眾所周知，網絡攻擊者經常使用復雜的惡意軟件來危害網絡和計算機，以竊取企業的敏感信息。近期，Gartner的報告稱可以用五種基本方式來保護企業免遭攻擊，并且建議結合其中兩種及以上的方式，效果會更好。

該報告詳述了科學解決隱形攻擊(又稱先進的持續威脅)的“五種高級威脅防御模式”， 簡單的傳統安全防御技術如反病毒或防火墻除并不包括在其中。這篇報告通過分析一些已經上市的安全產品，來幫助識別隱形攻擊或收集被入侵的系統的相關信息，也就是所謂的取證。Gartner把它們放在一個安全框架里，分成五種技術方法，從而形成五種具體的“模式”。

根據Gartner的研究，首先要考慮的是旨在竊取重要數據的攻擊的時間段，要把實時防御(或接近實時防御)落實到位。但是當攻擊不幸成功了，其他工具就會被當做“后入侵”對象，也就沒必要去取證了。

一般來說，有必要去分析入站和出站點的網絡流量，從而檢測出受損端點，要做到這一點，端點處不需要安裝代理軟件，另外還需要考慮攻擊者的負載情況。這里有一個沙箱方法，就是通過在一個安全的、隔離的模擬環境中，標記一些危險目標，觀察它們的負載情況。Gartner指出還要確定端點是如何被惡意軟件所影響的，但是要管理和部署這些端點，通常需要耗費很大的運營成本。

五大防御技術：

模式1——使用網絡流量分析技術，確定標準流量模式的基準線(例如異常的DNS流量說明可能有僵尸網絡流量)，并對異常模式進行標注，代表著一個被入侵的環境。這種方法實現了實時檢測，能夠囊括匿名和非匿名技術，還不需要端點代理。但是該方法面臨的挑戰是，可能需要“仔細調節和知識淵博的員工來避免錯誤信息”，如果產品是一個帶外的工具，它阻止攻擊的能力有限，可能無法監控移動終端離線網絡的流量。該模式取樣的產品供應商包括Arbor、Damballa、 Fidelis、 Lancope和 Sourcefire的 AMP。

模式2——網絡取證通常提供“網絡流量的全包捕獲和存儲”，分析和報告工具對先進威脅事件的響應。這種方法的優點包括減少了事件的響應時間、可以在幾天或幾周時間里重建和回放流量，有時候還會提供詳細的報告，以滿足監管要求。而缺點都有哪些呢?這些工具的復雜性和成本會隨著數據和保留時間的增長而增長;有時候由于數據量太大，只能在非高峰時期來生成報告。關于模式2的產品供應商有Blue Coa和RSA。

模式3——有效負載分析，可使用沙箱技術近實時地檢測攻擊目標，但他們通常不會“花幾天、幾周或幾個月的時間去跟蹤端點的行為”。Gartner追加道，有效負載分析產品有各種能力準確檢測到惡意軟件。雖然它們的優勢在于能夠成功繞過非匿名的產品而檢測到惡意軟件，還有的產品有選擇性屏蔽功能，但是這種方法依然面臨著一些挑戰，行為分析需要花費幾秒或幾分鐘才能完成，這給惡意軟件通過網絡侵入端點提供了足夠的時間。特別是當惡意軟件使用逃避技術如睡眠定時器時，響應就會延遲。不過，一些供應商正在努力修復這個缺點。其它還有的缺點就是在端點上執行惡意軟件前沒有確認信息。

惡意軟件在模擬環境中表現出的某種行為方式，并不意味著當它攻擊真正的目標時也會采取同樣的方式。據Gartner研究，一些負載產品只支持有限范圍的負載量，譬如可執行文件。而大部分都支持微軟的Windows系統，有些云產品也支持Android系統，但還沒有支持蘋果的Mac OS X系統的產品。

模式3涉及到的供應商及產品有：AhlLab、FireEye、Lastline、ThreatGrid、 Check Point的威脅仿真軟件刀片、邁克菲的ValidEdge、Palo Alto的Wildfire服務和趨勢科技的Deep Discovery。

模式4——終端行為分析，在應用程序容器中，通過把虛擬容器中的應用程序和文件進行分離，來保護端點安全。該模式的其他創新點包括為阻止攻擊而進行系統配置、內存和進程監控，另外還有實時響應技術。Gartner說，模式4需要在每個端點上安裝一個代理，它可以攔截內核系統調用并阻止惡意活動，比如線程注入式攻擊;另外，該模式能通過隔離的Web瀏覽，保護用戶免遭任意軟件的攻擊，包括路過式下載和“水坑”下載。

這種模式的主要優點是能夠阻止“零日攻擊”，提供一些基礎證據，檢查系統是否打開或關閉網絡。但是它面臨的挑戰是部署和管理代理軟件在操作上是很密集的，在BYOD環境中尤其困難。該模式的供應商包括Blue Ridge Networks、Bromium、 Invincea、Sandoxie和 Trustware，支持內存監控的供應商有Cyvera、ManTech、HBGary和 RSA的 Ecat。

模式5——最后一個模式是端點取證，涉及到了事件響應工具。端點代理商從他們監控的主機中收集數據，幫助事件自動響應，監控公司網絡的主機打開或關閉。但是它們的缺點也是部署和管理時操作比較密集，對非Windows端點的支持是非常有限的。該模式涉及到的供應商及產品有Bit9、Carbon Black、Mandiant、 ManTech、HBGary的 Responder Pro 和Guidance Software的EnCase Analytics,

Gartner建議在細分出的這五種高級威脅防御模式中，選擇至少兩個模式一起使用，比如使用模式3進行有效負載分析以及用模式5進行端點取證。

“一些有效負載分析供應商會和終端取證供應商合作，把他們的解決方案進行整合，來減少事件的響應時間。雖然網絡流量分析(模式1)和終端取證(模式5)的優點有些相似，但很少有供應商會把這兩種模式放在一起使用。”Gartner的分析師Lawrence Orans說在決策過程中，供應商合作也是一個影響因素。另外，一些模式仍然是以Windows系統為核心的，網絡分析除外。

Gartner的報告還包括了很多其他的模式，并指出一些供應商，尤其是比較大型的已經開始交付集成兩個或多個模式的產品。然而，選擇一個模式的企業可能會帶來一些負面影響，Gartne補充道：“那些專注于一種模式的專業廠商提供的產品，其功能將不會很全面。”

面對先進持久威脅對企業數據的竊取行徑，可以使用這五種模式來進行對抗，但這并不意味著要放棄如反病毒這樣的傳統安全技術。這五種模式是專門針對那些主動參與到對抗入侵者的企業安全管理者而提出來的。

鏈接：http://www.networkworld.com/news/2013/103013-gartner-defense-attacks-275438.html?hpg1=bn