《經(jīng)濟(jì)學(xué)人》信息部的最新報(bào)告指出,很多企業(yè)對(duì)其入侵檢測(cè)和響應(yīng)程序缺乏信心,他們擔(dān)憂的問(wèn)題包括快速檢測(cè)新事件,尤其是涉及高級(jí)威脅的事件,以及處理涉及員工的意外事故。
現(xiàn)在越來(lái)越多的統(tǒng)一威脅管理(UTM)產(chǎn)品開(kāi)始支持新的高級(jí)防御和檢測(cè)功能,這些功能可以用來(lái)幫助解決這些問(wèn)題。這篇文章介紹了這些新興的UTM功能,并闡述了企業(yè)應(yīng)該如何使用它們來(lái)防止入侵以及加速對(duì)可能發(fā)生事件的檢測(cè)。
數(shù)據(jù)丟失防護(hù)
數(shù)據(jù)丟失防護(hù)(DLP)技術(shù)主要用于檢測(cè)和阻止攻擊者試圖將敏感數(shù)據(jù)從企業(yè)內(nèi)部滲出到外部位置的行為。DLP可以保護(hù)的敏感數(shù)據(jù)包括社會(huì)安全號(hào)碼、信用卡號(hào)碼、醫(yī)療記錄和知識(shí)產(chǎn)品。雖然很多人認(rèn)為DLP是基于文本的技術(shù),專注于電子郵件和文字處理文檔,但事實(shí)上,它也能夠分析音頻、視頻和其他非文本形式的文件。
因此,UTM很適合于部署DLP技術(shù)來(lái)分析出站流量的內(nèi)容,并確保防止基于網(wǎng)絡(luò)的滲出,無(wú)論是有意還是無(wú)意的。
要做到這一點(diǎn),首先將DLP配置為測(cè)試模式,讓它記錄但不阻止可疑行為。這樣一來(lái),安全團(tuán)隊(duì)就有機(jī)會(huì)來(lái)完善DLP規(guī)則集,而不會(huì)在不經(jīng)意間阻止良性流量。在DLP經(jīng)過(guò)調(diào)整后,它可以被切換為正常模式,以阻止可疑流量。
“云中沙盒”
某些供應(yīng)商的UTM產(chǎn)品可以配合基于云的沙盒服務(wù)。如果企業(yè)的UTM設(shè)備看到一個(gè)試圖通過(guò)它的可執(zhí)行文件,并且覺(jué)得該文件非常可疑,那么UTM可以暫停該可執(zhí)行文件的傳輸,并轉(zhuǎn)發(fā)副本到基于云的沙盒以進(jìn)行進(jìn)一步評(píng)估。這個(gè)沙盒提供了安全的隔離環(huán)境來(lái)運(yùn)行這個(gè)可執(zhí)行文件以及分析其行為,這樣UTM就可以確定是否允許或拒絕這個(gè)文件。
基于云的沙盒服務(wù)可以非常好地發(fā)現(xiàn)高級(jí)和新興惡意軟件,特別是當(dāng)UTM定位為“監(jiān)控試圖進(jìn)入企業(yè)網(wǎng)絡(luò)的流量”時(shí)。然而,有些企業(yè)的政策禁止通過(guò)電子郵件和其他機(jī)制來(lái)傳輸可執(zhí)行文件,在這種未經(jīng)授權(quán)可執(zhí)行文件已經(jīng)被阻止的環(huán)境中,使用基于云的沙盒技術(shù)將會(huì)浪費(fèi)資源,而不會(huì)提供更高的安全性。
帶寬管理
一些UTM產(chǎn)品還提供的另一個(gè)功能是服務(wù)質(zhì)量(QoS)執(zhí)行。這允許通過(guò)UTM的部分或全部的網(wǎng)絡(luò)服務(wù)管理自己的帶寬,這樣就沒(méi)有服務(wù)會(huì)使用太多UTM的帶寬。QoS執(zhí)行可以有效地限制一些分布式拒絕服務(wù)攻擊(DDoS)的影響,例如,當(dāng)DDoS攻擊瞄準(zhǔn)受UTM保護(hù)的web服務(wù)器時(shí),這不太可能影響UTM保護(hù)的其他服務(wù)器和系統(tǒng)的帶寬。
企業(yè)應(yīng)該認(rèn)真考慮在激活QoS執(zhí)行前監(jiān)控網(wǎng)絡(luò)使用情況。這可以幫助確保設(shè)置的QoS閾值是基于實(shí)際需求的。否則,由于帶寬限制,企業(yè)關(guān)鍵的流量可能會(huì)在無(wú)意中被減慢或者完全停止。
結(jié)論
UTM產(chǎn)品可以越來(lái)越好地檢測(cè)和阻止針對(duì)企業(yè)系統(tǒng)的高級(jí)攻擊。對(duì)其處理高級(jí)威脅的能力缺乏信心的企業(yè)應(yīng)該認(rèn)真考慮購(gòu)買(mǎi)新的UTM產(chǎn)品,或者在其現(xiàn)有的UTM產(chǎn)品中激活新的功能,以提高其入侵檢測(cè)功能,從而有效地防止事故的發(fā)生。