作者:趋势科技
曾经,安全技术所必须避免的重点就是产生一连串的事件通知。将系统调整到只会通报已经确定的恶意攻击事件是首要任务。你的防火墙必须非常肯定这些流入封包不属于已建立的网络连接,或是入侵防御系统需要能明确指出这些封包是在尝试做漏洞攻击才能提出警报。
在 20 世纪,甚至是 21 世纪初,我们习惯防御就是将一切弄得清清楚楚;防火墙告诉我一切正常,IPS 告诉我一切正常,防病毒软件告诉我一切干净;所以一切就都正常,对吧?错了,这种短视的安全作法就是让针对性攻击在世界各地如此成功的原因之一。
在现实里,那句见树不见林的古谚说得再生动不过了。我们太过于注重“已知的恶意”,因为想要更精简和集中分析而对“正常”的处理,让我们忽略脉络而陷于危险中。
想象一下,在你服务器机房外的走廊上一个安全监视器照到一个人,让我们叫他戴夫。利用步态辨识和脸部识别都可以确认戴夫的身分,系统甚至可以指出他穿着清洁工的制服,这很不错,因为戴夫是名清洁工。戴夫接近服务器机房大