随着恶意软件变得越来越狡猾,甚至能够躲避基于特征的反病毒软件和入侵防护系统的检查,一些企业开始利用网络捕获和分析工具检测异常网络行为,并在发生安全威胁时做出响应。网络监控和安全威胁分析解决方案供应商NetWitness就是一家提供此类产品的公司,正与网络监控设备提供商Solera Networks、网络安全软件厂商Check Point Software Technologies和高速数据包捕获解决方案供应商Endace在网络取证市场展开角逐。NetWitness的产品可以捕获和存储网络数据包,并对其进行实时分析和检测。最近,NetWitness的首席安全官Eddie Schwartz接受了我们的采访。Schwartz认为,由于政府机构、大型金融企业和电信公司的安全团队开始越来越多地使用网络分析工具,以防范能够突破传统安全系统的威胁,网络取证这一行业发展势头良好。Schwartz指出,基于特征的安全系统固然重要,但网络收集和取证工具可以帮助大型企业应对未知攻击方法的威胁。以下为采访实录:
请简要介绍一下NetWitness公司的产品,贵公司的产品真的只是将取证工具部署在入侵防御系统周围吗?
Eddie Schwartz:权威市场研究机构Gartner将网络数据包捕获和分析称为网络取证。关于网络取证有很多问题值得讨论,但大多数问题确实和高级威胁情报有关。对于那些真正在考虑如何应对这些高级威胁的企业确来说,这些攻击属于复杂的威胁,可以躲过反病毒软件和入侵检测系统的检查。有一种应对这些威胁的解决方案是基于全面的数据包捕获和实时的态势感知,我们的产品正是属于这一类解决方案。尽管许多产品都属于这类解决方案,但其中只有少数产品能够处理实时事件响应或实时入侵检测和管理,而我们的产品就具有实时事件响应能力。
您刚才提到了响应,贵公司的产品在安全威胁发生时究竟是响应还是报警?一旦谈到响应,贵公司的产品不就变成了入侵防御系统吗?
Schwartz:我不太赞成使用“防御(Prevention)”一词,因为这个词现在的意义过于复杂。我认为,有些简单的措施确实可以归类于防御,能够阻止某些攻击或采取某种行动。特征或定义文件就属于这类防御性措施,它们描述了某人已受到的攻击或者事先已对其有一定了解的攻击。问题是,在许多情况下,如果你遇到一些此类恶意软件的实例,你将会发现,35家防御性平台供应商中没有一家会真正承认这些恶意软件,而你也只有8个小时的时间来处理这些恶意软件造成的后果并做出响应。防御并不是最好的办法。当对某些恶意软件有了一定的认识和了解时,你可以将其实例输入到一些防御性的平台。因此,当我们谈到响应时,更多的是指主动检测然后采取必要的响应动作。有些情况下,响应可能是下列动作的组合:修改防火墙规则、书写Snort特征、只是更加密切地监视某些软件,或者将一些额外的威胁源输入到你的防御性平台,以查看此前没有考虑到的一些新的潜在威胁方法。
您前面提到了全面的数据包捕获,那么有没有功能足够强大的产品,可以收集所有数据包不丢弃任何数据包?
Schwartz:有许多方法可以实现全面的数据包捕获。例如,我们有一个客户,可以说是全球最大的私有IP网络运营商之一,其总数据吞吐量为60GB/s,内部需要实时存储到实时态势感知网格中的数据高达1.5 PB/s(1PB=1024TB)。我们的产品完全可用于这种超大型应用环境,关键问题就是将其扩展到这种应用环境。要实现全面的数据包捕获,既可以利用基于商品型设备的存储方法,也可以利用传统的存储方法,例如存储区域网络或其他方法。使用哪种存储方法仅仅取决于你在数据保留和用例方面的目的。有些企业的用例只限于对安全问题的事件响应,因此其存储数据的使用寿命将短于那些用例更多的是为了典型取证或调查的企业,他们可以回溯并查看更长周期的网络流量历史,这些周期可能是60天、90天甚至在某些情况下更长。
有一个术语叫“高级持续性威胁(Advanced Persistent Threat,APT)”,我曾就该术语请教过一位专家,他认为安全产品供应商的营销部门正在淡化APT的使用。您如何定义APT?
