享全面信息 建安全策略

        Palo Alto Networks 网络安全专家 Scott Simkin 

        以前的互联网安全，企业面临的是只是操作系统的安全问题，用软件就能够解决。但是进入万物互联的时代以后，包括智能摄像机、路由器、汽车，甚至随身穿戴、智能医疗设备等，都趋于智能化、网络化，解决这些智能硬件的安全问题，仅仅依靠传统的网络安全解决方案是无法完成的，这其中，便包括不断增长且有愈演愈烈趋势的APT(高持续性威胁)。

根据网络安全实验室公布的数据显示，目前针对国内的APT(高持续性威胁)就已覆盖着全国30多个省市，均是涉及针对科技、教育等多个领域的定向攻击，60%的案例里，攻击者几分钟就可攻击得手，70%-90%的恶意样本都是有针对性的，75%的攻击会在一天内从一个受害者快速地扩散到其他受害者。

        因此，从网络攻击的严重性来说，对安全事件细节了解的越多，就越能有助于更好的构建防御系统防止类似攻击事件的再次发生。

        传统安全手段是典型的“广撒网后祈祷”模式：他们提供管控并阻止那些已知的破坏活动，而在遭受攻击之后进行的后续和补充调查则非常有限。

        有越来越多的大型企业开始部署诸如沙箱等技术来探测并阻止那些之前从未发现的未知攻击。而受到攻击后，安全团队往往只将注意力集中在该事件本身，忽略了对攻击以及周边环境的调查和分析。

        但是，这些方法都没有顾及到高级攻击的最基本事实：高级攻击的发生并非转瞬即逝，而是持续数周、甚至有可能转化为持续数月或者数年的事件。高级攻击者会实施一系列行动，如深度识别、启动探针、小规模感染到传送2期或3期恶意软件，以及更多。相当长的一段时间之后，当这些持续性行动发展到顶点的时候，便形成破坏。这一过程中的每一步，都是网络攻击生命周期中的重要一环，同时也是探测并阻击对手的绝佳机会。

        当人们试图去补救某次成功攻击造成的后果，或者阻止某个特定活动以期将来不再发生时，人们已经失去了绝佳机会来获得这次事件的相关信息，如作案者是谁，他/她是怎样作案的以及为什么要作案。说的更明白一点，那就是人们从这些事件中获得的信息越多，安全策略就会构建的越好，就能防止类似事件的再次发生。

        那些恶意行为的实施者，可以很容易地变换其使用的恶意软件，但却很难增强其手中的工具、技巧和处理过程 (TTP)，未来可以利用这一点来探测群组中的活动。

        你还可以更加有效地利用安全团队用在分析事件上的有限时间，比如，对低级别网络犯罪集团和国家支持级别的网络间谍活动的反应会有着天壤之别，这是因为两者之间的复杂程度相差很大，并且安全团队非常清楚这两者之间的优先级。

        值得庆幸的是，在这场战斗中，你并不孤单。各种各样的公共资源、信息共享组织、供应商研究发布以及分析服务都有助于获取对手情报。获得的信息越多，分析的效果越好，你制定的安全策略就会越好，就会杜绝某个特定对手对你的企业造成的破坏。当攻击出现时，可以利用这个机会好好进行检查，找出那些试图破坏网络的幕后真凶，并采取相应的措施防止再次发生类似的袭击。

标签： 安全 互联网 互联网安全 企业 网络 网络安全 网络安全解决方案 网络安全实验 网络安全实验室 网络安全专家 问题

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。