我欲封天耳根小说,完美世界小说下载,完美世界前传下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

終端設(shè)備和網(wǎng)絡(luò)事件“自動化響應(yīng)”到底有多么棘手？

很多企業(yè)都部署了自動化系統(tǒng)來預(yù)防、檢測或調(diào)查安全威脅事件，但是實現(xiàn)網(wǎng)絡(luò)系統(tǒng)和終端設(shè)備的事件響應(yīng)以及威脅緩解的自動化仍是目前一個非常棘手的問題。

實現(xiàn)事件響應(yīng)的自動化

這里所謂的事件響應(yīng)及威脅緩解自動化，指的是自動恢復(fù)終端設(shè)備的系統(tǒng)、將設(shè)備從企業(yè)網(wǎng)絡(luò)中自動隔離、或是停止特定的網(wǎng)絡(luò)進(jìn)程以快速有效地對攻擊事件進(jìn)行響應(yīng)。這種自動化的應(yīng)急響應(yīng)機(jī)制在未來是非常有潛力的，但是在它能夠得到廣泛采用之前，我們還有很多棘手的問題需要去解決。

首先，企業(yè)還需要積累安全自動化工具的使用經(jīng)驗，并深入理解這些工具的運行機(jī)制，這樣他們才能清楚這些工具的優(yōu)勢與劣勢。但是如果想要實現(xiàn)完整的自動化事件響應(yīng)，可能還需要三到五年的時間才能變?yōu)楝F(xiàn)實。

實際上，有些安全研究人員已經(jīng)在這個方面進(jìn)行過許多嘗試了。如果每一次遇到的都是相同的威脅指標(biāo)，那么安全分析師從自動化工具或機(jī)器學(xué)習(xí)算法那里所得到的操作建議都會是相同的，然后我們只需要點擊“確認(rèn)”按鈕再進(jìn)行下一步操作就可以了。但是如果同樣的操作我們要進(jìn)行500次或1000次的話，那么我們完全可以將這個過程自動化實現(xiàn)，這樣就可以讓安全分析人員將注意力放在一些更加困難或復(fù)雜的事件上了。

而企業(yè)同樣可以在不使用機(jī)器學(xué)習(xí)系統(tǒng)的情況下實現(xiàn)這種事件響應(yīng)的自動化，但前提是他們必須有自己公司的事件響應(yīng)規(guī)范化流程，也就一種能夠指導(dǎo)技術(shù)人員完成事件響應(yīng)的手冊。我們只需要拿出這份手冊，選擇一款安全自動化工具，然后通過測試來確定手冊中有多少事件響應(yīng)的步驟是否可以自動化完成的。這是一種非常有效的方法，這樣我們就可以確定一款工具是否真的適用于我們的企業(yè)環(huán)境，以及它可以給我們提供多大的幫助。哪怕它只能實現(xiàn)部分操作步驟的自動化，那也可以提高我們的工作效率。

比如說你企業(yè)的終端設(shè)備感染了惡意軟件，而根據(jù)響應(yīng)手冊的內(nèi)容，你需要進(jìn)行50步操作才可以清除這個惡意軟件，這肯定會消耗你大量的時間。但是，如果其中80%的步驟可以自動化完成的話，那么你可以想象一下這將會給你的安全團(tuán)隊節(jié)省下多少的時間?如果你能做到的話，自動化所帶來的價值將是不可估量的。

投資公司Scale Venture Partners的高管Ariel Tseitlin表示，他現(xiàn)在在決定投資哪一家安全初創(chuàng)企業(yè)之前，主要考慮的是這家公司是否已經(jīng)準(zhǔn)備好去接受并實現(xiàn)自動化事件響應(yīng)技術(shù)。他認(rèn)為，就安全成熟度這一點來看，不同的企業(yè)所處的階段是不一樣的。如果你從來沒考慮過事件響應(yīng)這個過程，那么討論自動化想必就為時尚早了。首先你要做的就是整理出企業(yè)所面臨的風(fēng)險和威脅，以及你的安全控制方法，然后你才可以去考慮具體的事件響應(yīng)步驟。但是當(dāng)你已經(jīng)考慮周全之后，自動化肯定是部署事件響應(yīng)方案的最有效方法。

清理終端設(shè)備

自動化在終端設(shè)備上最早的使用是對惡意文件進(jìn)行刪除或隔離以避免其對設(shè)備造成損害?，F(xiàn)在，幾乎每一臺PC上都安裝了某種形式的反病毒產(chǎn)品，而且很多企業(yè)也采用了基于行為的惡意軟件檢測方案來發(fā)現(xiàn)新的威脅。

如果想要與惡意軟件進(jìn)行斗爭，手動響應(yīng)肯定是來不及的，因為惡意軟件可以在短時間內(nèi)迅速損壞我們的設(shè)備，甚至還可以擴(kuò)散感染同一網(wǎng)絡(luò)系統(tǒng)中的其他設(shè)備。但是，如果用戶點擊了一條惡意鏈接或打開了一個惡意文件，而此時他所感染的惡意軟件又能夠躲避所有反病毒產(chǎn)品的檢測，那我們該怎么辦呢?

