企业全面狙击恶意软件需要考虑四大问题

日期: 2014-06-15 作者:赵长林 来源:TechTarget中国

几乎任何一家公司都理解恶意软件的真正威胁,而且也都部署了某种安全手段,例如防火墙、反病毒软件或更高级的其它措施。但随着攻击者越来越狡猾,公司需要判定一下企业当前的方法是否足以防止最新的威胁。 非常重要的一个问题是,企业应当把传统的基本安全方案与更新更高级的技术结合起来,使其涉及到信息资产的各个方面,从而全面地保护内部资产。 评估当前系统 近年来,恶意软件已经不再是基于签名的方法可以检测到的简单程序,而是日益复杂和具有针对性。

虽然企业当前的反恶意软件部署在过去能够应对威胁,但它未必能够应对新形势下的新威胁。 企业需要理解其期望,同时评估当前的反恶意软件方法,然后决定是否需要一种新方法来应对针对企……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

几乎任何一家公司都理解恶意软件的真正威胁,而且也都部署了某种安全手段,例如防火墙、反病毒软件或更高级的其它措施。但随着攻击者越来越狡猾,公司需要判定一下企业当前的方法是否足以防止最新的威胁。

非常重要的一个问题是,企业应当把传统的基本安全方案与更新更高级的技术结合起来,使其涉及到信息资产的各个方面,从而全面地保护内部资产。

评估当前系统

近年来,恶意软件已经不再是基于签名的方法可以检测到的简单程序,而是日益复杂和具有针对性。虽然企业当前的反恶意软件部署在过去能够应对威胁,但它未必能够应对新形势下的新威胁。

企业需要理解其期望,同时评估当前的反恶意软件方法,然后决定是否需要一种新方法来应对针对企业的攻击。

越来越多的公司开始重视对雇员进行安全培训,但是在攻击者和防御者之间的知识差距仍是很大的。

建议企业采有较容易学习和使用的开源的或商业化的工具来帮助确认常见的已知漏洞,这有助于系统和网络管理员更好地保护企业资产。但是,仅仅依靠这些方案极有可能无法提供全面的安全评估,不过可以帮助企业形成当前状态的粗略概念或框架。

认识到传统的反恶意软件方案的局限性

传统的基于签名的检测方法仍很重要,如今我们仍可以通过基于签名的检测技术发现并狙击许多恶意软件。但是,恶意软件发展得太快了,安全厂商仍需“快马加鞭”。

甚至前几年出现的一些新技术,如白名单,其功效也是有限的。虽然白名单可以使公司有效地控制哪些类型的软件和可执行代码可被允许在特定机器上运行,但是这种方法仍存在问题。一般说来,白名单可能会严重限制用户完成工作的能力。

传统的解决方案是不够的。我们仍可以看到许多公司过度依赖反病毒和网络防火墙作为其主要的外围防御。虽然这些措施仍扮演着其重要角色,但全面的安全解决方案包含许多其它的技术和方法,如Web应用防火墙、正确实施用户特权的分离、严格的网络分段、设计良好的网络出口通信过滤、适时的补丁管理等。

多数公司不能仅依靠最基本的方法,而应当开始寻求更高级的解决方案。

考虑新方法

行为监视和沙箱是公司可以采用的两种现代技术。其观念在于将未知的软件放置到一个安全的沙箱环境中并执行它,而反病毒软件可以检查其某些行为。

企业可以通过这些技术将潜在的恶意程序从网络的其它部分分离开,查找其异常的行为,如非法访问内存、打开和关闭系统、重命名文件以及企业用基于签名的检测模式无法发现的其它问题。

沙箱还可帮助企业更好地实施白名单,因为我们可以选择将今天使用的所有软件都列入白名单,然后允许成功通过沙箱的任何软件添加到白名单中。

这些技术可以使整个过程更加动态化,并且可以使企业获得一个锁定的安全环境,同时又可以足够灵活地使多个用户完成工作。

行为监视可以更深入地监视文件扫描,因为它超越了文件的当前状态,与反恶意软件厂商所提供的全球性智能网络的特定文件历史和文件声誉发生关联。

认识到公司的需要和能力

企业的安全需要依赖公司的规模和存储的数据类型。更高级的解决方案要求正确实施和运维的专业人员,还需要较大的投资。大型企业能够担负较高的成本,但小型企业却不能认为自己规模小而不会成为恶意软件的目标。公司应当分析自己需要投资多少,能够负担得起多少成本才能更好地保护其资产和声誉,并进而做出合理的投资决策。

作者

赵长林
赵长林

TechTarget中国特邀作者

相关推荐