Schwartz:我认为,判断一种攻击是不是属于APT,可以按照以下三个标准:第一,必须有证据表明攻击者是特定的,而且攻击者有一定的组织性、动机和与此相关的资金支持。第二,攻击的目标有针对性。第三,攻击者能够采取各种不同类型的攻击手段,从社会工程、恶意软件开发到基于网络的攻击等等。例如,我们已经看到,一些政府客户遭受了一系列的鱼叉式网络钓鱼攻击(Spear Phishing Attack)。这些鱼叉式网络钓鱼攻击的范围从非常明确的社会工程攻击到安装恶意软件,而这些恶意软件是攻击者自己开发的,此前从未在其他地方出现过。很显然,恶意软件具有关于企业特定资产的先验信息——一些网络映射工作在此之前已经完成。这些鱼叉式网络钓鱼攻击就符合我对APT的定义。
有没有办法将这种基于网络设备的数据包收集和分析方法简化为一种面向中小型企业的轻量级版本?
Schwartz:这项工作已经被纳入我们的计划之中。目前,我们的客户主要是大型和超大型的政府机构和商业企业。我们已经在计划开发针对特定类型用例的产品,也就是你所说的交付即用型解决方案。但是,我认为应对高级威胁没有捷径可走。现在,安全机构(如SANS)应该提醒用户,不要再考虑如何通过反病毒软件解决特定的威胁,而应该开始考虑如何获得对其网络的可见性。一个新兴的威胁情报市场将会出现并不断发展,人们可以在这里提供自动化的威胁情报,这些威胁情报的复杂性将前所未有。
【编辑推荐】
谁能提供几个不错的杀毒软件
360AVG Comodo(科莫多) 卡巴斯基NOD32若顿360 BitDefender(比特梵德)360团队在2006年创建之初,是一个只有十余人的小规模团队。 这个小团队为帮助老百姓清除恶意软件的骚扰而诞生,专注而迅速地帮助老百姓解决电脑安全问题。 这使得360安全卫士深受广大网友青睐,在不到两年的时间内就成为覆盖国内近50%互联网用户的网络安全软件,用户数量超过了1亿。 在2007年下半年恶意软件被彻底铲除之后[1],360团队又开始了帮助老百姓查杀木马的全新使命。 为了对付日益猖獗的木马,为了给老百姓提供更专业网络安全服务的决心,360软件界面团队的规模不断扩大。 目前,360团队成员已经由诞生之初的十几人扩大至上百人的规模。 而且,360团队还在继续招贤纳士,为打造一流的网络安全服务研发中心做准备。 AVG杀软界属于耳熟能详的名称,来自捷克、07年全球顶级杀毒软件排行第三、在欧美家喻户晓的杀毒软件。 确保您的数据安全,保护您的隐私,抵御间谍软件、广告软件、木马、拨号程序、键盘记录程序和蠕虫的威胁。 在易于使用的界面之下,我们为您提供了高级的扫描和探测方式以及时下最尖端的技术。 反病毒程序只能提供针对危急爆发的威胁如木马、蠕虫、拨号程序、劫持程序、间谍软件和键盘记录程序的有限的保护。 而这正是AVG Anti-Spyware保护的出发点,它能补充现有的安全应用程序从而创建一个完整的安全系统——因为只有完整的安全系统才能有效地工作。 Comodo ,美国的软件公司,是世界优秀的IT安全服务提供商和SSL证书的供应商之一,总部设在新泽西州泽西城,成立于1998年。 Comodo 提供一些免费的产品,可以通过其官方网站下载。 值得注意的是他们的免费程序防火墙,以及其他免费的安全工具,如防病毒,防恶意软件,搜索引擎和内存防火墙。 以 A - VSMART 保证电子商务的实时安全。 Comodo 也是一个全球领先的SSL证书提供商,为用户提供为期90天的免费服务。 卡巴斯基总部设在俄罗斯首都莫斯科,Kaspersky Labs是国际著名的信息安全领导厂商。 公司为个人用户、企业网络提供反病毒、防黒客和反垃圾邮件产品。 经过十四年与计算机病毒的战斗,卡巴斯基获得了独特的知识和技术,使得卡巴斯基成为了病毒防卫的技术领导者和专家。 该公司的旗舰产品-著名的卡巴斯基反病毒软件(Kaspersky Anti-Virus,原名AVP)被众多计算机专业媒体及反病毒专业评测机构誉为病毒防护的最佳产品。 ESET NOD32 Antivirus 及 ESET Smart Security,通常被称为NOD32,是斯洛伐克的Eset公司开发的杀毒软件。 NOD32支持Windows、Linux、FreeBSD以及其它系统平台,收费提供支持多用户安装的远程管理工具。 NOD32不是诺顿(Norton),NOD32是ESET公司的产品,诺顿(Norton)是Symantec(赛门铁克)公司的产品。 而一般民间称它为“易视诺德” 简称:“诺德”诺顿360是由国际知名安全软件开发公司赛门铁克公司开发的一款系统安全软件。 它集成了多种保护功能,能够有效阻止外来病毒的入侵比特梵德/ BitDefender(简称BD),是来自罗马尼亚的老牌杀毒软件。 BitDefender 成立于2001年,是SOFTWIN的子公司,总部位于罗马尼亚首都布加勒斯特,同时在德国,西班牙,英国,加拿大等地设有相应的分公司。 SOFTWIN 公司成立于1990年,提供高端软件解决方案及相关服务,客户主要面向于大型银行业,国家服务部门,公共事业,物流及通信行业。
CVS的作用是?
