Gartner:用自适应安全架构来应对高级定向攻击:用自适应安全架构来应对高级定向攻击
当前的防护功能难以应对高级的定向攻击,由于企业系统所受到的是持续攻击,并持续缺乏防御力,面向“应急响应”的特别方式
已不再是正确的思维模式,Garnter提出了用自适应安全架构来应对高级定向攻击。
引言
大多数企业在安全保护方面会优先集中在拦截和防御(例如反病毒)以及基于策略的控制(如防火墙),将危险拦截在外(但只是如
下图示的右上角四分之一部分)。
然而,完美的防御是不可能(参见“2020安全防御已成徒劳:通过周密普遍的监控和情报共享来保护信息安全”)。高级定向攻击
总能轻而易举地绕过传统防火墙和基于黑白名单的预防机制。
所有机构都应该从现在认识到自己处在持续的风险状态。但情况是,企业盲信防御措施能100%奏效,他们更加过度依赖这些
传统预防机制。
结果,面对不可避免的侵害行为时,大多数的企业只有有限的能力检测和反应,随之而来是“停摆”时间变长,损失变大。
图1:自适应防御系统的四个阶段(预测->防御->监控->回溯)
实际情况中,提升后的防御、检测、响应和预测服务都需要应对各种攻击,不管是否高级。更重要的是不要将其视作封闭固定
的功能,而应以智能集成联动的方式工作,对于高级威胁,自适应系统需持续完善保护功能。
自适应防护架构的关键能力
1. “防御能力” 是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛,
并在受影响前拦截攻击动作。
2. “检测能力”用于发现那些逃过防御网络的攻击,该方面的关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失。检测
能力非常关键,因为企业应该假设自己已处在被攻击状态中。
3. “回溯能力”用于高效调查和补救被检测分析功能(或外部服务)查出的事务,以提供入侵认证和攻击来源分析,并产生新的预
防手段来避免未来事故。
4. “预测能力”使系安全系统可从外部监控下的黑客行动中学习,以主动锁定对现有系统和信息具有威胁的新型攻击,并对漏洞
划定优先级和定位。该情报将反馈到预防和检测功能,从而构成整个处理流程的闭环。
作为一个有价值的框架,根据自适应防护架构将有助于企业对现有和未来的安全投入进行划分并确定投入是均衡的。不要让当
前市面上的“明星”安全创业公司的来确定安全投资,机构需评估当前的安全投入和能力来决定哪里不足。自适应架构还可以帮
助企业筛选和评估安全供应商。毫无疑问,提供多方面安全能力的供应商在战略上优胜于只提供单方面能力的。
安全防护是一项持续处理过程
在持续攻击时代,企业需要完成对安全思维的根本性切换,从“应急响应”到“持续响应”,前者认为攻击是偶发的,一次性的事
故,而后者则认为攻击是不间断的,黑客渗透系统和信息的努力是不可能完全拦截的,系统应承认自己时刻处于被攻击中。在
这样的认知下,我们才能认清持续监控的必要性(见图2)。
评论0