安全威胁不断转变，黑客的技术亦愈来愈高；相反很大比例的网络安全厂商却仍然停留在传统的防护方式，那就是针对网络入口进行防护；因此作为企业也应时刻审查本身正采用的方案是否能满足现今安全趋势，而针对新式的攻击活动，企业亦应该作出相应改变才是致胜之道。 话又说回来，究竟传统上，黑客攻击企业系统时，其着眼点会放在那里呢？概括而言，传统黑客攻击心态上往往是「目标为本」，亦即是说在攻击的设计上只针对特定目标，例如针对入侵系统的某一位置、偷取指定位置的暂存档案等等；但正所谓「道高一尺、魔高一仗」，现今黑客攻击的心态已变得更广泛，单次攻击往往反而着眼於攻击过程，例如会考虑到完成攻击後，所偷取的数据应暂存在受害者系统之中的那一位置才最安全？如何能植入木马或 C&C Server 以随时监测用户的最新动向而不被发现等等。

　　大部份防护方案针对网络入口

　　上面都提过，现时大部份防护方案主力针对网络入口进行检测以及拦截等动作，但往往却忽略了一旦误判又或者被成功入侵後的防护工作；当然不是完全没有，但对比针对入口的防护功能，明显在级数上有一定差距；其实企业在选购相关方案时，应考虑一些能面对黑客成功入侵後，自动作一些动作以降低其入侵影响的方案；同时企业亦应每年针对 IT 设备作审计，以便及时揪出问题及保安漏洞，这样才可确保整体安全。

　大数据套用到保安方案中

　　即使企业找到了一套能符合上方要求的方案，企业还要解决另一头痛问题，那就是常见的零日攻击及漏洞；所谓的零日攻击就是黑客发现了一些前所未见的最新漏洞，并通过这些仍未及时释出修正档案的漏洞向目标发动入侵/攻击；这种漏洞的确十分难应付，所以企业的防护方案亦必须同时支缓大数据以及同时将防护功能整合一起，只有这样企业才较为能解决到传统由发现漏洞 -> 分析 -> 制作修正档 -> 推送至用户端所需时间。

　　结合大数据的防护方案我们都曾经介绍过，在这种模式下，网络相关数据将会持续被收集，而同时系统亦会不停地进行分析，这样便可以缓解零日攻击所带来的影响，并且在漏洞出现前先行估算整体风险指数。

　　大数据如何塞进防护方案之中？

　　分析对於应付未知威胁十分重要，通过分析资安人员可进一步了解整个环境的状况。对用户和全球情报收集及分析亦有莫大帮助，以下是常见的玩法：

　　1. 不停步分析及检测

　　连续对行为进行分析可令检测更有效，渗入性更强。行为检测方法，如沙盒，可作为连续分析的一个位置。行为执行时，沙盒的特性令恶意活动不会影响实际环境，而所有异常活动通过在沙盒之中进行分析後，有问题的大部份都会被捕捉。

　　2. 分析并自动生成纪录

　　下一步就是系统会实时监测数据、文件、异常活动等，然後便可进一步处理这些信息，并以此建立活动纪录，对抵挡攻击有更大的帮助。

　　3. 预测未来攻击

　　接着，系统便会正式结合大数据分析功能，并持续分析封包、如检查传统的病毒识别签名档、MD5 等等，对比资料库後自动封杀已知危机；而持续分析常见的攻击趋势後，亦可针对未来的攻击活动稍为分析，从而让资安团队能及早作好准备。

　　4. 调查更快更有效

　　真实的网络活动配合上 Indicators of Compromises (IoCs) 模式为基础，从而加快资安团队了解和审视攻击行为；藉由结合大数据分析，安全团队便可以更快识别特定的原因，从而能尽可能阻止即将到来的进一步动作，提升反应以及整体效率。

　　本文来源：HKITBLOG