UTM:安全威脅的天敵

責(zé)任編輯:editor008

2014-09-19 09:35:54

摘自:51cto

引言:當(dāng)前,很多企業(yè)對其入侵檢測和響應(yīng)程序缺乏信心,他們擔(dān)憂的問題包括快速檢測新事件,尤其是涉及高級威脅的事件,以及處理涉及員工的意外事故。

引言:當(dāng)前,很多企業(yè)對其入侵檢測和響應(yīng)程序缺乏信心,他們擔(dān)憂的問題包括快速檢測新事件,尤其是涉及高級威脅的事件,以及處理涉及員工的意外事故。

現(xiàn)在越來越多的統(tǒng)一威脅管理(UTM)產(chǎn)品開始支持新的高級防御和檢測功能,這些功能可以用來幫助解決這些問題。這篇文章介紹了這些新興的UTM功能,并闡述了企業(yè)應(yīng)該如何使用它們來防止入侵以及加速對可能發(fā)生事件的檢測。

數(shù)據(jù)丟失防護

數(shù)據(jù)丟失防護(DLP)技術(shù)主要用于檢測和阻止攻擊者試圖將敏感數(shù)據(jù)從企業(yè)內(nèi)部滲出到外部位置的行為。DLP可以保護的敏感數(shù)據(jù)包括社會安全號碼、信用卡號碼、醫(yī)療記錄和知識產(chǎn)品。雖然很多人認為DLP是基于文本的技術(shù),專注于電子郵件和文字處理文檔,但事實上,它也能夠分析音頻、視頻和其他非文本形式的文件。

因此,UTM很適合于部署DLP技術(shù)來分析出站流量的內(nèi)容,并確保防止基于網(wǎng)絡(luò)的滲出,無論是有意還是無意的。

要做到這一點,首先將DLP配置為測試模式,讓它記錄但不阻止可疑行為。這樣一來,安全團隊就有機會來完善DLP規(guī)則集,而不會在不經(jīng)意間阻止良性流量。在DLP經(jīng)過調(diào)整后,它可以被切換為正常模式,以阻止可疑流量。

“云中沙盒”

某些供應(yīng)商的UTM產(chǎn)品可以配合基于云的沙盒服務(wù)。如果企業(yè)的UTM設(shè)備看到一個試圖通過它的可執(zhí)行文件,并且覺得該文件非??梢?,那么UTM可以暫停該可執(zhí)行文件的傳輸,并轉(zhuǎn)發(fā)副本到基于云的沙盒以進行進一步評估。這個沙盒提供了安全的隔離環(huán)境來運行這個可執(zhí)行文件以及分析其行為,這樣UTM就可以確定是否允許或拒絕這個文件。

基于云的沙盒服務(wù)可以非常好地發(fā)現(xiàn)高級和新興惡意軟件,特別是當(dāng)UTM定位為“監(jiān)控試圖進入企業(yè)網(wǎng)絡(luò)的流量”時。然而,有些企業(yè)的政策禁止通過電子郵件和其他機制來傳輸可執(zhí)行文件,在這種未經(jīng)授權(quán)可執(zhí)行文件已經(jīng)被阻止的環(huán)境中,使用基于云的沙盒技術(shù)將會浪費資源,而不會提供更高的安全性。

帶寬管理

一些UTM產(chǎn)品還提供的另一個功能是服務(wù)質(zhì)量(QoS)執(zhí)行。這允許通過UTM的部分或全部的網(wǎng)絡(luò)服務(wù)管理自己的帶寬,這樣就沒有服務(wù)會使用太多UTM的帶寬。QoS執(zhí)行可以有效地限制一些分布式拒絕服務(wù)攻擊(DDoS)的影響,例如,當(dāng)DDoS攻擊瞄準受UTM保護的web服務(wù)器時,這不太可能影響UTM保護的其他服務(wù)器和系統(tǒng)的帶寬。

企業(yè)應(yīng)該認真考慮在激活QoS執(zhí)行前監(jiān)控網(wǎng)絡(luò)使用情況。這可以幫助確保設(shè)置的QoS閾值是基于實際需求的。否則,由于帶寬限制,企業(yè)關(guān)鍵的流量可能會在無意中被減慢或者完全停止。

D1Net評論:

顯然,UTM產(chǎn)品可以越來越好地檢測和阻止針對企業(yè)系統(tǒng)的高級攻擊。對其處理高級威脅的能力缺乏信心的企業(yè)應(yīng)該認真考慮購買新的UTM產(chǎn)品,或者在其現(xiàn)有的UTM產(chǎn)品中激活新的功能,以提高其入侵檢測功能,從而有效地防止事故的發(fā)生。對于企業(yè)而言,無疑是一項很好的選擇。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號