我们身边围绕着太多不可忽视的安全威胁,所幸的是我们已经意识到了,但面对像APT和不太流行的针对攻击性强的高级恶意软件,我们的安全解决方案还是存在误报、防护不周、响应慢和修复晚的问题,而且应对的成本相对高昂。绝大部分企业所拥有的还是深入的分散式的防御方案,尽管每个威胁媒介可能有多种防病毒引擎和保护措施,但这些产品大部分时候是在孤立抗争着,仍难以应对以上的挑战,解决不了成本和减少风险的难题。
恶意软件仍在激增,这让只单独关心各个防御点,和过度依赖手动白名单、黑名单的旧技术成为一种极具风险的策略。所以,现在企业安全团队需要的是一种更好的方式来检测和识别工作负载,在实现全面安全防护的同时,最大限度的降低对性能的影响,公共云也需要设置安全策略,最终要让这些策略都在简化的安全管理下发挥功效。由此,就必须摒弃旧的防御方式,更优化的解决方案呼之欲出。
防御点的强强联合
试想,如果这些复杂的、分散的安全防御点能够被优化成为“一家亲”,联合起来克服独立运营的缺陷,使整体的安全模型更加敏捷和智能,这样就能分别在防御点上更加有效的发挥功用。这就不得不提到迈克菲在今年2月推出的McAfee Threat Intelligence Exchange,它率先将本地和全球威胁智能信息以及企业的各类安全产品整合到一个集成安全系统,是迈克菲 2011 年推出的业界首款安全互联 (Security Connected) 平台的一大显著进步。
McAfee Threat Intelligence Exchange解决方案使用了迈克菲数据交换层,这是个双向通信的结构,可以简化产品集成和进行上下文共享,据此,McAfee Threat Intelligence Exchange组件作为一个整体来运行,集中分析来自每个入口点的可疑文件,在网络、终端、数据、应用程序和其他安全解决方案之间共享相关数据,调整相应的防御措施,以实现安全智能感知并实施相适应的安全防护,这能大大缩短对APT的响应和遏制的时间。
McAfee Threat Intelligence Exchange在问题得到阻止或是允许的执行操作时,这个操作会更新McAfee Threat Intelligence Exchange的服务器记录,并使订阅了TIE更新的其他企业安全产品及时更新,速度之快和对于本企业的适应性是其他供应商和企业无法达到的。
McAfee Threat Intelligence Exchange可以根据全球智能感知数据源,比如迈克菲自己的GTI(McAfee Global Threat Intelligent)或者是第三方的数据源,实时和历史数据的本地威胁智能感知来定制全面的威胁智能感知,并采取响应的措施。McAfee Threat Intelligence Exchange的管理员们也可以改写、增加这些智能源信息,来调整这些信息,以在自己的环境中充分利用他。
总结来说就是McAfee Threat Intelligence Exchange通过跨终端、网关及其他安全产品共享相关安全数据来实现自适应的威胁防护。试想,数据共享了,那么这些分布的产品就能作为一个整体来运行,相互交换综合威胁情报的它们就能够基于这些情报采取相适应的行动了,这样大大缩短了遏制威胁的时间。
白名单关键安全层的保护
远程攻击或社会工程带来的高级持久性威胁使得企业安全岌岌可危。IT人员不仅需要管理原有系统、抢救崩溃的系统、为系统安装补丁程序,还需要对用户和现场系统强制执行安全标准,他们需要更实用的方法来控制和保护系统中运行的软件。
在迈克菲服务器安全套件中,McAfee Application Control是一个关键的安全层,提供了动态白名单、内存保护和文件信誉这三个重要的组件。动态白名单会在修复系统和安装新版应用程序时自动更新经过授权的应用程序列表,内存保护确保应用程序漏洞不会遭受诸如缓冲区溢出等威胁,文件信誉通过访问GTI检查每台服务器上的白名单以实时发现新威胁。
McAfee Application Control软件在保护软件方面采取的是“拦黑保白”的策略,能帮助企业有效地拦截未获得授权的软件,以及保护获得授权的软件。但是不同于简单的白名单功能,McAfee Application Control采用一种动态的信任模式,最大的不同就在与信任度的使用,为企业提供主动控制;同时,通过加强黑名单功和行为防护措施来执行其他安全策略。
McAfee Application Control安装在固定功能设备内部,与McAfee ePO相集成,防止获批准的应用程序在运行时遭到擅自更改,凭以上几点提高了数据中心服务器的整体安全,在无需更新特征码的前提下增加了另一级针对当今复杂而隐秘的威胁的防护,解决了日常运营开支的问题。当然,它除了在企业中的数据中心能大显身手之外还有桌面版。
桌面机的最终用户在无意间会下载恶意软件, APT也通过社交网络和其他攻击方法来引诱用户加载不可信的应用程序等,这很大程度上使安全情况变得更加复杂。McAfee Application Control for Desktop增加了至关重要的保护层,优于防毒产品,能保护标准化的、有安全团队控制的桌面系统,防范潜在有害应用程序和代码,阻止高级威胁且无需更新特征码,帮用户始终启用已知的良好的应用程序,阻止已知和未知的不良软件,并正确管理新软件。