APP下载

洞察高级持久性威胁

2014-04-15MATTWALMSLEY

计算机与网络 2014年11期
关键词:持久性数据包威胁

洞察高级持久性威胁

高级持久性威胁(APT)的发起者利用多种意想不到、时间敏感而且各不相同的攻击向量来攻击你的服务器。在尝试识别、抵御和防止此类攻击威胁时,我们的经验、知识和技术可帮助您做出有效的安全干预决策。如果缺乏对环境、实际网络流量及内容的全面了解,您只能凭空猜测,因此最终的决策可能对,也可能不对。出现APT安全问题时,企业通常会向网络安全运行专业人员施加压力,要求他们快速解释并解决问题。那么,在网络中出现疑似APT安全威胁时,您做出反应的速度有多快?

首先,让我们想想与安全分析相关的人力要求。负责应对安全事件的人需要使用现有的工具来精确而快速地解释收集到的数据,他们必须全面了解网络拓扑,具有丰富的经验并了解网络事件的背景,这是采取正确措施应对安全事件的基础。要全面测试并记录应用使用网络的方式,最好在逐个交易的基础上了解应用如何在生产网络中运行。对于那些拥有所需资源的人来说,这些条件可通过实时监控参考网络或调试网络达到。在这种方法不实用的情况下,来自生产网络的实际运行数据就是接下来最好的方法,虽然人们认识到生产环境的运行情况更不易于预测。掌握了有关任何网络中连接的真实统计和分析数据之后,就可以更轻松地发现实际数据与标准值的出入。自动化监控工具可帮助发现实际数据与标准值的差别。最后一个问题是要确保为安全团队配备有效的工作流程,这正成为在协作和任务交接过程中,减少人为延误和团队成员间沟通不畅的重要步骤。

接下来,我们需要收集与可疑网络事件相关的证据。捕获到的数据可为您提供有关网络中所发生事件的不可辩驳的有力证据。在关注的事件之前、期间和之后对网络流量进行深入调查分析,可帮助您掌握全面信息,全面了解所发生的情况,使您可以进行正确的干预并增加有效解决问题的概率。

但是,光靠人的能力和可靠的数据,还不足以提供迅速作出响应所需的全面信息和洞察力。若要正确地解码数据包,并获得可作为行动依据的信息,您还需要适当的分析工具。某些分析和预警工具可独立运行,对于自动运行一些流程非常有用,但只限于以一种方式解释数据,通常依赖攻击特征和分析数据,因此我们有时候不能理所当然地指望用它们捕获所有安全威胁。与此同时,它们可能会针对非安全相关事件和流量发出误报。然而,在帮助企业确保总体安全性方面,他们确实扮演着重要角色,而且可更广泛地检测数量更大、“更易于理解”的安全威胁。然而想想APT,您应该知道它们本身是量身打造的独一无二的威胁,光靠自动分析不足以有效解决。因此还需要事后分析工具,帮助安全分析人员处理并重复分析捕获的数据,帮助他们更有信心地做出决策。

在利用收集的数据包了解所发生的情况,并做出正确的干预操作之前,可利用以下问题来检查您当前的能力水平:

捕获与网络中特定事件相关的数据包需要多长时间?

我是否掌握了必要的技能来分析这些数据包?

我如何对比可能有害的恶意连接和已知的安全连接?

对这些问题的回答将帮助发现您在任何技能、培训和技术能力方面的不足之处。

通过部署专用的在线APT安全设备进行自动APT检测、预警和防护,在保护安全方面扮演着重要角色,而且目前市场上提供了很多不错的选择。然而,面对如此狡猾而且动态多变的威胁时,沉浸在假想的安全性之中是一件很危险的事情。单纯依赖自动分析和响应可能会让您的网络不堪一击。光有APT安全设备还远远不够,只有掌握了有力的证据,掌握了网络中发生的情况、每个数据包通过网络传输的位置、时间及其内容,您才能全面准确地了解网络中所发生的一切。

网络数据包捕获使您可以使用网络数据包检查和可视化技术,获取可作为行动依据的信息,确保正确洞察网络中发生的一切。在应对APT的过程中,有一点弥足珍贵,那就是确保正确了解所要面对的挑战。

——Emulex公司Endace业务高级市场经理MattWalmsley

猜你喜欢

持久性数据包威胁
湖北省持久性有机物(POPs)产排特性分析
具有授粉互惠关系的非自治周期植物传粉系统的持久性
人类的威胁
SmartSniff
受到威胁的生命
面对孩子的“威胁”,我们要会说“不”
一类离散Schoner竞争模型的持久性
持久性发疹性斑状毛细血管扩张一例
视觉注意的数据包优先级排序策略研究
移动IPV6在改进数据包发送路径模型下性能分析