几乎任何一家公司都理解恶意软件的真正威胁,而且也都部署了某种安全手段,例如防火墙、反病毒软件或更高级的其它措施。但随着攻击者越来越狡猾,公司需要判定一下企业当前的方法是否足以防止最新的威胁。
非常重要的一个问题是,企业应当把传统的基本安全方案与更新更高级的技术结合起来,使其涉及到信息资产的各个方面,从而全面地保护内部资产。
评估当前系统
近年来,恶意软件已经不再是基于签名的方法可以检测到的简单程序,而是日益复杂和具有针对性。虽然企业当前的反恶意软件部署在过去能够应对威胁,但它未必能够应对新形势下的新威胁。
企业需要理解其期望,同时评估当前的反恶意软件方法,然后决定是否需要一种新方法来应对针对企业的攻击。
越来越多的公司开始重视对雇员进行安全培训,但是在攻击者和防御者之间的知识差距仍是很大的。
建议企业采有较容易学习和使用的开源的或商业化的工具来帮助确认常见的已知漏洞,这有助于系统和网络管理员更好地保护企业资产。但是,仅仅依靠这些方案极有可能无法提供全面的安全评估,不过可以帮助企业形成当前状态的粗略概念或框架。
认识到传统的反恶意软件方案的局限性
传统的基于签名的检测方法仍很重要,如今我们仍可以通过基于签名的检测技术发现并狙击许多恶意软件。但是,恶意软件发展得太快了,安全厂商仍需“快马加鞭”。
甚至前几年出现的一些新技术,如白名单,其功效也是有限的。虽然白名单可以使公司有效地控制哪些类型的软件和可执行代码可被允许在特定机器上运行,但是这种方法仍存在问题。一般说来,白名单可能会严重限制用户完成工作的能力。
传统的解决方案是不够的。我们仍可以看到许多公司过度依赖反病毒和网络防火墙作为其主要的外围防御。虽然这些措施仍扮演着其重要角色,但全面的安全解决方案包含许多其它的技术和方法,如Web应用防火墙、正确实施用户特权的分离、严格的网络分段、设计良好的网络出口通信过滤、适时的补丁管理等。
多数公司不能仅依靠最基本的方法,而应当开始寻求更高级的解决方案。
考虑新方法
行为监视和沙箱是公司可以采用的两种现代技术。其观念在于将未知的软件放置到一个安全的沙箱环境中并执行它,而反病毒软件可以检查其某些行为。
企业可以通过这些技术将潜在的恶意程序从网络的其它部分分离开,查找其异常的行为,如非法访问内存、打开和关闭系统、重命名文件以及企业用基于签名的检测模式无法发现的其它问题。
沙箱还可帮助企业更好地实施白名单,因为我们可以选择将今天使用的所有软件都列入白名单,然后允许成功通过沙箱的任何软件添加到白名单中。
这些技术可以使整个过程更加动态化,并且可以使企业获得一个锁定的安全环境,同时又可以足够灵活地使多个用户完成工作。
行为监视可以更深入地监视文件扫描,因为它超越了文件的当前状态,与反恶意软件厂商所提供的全球性智能网络的特定文件历史和文件声誉发生关联。
认识到公司的需要和能力
企业的安全需要依赖公司的规模和存储的数据类型。更高级的解决方案要求正确实施和运维的专业人员,还需要较大的投资。大型企业能够担负较高的成本,但小型企业却不能认为自己规模小而不会成为恶意软件的目标。公司应当分析自己需要投资多少,能够负担得起多少成本才能更好地保护其资产和声誉,并进而做出合理的投资决策。
