隨著安全威脅的不斷演變，以及黑客技術(shù)也逐漸變得復(fù)雜，這些意味著企業(yè)也要做出相應(yīng)改變才能免于高級(jí)安全攻擊。黑客不再只關(guān)注于傳統(tǒng)的攻擊目標(biāo)——企業(yè)周邊，他們現(xiàn)在還關(guān)注整個(gè)攻擊的過(guò)程，利用一組攻擊向量就可以不斷獲取核心數(shù)據(jù)，然后再伺機(jī)發(fā)動(dòng)攻擊，而且還能隱藏?cái)?shù)據(jù)的泄露。

許多黑客成功實(shí)施攻擊的原因是因?yàn)槟壳按蠖鄶?shù)安全工具都只是側(cè)重防御——主要通過(guò)控制訪問(wèn)，檢測(cè)和攔截等手段實(shí)施，而這些都是部署在入口處。通常，輸入的文件只會(huì)被掃描一次，即在輸入的端口，目的是檢測(cè)他們是否感染惡意軟件。

要想檢測(cè)高級(jí)威脅和破壞行為，更有效且安全的方式是不能只關(guān)注檢測(cè)和防御，還應(yīng)該在黑客入侵后具備降低其影響的能力。

企業(yè)要從整體的角度查看自己的安全模式，對(duì)整個(gè)數(shù)據(jù)傳輸進(jìn)行持續(xù)保護(hù)——從入口，到傳播再到感染后的補(bǔ)救。

我們需要一種將大數(shù)據(jù)架構(gòu)和持續(xù)保護(hù)功能結(jié)合在一起的安全模式。只有這樣，我們才能克服傳統(tǒng)時(shí)間點(diǎn)檢測(cè)和響應(yīng)技術(shù)的限制。

在這種模式下，網(wǎng)絡(luò)和進(jìn)程級(jí)的遙測(cè)數(shù)據(jù)都會(huì)持續(xù)被收集，所以數(shù)據(jù)一直在更新，以備不時(shí)之需。分析也在同一時(shí)間進(jìn)行，這樣可以緩解控制點(diǎn)的影響并且在一段時(shí)間內(nèi)提供高級(jí)別的檢測(cè)。分析不僅僅是事件枚舉和相關(guān)性;它還包括把遙測(cè)數(shù)據(jù)編排到一起，使安全人員進(jìn)一步了解整個(gè)環(huán)境的狀況。對(duì)廣大用戶和全球情報(bào)的利用也得到持續(xù)更新和及時(shí)共享，而且將之與本地?cái)?shù)據(jù)關(guān)聯(lián)起來(lái)可以進(jìn)一步幫助管理者做決策。

連續(xù)化方法，再加上大數(shù)據(jù)分析可以為打擊高級(jí)威脅帶來(lái)改革型的創(chuàng)新，例如：

1. 超越時(shí)間點(diǎn)的檢測(cè)

連續(xù)化方法可以讓檢測(cè)更有效，滲入性更強(qiáng)。行為檢測(cè)方法，如沙箱，充當(dāng)連續(xù)分析和關(guān)聯(lián)性的錄入。行為展開(kāi)的時(shí)候便會(huì)被捕捉，情報(bào)則通過(guò)檢測(cè)引擎和控制點(diǎn)共享。

2. 監(jiān)控促成攻擊鏈的形成

及時(shí)回看數(shù)據(jù)，以便監(jiān)控文件，進(jìn)程和對(duì)話，然后編排信息創(chuàng)建活動(dòng)歷程，對(duì)抵擋攻擊提供前所未有的理解。

3. 自動(dòng)的高級(jí)分析一直觀測(cè)行為

將大數(shù)據(jù)分析和連續(xù)方法結(jié)合起來(lái)識(shí)別模式和IoCs(危害指示)，如此，安全團(tuán)隊(duì)就可以專注于最具破壞性的威脅之上。

4. 調(diào)查更為定向，快速和有效

以真實(shí)事件和IoCs為基礎(chǔ)，專門(mén)針對(duì)威脅實(shí)施的轉(zhuǎn)換型調(diào)查讓安全團(tuán)隊(duì)有了更快更有效的方式了解和審視攻擊行為。

5. 圍堵政策很靈活

有了連續(xù)方法帶來(lái)的可視性，安全團(tuán)隊(duì)可以識(shí)別特定的根原因，并關(guān)閉所有被破壞和感染的網(wǎng)關(guān)，阻礙攻擊者的進(jìn)一步動(dòng)作，最終阻斷攻擊鏈。

在這種模式里，檢測(cè)和響應(yīng)不再對(duì)進(jìn)程或秩序做分離，而是做相同目的的拓展：即組織高級(jí)威脅。

超越傳統(tǒng)時(shí)間點(diǎn)方法，檢測(cè)和響應(yīng)能力的防護(hù)具有持續(xù)和綜合的特點(diǎn)。

這也是針對(duì)進(jìn)程的高級(jí)威脅檢測(cè)和響應(yīng)所需要的。