现在有如此多的网络攻击,以至于许多企业简单地接受黑客和坏人会找到方法侵入他们的系统。
一些大企业已经在过去的两年中开发的策略已经快速识别和隔离这些攻击,可能通过关闭系统或网络的一部分,因此黑客不会得到几天或几周根周围,抓住企业的敏感数据。
这家企业注重快速检测并响应网络和计算机的各种攻击并不能取代传统的安全工具来防止攻击。相反,企业依靠既能防治软件和检测软件。
什么事最近期的是,安全软件厂商正在开发的手段来评估与高级分析的攻击。这种分析可以反馈到现有的防御系统,以帮助阻止未来的攻击。检测变得安全周期的一部分,至少理论上是这样。
“有一个大的关注点快速检测和响应的企业,因为预防往往忽略了入侵和恶意活动,” Gartner分析师Avivah利坦在接受采访时说。焦点开始认真大约两年前以下的美国零售商,餐馆和医院有较大增长的数据泄露。
“安全官员醒来,以$ 80十亿花费[2014]预防意识到,很多攻击都拿到过,”利坦说。其主要目的是尽早发现攻击“使攻击者不会获得和坐下来为六个月,默默窃取信息,因为大多数攻击者做的。”
在Juniper Research公司的分析师詹姆斯Moar,称网络安全的现代国家已经演变。“这里不再是一个可靠的网络边界相比,可以把守,而是一系列具有可以从轻或者暴露的风险,”他在一封电子邮件中说。“为了保护和安全这样的环境中,异常检测工具在确定是否在攻击进行的第一步。”
如何检测有助于
什么是检测到攻击时,通常的情况是,安全管理人员将通过限制恶意软件或其他威胁到企业网络中尽可能少的端点(服务器和计算机)尽可能可以被攻击的一部分隔离它,往往。对于一个大公司,一个网络可以由多个较小的结合网络,可以被安排在一个拓扑,允许当一个部分被关闭许多重要的业务功能,甚至继续。
“在安全管理乡亲们做了很多,这些天更分割他们的网络,所以,如果他们发现事情重大,他们可以关闭一个部分,” IDC的分析师罗伯特·阿尤布在接受采访时说。
一个古老的欺骗方法,称为蜜罐,即将开始流行在内部的一些安全组网络,他说。“研究机构及一些托管服务提供商将试图引诱[攻击者在看到正在使用什么样的攻击。我们已经看到了很多欺骗技术重新产生兴趣,虽然尚未有没有成为主流。”
去年秋天,计算机科学家在宾夕法尼亚州立大学描述诱饵网络的方法来帮助抵御黑客的命中。研究人员创建了感知网络的可能的恶意探测器的计算机防御系统。然后,攻击用称为反射器以仅含有真实网络的提示的虚拟网络的网络设备重新定向。研究人员模拟了攻击,而无需使用实际网络的防守,但计划将其在实际的网络中部署。
检测软件通常通过挖掘异常行为的工作。最进化检测系统从网络或服务器,计算机或其他端点设备上的正常活动的基线工作,利坦说。
通过用户正常行为的轮廓,量,并在系统和其它网络活动传输的数据的类型在不断使用正在进行的事务先进的分析比较,她说。
她说:“这些方法甚至可以观察用户相对于他的同事的活动,看看他是否在做一些不寻常的事情。”最近,一些安全供应商已经开始使用机器学习来支持分析。
这里的检测分析可能是如何工作的一个例子:由总部设在伦敦的员工在凌晨3点在新加坡制造的采购请求可能被标记为可疑。但是,安全系统可以检查一个企业的旅行应用程序,看到员工有一个航班和酒店在新加坡预订,然后批准采购。
或者,可能会出现完全不同的结果,这取决于企业的政策,如要求经理的采购审批。
检测产品
检测产品丰富,正在由几乎所有的安全厂商与最新的技术更新,分析师说。“有一百多的厂商在这个空间中,包括所有的如McAfee,思科和赛门铁克的主要名称,下到像较新的幻影,”阿尤布说。
这些产品在美国部署的主要是大型银行,零售,科技和国防相关的企业,Litan表示。小型股和中型一线大厂都聘请管理服务供应商提供检测服务的安全产品大包的一部分的选项。这样的服务提供商包括大型电信公司,但也较小的网络安全公司,如Cybereason和Crowdstrike等等。
Gartner的划分企业所使用到结合了先进的分析三个相对新市场的检测技术。端点[威胁]检测和响应(EDR)超过6亿$的市场在美国,在2016年用户和实体行为分析(UEBA)为1亿$去年市场。网络流量分析(NTA)是第三个新区域,但Gartner公司没有提供该市场的规模估计。
这些新的检测市场可以比作一个更大的,但旧的检测技术被称为市场安全信息和事件管理(SIEM), which Gartner said reached about $1.6 billion in U.S. revenues in 2016. The major distinction between SIEM and the newer technologies is that SIEM is rules based, while newer detection systems rely on advanced analytics which typically, but not always, include machine learning software, Litan said.
建议到安全团队
较新的检测工具与旧的预防手段的结合是多么大企业通常是满足其安全需求。
“有了安全,总是有改进的余地,你永远不会解决所有的安全问题,”利坦说。“你不能只是有预防。你必须有检测,但没有银弹”。
在J.黄金Associates的分析师杰克金,同意。“这不是真的一个或另一个,”金说。“如果你能很快找到一个黑客,关闭它,那么你已经基本上防止违约,最好的方法是一种与两个防止分层和检测,只要有一方或另一方是不是安全的,因为同时部署许多厂商在该方向上移动,以及“。
Juniper的Moar说,这是“非常重要”,为企业有一个检测工具,其预防和调解的软件运作良好。
Moar说:“如果你不能对抗这些威胁,那么使用一个显示威胁的工具是没有用的。”“在公司网络上寻找新连接,使他们可见的安全检测和补救,消除了这个问题。”
公司购买产品检测之前,利坦说,有可以采取的收紧系统的一系列简单的步骤。这包括什么似乎是显而易见的:从最终用户的帐户,这样的恶意软件不能在整个系统中分布删除管理员权限。
“还有很多,你可以更多的花费在检测中,仰望厂商变得更聪明才做的。我的建议的主要部分是你要确保你与供应商紧密合作,并确保你有自己的当前版本中,”利坦说。
Litan表示厂商都在开发自动检测工具,最终可能降低证券分析师公司的严重依赖追踪攻击工作。
即便如此,阿尤布说安全仍然是一个不断扩大的领域,将继续依靠人民的力量。“如果安全事件发生,公司将开始收集周围的数据,仍然需要一定的技能集,一般不使用。我们还需要证券分析师跟踪这些东西下来。”
这个故事,“面对现实:企业的网络攻击将要发生”最初发表计算机世界 。