隨著惡意軟件日益復(fù)雜化，企業(yè)必須擴展其安全最佳實踐來加入雙層安全技術(shù)。目前有很多雙層安全技術(shù);攻擊檢測系統(tǒng)(BDS)作為單層安全工具的補充技術(shù)，其價值在于檢測惡意軟件的能力。具體來說，攻擊檢測既能識別惡意軟件被傳入網(wǎng)絡(luò)的初始狀態(tài)，也能確認感染系統(tǒng)或網(wǎng)絡(luò)后的情況。

BDS部署模型

攻擊檢測部署模式和入侵檢測系統(tǒng)或入侵防御系統(tǒng)類似，這取決于你選擇的供應(yīng)商，它們包含以下內(nèi)容：

帶外部署—使用跨越交換機的端口或者映射數(shù)據(jù)到BDS的網(wǎng)絡(luò)分流器

內(nèi)線部署—這與網(wǎng)絡(luò)入侵防御系統(tǒng)完全相同

端點部署—利用安裝在每個企業(yè)資產(chǎn)上的客戶端

每種部署方案都有其優(yōu)缺點。而選擇哪一種則完全取決于你所了解的攻擊面、網(wǎng)絡(luò)架構(gòu)、垂直行業(yè)和數(shù)據(jù)隱私法(物理數(shù)據(jù)所在國家的法律)。其中數(shù)據(jù)隱私法很重要，因為有些廠商需要從你的網(wǎng)絡(luò)收集數(shù)據(jù)，再發(fā)送到他們的云基礎(chǔ)設(shè)施中。雖然這并不是技術(shù)問題，但是如果供應(yīng)商需要在你的企業(yè)內(nèi)部執(zhí)行分析或者數(shù)據(jù)要被發(fā)送到其云計算進行后處理，你就需要向供應(yīng)商了解這些問題。

在供應(yīng)商的云計算中進行后處理有很多優(yōu)勢，他們采用大規(guī)模并行處理，并根據(jù)需要擴展資源，這對你完全是公開的，而且還是可擴展的。但是，其他供應(yīng)商也能夠在你的企業(yè)內(nèi)提供相同水平的優(yōu)勢。最終，如果所有這些處理工作是在你的企業(yè)或者供應(yīng)商的云中進行，這兩種部署模式都將得出相同的答案：基于先前已知的樣本或者全新的事物來識別未知或已知惡意軟件。

了解你的攻擊面

了解你的攻擊面是企業(yè)基礎(chǔ)設(shè)施中最重要的一方面。BDS在這方面非常成功，前提是它了解你的操作系統(tǒng)和經(jīng)批準的應(yīng)用(特別是那些連接到互聯(lián)網(wǎng)的應(yīng)用)，因為這是攻擊者用來攻擊的主要載體。這是一個非常重要的工作，因為你需要抵御針對操作環(huán)境的威脅。

進入你的基礎(chǔ)設(shè)施的最終途徑是通過內(nèi)部用戶，這包括內(nèi)部員工和遠程員工。企業(yè)應(yīng)該禁用遠程VPN用戶的分離通道;否則，你的惡意軟件檢測投資將失去作用。如果禁用分離通道難以實現(xiàn)，筆者建議考慮提供端點BDS客戶端的供應(yīng)商。

你需要從選擇正確的BDS開始，幫助你檢測企業(yè)可能面臨的威脅。