为什么入侵检测系统无法捕获所有恶意软件?
威胁追踪技术揭示的多数威胁看似无害,由于缺乏情境和相关性依据,它们会照常通过检测系统的审查。恶意软件与未知 IP 地址相通,却能伪装成正常网络通信。
此外,还有在外围设备上运行的 SYN 扫描工具,其超出了安全软件所能检测的范围。它们消无声息,耐心地查找网络中的安全漏洞。这些手段无法被封阻,也不会建立外部链接,因此我们很难检测到它们。
在威胁追踪技术的实际应用中,您会发现一个原本不应连接外网的进程正在建立出站连接。或者,您会发现某个系统在建立通信时未被使用,这表示它是感染源头。
事实是,这些高级持续性威胁 (APT) 在您部署网络安全系统时就已经存在。这是因为多数入侵检测和预防计划都基于已知的良好状态。如果其入手的网络基础环境存在通信不畅或恶意软件活动,它们也会成为整个体系的一部分。许多被公开的安全漏洞也归于此列。当某个安全漏洞出现后,往往几年后才能检测到它并认识到其危害范围。
着手起步
幸运的是,您很可能已经拥有着手起步所需的资源。只要选对合作伙伴,就能轻松地实施威胁追踪策略,它既可作为单独的一次性活动,也将其纳入正在实施的安全计划。您的人机界面和服务器可以创建活动日志,供您在线收集和分析,不会对网络产生压力或导致生产中断。
所以,想要检测您的工厂是否易受攻击,单凭端点保护技术和病毒扫描工具远远不够。主动出击追踪渗透行为,才能保障您的工厂运营不受影响。