常見的處理步驟就是保存設(shè)備系統(tǒng)的副本以便之后對其進(jìn)行取證分析，擦除設(shè)備數(shù)據(jù)，然后用備份文件將系統(tǒng)恢復(fù)至之前干凈的狀態(tài)。完成這些操作之后，用戶應(yīng)該去接受一些反釣魚培訓(xùn)，以避免同樣的事情再次發(fā)生。

其實，某些企業(yè)實現(xiàn)這種自動化處理過程要輕松得多。有些企業(yè)采用了完整的虛擬桌面系統(tǒng)，從本質(zhì)上來說，他們所使用的桌面系統(tǒng)永遠(yuǎn)是新的，因為物理設(shè)備只是用于托管虛擬桌面的主機(jī)而已。同樣的，如果一家企業(yè)的員工使用的是類似Office365這樣的云平臺工作，并且將所有的工作文檔都存儲在云端或公司服務(wù)器中，那么恢復(fù)系統(tǒng)也是非常簡單的。

無論是上述哪一種情況，丟失有價值文件的風(fēng)險都是非常小的，就算員工一不小心感染了惡意軟件，我們也能最大程度地降低它們所帶來的損失。

但是對于那些重度腦力工作者來說，這個方案也許就不可行了。比如說某個在營銷部門工作的人，他每天都要處理新的廣告文案或PPT演示文件，而很多資料都保存在本地計算機(jī)中。這也就意味著，當(dāng)他每天上班時面對的都是一臺新的設(shè)備，這將給他們帶來多大的不便，因此很多企業(yè)一直都不愿意采取這種方法。

隔離威脅

另一種常用的自動化緩解方案就是將受感染的設(shè)備從網(wǎng)絡(luò)系統(tǒng)中隔離出來。你可以不擦除設(shè)備中的數(shù)據(jù)，而且它們也不會進(jìn)一步感染網(wǎng)絡(luò)系統(tǒng)中其他的主機(jī)設(shè)備。但如果你想做到這一點，那么就不只是采取終端保護(hù)技術(shù)那么簡單了。

隔離設(shè)備需要涉及到網(wǎng)絡(luò)訪問控制，如果你在受感染設(shè)備與企業(yè)網(wǎng)絡(luò)之間部署了網(wǎng)絡(luò)訪問控制系統(tǒng)，那么當(dāng)你的設(shè)備受感染之后，它會自動將該設(shè)備從網(wǎng)絡(luò)中隔離出去。

但是對于一個大型組織而言，這種系統(tǒng)的部署過程很可能非常的困難，因為負(fù)責(zé)設(shè)置網(wǎng)絡(luò)的是一個部門，而負(fù)責(zé)管理終端設(shè)備的又是另一個部門。這就需要合作了，但部門之間的合作并沒有我們想象的那么簡單。

除此之外，我們還要確定到底有多少設(shè)備需要進(jìn)行隔離。如果我只用隔離一個系統(tǒng)，那就很簡單了。但是如果我現(xiàn)在需要處理一大堆的系統(tǒng)，那么情況就非常復(fù)雜了。

智能網(wǎng)絡(luò)

現(xiàn)在，市場給我們提供了大量能夠檢測網(wǎng)絡(luò)可疑活動的工具。當(dāng)你發(fā)現(xiàn)企業(yè)營銷部門有人在進(jìn)行網(wǎng)絡(luò)掃描，而這按理來說是不應(yīng)該發(fā)生的，那么你就需要隔離這個系統(tǒng)?；蛘哒f，當(dāng)你發(fā)現(xiàn)有系統(tǒng)正在與公司的命令控制服務(wù)器進(jìn)行非法的信息傳輸，那么你可以從系統(tǒng)層或網(wǎng)絡(luò)層切斷它們的鏈接。這是很常見的處理方法，很多公司也正在這樣做。

但是我們所面對的網(wǎng)絡(luò)攻擊越復(fù)雜，自動化響應(yīng)也就會越困難。雖然困難，但這并不意味著網(wǎng)絡(luò)廠商沒有進(jìn)行過嘗試。如果你參加了上一屆RSA大會，那么你就會發(fā)現(xiàn)很多網(wǎng)絡(luò)安全廠商都在展示自己的自動化產(chǎn)品，有的產(chǎn)品可以自動化檢測網(wǎng)絡(luò)攻擊的發(fā)生，而有的則能夠自動化響應(yīng)這些攻擊，但是安全專家們意見的分歧就在于這種事件響應(yīng)的自動化實現(xiàn)到底是不是一個好主意。

有些人擔(dān)心，在沒有人類參與的情況下采取行動，尤其是當(dāng)一個系統(tǒng)沒有得到100%確認(rèn)時貿(mào)然采取措施的話，這樣不僅會妨礙企業(yè)的正常運轉(zhuǎn)，而且還有可能造成意想不到的后果。但也有其他的人認(rèn)為，攻擊者的行動實在是太快了，所以我們需要自動化工具來幫助我們抵御網(wǎng)絡(luò)攻擊。有的公司還表示，如果自動化工具的誤報率(假陽性)過高，那么他們寧愿將警報信息交給安全分析師來進(jìn)行手動響應(yīng)。

但幸運的是，由于科學(xué)技術(shù)的不斷進(jìn)步，我們的安全分析專家所能處理和監(jiān)控的內(nèi)容相比幾年前已經(jīng)提升了很多，這無疑是一個好消息。但壞消息就是，我們無法確定自己是否能夠跟得上攻擊者創(chuàng)新的腳步。

名稱欄目：終端設(shè)備和網(wǎng)絡(luò)事件“自動化響應(yīng)”到底有多么棘手？
瀏覽路徑：http://m.fisionsoft.com.cn/article/cdchecj.html

新聞中心

其他資訊