现在所有类型的网络罪犯都可以通过混入企业运作背景之中，很容易地绕过现有企业安全防御。有些高级攻击可以潜伏几个月甚至几年，这完全颠覆了传统恶意检测产品--传统产品只会在给定时间点扫描已知恶意软件。

例如，新发现的木马APT.BaneChant采用了多种检测规避技术，包括伪装成合法进程，监控鼠标点击来避免沙盒分析，以及执行多字节XOR加密来规避网络级二进制提取技术等。它还将fileless恶意代码直接加载到内存中，并通过URL缩短和动态DNS服务，利用重定向来规避自动化域名黑名单。

这些攻击正在测试现有安全分析工具的局限性，并且，最近的Mandiant公司APT1报告显示，网络间谍活动已经变为长期复杂的活动。根据LogRhythm公司的2013年网络威胁准备情况调查显示，75%的受访者对其识别数据泄露关键指标的能力缺乏信心，这个数据让人吃惊。

很多报道的数据泄露事故最初都未被发现，并且，通常最后大多数是由第三方发现，而不是内部安全团队。

企业不能再单纯依靠端点来阻止这种类型的恶意软件感染。企业必须部署额外的动态的攻击前防御，在所有层有效对抗高级攻击，并识别没有见过的行为。值得庆幸的是，很多安全供应商已经开始改进其情报驱动型安全产品以应对现在的高级威胁问题。

大数据分析

其中一种常见的方法是结合安全大数据分析来帮助发现深藏在企业网络流量中的恶意活动。大数据是指可以对网络活动提供线索的任何类型的数据，包括结构化和非结构化数据。这种大数据包括企业创造的海量数据：电子邮件、文档、社交媒体数据、音频、点击流、网络流量和日志文件（访问文件的历史和实时日志文件）、注册表更改，以及进程启动和停止。还有其他系统信息（例如处理器或内存利用率）也可以帮助发现系统状态中意想不到的变化，另外，外部威胁情报源可以进一步明确什么是正常或可接受行为，这样分析不再局限于企业本身创建的数据。虽然这些数据多年来被存储在孤岛式存储库或分散在企业内，不过，现在的攻击形态的可怕现实正在推动对技术的新需求，新技术需要能够聚合这些数据、快速分析数据，并提供发现高级攻击的线索—否则这种攻击可能继续隐藏。

虽然安全信息和事件管理（SIEM）产品为企业活动数据提供了一个收集和监控的中心点，但大部分企业部署这些产品主要是为了满足合规要求，特别是针对商家的支付卡行业数据安全标准（PCI DSS）。事实上，很少有企业利用该技术的事件关联功能，并且，大多数产品都无法提供深度可视性来满足现在的分析需求。供应商正在试图通过下一代SIEM产品来解决这个问题，下一代SIEM产品扩大了数据收集与实时分析的范围和规模，使不同的事件可以整合来发现异常活动。（需要注意的是，网络行为异常检测（NBAD）产品也提供这种功能，但只有在网络层）。

利用这种大数据的自适应情报（了解什么是正常行为以发现异常行为）的实时分析可以显著提高发现高级威胁或数据泄露指标的机会，这些威胁可能来自多种攻击媒介，例如高级持续威胁、欺诈和恶意内部攻击。这种攻击前的重点在于保持领先于攻击者，并找出潜在的攻击模式，即使它们分布在不同时间。

现在有很多新的创新产品进入市场。LogRhythm SIEM 2.0平台现在结合了Rapid7的Nexpose漏洞管理产品来在LogRhythm控制台提供数据安全分析和统一风险评估功能。IBM正在利用IBM QRadar Security Intelligence和IBM Big Data Platform结合安全情报和大数据，以跨大规模结构化和非机构化数据提供一种全面的综合的方法来进行实时分析。RSA Security Analytics产品利用来自全球安全社区的威胁情报和RSA FirstWatch，利用别人已经发现的情报，提高企业大数据的恶意活动检测率。

在评估下一代SIEM产品时，可扩展性、强大的分析工具以及对异构事件来源的支持是最重要的因素，特别是当涉及时间敏感程序（例如欺诈检测）时，以确保它们能够处理大量的多样化数据。当然，在评估解决方案时，还应该考虑其根据业务情况创建可操作情报的能力，从而，对企业构成最大风险的威胁可以优先采取行动。另外一个重要特点是可视化和探索大数据的工具，这种工具可以快速发现受感染设备和其他热点。

请继续阅读威胁检测和管理的演变（二）