng)(SIEM)等，該威脅管理平臺還可使用防火墻和安全網(wǎng)關(guān)來實時響應(yīng)事件。

“今天好的安全不僅與檢測有關(guān),更事關(guān)迅速響應(yīng)。捕捉和集成數(shù)據(jù)的能力對保障系統(tǒng)和數(shù)據(jù)的安全至關(guān)重要,”摩爾認為。