黑白名单要你何用 许多网络攻击根本不涉及恶意软件

安全
保护企业网络安全面临巨大挑战,因为企业网络内的主机可达数百上千台,而罪犯仅需入侵其中一台,即可觊觎收获整个网络。那么,我们现在开始该怎么做呢?企业未来的高级网络安全解决方案应该怎样做呢?

高级威胁时代的企业安全

[[203756]]

保护企业网络安全面临巨大挑战,因为企业网络内的主机可达数百上千台,而罪犯仅需入侵其中一台,即可觊觎收获整个网络。安全公司数十年来都在努力保护计算机网络,用尽各种方法确保(或者说试图确保)没有任何一台计算机被感染。

刚开始的时候,这很容易,威胁数量极少,能够识别全部威胁便已足够。但后来随着恶意软件的进化,成为反病毒公司的噩梦,因为这会消耗专家研究员数天甚至数周时间,才能创建新的检测规则。

随着互联网的崛起,金钱成为网络罪犯的动机。黑客攻击能力提升巨大,无论在规模还是复杂性方面都如此。过去,一款病毒要数周或数月,才能从洛杉矶传播到纽约。现在,互联网上,数秒之内病毒就能从华盛顿传到东京。渗透防御和隐藏恶意软件的新技术,让威胁能够在企业网络中驻留更长时间。而安全公司,被迫再次做出调整适应。

黑名单,是传统反病毒公司用来对抗网络犯罪的一种战术。黑名单有着几十年的经验,包含准确的病毒特征检测,能够有效检测亿万恶意软件样本。但不利的一面是,黑名单有很多不确定性。它们的目标是找出恶意软件,任何被认为是非恶意的东西都被允许运行。尽管安全厂商和客户都不清楚什么是“非恶意”,这些“非恶意的东西”又都干些什么。

为弥补该不确定性,我们又看到了白名单战术。白名单因只允许好软件在系统中执行而很有效果。然而,就像黑名单一样,该方法也有缺陷,比如被植入了木马的程序。

黑名单和白名单都曾辉煌一时,但在高级威胁时代,单纯依靠黑/白名单是行不通的。万一攻击根本不涉及恶意软件呢?那这两种方法就都失效了,因为他们根本就是一体两面,都只是在消除恶意软件而已。网络罪犯可以尝试千万次,而一旦一次成功,他们就赢了。这可不是一场公平竞赛,我们的解决方案需要进化,要领先一步。

今年的威瑞森数据泄露调查报告中,他们涵盖了安全事件及攻击者使用的不同战术。仅51%的案例中使用了恶意软件,一半都根本没涉及到恶意软件!这意味着,黑名单和白名单两种方法都毫无作用,保护不了你的公司。

那么,我们现在开始该怎么做呢?企业未来的高级网络安全解决方案应该怎样做呢?

1. 所有文件分类使用

黑名单:如上文解释的,这些技术有其局限性,但同时,它们在执行检测恶意软件的工作上又十分突出;

白名单:有了它,我们可以摒除黑名单导致的不确定性。

2. 自动化

分类所有文件的唯一可扩展&可行方法,就是通过自动化,可提供最佳可能准确率。

3. 实时监测

攻击者已经能很成功地利用好软件,所有我们需要知道每台电脑上实时发生的所有事,包括无恶意软件攻击检测。

4. 取证

无论我们做得有多好,无论罪犯终会入侵计算机,我们不可能总是胜过他们。这就是为什么要有这最后一个组件的原因。一旦检测到安全事件,在取证的支持下,我们可以回答所有需要被回答的问题:发生了什么?什么时候发生的?攻击者是怎么进来的?他们做了什么?

纳入所有这些组件对安全厂商而言是一场艰苦的战斗,但作为一个行业,我们知道过去对抗最复杂的网络攻击需要付出什么。如今,这就是个执行问题,是企业认识到安全对自身目标重要性的问题。

责任编辑:赵宁宁 来源: 安全牛
相关推荐

2014-05-12 09:08:19

2023-07-03 00:39:42

2011-01-21 17:53:44

Zimbra

2012-02-09 09:40:37

虚拟化虚拟桌面VDI

2016-06-07 11:15:39

2013-09-29 09:41:14

国家互联网移动应用

2013-09-16 09:57:52

2013-02-19 10:17:18

2019-05-20 08:43:56

Nginx限流缓存

2010-05-24 13:36:11

2019-06-25 10:09:42

Web攻击机器学习网络攻击

2013-09-16 11:10:30

2023-07-11 08:55:26

系统白名单AO

2020-07-13 09:40:17

Linux 系统 数据

2024-03-15 08:17:18

2011-08-23 13:45:46

2014-07-23 10:03:20

2015-08-27 21:04:25

2009-12-24 15:40:57

IDC厂商防火墙白名单

2017-08-02 13:46:37

LinuxSteven Blac主机文件
点赞
收藏

51CTO技术栈公众号