汽车警报综合征与安全警报泛滥导致的高成本

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

恶意软件感染的数量日益增多,危害也日趋严重。仅在过去十多个月,就发生了破坏性最强、规模最大的几起安全漏洞事件,因此人们将2014年称为“安全漏洞年”。在受访的IT 从业人员中,60% 的人认为恶意软件感染在去年变得更严重了。为什么会这样?下面Blue Coat为大家深度解析一下。

老练狡猾的犯罪分子一般认为高价值攻击目标部署了最新的安全技术,过去十年确实如此。新技术一出现,犯罪分子很快就会开发出新的恶意软件,绕开最新、最有效的安全解决方案。这就像对手已经窥测到了您的战略战术,对您的行动了如指掌,黑客能够预见所有可能的网络防御措施并采用各种手段绕开防线。

存在问题的不只是工具本身。工具在网络中的安放位置不当,可能导致工具还没开启就已经失效了。沙盒的一种常见错误用法就是把沙盒放在网络边缘,在其他防线之前。有些安全供应商推荐这么做,这样在产品演示阶段沙盒会报出大量“威胁”,由此展示他们的技术有多敏锐。客户会看到指示灯亮起、警报触发,其实是威胁没经过过滤和分类就到达了沙盒,因此从最复杂的零日针对性攻击到已经发现多年的普通病毒,所有威胁都会被标记并生成警报。

波莱蒙研究所最近进行的一项研究显示,企业平时每周会收到将近17,000 个恶意软件警报。在这些令人应接不暇的警报中,仅有20% 是可靠的,值得深入调查。更糟糕的是,在这17,000个警报中,实际上被调查的只有4%。警报的泛滥既带来了安全风险,又导致高额成本。一方面,有的威胁可能造成灾难性后果,却从眼皮底下溜走;另一方面,每年处理错误和不准确的信息平均要消耗127万美元的时间成本。

这种安全警报泛滥的现象被称为“汽车警报”综合征,这一现象对企业来说很危险,最终可能导致IT人员对系统失去信任,忽略真正的安全漏洞信号。就像我们一般不理会停车场上汽车警报器的响声,我们也逐渐适应了忽略安全警报。

Blue Coat研究人员表示目前已有办法减少警报数量。首先,正确安装沙盒,把它安装在一系列过滤器后面。这就像一个漏斗,层层过滤已知威胁。Web代理服务器是第一道防线,将已知恶意网站过滤出去。之后是内容分析设备,它利用白名单技术交付可信任文件和防恶意软件签名数据库来屏蔽已知恶意文件。经过层层过滤后,文件才会到达沙盒进行分析。在文件到达沙盒后,还需要有一个反馈机制,在发现新的恶意软件后将相关信息发送回上游的代理,以便日后屏蔽此类攻击。上述过滤可减少误报数量,提升IT 人员对安全系统的信任,让IT 人员有充足的精力和信息调查真正的威胁。

如果在停车场的车海中汽车警报器响成一片,您没办法知道是不是自己的车被盗。要是能收到明确的警报,直接发送到您的智能手机,那么您就可以远程熄火。

波莱蒙研究所的调查很好地量化了汽车警报综合征,可惜这种现象现在已经非常普遍,经常导致数据安全漏洞被忽略。

为了减少警报数量并减少误报,Blue Coat研究人员建议参考下列关于部署沙盒的解决方案:

  • 不要将沙盒放置在网络边缘。
    在沙盒之前部署过滤器。这么做的目标是评估并减少警报数量,确保仅标记相关的威胁,保证环境中风险最大的威胁得到应有的重视。
  • 复制环境。
    针对高价值目标发起的高级攻击不只是为了破坏操作系统,它们会攻击自定义应用程序并寻找特定文件。您的沙盒需要复制黄金映像并允许这些映像经常更新。
  • 处理加密流量。
    您必须能够在遵守隐私法律法规和政策的同时检查流量。员工与医生之间的加密通信要得到保护,而连接到恶意僵尸网络的命令和控制加密通道则必须解密和识别。

汽车报警综合征是当今的企业面临的现实问题,而且这个问题可以解决。防范攻击的难度将越来越高,方法不当会迅速溃败,导致企业遭受打击。建议您考虑以上简单易行的建议,实现恶意软件防御方式现代化,更好地防范下一代恶意软件并避免安全防御中的警报泛滥现象。

标签: 安全 代理服务器 服务器 漏洞 企业 数据库 通信 网络 网站 问题 隐私

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:格局?机会? 共赢 国内RSAC2015热点研讨会启动

下一篇:绿盟科技发布2014互联网金融安全报告