让安全系统主动感知威胁的变化

  一边是攻击者行为、手段的千变万化,一边是企业数据应用模式因IT消费化、云和虚拟化技术的广泛应用所带来的变化,内外夹击之下,企业安全防护的传统法则还有效吗?让原有安全防护体系“低效”,甚至“失效”的原因又是什么?

  针对2013年—2014年的企业安全威胁问题,趋势科技进行了一项调查。调查结果显示,在各种入侵企业内部IT系统的行为中,物理化的攻击正在减少,取而代之的是利用恶意软件进行入侵。而且,基于这种“更有效”方法的入侵行为,不仅频次正在持续飙升,精准度也在提高。根据该项调查,99%的恶意软件最终只感染了不到10个受害者,而80%的恶意软件只感染了一个受害者,就达到了入侵的目的。显然,以企业内部系统为目标的入侵行为,正变得越来越隐秘和智能,制造这类威胁的攻击者不仅会利用、分析复杂的社交化信息锁定目标,还会利用来自智能手机、云系统中的安全盲点、漏洞,甚至是一些过去根本不存在的安全隐患,攻入企业内部、盗取关键信息。

  对于企业的困惑,趋势科技认为,企业的安全性原则并没有改变,要改变的是安全的方法。云时代的安全防护需要具备跨平台、多平台的智能防护能力,能让安全系统主动感知威胁的变化。在利用安全终端、安全数据中心、安全网关,形成多层次性的防护架构的同时,必须通过引入高级防护技术,增强平台的支持与集成,进而达到增强整体企业防护的效果。

  传统意义上,企业内部IT系统的安全防护能力往往优于用户终端,所以很大一部分通过搜集社交化信息以锁定目标的APT攻击都是从用户终端下手的。特别是在今天个人智能终端开始广泛成为热门访问企业邮箱等的工具后,用户终端更容易让企业数据不可控,终端防护今天更是增强企业整体防护效果的关键。而在终端引入APT攻击的发现、预警机制,很可能将成为一种高效的方法。趋势科技刚刚发布的OfficeScan 11就集成了这类技术,可以帮用户发现、预警APT等高级威胁。它依靠趋势科技智能防护云体系,可以借助全球监测、分析异常行为的方式生成黑名单,让用户端及时发现威胁。它还可以提供精准的威胁情报,帮助企业利用多平台、跨平台防护体系,最终实现集中隔离与统一恢复。对于移动化所带来的设备、用户不可控问题,OfficeScan 11也能通过与TMCM的联动实现对企业员工的策略管理。

  此外,当企业用传统的安全产品来保护“虚拟数据中心”时总显得非常低效。例如,传统的硬件安全产品就无法符合虚拟化环境下“软件定义数据中心”的诉求,和数据中心演化、追求高效的要求相差甚远。趋势科技(中国区)业务发展总监童宁认为,“适应化 + 感知化 + 软件化 + 平台化”将成为数据中心安全产品发展的方向。在他看来,“数据中心的演化经历了虚拟化、云化和软件化这三个阶段,这将创造出一个全新的生态系统,不仅要求基础架构提供所需的整合能力,新兴的业务程序也会需要数据中心具有弹性计算和软件定义安全的支撑。但在以前,安全厂商和用户的关注点都聚焦在‘核心技术’上,并未考虑演化的数据中心必然解耦硬件的现实条件。所以,在软件决定一切的未来,核心技术的进步不能代表所有,网络安全也应具备智能优化的能力、软件定义的能力。”在这一点上,趋势科技的Deep Security产品近年来受市场热捧的事实就是个很好的例子,凭借有别于传统防毒产品的概念和对虚拟化环境的适应,Deep Security已在虚拟化安全防护市场取得了骄人的市场占有率。据悉,其全新的Deep Security 9.5 就是基于软件定义的安全架构设计的。现在不仅可以做到虚拟化无代理防护和私有云中的物理主机防护,还能与VMware vSphere、Citrix XenServer、Amazon AWS、Microsoft Hyper-V、华为FusionSphere等云管理平台无缝集成,让企业的安全策略在内部私有云和公有云平台之间自由移动,让管理员能够快速、自动追踪安全状况。通过架构的改变,趋势科技已经让安全的能力完全融入到了数据中心,而不是在数据中心之外进行保障。

  有数据表明,90%以上的APT攻击是由钓鱼邮件发起的。从邮件系统入手防范这类高级威胁,最适合的安全产品无疑是邮件安全网关。目前,趋势科技已经将APT防御能力引入到这类产品中,其新推出的高级威胁邮件安全网关——DDEI,就可以侦测并拦截传统防护无法发现的APT攻击,即使是隐藏在电子邮件内部的恶意代码和“诱饵”也能被DDEI识别、破解。据趋势科技(中国区)网关产品经理白日介绍,DDEI不仅可以利用“沙箱”技术找出“恶意”附件,还能通过邮件内容分析等方法,更精准地拦截伪装的邮件,和仅能防垃圾邮件、病毒,进行内容过滤的邮件安全网关不同,这类产品更关注对高级可持续攻击行为的识别。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:CIO们如何应对网络安全威胁?