国产妇乱子伦视频免费,福利一区二区三区视频午夜观看,欧美性性性性性色大片免费的

當前位置：首頁 >新聞資訊 >行業(yè)動態(tài)

企業(yè)潛在威脅防御新招：“known-good”技術(shù)

來源：中科服發(fā)布時間：2015-01-06 文章分類：行業(yè)動態(tài) 分享：

       允許無害的流量進入企業(yè)環(huán)境，阻礙有害的流量進入是確保企業(yè)安全的基礎(chǔ)知識。然而，只允許“已知良好(known-good)”的文件和鏈接進入談何容易。
       令人尷尬的是，攻擊者的發(fā)展速度不可避免地比企業(yè)防御的適應(yīng)和阻礙能力增長得快。過去十年里，以黑名單的方法來反惡意軟件、形成防火墻、反垃圾郵件以及實現(xiàn)其它安全技術(shù)已經(jīng)顯現(xiàn)出明顯的弱點。而且，對于安全團隊來說，隨著黑名單的變多，協(xié)調(diào)每個黑名單，將它們?nèi)谌氲礁嗟陌踩ぞ咧?，并全部更新已變得越來越困難。
       企業(yè)通過使用“已知良好”技術(shù)作為信息安全計劃的一部分，可以不用那么辛苦地維護黑名單，而且可以改善環(huán)境中的整體安全性。
       在這篇文章中，專家Nick Lewis闡述了如何將“已知良好”技術(shù)運用于企業(yè)以應(yīng)對當今越發(fā)激烈和更具破壞性的威脅。
       “已知良好”技術(shù)工作原理
       使用“已知良好”技術(shù)類似于采用白名單的方法，白名單是傳統(tǒng)的方法只允許授權(quán)用戶或應(yīng)用程序在企業(yè)網(wǎng)絡(luò)中啟用，而“已知良好”技術(shù)是采用一個更廣闊更詳細級別的概念。在一個傳統(tǒng)的白名單方法中，電腦上只允許運行具體的可執(zhí)行文件，但是無法阻止某人在企業(yè)網(wǎng)絡(luò)內(nèi)部為攻擊者打開惡意文件讓攻擊者獲得初始訪問。而“已知良好”技術(shù)可全面阻擊攻擊者執(zhí)行任意種類的攻擊。
       接下來舉幾個例子來說明。輸入驗證是只接受“已知良好”輸入數(shù)據(jù)輸入到系統(tǒng)的一個很普遍的方法。一般運用于網(wǎng)頁應(yīng)用程序或數(shù)據(jù)庫防火墻，對惡意的SQL語句進行過濾，只允許驗證通過的SQL語句執(zhí)行。
       另一個例子是檢查網(wǎng)頁、PDF等文檔、識別潛在的惡意鏈接，然后剝離出威脅，在下載前重構(gòu)文檔，只留下“已知良好”那部分。系統(tǒng)可以檢查該文件，確定哪些是用戶輸入的數(shù)據(jù)并留下來，刪除可能包含惡意代碼的內(nèi)容。這是由供應(yīng)商如賽門鐵克(Symantec)、Blue Coat、 Websense提供的一些Web代理或內(nèi)容網(wǎng)關(guān)產(chǎn)品所具備的的性能。此外，還有開源工具、框架，ExeFilter可以給文件和交互內(nèi)容提供這個性能，并且可以嵌入其它工具或掃描文件共享、電子郵件等功能中使用。

現(xiàn)在，攻擊者完全有可能入侵您所信賴的合作伙伴的系統(tǒng)，然后將惡意代碼嵌入安全的PDF中發(fā)送給您。利用像ExeFilter這樣的技術(shù)可以刪除文件中的惡意內(nèi)容，可以保證您和商業(yè)伙伴的安全通信不被打擾。

在企業(yè)環(huán)境中使用“已知良好”技術(shù)

