為什麼檢測網路攻擊需耗時數個月
網路威脅解決方案現狀
現有網路威脅解決方案通常是嘗試解決特定問題或阻止特定攻擊步驟的發生,其中包含了試圖強固安全“邊界”的防火牆(FW)、防止未經授權的裝置連線到網路的網路訪問控制(NAC)及負責保護網路上裝置的終端防護方案。 雖然這些解決方案大多能夠自動解決小規模問題,卻很難將它們作為高效安全生態圈中協同防禦的一部分。而可提供實時分析的安全資訊和事件管理(SIEM)系統其質量也僅僅與所收到的日誌和告警類似,並且通常現有的解決方案都過於龐大。例如需要部署複雜的沙箱、欺騙環境或者基於代理的解決方案,而此方案必須將利用(Exploit)做頻繁地更新。
隨著廣泛地使用過往只有國家級黑客才會運用的工具和技術,安全團隊和首席資訊保安官們(CISOs)面對的是更加難搞的對手,並且這些對手都已配備了最先進的網路武器。此外,由於技術的進步,過去相當簡單且大部分為桌上型電腦和伺服器所構建的的企業網路,現在已經變成了一個連線所有東西的複雜環境,這環境從移動裝置到咖啡機、車輛等不一而足,這使得企業的防禦任務變得更加困難。
安全團隊要實現網路完全的安全這一目標,與企業要實現業務便於開展這一最終目標之間必然存在著天然的矛盾。只要存在人為因素,這個差距就會體現在有瑕疵的工作流程,人為錯誤,未管理或未知的裝置和零日漏洞上,而以上所述使得大規模地建立自動化防禦解決方案几乎成為不可能的任務。 無論差距是牆上的小裂縫,還是大到像高速公路中間的隔離地帶,對手都會利用它而侵入。
為了自動防止小規模安全問題和保護他們負責的複雜網路,安全公司和CISOs經常試著利用這種情況並嘗試通過捆綁不同的檢測和防禦技術來建立大規模的“自動防禦”解決方案,但每個解決方案都只專注於一個特定的問題且只提供一個狹隘的實施場景。
通過這樣的方式,CISOs面臨需定製不同產品的安全解決方案,這些產品不一定能夠協同防禦,並且在許多情況下,因技術層面不相容,需要複雜的產品配置或實施網路環境的問題也層出不窮。
調查與發現
從調查中發現,相對於對資金充足且難搞的對手所發動的複雜網路攻擊,大多數企業所採用的零零總總安全檢測解決方案,皆類似於拼圖遊戲裡嘗試把不完整的拼圖重新拼湊起來,每片拼圖卻都是由不相關的人所構建的狀況一樣。誠然地,這是一項耗時的任務。要解決這個拼圖難題,首先必須要能看到或勾勒出更大的圖景,否則即使是訓練有素的應急響應措施和安全專家也經常會遇到困難。
企業必須重新考慮目前實施檢測攻擊的方式並採用一個簡單易用的解決方案,這樣才能大大縮短企業對網路威脅攻擊的反應時間,也使得企業能夠在處理過程中節省開支。