CVS是一款软件版本管理工具,能将代码或者文件的不同版本都记录下来,便于管理,查找,可以为不同目录不同人分配不同权限,大家可以同时使用,像数据库一样,有人上传或者修改文件,其他人在本地刷新就能获得。 SVN是CVS的更新替代软件,改进了一些CVS的缺陷,如CVS不能在客户端删除文件夹,不能重命名,不能转移文件等。
笔记本关不了机怎么办
Windows无法关机 造成这个故障的原因很多,解决方法: 1) 电脑硬件的原因造成的。 主板BIOS不能很好支持ACPI,建议升级主板的BIOS,一般就可以解决。 电脑的电源质量不好导致了无法正常关机。 建议换一个质量好的电源。 2) 电脑软件的原因造成的。 检查文件。 下面所列出的记录都可能造成电脑关机失败,可以根据自己电脑中启动盘根目录下的中所显示的情况,找出原因: Terminate=Query Drivers 驱动程序有问题 Terminate=Unload Network 不能加载网络驱动程序冲突 Terminate=Reset Display 显卡设置或显示卡驱动程序有问题 Terminate=RIT 声卡或某些旧的鼠标驱动程序和计时器有关的问题 Terminate=WIN32 某些32位应用程序锁定了系统线程 3)检查【高级电源管理(APM)】:打开【开始】|【设置】|【控制面板】|【系统】,再点【设备管理器】。 展开【系统设备】|【高级电源管理】,单击【设置】选项,去掉【强制使用APM方式】前的对号。 重新启动计算机后如能正常关机,则问题的原因可能在于APM,应关闭高级电源管理功能。 4)禁用快速关机:点【开始】|【运行】菜单,在命令框里输入“msconfig”后点击【确定】,这时候就出现【系统配置实用程序】窗口。 点击【常规】页面,再点击【高级】选项,在此时出现的【高级疑难解答设置】窗口中,将【禁用快速关机】前面的选择框选中就可以了。 如果计算机正常关机,则说明快速关机这一项有问题。 5)检查是不是关机的时候已经把应用程序全部关闭了。 如果没有关闭,可以关闭全部应用程序。 因为有些应用软件可能没有正常关闭,而系统也不能正常结束该应用程序,从而导致出现故障。 6)在您使用IE 5或更高版本上网时要注意,它们在退出后仍然占用大量的系统资源,通常使系统的可用资源不足80%,在这之后运行其他软件就很容易出错,很可能导致系统无法软关机。 7)一些软件在结束时,可能会因为所做的某些操作对系统数据或文件产生影响而导致系统无法正常关机。 这种情况区别于软件的设计不良,这可能是系统自身对自己的保护不利,有时也与多任务有关。 虽然Windows XP具有多任务的特性,但一些大的软件在多任务同时执行时很容易引起故障,如非法操作、蓝屏故障和死机等。 这种情况造成的无法关机的问题通常在下次开机时就不出现了。 8)一些程序的BUG或一些16位软件也有可能破坏内存中的系统数据或文件。 驻留内存的软件也容易引起冲突,从而导致系统关机异常。 找出具有这样问题的软件也不是很容易,选择开始*程序*附件*系统工具*系统信息,打开Microsoft系统信息对话框,选择工具*系统配置实用程序,可以设置允许或禁止启动中的多个驻留Windows XP的程序。 其他有问题的应用软件就只能在长时间的使用过程中去寻找它们的弊端,以便及时避免错误发生。
发表评论