云理:威胁发现管理技术
图二
当前,由于网络安全所受威胁越来越复杂,工作场所数据泄漏的问题层出不穷。一些传统的安全技术,如防火墙、IPS\IDS、VPN等着重防范外部威胁进入企业网络,而不能有效地防御因公司员工浏览受感染的网页、访问Web邮件或使用IM软件导致企业网络被入侵而产生的内部威胁。
根据趋势科技公布的调查报告,截至到今年二季度,全球范围内企业内部的终端用户在工作时间会比在家时更有可能参与高风险在线活动,如打开未知邮件附件或点击恶意链接等。显然,员工在上班时没有正确认识网络安全问题。
此外,根据美国《Network World》的报道,网络访问控制等安全解决方案强调评估、鉴定公司员工端点的初始状态。一旦用户经首次核准,将不再对其进行监控,那么用户同样可以对网络作出恶意行为。如果公司员工未意识到这些恶意行为的危险后果,则有可能违反安全规定,导致数据损失。此外,当今“无界限”的企业可以在全球范围内自由分享员工及合作伙伴的信息,这无疑进一步加重了安全风险。
此前Wedge Networks全球CEO张鸿文博士向记者透露,目前开展安全变革的条件已经成熟。他强调说,如果对入侵原因及其精确位置的能见度不足,企业的信息技术部门就不能确定最适当的补救办法。为了有效地增加覆盖面,安全技术人员需要获取更多信息。
事实上,如果通过IT技术了解到大部分威胁经由网关产生,则企业应安装适当的网关保护程序。不难看出,企业需要一个“安全预警系统”,以便精确地标识新的已知恶意软件并测量已经发生的损害程度。此外,企业还需要一个能够修补、管理网络威胁的系统,以确保适当、迅速地修复并及时发送报告,确定预防威胁的方法。显然,这些需求都已经被云安全2.0技术体系所包容。
对此张伟钦的看法是,只有引进了威胁发现管理技术,才能满足企业检测、降低并管理网络内部威胁的需求。而通过云计算的平台,企业可以迅速、有效地处理恶意软件,大量减少网络损害控制成本并提高整体安全水平。
据介绍,目前云安全2.0体系中集成的威胁发现管理技术分为三大阶段:第一,发现阶段,检测网络内部安全威胁;第二,管理阶段,利用云安全技术架构进行关联性分析,广谱识别恶意行为,发现威胁根源,追踪并提供威胁分析;第三,反馈阶段,充分利用云安全技术对最新出现的安全威胁进行识别和反馈,通过云端的安全中心,获得详细而及时的防御支持。
记者发现,在当前的体系结构中,威胁探测与威胁发现管理通常配合工作,以便监控网络中的可疑行为,从而检测出传统基于模式匹配而不能发现的恶意软件。新技术可以标记扩散或感染其他用户的恶意软件,包括引起内部资料外泄或从恶意源接收指令(如僵尸网络)的隐藏恶意软件。
此外,云安全2.0体系中涵盖的网络内容检测技术,可以在威胁探测器提供的网络协议与应用程序基础上,检测网络流量。这样一来,新的云安全体系就可以通过网络协议层检测出大量存在潜在破坏性特征的应用程序,同时确保网络服务不受任何干扰。