最近的一项测试显示,有些知名威胁检测产品无法检测出自定义恶意软件。如果说这些系统没有用,企业是否仍然应该将它们加入到防御计划中?对于高级持续性威胁检测和防御,企业应该使用什么其他类型的技术和方法?
目前业界的共识是,旧的基于签名的反恶意软件工具无法抵御有针对性攻击,或者使用不具有签名的恶意软件的攻击。反恶意软件行业很早前就意识到单靠签名不足以保护其客户;为此,他们开始添加启发式、异常检测和其他功能(例如基于主机的入侵保护系统)。很多供应商表示他们的新功能可以抵御高级持续性威胁(APT)或者有针对性攻击。
目前安全行业正在改进新功能以抵御不断变化的攻击。独立研究机构MRG Effitas和CrySys实验室在2014年11月发布的技术报告(以及其他类似报告)可以帮助企业了解当前系统的局限性,从而做出改进。在企业确定工具是否适合其环境以及提高流程效率时,可以参考这些独立测试结果。
企业需要评估安全工具在其环境中如何运作;对于APT工具,这可能需要比标准供应商30天评估更长的时间,但企业必须相信其选择的工具将提供相应的功能和价值。
MRG Effitas和CrySyS实验室报告提醒读者,反APT工具的功能并非完全相同,可能在企业环境中无法互换。安全团队应该评估反APT工具是否适合其现有信息安全计划,并确定它将如何与其内部系统整合。他们还可以使用其企业环境的真正攻击数据来评估工具是否以及如何抵御攻击。
如果企业选择基于网络的反APT工具,还应该评估其他保护措施,例如端点反恶意软件、白名单和主机入侵检测保护工具,看看它们是否可以补充反APT工具。还要注意的是,还需要更新内部监控工具、日志分析、基于主机的入侵检测和其他技术来检测和低于现有威胁媒介。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
APT团伙是如何利用Windows热修复的?
高级持续性威胁(APT)团伙Platinum一直滥用Windows的热修复功能来攻击南亚和东南亚的政府组织和机构。这个APT团伙利用这个功能(Windows Server 2003中推出)将恶意代码注入到正在运行的进程中。那么,这些热修复攻击的工作原理是什么,我们应该如何应对?
-
高级持续性威胁(APT)剖析与防护
高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。
-
APT来袭 趋势科技携“3C”战略迎战
根据IDC的统计,2014年是安全领域不堪回首的一年,全球至少八万家公司被黑,2122家公司被迫公开承认。面对新兴攻击APT等,企业该如何应对?
-
走近APT(下)
在进入目标企业之后,APT一般还会通过被感染系统和攻击者的“远程命令和控制”通信来进行远程配合……