沙箱和白名单

对于缓解现在的威胁，SIEM和大数据并不是唯一的选择。沙箱和白名单是值得考虑的技术。Bit9的白名单安全软件是利用端点代理的基于信任的解决方案，它允许管理员指定可在桌面和台式机执行的软件。另外一个新功能是利用按需基于云的Bit9 Software Reputation Service来高精度检测可疑恶意软件和相关文件。

沙箱可以隔离应用程序，这样恶意软件就不会从一个程序传输到另一个程序。任何未知的应用程序或内容都可以被视为不可信，并隔离在自己的沙箱中。McAfee等安全供应商正在试图添加相关技术到其产品系列中。该公司还计划在其ePolicy Orchestrator套件中提供沙箱技术。通过在沙箱中运行可疑恶意软件，我们可以知道该恶意软件可能对端点带来的影响，并自动阻止未来攻击，同时修复所有已经感染的端点。Fortinet的FortiCloud基于云的沙箱服务提供了一个在线沙箱门户网站，以在虚拟环境中执行可疑代码。

当然，安全团队需要扩展威胁检测和保护到连接到其网络的移动设备，特别是因为，与桌面用户相比，移动设备用户沦为网络钓鱼攻击的受害者的几率至少要高两倍。Lookout Mobile Security的Mobile Threat Network向移动用户提供空中保护。Lookout是利用大数据分析方法来发现恶意软件并预测下一次攻击的另一个产品。另外，运行自己应用商店的企业还可以利用Lookout API来确保其提供的应用的安全性。RSA FraudAction Anti Rogue App Service也能够检测渗透到在线应用商店的任何恶意或未经授权移动应用。

无论企业部署了何种高级威胁检测技术，其有效性将取决于配置和监控这些技术的人员。人员是所有管理计划的重要组成部分。管理员必须学会如何有效地利用新型技术，让它们真正提供额外的保护。赛门铁克的Cyber Threat Detection和Incident Response Training等培训，以及SANS等供应商提供的深度培训课程将帮助安全人员了解如何识别威胁并作出响应，同时从恶意事件恢复。

对于任何新IT技术，重要的是，不要被供应商的营销炒作蒙蔽了双眼。更专注于检测和响应并不意味着端点防御技术（例如防火墙和防病毒）不再具有相关性。保护任何网络都需要成文的政策和程序作为成功的基础。同时，资产和数据分类是重点，需要记住的是，虽然威胁管理始于威胁识别，但恢复也是成功的威胁管理过程的重要组成部分。

请继续阅读威胁检测和管理的演变（一）