《經(jīng)濟(jì)學(xué)人》信息部的最新報告指出，很多企業(yè)對其入侵檢測和響應(yīng)程序缺乏信心，他們擔(dān)憂的問題包括快速檢測新事件，尤其是涉及高級威脅的事件，以及處理涉及員工的意外事故。

[[119895]]

現(xiàn)在越來越多的統(tǒng)一威脅管理(UTM)產(chǎn)品開始支持新的高級防御和檢測功能，這些功能可以用來幫助解決這些問題。這篇文章介紹了這些新興的UTM功能，并闡述了企業(yè)應(yīng)該如何使用它們來防止入侵以及加速對可能發(fā)生事件的檢測。

數(shù)據(jù)丟失防護(hù)

數(shù)據(jù)丟失防護(hù)(DLP)技術(shù)主要用于檢測和阻止攻擊者試圖將敏感數(shù)據(jù)從企業(yè)內(nèi)部滲出到外部位置的行為。DLP可以保護(hù)的敏感數(shù)據(jù)包括社會安全號碼、信用卡號碼、醫(yī)療記錄和知識產(chǎn)品。雖然很多人認(rèn)為DLP是基于文本的技術(shù)，專注于電子郵件和文字處理文檔，但事實(shí)上，它也能夠分析音頻、視頻和其他非文本形式的文件。

因此，UTM很適合于部署DLP技術(shù)來分析出站流量的內(nèi)容，并確保防止基于網(wǎng)絡(luò)的滲出，無論是有意還是無意的。

要做到這一點(diǎn)，首先將DLP配置為測試模式，讓它記錄但不阻止可疑行為。這樣一來，安全團(tuán)隊就有機(jī)會來完善DLP規(guī)則集，而不會在不經(jīng)意間阻止良性流量。在DLP經(jīng)過調(diào)整后，它可以被切換為正常模式，以阻止可疑流量。

“云中沙盒”

某些供應(yīng)商的UTM產(chǎn)品可以配合基于云的沙盒服務(wù)。如果企業(yè)的UTM設(shè)備看到一個試圖通過它的可執(zhí)行文件，并且覺得該文件非?？梢?，那么UTM可以暫停該可執(zhí)行文件的傳輸，并轉(zhuǎn)發(fā)副本到基于云的沙盒以進(jìn)行進(jìn)一步評估。這個沙盒提供了安全的隔離環(huán)境來運(yùn)行這個可執(zhí)行文件以及分析其行為，這樣UTM就可以確定是否允許或拒絕這個文件。

基于云的沙盒服務(wù)可以非常好地發(fā)現(xiàn)高級和新興惡意軟件，特別是當(dāng)UTM定位為“監(jiān)控試圖進(jìn)入企業(yè)網(wǎng)絡(luò)的流量”時。然而，有些企業(yè)的政策禁止通過電子郵件和其他機(jī)制來傳輸可執(zhí)行文件，在這種未經(jīng)授權(quán)可執(zhí)行文件已經(jīng)被阻止的環(huán)境中，使用基于云的沙盒技術(shù)將會浪費(fèi)資源，而不會提供更高的安全性。

帶寬管理

一些UTM產(chǎn)品還提供的另一個功能是服務(wù)質(zhì)量(QoS)執(zhí)行。這允許通過UTM的部分或全部的網(wǎng)絡(luò)服務(wù)管理自己的帶寬，這樣就沒有服務(wù)會使用太多UTM的帶寬。QoS執(zhí)行可以有效地限制一些分布式拒絕服務(wù)攻擊(DDoS)的影響，例如，當(dāng)DDoS攻擊瞄準(zhǔn)受UTM保護(hù)的web服務(wù)器時，這不太可能影響UTM保護(hù)的其他服務(wù)器和系統(tǒng)的帶寬。

企業(yè)應(yīng)該認(rèn)真考慮在激活QoS執(zhí)行前監(jiān)控網(wǎng)絡(luò)使用情況。這可以幫助確保設(shè)置的QoS閾值是基于實(shí)際需求的。否則，由于帶寬限制，企業(yè)關(guān)鍵的流量可能會在無意中被減慢或者完全停止。

結(jié)論

UTM產(chǎn)品可以越來越好地檢測和阻止針對企業(yè)系統(tǒng)的高級攻擊。對其處理高級威脅的能力缺乏信心的企業(yè)應(yīng)該認(rèn)真考慮購買新的UTM產(chǎn)品，或者在其現(xiàn)有的UTM產(chǎn)品中激活新的功能，以提高其入侵檢測功能，從而有效地防止事故的發(fā)生。