中国领先的IT技术网站
|
|

黑白名单要你何用 许多网络攻击根本不涉及恶意软件

保护企业网络安全面临巨大挑战,因为企业网络内的主机可达数百上千台,而罪犯仅需入侵其中一台,即可觊觎收获整个网络。那么,我们现在开始该怎么做呢?企业未来的高级网络安全解决方案应该怎样做呢?

作者:nana来源:安全牛|2017-09-15 15:16

沙龙活动 | 去哪儿、陌陌、ThoughtWorks在自动化运维中的实践!10.28不见不散!


高级威胁时代的企业安全

高级威胁时代的企业安全

保护企业网络安全面临巨大挑战,因为企业网络内的主机可达数百上千台,而罪犯仅需入侵其中一台,即可觊觎收获整个网络。安全公司数十年来都在努力保护计算机网络,用尽各种方法确保(或者说试图确保)没有任何一台计算机被感染。

刚开始的时候,这很容易,威胁数量极少,能够识别全部威胁便已足够。但后来随着恶意软件的进化,成为反病毒公司的噩梦,因为这会消耗专家研究员数天甚至数周时间,才能创建新的检测规则。

随着互联网的崛起,金钱成为网络罪犯的动机。黑客攻击能力提升巨大,无论在规模还是复杂性方面都如此。过去,一款病毒要数周或数月,才能从洛杉矶传播到纽约。现在,互联网上,数秒之内病毒就能从华盛顿传到东京。渗透防御和隐藏恶意软件的新技术,让威胁能够在企业网络中驻留更长时间。而安全公司,被迫再次做出调整适应。

黑名单,是传统反病毒公司用来对抗网络犯罪的一种战术。黑名单有着几十年的经验,包含准确的病毒特征检测,能够有效检测亿万恶意软件样本。但不利的一面是,黑名单有很多不确定性。它们的目标是找出恶意软件,任何被认为是非恶意的东西都被允许运行。尽管安全厂商和客户都不清楚什么是“非恶意”,这些“非恶意的东西”又都干些什么。

为弥补该不确定性,我们又看到了白名单战术。白名单因只允许好软件在系统中执行而很有效果。然而,就像黑名单一样,该方法也有缺陷,比如被植入了木马的程序。

黑名单和白名单都曾辉煌一时,但在高级威胁时代,单纯依靠黑/白名单是行不通的。万一攻击根本不涉及恶意软件呢?那这两种方法就都失效了,因为他们根本就是一体两面,都只是在消除恶意软件而已。网络罪犯可以尝试千万次,而一旦一次成功,他们就赢了。这可不是一场公平竞赛,我们的解决方案需要进化,要领先一步。

今年的威瑞森数据泄露调查报告中,他们涵盖了安全事件及攻击者使用的不同战术。仅51%的案例中使用了恶意软件,一半都根本没涉及到恶意软件!这意味着,黑名单和白名单两种方法都毫无作用,保护不了你的公司。

那么,我们现在开始该怎么做呢?企业未来的高级网络安全解决方案应该怎样做呢?

1. 所有文件分类使用

黑名单:如上文解释的,这些技术有其局限性,但同时,它们在执行检测恶意软件的工作上又十分突出;

白名单:有了它,我们可以摒除黑名单导致的不确定性。

2. 自动化

分类所有文件的唯一可扩展&可行方法,就是通过自动化,可提供最佳可能准确率。

3. 实时监测

攻击者已经能很成功地利用好软件,所有我们需要知道每台电脑上实时发生的所有事,包括无恶意软件攻击检测。

4. 取证

无论我们做得有多好,无论罪犯终会入侵计算机,我们不可能总是胜过他们。这就是为什么要有这最后一个组件的原因。一旦检测到安全事件,在取证的支持下,我们可以回答所有需要被回答的问题:发生了什么?什么时候发生的?攻击者是怎么进来的?他们做了什么?

纳入所有这些组件对安全厂商而言是一场艰苦的战斗,但作为一个行业,我们知道过去对抗最复杂的网络攻击需要付出什么。如今,这就是个执行问题,是企业认识到安全对自身目标重要性的问题。

【编辑推荐】

  1. 号称最安全的苹果TEE被黑客攻破了,怎么办?
  2. 走近科学:如何一步一步解码复杂的恶意软件
  3. 追求干货和有趣 KCon 黑客大会2017盛大召开
  4. 黑客随便修改价格,1美元就能买到 Macbook Pro?
  5. 走近“黑客”:聊一聊“黑客”手中的那些好玩的“装备”
【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

精通ASP+XML+CSS网络开发混合编程

《精通ASP+XML+CSS网络开发混合编程》介绍当前网络开发的主流平台与技术之一的ASP+CSS+XML的知识与应用,全书各知识点均配以实例,按照基础...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
× Python最火的编程语言