       使用“已知良好”技術(shù)進行威脅防御和檢測需要深入了解和控制環(huán)境，大致了解惡意內(nèi)容的潛在位置，知道在何時何地有必要刪除惡意內(nèi)容，而不是徹底阻斷附件、流量、用戶以及鏈接。
       由于防火墻可以使用“拒絕所有”、并“允許部分”策略，那么就有足夠的理由只允許帶有“已知良好”安全協(xié)議，來自“已知良好”的安全網(wǎng)絡(luò)進行連接。這可以通過網(wǎng)絡(luò)訪問控制系統(tǒng)來實現(xiàn)，只允許“已知良好”并驗證通過的系統(tǒng)使用批準的協(xié)議來連接到特定的網(wǎng)站。盡管黑名單和白名單兩種技術(shù)都可以用來阻止惡意網(wǎng)絡(luò)，但是一旦一個網(wǎng)站被發(fā)現(xiàn)是惡意網(wǎng)站，安全團隊還是需要每次將其添加到黑名單。這同樣適用于新的“已知良好”的網(wǎng)絡(luò)或協(xié)議，隨著它們被發(fā)現(xiàn)并驗證通過，它們也需要被添加到白名單。
       不幸的是，將這種方法推行到各種類型的文件或應(yīng)用程序是相當困難的。為了簡化該過程，對于企業(yè)來說，集中于最可能被攻擊者利用漏洞也最常見的文件類型或數(shù)據(jù)是很有利的。此外，在某種程度上限定“已知良好”將不會造成大量的誤報，大量的誤報會對通信產(chǎn)生不利影響，對企業(yè)來說也是一個挑戰(zhàn)。與此同時，企業(yè)需要進行不斷地微調(diào)以保證有效運行。
       “已知良好”類似于強制訪問控制和在軟件開發(fā)中使用形式化方法。強制訪問控制就是基于數(shù)據(jù)分類和特定訪問權(quán)限來訪問特定的資源;另一方面，在軟件開發(fā)中使用形式方法，是以數(shù)學方法驗證軟件是否正好實現(xiàn)了設(shè)計時所設(shè)想的功能。這兩種方法都非常嚴密，且采用資源密集型的方法來使用已知良好的技術(shù)提高安全性。
       當涉及到特定的“已知良好”技術(shù)，有幾個產(chǎn)品可供企業(yè)采用。首先是白名單和灰名單產(chǎn)品，這兩種產(chǎn)品會暫時拒絕傳入的流量，幫助組織確認“已知良好”的行為并允許其發(fā)生在系統(tǒng)或網(wǎng)絡(luò)上。此外，還有像PHP過濾器或安全基線配置這樣的“已知良好”軟件開發(fā)方法，只有“已知良好”的軟件和設(shè)置才可以啟用。這些方法可以通過減少攻擊面來盡量減少成功攻擊的可能性。
       然而，由于很難定義“已知良好”，所以可以幫助企業(yè)掃描特定文件或應(yīng)用程序，挑選“已知良好”組件的可行性程序目前很少。一個公司可能不知道包含高級功能的大量文件格式和應(yīng)用程序是否被員工，合作伙伴和客戶使用。使用ExeFilter并添加其他文件形式做支持，當新的文件格式或應(yīng)用引入環(huán)境時，可以更快適用。
       另外，JavaScirpt通常被視為高風險，對于企業(yè)來說，很難知道用戶企圖打開的PDF或其他文件是否被潛在惡意JavaScirpt所感染。在這種情況下，企業(yè)可以使用一種將PDF轉(zhuǎn)換成靜態(tài)PDF的技術(shù)，該技術(shù)可以從文件中完全取出JavaScirpt.或者可以在沙箱中打開PDF，看看哪些潛在的惡意行為被利用并從文件中刪除惡意的JavaScirpt.以上行為都可以用來扼殺部分被釣魚攻擊的惡意PDF,保證用戶打開文件時，他們的電腦不會被感染。
　　總結(jié)
       相比起黑名單，白名單和其它技術(shù)，“已知良好”的安全方法有一定的改善，可更大程度幫助企業(yè)抵御威脅。
       然而，即使是白名單也要承受挑戰(zhàn)和變革的需求，跟上不斷變化的威脅環(huán)境。白名單相對于20年前商業(yè)安全方法有顯著的改善，但是如果沒有為一般企業(yè)和消費者開發(fā)出來默認安全系統(tǒng)，我們將繼續(xù)在白名單、灰名單和黑名單這樣相同的螺旋中前行。
       “已知良好”技術(shù)將有望給企業(yè)以及整個行業(yè)帶來新希望，更好地管理其潛在的風險，防御今天黑客和攻擊者所創(chuàng)建的最艱難的威脅，以保證安全性。

上一篇：十個令人驚訝的銷售秘密下一篇：掌握四點，足以做好網(wǎng)站的全面分析

返回列表

相關(guān)推薦

新聞資訊

企業(yè)潛在威脅防御新招：“known-good”技術(shù)

產(chǎn)品

解決方案

客戶服務(wù)

關(guān)于我們

聯(lián)系方式

你知道你的Internet Explorer是過時了嗎?