下一代終端保護六大支柱

本文講的是下一代終端保護六大支柱，網路攻擊逃逸技術的發展令新威脅十分難以偵測到。

最近的duqu 2.0惡意軟體就是主要例子，該惡意軟體曾被用於入侵伊朗核問題六方會談、卡巴斯基實驗室和和某工控/資料採集與監控硬體廠商。為跟上惡意軟體的發展，一種採用異於傳統「入侵證據」方法的新型安全模型被提了出來。

此下一代終端保護（ngepp）模型建立在6個核心支柱之上，若綜合使用，能在攻擊生命週期的每乙個階段偵測到攻擊行為，哪怕是最高端攻擊的方法。

01.預防

ngepp必須利用久經考驗的技術阻止已知威脅。先發制人的保護層可以在已知威脅在終端執行前就**它們。與以往只依賴於一家廠商的威脅情報的情況不同，如今已可以通過雲服務聯合超過40家信譽良好的服務來主動封鎖威脅。這一方式還利用輕量級方法索引檔案進行被動式掃瞄或選擇性掃瞄，取代極為占用資源的系統掃瞄。

03.動態惡意軟體檢測

檢測和封鎖零日漏洞攻擊及針對性攻擊是ngepp的乙個核心要求。這涉及到基於作業系統底層活動和操作對應用程式和程序行為的實時監視和分析，包括記憶體、磁碟、登錄檔、網路等等。因為很多攻擊掛鉤到系統程序和良性應用程式裡來掩蓋他們的活動，能夠檢查到其執行並匯集出其真實執行環境就成為了關鍵。為使裝置免遭各種各樣的攻擊侵害，這一檢測功能在裝置上執行最為有效。比如說，即使一台終端未接入網路，也可以使它免遭記憶棒攻擊的毒手。

儘管很多廠商目前可以提供終端可見性，這是乙個巨大的進步，但還是不能檢測沒有任何靜態入侵指徵的零日攻擊。在處理真正的零日威脅時，是需要不依賴具體指徵先備知識檢測攻擊的動態行為分析的。

04.損失減輕

威脅檢測是必要的，但還不足夠。減輕損失的能力必須成為ngepp的乙個必不可少的部分。損失減輕功能應該基於策略並足夠靈活，可以覆蓋範圍廣泛的用例，諸如隔離檔案、殺死特定程序、斷開受感染主機與網路的連線，或者甚至完全關停它。另外，損失減輕應該是自動化和及時的。在惡意軟體生命週期的初始階段快速減輕損失將最小化損害並快速修復。

05.修復

惡意軟體執行期間通常會建立、修改或刪除系統檔案和登錄檔設定，還會改變配置資訊。這些殘留的修改會導致系統故障或不穩定。ngepp必須能將終端恢復到被惡意軟體修改之前的可信狀態，並且記錄有哪些東西被修改了，又有哪些東西被成功修復了。

06.取證

鑑於沒有任何一種安全技術可以保證100%有效，提供終端實時取證和可見性就成為了ngepp必須具備的能力。對整個組織中終端上發生的惡意行為清晰及時的可見性是快速評估攻擊範圍並採取適當響應的關鍵。這就要求能夠對攻擊中終端上發生的事情提供清楚的實時的審計跟蹤，以及能夠在所有終端上搜尋入侵指徵。

為達到完全替代現有傳統靜態終端防護技術保護能力的目的，ngepp要能夠自行保護終端不受傳統和高階威脅在惡意軟體生命週期任何階段的危害。上面描述的六大支柱能提供終端已成為新安全邊界的雲世代所要求的360度無死角防護。

下一代終端保護六大支柱

XR，下一代搜尋

XR，下一代搜尋

Polymer Google的下一代Web UI庫

下一代終端保護六大支柱

XR，下一代搜尋

XR，下一代搜尋

Polymer Google的下一代Web UI庫

相關推薦