威脅檢測(cè)已經(jīng)超越了基于簽名的防火墻和入侵檢測(cè)系統(tǒng)，包含了監(jiān)測(cè)內(nèi)容和通信的新技術(shù)。然而，這些第二層技術(shù)并沒(méi)有包括在安全預(yù)算中，原因有很多。其一：這些新系統(tǒng)和服務(wù)(安全智能、威脅預(yù)測(cè)和建模、攻擊檢測(cè)系統(tǒng)、取證)被排除在外是因?yàn)槠髽I(yè)目光短淺地專(zhuān)注于傳統(tǒng)最佳做法或過(guò)時(shí)的合規(guī)性。

最高級(jí)別的安全性可以分為三個(gè)方面：人、流程和技術(shù)。根據(jù)公司收入、垂直行業(yè)和地理位置的不同，人和流程將有所不同。然而，在大多數(shù)垂直行業(yè)，大部分安全技術(shù)和威脅檢測(cè)保持相對(duì)穩(wěn)定和靜態(tài)，其中包括第一層安全技術(shù)。這些技術(shù)被認(rèn)為是安全最佳做法的基礎(chǔ)：防火墻、防病毒、入侵檢測(cè)/防御系統(tǒng)、安全web網(wǎng)關(guān)、消息傳遞安全、VPN和安全信息及事件管理。

第一層安全技術(shù)是任何安全架構(gòu)的基礎(chǔ)，但我們已經(jīng)使用它們長(zhǎng)達(dá)20年，防病毒軟件甚至長(zhǎng)達(dá)30年。現(xiàn)在我們是時(shí)候開(kāi)始采用和擁抱新技術(shù)了。(這里的新技術(shù)并不是在產(chǎn)品類(lèi)別前加上“下一代”的已知技術(shù))。

坦白地說(shuō)，我們需要“現(xiàn)代”技術(shù)，這些網(wǎng)絡(luò)安全設(shè)備和服務(wù)被稱(chēng)為第二層技術(shù)。這些概念說(shuō)明了安全行業(yè)內(nèi)獨(dú)特模式的轉(zhuǎn)變，同時(shí)，解決了安全最佳做法的根本誤解。

增強(qiáng)型威脅檢測(cè)的重要性

威脅形式是動(dòng)態(tài)的，總是會(huì)不斷出現(xiàn)新的漏洞利用方法。第一層安全技術(shù)的最大的問(wèn)題是它們無(wú)法阻止未知惡意軟件，或者當(dāng)攻擊成功執(zhí)行后你甚至都不知道。

對(duì)于第一層安全技術(shù)的常見(jiàn)誤解是，這些設(shè)備和軟件聲稱(chēng)覆蓋惡意軟件，但覆蓋的深度水平并沒(méi)有明確，這取決于安全供應(yīng)商。例如，一家安全供應(yīng)商聲稱(chēng)對(duì)數(shù)百未知漏洞提供零日覆蓋，如果你仔細(xì)看其過(guò)濾器設(shè)置，你會(huì)發(fā)現(xiàn)，大部分零日過(guò)濾器在默認(rèn)下是禁用的，這是對(duì)零日覆蓋的營(yíng)銷(xiāo)說(shuō)法，但如果在默認(rèn)下它沒(méi)有打開(kāi)，它如何幫助你抵御威脅和降低風(fēng)險(xiǎn)?

大多數(shù)第一層安全技術(shù)可以保護(hù)你免受已知威脅的攻擊。這方面一個(gè)很好的例子是微軟。在微軟星期二補(bǔ)丁日(即每個(gè)月的第二個(gè)星期二)都會(huì)發(fā)布Windows的補(bǔ)丁修復(fù)。微軟做得好的地方在于，他們與其微軟主動(dòng)保護(hù)計(jì)劃(Microsoft Active Protections Program)的安全供應(yīng)商成員建立了協(xié)作關(guān)系。微軟在將漏洞信息向公眾發(fā)布之前，會(huì)先發(fā)給這些供應(yīng)商。這使這些供應(yīng)商有時(shí)間來(lái)創(chuàng)建過(guò)濾器和簽名來(lái)識(shí)別已知漏洞。

然而，問(wèn)題是識(shí)別在傳輸中或者目標(biāo)資產(chǎn)中的未知惡意內(nèi)容的能力。下一步是確定攻擊是否成功。大多數(shù)第一層安全技術(shù)無(wú)法提供這些急需的功能。

