机房360首页
当前位置:首页 » 安全资讯 » APT考验资安事件管理系统对未知威胁的侦测

APT考验资安事件管理系统对未知威胁的侦测

来源:机房360 作者:dwan 更新时间:2013/6/1 13:23:58

摘要:近期目标式攻击越来越盛行,骇客不直接攻击目标企业而採用迂迴的「水坑式」攻击,从目标对象常去的网站下手,例如今年2月Apple、Facebook的工程师都是因为浏览了iPhoneDevSDK论坛后被植入恶意程式。所有合法网站都有可能因为漏洞成为攻击跳板,网站被骇塬因很多,未必须要新的攻击技巧,网页安全的老问题,如SQL injection, XSS就可以让骇客一再得逞。

  近期目标式攻击越来越盛行,骇客不直接攻击目标企业而采用迂迴的「水坑式」攻击,从目标对象常去的网站下手,例如今年2月Apple、Facebook的工程师都是因为浏览了iPhoneDevSDK论坛后被植入恶意程式。所有合法网站都有可能因为漏洞成为攻击跳板,网站被骇远因很多,未必须要新的攻击技巧,网页安全的老问题,如SQL injection, XSS就可以让骇客一再得逞。

        

  IBM政府部门安全策略师Peter Allor认为,企业应该以风险为基础的角度来进行网页安全防护,在这个网站上所存放的资料对企业的重要性有多高,就应该采取相对的防护水准。除了唿吁网页安全,对企业内部而言,要抵御此类精心设计的目标式攻击,采用资安事件管理系统(SIEM, Security Information Event Management)来及早侦测也是防御方式。他建议,评估SIEM时,应该注意1)介面容易操作使用;2)与各家设备厂商的整合介接;3)能将事件回应的资料、security context汇入SIEM中。

  对SIEM来说,除了法规需求,随着APT攻击的盛行,对于未知威胁的侦测能力也受到重视。日前传出RSA的SIEM将由原本的enVision平台转换为收购来的NetWitness平台,名为Security Analytics,除了将log收录之外其全封包深度分析与鉴识功能是为最大特色。而 Attachmate集团大中华区及南韩总经理江永清则认为,不是靠单一技术就可解决APT问题,通常APT攻击进到企业内网来,为的就是取得关键系统ID并将资料往外送,能缩短侦测可疑行为的空窗时间,才是SIEM的重点。因此NetIQ 的解决方案是透过Sentinel的异常行为分析监控技术结合IAM身分识别,再搭配Change Guardian的资料异动监控机制以及早侦测出可疑行为。

  随着企业越来越希望享受公云的经济效益,对云端资安服务(Security as a Service)也渐渐接受,包括IBM已开始提供其SIEM平台QRadar的代管服务,可将系统发出的警讯丢到IBM的SOC中心监控。而NetIQ总裁Jay Gardner也表示云端资安服务的确是趋势,包括云端身分认证、云端应用程式检测等需求都逐渐兴起,而NetIQ的策略是提供云端资安服务的工具给ISP或资安代管业者,不会去发展自己的云来与ISP竞争。目前NetIQ的云端安全服务工具包括,云端单一登入、云端日誌稽核等。

  责任编辑:dwan

机房360微信公众号订阅
扫一扫,订阅更多数据中心资讯

本文地址:http://www.jifang360.com/news/201361/n537548523.html 网友评论: 阅读次数:
版权声明:凡本站原创文章,未经授权,禁止转载,否则追究法律责任。
转载声明:凡注明来源的文章其内容和图片均为网上转载,非商业用途,如有侵权请告知,会删除。
相关评论
正在加载评论列表...
评论表单加载中...
  • 我要分享
推荐图片