如何检测和预防内部网络攻击
有关内部网络攻击这些攻击造成了惊人的损失:313个被调查对象共损失了5200万美元,每个被调查对象平均损失167000美元。如何检测和预防内部网络攻击成为迫在眉睫的问题,值得注意的是,只有一半的调查对象报告了遭受的实际损失-人们似乎更加担心对攻击和损失的公开报道,因此很难精确统计这些组织的实际损失。但有一件事是肯定的:网络攻击的范围之广超乎人们的想象。
过去十年中,许多IT管理人员普遍使用的网络安全策略是投资于外网,以防范外部威胁。他们认为所有威胁都来自于外部,外网保护森严的网络是最安全的网络。包过滤路由器、防火墙、应用代理和VPN都是当时采用的技术。
厂商和客户认为他们的网络设计是“外刚内柔”。也就是说,安全策略有意忽视了内部网络边缘安全,同时(由于某种原因)假设内部网络具有固有的高安全性。对于许多组织来说,这种假设与实际情况恰恰相反。没有足够的内部威胁防护,网络极易受到病毒、蠕虫、用户破坏和其它攻击,从而造成重大的停机、收入损失、最终用户不满意以及IT管理带宽的增加。
内部威胁防范解决方案
客户当前可用的检测网络内部攻击的方法通常价格昂贵、性能有限或安全值较低。
如今在预防内部网络攻击方面,许多客户通过在网络周边设置防火墙、在客户端PC上安装防病毒软件保护网络。不幸的是,他们的网络仍然易于遭受更高级的安全威胁(例如病毒和蠕虫), 因为大部分防火墙不能深入检测病毒特征码,更无法通过网络行为异常检测(NBAD)寻找具有攻击性的网络行为。同样,PC防病毒软件不能做到防范时时的病毒攻击,更不用说有许多客户允许那些未更新防病毒文件的终端用户访问网络。
一些组织使用了昂贵的技术,例如在许多交换机上分别部署IPS (入侵防御系统)设备连接到上行链路上。与交换机网络基础设施架构相比,IPS的成本更高但性能更低,而客户需要通过更有效、更经济的解决方案来了解内部威胁的状态。
