智能驱动的威胁检测和响应.pdf

智能驱动的威胁检测和响应 概述 当今的组织必须学会应对经常性的渗透。将网络攻击者拒之于企业 IT 环境之外已变得相 当困难，有时甚至是不可能的，这是因为定制的攻击可以轻易绕开传统的威胁检测工具， 并利用现代网络的固有弱点。然而，渗透不至于造成数据盗窃和其他形式的业务损失， 当组织变得善于及早检测和响应攻击时尤其如此。 要在攻击造成伤害前检测出它们，需要安全团队减少对被动威胁检测形式的依赖，如来 自基于签名的扫描工具的警报。组织必须通过不断地有哪些信誉好的足球投注网站其 IT 环境，寻找恶意或可疑活 动的蛛丝马迹，主动地捕获入侵者。要发现这些问题的早期迹象，需要组织培养新的数 据分析和事件响应能力。 然而，对于面临人手短缺同时应用程序、基础架构和威胁范围又在不断扩大等诸多压力 的安全团队而言，培养新能力谈何容易。大多数安全团队面临的挑战是（鉴于他们所受 的制约），如何厘清问题的轻重缓急，从无数滋扰威胁中区分出最严重的威胁。 智能驱动型安防让这一挑战迎刃而解。这是一个信息安全策略，提供可见性、分析性见 解和所需的纠正行动来帮助组织化解在数字世界中经营遇到的风险。智能驱动型安防通 过以下措施提高网络威胁检测和响应的速度与有效性： • 让您能够深入了解日志、网络和终端中的数字活动 • 使用来自各种数据源的高级分析功能发掘潜藏的威胁，指导有关如何以最佳方式进行 有针对性的有效响应的决策 • 对网络和终端应用不依赖于签名的恶意软件检测 • 通过高效的流程、工作流自动化、威胁情报和教育使安全团队更高效 为了在威胁检测和响应中实现智能驱动型安防，组织应在以下四个方面提高能力： 1. 持久全面的网络和终端监视能力，包括主机上全数据包捕获和基于行为的威胁检测 能力 2. 高级分析技术能力，可以近实时筛选大量信息（如网络流量）来发现可疑行为并加 速调查 3. 恶意软件分析能力，使用不依赖文件签名而是直接瞄准可执行文件的实际行为（无 论是在网络上还是在终端上收集）的方法来检测敌对活动 4. 事件检测和响应做法能力，协调安全人员、流程和技术以精简和加快工作流，让安 全运营团队可以花更少时间处理例行任务，将更多时间用在保护高优先级资产和处 理风险最大的威胁上 RSA 白皮书 智能驱动的威胁检测和响应 目录 概述 1 一种常态威胁 3