如果网络威胁仅仅对公司内部的部门构成威胁,依靠预防性措施和常识就可实现可靠的保护。但现实情况是,众所周知的数字化转型已经彻底改变了公司的业务流程,几乎无处不在运用信息技术。结果是越来越多的系统连接到信息网络;使用的人越来越多;不断引入新的服务、技术和数字工具。所有这些都要求有新的方法来确保信息安全。
单纯的防御性解决方案已经不够看了。当然,这并不是说防御性机制毫无用处;这类机制仍然能够完美地应对绝大多数的大规模威胁。但是,随着你的业务扩张,对入侵者的吸引力越大,他们会利用资源来准备复杂的有针对性的高级攻击。对于这样的攻击,一般的标准技术就不一定奏效了。
针对性攻击复杂在哪里?
针对性攻击和大规模攻击之间的主要区别在于攻击方法的周密性。在采取行动之前,攻击者可能会投入大量的工作来收集相关信息,分析你的基础架构。他们非常有耐心。光是准备尝试在你的网络中植入某个程序就可能花好几个月的时间 – 这种程序不一定会被唯一识别为威胁;它不一定是恶意软件。有可能是一种使用通用协议的隐藏通信模块,在这种情况下,监视系统没法把它与合法的用户应用程序区分开来。
在威胁发动方需要访问网络,进行恶意交易或破坏进程的时候,这种模块在最后关头会变为活动,供犯罪分子长驱直入。如果你有可靠的防御性解决方案,那么它很可能会对异常做出反应并阻止该事件发生。但即便在这种情况下,你看到的也只是冰山一角。入侵者的主要动作藏在你看不见的地方(尤其是如果他们事先已经想好怎样清除痕迹)。这才是根本上的问题。
为什么需要知道犯罪分子是如何行事的
有人可能会问,知道入侵者是怎样渗透基础架构实际有什么用呢 – 尤其是若是事件已经被阻止的情况。这至少有一个用处,而且每一个事件都必须进行彻底调查。
首先,了解问题的根源能让你避免掉入同一陷阱。如果你不改变现状,仍然只是单单依赖防御性措施,那么黑客必定会反复执行攻击场景,而且这很可能会使黑客的攻击方法大大改进。
其次,了解攻击者的攻击方式后,你才能做出周全的回应,最重要的是能迅速做出回应。入侵的发生可能并不是因为软件或硬件漏洞。攻击者可以通过知情或不知情的员工来访问公司基础架构。或者威胁可能是经由分包商或服务提供商的网络入侵,因为出于业务原因,这些网络有访问你系统的权限。
更不用说攻击者可能在你的网络中植入其他程序,发生事件可能只是他们计划中的一部分,也可能是调虎离山之计。
可以做些什么呢?
为了保护您的基础架构免受有针对性的高级攻击,必须通过一个系统来加强安全机制,支持你查看过去的事件。攻击者会尽可能多地删除信息,掩盖自己的踪迹,但是如果您有端点检测和响应(EDR)系统,则调查人员就可以轻松追查到事件的根源。而且他们这样做的时候不会进一步中断业务流程的连续性。
我们提供的解决方案 – 威胁管理和防御平台 – 是一个组合版本,由我们经受住时间考验的”卡巴斯基反针对性攻击”和全新的”卡巴斯基安全网络”解决方案组成,提供有多种专家服务。它支持实施网络威胁管理战略方法。
“卡巴斯基反针对性攻击”运用了基于机器学习的成熟、高效的技术,支持查找网络流量中的异常情况,隔离可疑进程,寻找事件之间的相关性。”卡巴斯基安全网络”用于汇总和显示收集到的数据,这些数据对事件调查至关重要。借助这些服务,您可以在发生特别严重的事件时随时获得支援,还可为监控中心员工提供培训,或者提高公司员工的整体意识。
要更详细地了解我们的威胁管理和防御平台,请访问平台专页。