您的位置: 网界网 > 周报全文 > 正文

[周报全文]Gartner:五种类型ATD助企业抵御针对性攻击

2013年12月10日 15:38:49 | 作者:鹿宁宁 编译 | 来源:网界网 | 查看本文手机版

摘要:Gartner认为,应使用网络流量及载荷数据分析,并取证来停止以恶意软件为基础的攻击。

标签
ATD
Gartner

Gartner认为,应使用网络流量及载荷数据分析,并取证来停止以恶意软件为基础的攻击。

攻击者试图通过使用复杂的恶意软件入侵企业的网络和电脑来窃取敏感信息。Gartner表示,IT部门可以通过五种基本方式帮助企业抵御攻击,并建议结合至少其中两种方式以达到最佳效果。

Gartner的报告显示,“五种类型的高级威胁防御ATD”定义了解决威胁(有时被称为高级持续性威胁)的技术途径,而不是简单的使用传统安全手段,如杀毒软件或防火墙。

该报告基于市场上某些安全产品,这些产品的设计意图是帮助企业识别秘密攻击并对受损系统收集取证。Gartner将这些产品分成五种技术途径,作为安全框架内的特定“类型”。

据Gartner分析,首要考虑的应该是旨在窃取关键数据的攻击时间范围。有实时防御(或即时防御),但当攻击成功并有取证需要时,其他工具应该被当作是“已损害的”。在报告中,Gartner指出目前一些安全厂商的产品具备双重功能。

一般来说,为了检测被攻破的系统,需要分析入站和出站网络流量。要做到这一点,不需要端点的代理软件,但需要考虑攻击者的负载。通过使用一个安全隔离的模拟环境,沙盒技术可以观察到载荷是如何运行的,以为其做上危险标记。Gartner指出,这需要确定端点是如何受恶意软件影响的,但通常要在端点的管理和部署上花费很大的运营成本。

总之,Gartner五种类型的防御是:

类型1 网络流量分析

使用网络流量分析技术来建立正常流量模式基准(例如反常的DNS流量可能暗示着僵尸网络),并代表一个被入侵的网络环境的突出异常模式。这种方法提供了实时检测,并且可以包括非基于特征和基于特征的检测技术,不需要端点代理。但问题是,它可能需要“对知识渊博的人员进行培训以避免误报”。Gartner指出。如果产品是一个带外工具,那么其对于阻止攻击能力有限,不能监控网络移动终端的流量。属于类型1的产品有Arbor网络、Damballa、Fidelis、Lancope和Sourcefire(最近被思科收购)的AMP。

类型2 网络取证

网络取证通常提供“完整数据包捕获和网络流量的存储”,以及先进威胁的事件响应分析和报告工具。优势在于减少事件响应时间,并可以在数天或数周后重建和回放网络流量和事件,在一些情况下还可以提供满足监管要求的详细报告。那么弊端呢?这些工具十分复杂,并且消耗较多的数据量和时间。“出于他们分析大量数据的方式,有时候需要在非工作时间生成报告。类型2的供应商包括蓝领(Solera网络)和RSA(NetWitness)。

类型3 负载分析

载荷分析可以使用沙盒技术(无论是在室内或在云端)近实时地检测目标攻击,但它们通常不“跟踪终端在一天、一周或一个月的行为”。(具体做法参考Gartner的类型5,即端点取证)。Gartner客户目前认为负荷分析的产品对于准确检测恶意软件具备不同的能力。优势在于它们可以检测恶意软件,成功地绕过特征性产品。一些产品还具备可选择的屏蔽功能。然而,使用载荷分析的挑战在于,行为分析采取几秒或几分钟来完成,使得恶意软件得以通过网络危害端点,特别是当恶意软件使用具有延迟反应的规避技术,如睡眠定时器时。不过有些供应商正试图阻止这一点。类型3的其他缺点就是没有“提供恶意软件在端点运行的验证。”

恶意软件在一个模拟的环境里有特定的表现,并不意味着当它攻击真正目标时会采取同样的方式。一些负载分析产品只支持有限范围的有效负载(+微信关注网络世界),比如只是可执行的文件。Gartner认为。大多数支持微软的Windows系统,一些基于云的技术支持Android,但Gartner认为全部产品都不能支持苹果的Mac OS X系统。

类型3的厂商包括AhlLab、Check Point、FireEye、Lastline。收购Valid Edge 的McAfee,拥有Wildfire的Palo Alto网络、ThreatGrid和拥有Deep Discovery的趋势科技。

类型4 端点行为分析

端点行为分析的理论基础是“应用程序容器通过孤立在虚拟容器中的应用程序和文件来保护端点。这种类型的其他创新包括系统配置、阻止攻击的内存和过程监控,以及协助事件实时响应技术。“类型4方法需要每个端点设一个代理”。Gartner认为。它可以“拦截内核系统访问并阻止恶意活动,比如线程攻击和“通过孤立网页浏览对话框来保护用户免受恶意网站,包括瞬间出现的下载网站和陷阱的危害”。

此类型的强大在于可以提供一些取证依据来阻止零日攻击,并且无论系统是开启还是关闭状态都能保护系统。但面临的挑战是,部署和管理代理软件属运营密集型,且在BYOD[注]环境中运行十分困难。类型4厂商包括蓝岭网络、Bromium、Invincea/Sandoxie和Trustware。支持内存监控的供应商包括Cyvera、ManTech/HBGary(数字DNA)和RSA的Ecat。

类型5 端点取证

Gartner类型目录的最后一个类型是端点取证,包括事件反应小组的手段。这些端点代理从他们监控的主机收集数据。他们可以完成自动事件响应和监控主机开启及关闭公司网络。然而,面临的挑战在于部署和管理操作起来很敏感,对非Windows端点的支持十分有限。类型5供应商的工具包括Bit9、Carbon Black、带有EnCase分析的指导软件、Mandiant和ManTech / HBGary的响应者Pro。

细分出“五个类型”的先进威胁防御后,Gartner建议企业将至少两个“类型”放一起使用,比如同时使用类型3的负荷分析和5的端点取证。

“一些有效负荷分析厂商集成了端点取证商的解决方案,这有助于降低事件响应时间。网络流量分析(类型1)和端点取证(类型5)能够提供相近的优点,但采取这些类型合作的厂商为数甚少。Gartner分析师Lawrence Orans说,厂商的伙伴关系对于制定决策是一个重要因素。此外,一些类型仍然主要以Windows为中心,而网络分析却不是。“我的确看到人们将两个或两个以上的类型结合在一起,但目前来看还需要有更多的厂商这样做,”他补充道。

Gartner报告包含了很多“类型”的逻辑组合建议。Gartner还指出,一些厂商,尤其是较大地区的厂商已经正在交付整合两个或更多类型的产品。所以,企业选择单一供应商可能带来的负面影响,就是“他们因注重单一类型的业务而牺牲了最佳组合的功能。”

关于ATD,Gartner定义的五种类型框架并不意味着放弃传统安全工具,如杀毒软件。Orans说。五个类型的框架是专门为那些愿意倾尽全力采用各种方法来抵御威胁入侵的企业安全管理人员而设计的。(更多内容详见: http://www.cnw.com.cn/P/5312

参考资料

1.BYOD:(Bring Your Own Device)是指携带自己的设备办公,这些设备包括个人电脑、手机、平板等,使用者可以不受时间、地点、设备、人员、网络环境的限制登陆到公司网络,并进行工...详情>>

[责任编辑:孙可 sun_ke@cnw.com.cn]