一些第一層安全設(shè)備(例如入侵防御系統(tǒng))無(wú)法追蹤交易的狀態(tài)，因?yàn)樗鼈冊(cè)趫?zhí)行多個(gè)操作來(lái)驗(yàn)證流經(jīng)IPS的數(shù)據(jù)是否與特定過(guò)濾器/簽名或模式匹配。此外，一些系統(tǒng)缺乏解析包含惡意軟件的復(fù)合文檔(例如PDF或者Word文檔)的能力。了解正在保護(hù)企業(yè)基礎(chǔ)設(shè)施的產(chǎn)品中存在的問(wèn)題可以讓你重新考慮你的安全策略。

任何安全策略的目標(biāo)是降低你的總體風(fēng)險(xiǎn)。重要的是要明白，并沒(méi)有萬(wàn)能的方法來(lái)抵御全部威脅。安全社區(qū)經(jīng)常引述《孫子兵法》中的這句話(huà)：“知己知彼百戰(zhàn)百勝。”我們需要了解敵人以及他們用來(lái)規(guī)避檢測(cè)的方法。但是，在“知己”方面我們做的還不夠，大多數(shù)人專(zhuān)注于增加安全措施，對(duì)于每個(gè)企業(yè)基礎(chǔ)設(shè)施來(lái)說(shuō)，這并不是千篇一律的。

降低未知風(fēng)險(xiǎn)的很好的方法是填補(bǔ)與第二層安全技術(shù)的差距，例如攻擊檢測(cè)系統(tǒng)(BDS)。BDS的關(guān)鍵功能是它能夠感知攻擊。BDS可以檢測(cè)惡意文件或命令的初始狀態(tài)，并控制未知惡意軟件的通信。這些系統(tǒng)被部署在網(wǎng)絡(luò)邊界作為網(wǎng)絡(luò)設(shè)備或者軟件，其中加載了端點(diǎn)資產(chǎn)。它們使用多種識(shí)別向量，例如IP地址和域名聲譽(yù)數(shù)據(jù)、模式匹配、啟發(fā)式、流量監(jiān)控、瀏覽器仿真和操作系統(tǒng)行為分析。圖1展示了今年早些時(shí)候我們的BDS測(cè)試中一家供應(yīng)商的結(jié)果，其中顯示了該產(chǎn)品識(shí)別成功地通過(guò)HTTP傳播的惡意軟件的兩個(gè)方面的能力。

重要的是要知道，對(duì)于任何未知惡意軟件，總是會(huì)有一個(gè)初始感染資產(chǎn)。BDS讓你可以識(shí)別這個(gè)初始感染資產(chǎn)，以及提供相應(yīng)的情報(bào)來(lái)修復(fù)被感染的基礎(chǔ)設(shè)施上的其他資產(chǎn)。這絕對(duì)是縱深防御方法，基本上是增加額外的安全性來(lái)縮小其他安全技術(shù)留下的空白。

然而，縱深防御有點(diǎn)不確切。我們應(yīng)該將它看做是利用現(xiàn)代技術(shù)(而不是下一代產(chǎn)品和服務(wù))的“信心深度”。筆者的建議是，你應(yīng)該開(kāi)始考慮在你的預(yù)算中涵蓋第二層安全技術(shù)提供的增強(qiáng)威脅檢測(cè)。從概念證明開(kāi)始，并在你的基礎(chǔ)設(shè)施中測(cè)試一些第二層系統(tǒng)。

威脅檢測(cè)技術(shù)以及這些系統(tǒng)的成熟度和可擴(kuò)展性因供應(yīng)商而異。要考慮的一些方面包括：這些系統(tǒng)是否需要網(wǎng)絡(luò)或端點(diǎn)部署，或者兩者結(jié)合。如果它使用沙箱技術(shù)，數(shù)據(jù)被發(fā)送到云計(jì)算，如果是這樣，這個(gè)功能能否被關(guān)閉?這個(gè)系統(tǒng)能否檢測(cè)已存在的攻擊以及通過(guò)側(cè)面通道進(jìn)入的惡意軟件?即使供應(yīng)商聲稱(chēng)能夠解決這些問(wèn)題，企業(yè)還是應(yīng)該驗(yàn)證這些技術(shù)能否像宣傳那樣運(yùn)作。

在NSS實(shí)驗(yàn)室，我們已經(jīng)對(duì)這項(xiàng)技術(shù)進(jìn)行全面檢測(cè)，并相信它提供了一個(gè)堅(jiān)實(shí)的額外安全控制，能夠完善現(xiàn)有安全基礎(chǔ)設(shè)施。而在現(xiàn)有安全基礎(chǔ)設(shè)施內(nèi)采用第二層安全技術(shù)是對(duì)付持續(xù)和未知威脅的好辦法。這些資本支出采購(gòu)類(lèi)型需要在企業(yè)的財(cái)年預(yù)算周期前提前計(jì)劃好。