李大勇

威胁管理作为一种全新的技术在逐渐走向成熟,这是由于随着企业内部部署网络安全的复杂度越发提高,信息安全、数据泄露等问题层出不穷造成的。

混合威胁令人头疼

最让IT部门头痛的是有很多员工用的都是笔记本电脑,携带外出很容易受到感染,再加上频繁使用移动硬盘和U盘,病毒通过这些途径很容易进入到公司内网。即使企业网络中已经部署了多层的防火墙,内部计算机也都安装了客户端防毒软件,每天仍然有计算机会中病毒,企业在外部网关上的防护就成了摆设。

全美产业监控机构Attrition.org的调查显示,去年全球一共发生了1.62亿次企业信息风险事件;而美国身份盗窃资源调查中心最新统计显示,去年美国总共发生了7900万次信息安全事件。

正是由于员工办公地点的不确定性,增加了恶意软件进入内部网络的概率,致使企业面临着更大的风险。受感染的机器可能通过网络向网络罪犯泄漏资料,致使机密信息丢失的企业面临诸如信誉受损、财产被盗等问题。

因此,针对这些威胁,企业更需要一个能够支持从网络层至应用层的多种综合协议的网络流量检测产品,以便确定相关事件的可疑威胁,还需要利用病毒扫描引擎分析文件内容,达到深层次的威胁检测。

针对这项需求,威胁发现管理技术被提上了日程,并且在北美逐渐被采用,这种新技术适用于检测、减轻并管理企业内部网络威胁。这种技术用于鉴定并控制那些混合威胁,帮助企业最大程度地降低恶意软件引起的数据损失,减少网络损害控制成本并提高整体安全性能。

通常来说,利用威胁发现管理技术检测网络包括两大步骤:首先,通过“发现威胁”,检测内部网络安全威胁;其次,通过威胁发现管理服务,对第一步骤检测到的信息执行清除、删除及修补等动作。如果是在云计算环境中,威胁发现管理服务可以与保护网络的相关云端服务器协作,提前检测新威胁,按照企业用户的要求发送报告并提出相应建议。

网络威胁的“放大镜”

对于IT工程师而言,部署威胁发现系统后,他们可以非常直观地从总体上看到节点和网络中正在发生的事情。有了对网络和员工行为的了解,IT部门就能够清除网络中的混合威胁。

比如,美国Guess公司的IT团队就曾在安全上花费了大量时间。由于他们以前的安全解决方案无法捕捉更新的混合式威胁,因此使得管理工作变得困难而且耗时。

在两周的时间内,Guess实施了威胁发现系统的试用评估并于随后在网络中部署了相关设备——趋势科技威胁发现设备(Threat Discovery Appliance,TDA)。该设备允许IT人员识别并分析公司范围内的威胁安全问题,包括未被检测的感染、危险的恶意代码行为、潜在混合威胁进入位置以及其他可能造成漏洞的情况。

事实上,企业部署威胁发现系统,可以为企业增加一个提供自动威胁监测的安全层。过去,两名工程师每周都需要用两天的时间来按照《萨班斯•奥克斯法案》(SOX)和支付卡行业(PCI)的相关规定,对日志文件进行手动审查,问题的解决过程非常耗时。

当部署威胁发现系统后,工程师每天只需用10分钟或15分钟的时间就能满足SOX和PCI的相关规定,并且能够更快速地发现威胁,大大减少响应时间,有助于更好地保护公司资产。高可视性使得IT部门对保护公司和满足安全需求充满了信心。

企业部署威胁管理系统后的另外一个好处是,在各个网络层次交换机上可以执行综合的全面覆盖,管理员可以通过监控将网络中的可疑活动都看得一清二楚,从网络层至应用层的多种协议流量情况也尽在眼中。威胁管理系统就像“放大镜”一样帮助IT部门发现网络中的已知、未知威胁和安全问题,从而构建了企业的网络安全预警系统。