本文主要是介绍主机溯源系统解决方案价值,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
一、主机溯源需求分析
1.1威胁分析
随着网络和信息技术的快速发展和普及应用,我国政府和企业的信息基础设施及各种新型业态蓬勃发展,与此同时安全防护系统也经历了一个从无到有、从弱到强的发展过程。针对不断变化和无孔不入的威胁,政企终端上的管控、杀毒、漏洞补丁等各种安全防护手段逐步强化,但是针对于终端的安全事件却依旧层出不穷,敏感数据泄露的规模连年加剧。
这是因为相比通过漏洞、钓鱼等方式盲目扩散的已知终端威胁,高级持续性威胁(Advanced Persistent Threat,APT)通过精确、持久、隐匿式的恶意攻击,渗透政企客户的终端,利用端点的脆弱性绕开安全防线,并逐步达到其破坏或窃密的最终目的,短时间内可对用户造成惨重损失,但是要发现、解决威胁、评估损失则需要数周甚至数月的时间,究其原因在于高级威胁通过混淆、沙盒对抗、0day漏洞利用等免杀技术。依靠已知特征、已知行为模式进行检测的网络安全防护技术手段,已经无法预知其攻击特征与行为模式,传统的终端防御技术(Endpoint Protect Platform,EPP)在面对当今终端上的各种高级威胁已经不再适用。
传统的终端安全解决方案以防御威胁为出发点,被动检测和拦截攻击。无法对威胁来源,运行过程和产生的影响进行监控和记录,而产生的告警信息数量庞大且相互间缺乏关联,导致针对整个安全威胁事件的可见性缺乏,带来了以下的问题:
难以应对复杂和有针对性的攻击
当前攻击者通过定制化的恶意软件可以成功绕过防御,利用多种技术手段和工具组合的攻击更加难以被识别,即使识别其中一种或者多种并产生告警,在后续的威胁追查中这些告警都需要安全管理人员再次进行人工分析和挖掘,以还原出攻击事件全貌,难度可想而知。
威胁溯源困难
这篇关于主机溯源系统解决方案价值的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!