Blue Coat企业防护：昨天、今天与明天

对于企业来说IT部门的作用越来越重要，当前企业离开IT可以说是寸步难行，但是互联网是开放的，当企业面对互联网各种安全威胁时，企业的IT部门往往会束手无策。因为他可能面对的已知的威胁、或者正在进行的攻击当然还有未知的潜伏的高级恶意软件。可想而知企业需要对昨天（已知的威胁）今天（正在攻击的恶意软件）以及明天（未知威胁或者高级恶意软件）全方位的安全防御。近日笔者参加了业务保障技术领导厂商Blue Coat系统公司举办的解决方案发布会，了解到其解决方案能够应对企业面临的全方位网络安全威胁。在发布会上Blue Coat系统公司亚太区高级产品营销经理申强以及Blue Coat系统公司大中华区技术总监王跃霖全面介绍了近日推出新的Blue Coat 高级威胁防护解决方案以及推出带有恶意软件分析功能的Blue Coat内容分析系统 (Content Analysis System)。

当前面对威胁的主要防御措施

传统的的应对安全的时候更多的是防范，也就是我们说的Web网关、防火墙等对于已知威胁的第一层防御。以及面对未知威胁时采用的沙箱等技术。但是都是各自为政独立运行，缺乏威胁情报共享，造成未知的威胁不能及时的分享运营团队，造成未知的威胁长时间成为企业安全的漏洞。

由于日常安全运营和高级安全运营团队之间的组织差距，当今企业正在面临重大安全漏洞。据Verizon数据漏洞报告显示，84%的高级针对性攻击只需几秒、几分钟、几小时就能攻破目标，然而78%的漏洞需要几周、几个月甚至几年才会被发现。这一差距之所以存在，是因为传统安全防御措施是针对检测和拦截已知威胁而设计的， 因此很大程度上仍然无法看到当今的零日威胁和新恶意软件。高级安全运营团队以及他们所采用的防御措施是各自为政、独立运作的，且不能在整个安全部门或环境中共享信息，这些都致使情况进一步恶化。

BlueCoat自动化处理全面强化网络

Blue Coat系统公司近日推出新的Blue Coat 高级威胁防护（ATP）解决方案，旨在缩小安全部门应对日常运营，遏制事故和解决问题之间的差距。这是全球首个提供全面高级威胁防护生命周期防御措施的解决方案。通过拦截已知威胁，主动检测未知和已存在的恶意软件并自动采用针对事故遏制后入侵的最佳实践来强化网络。这使日常安全运营和高级安全团队得以携手保护并促进业务发展。

内容分析系统 (Content Analysis System)带有恶意软件分析功能，能够在互联网网关处自动进行高级威胁防护。内容分析系统可拦截已知威胁并检测分析零日和高级恶意软件，共享新的威胁情报，从而不断强化网络。这使安全部门得以消除日常安全运营团队与致力于事件遏制及解决的高级安全团队之间的差距。

现在，企业被迫使用特设恶意软件分析或各自为政的沙箱解决方案，并且不能共享缩小拦截已知威胁与检测分析未知威胁或高级恶意软件之间差距所需的威胁情报。由于现有技术无法帮助安全运营团队破解高级威胁生命周期的每个阶段，因此这一差距日益加剧。

BlueCoat为用户提供灵活性选择

Blue Coat系统公司亚太区高级产品营销经理申强讲到Blue Coat本身是网络安全平台，所以其提供的解决方案有很多不同的灵活性，给客户提供了很多不同的选择，对用户来说他可能就用到一个单独专用的设备，也可能应用到整个解决方案。Blue Coat内容分析系统可通过在网关处将白名单和针对已知威胁的恶意软件扫描与未知威胁动态恶意软件分析整合到一起而缩小这一差距。新系统还可通过在整个安全环境本地共享新的威胁情报，以及利用由15,000家客户和超过7,500万用户组成的Blue Coat全球情报网络而在全球共享新安全情报，从而帮助协调各个安全运营团队的合作。

Blue Coat系统公司大中华区技术总监王跃霖认为安全是一个架构，需要满足不同客户的要求，站在BlueCoat的角度来讲其相关产品不是孤立的。所以推出全新的解决方案来满足用户的需求。新的Blue Coat高级威胁防护解决方案可自动化协调最佳时间，技术与业务流程，以及政策之间的关系，因此整个安全部门都能一致且可重复的方式快速检测、遏制并应对高级威胁。该解决方案无缝整合本地和全球安全情报，在事件生命周期的每个阶段将未知威胁转化为已知威胁，从而提高安全基础设施的整体效用。

最后分享一下Blue Coat新的解决方案的技术以及内容分析系统为企业带来哪些好处。

Blue Coat高级威胁防护解决方案提供的技术能够：

1)检测与保护：为了防止威胁成为日常安全业务的一部分，Blue Coat ProxySG设备可实时防御已知威胁、恶意来源和恶意交付网络。新的Blue Coat内容分析系统 (Content Analysis System) 与Proxy SG集成，并在互联网网关提供防恶意软件保护和应用程序白名单，允许安全团队轻松管理哪些网络活动能够通过预防性安全系统。关于新威胁的背景信息以连续反馈循环的方式在本地和全球进行共享，通过由15,000家客户和超过7,500万用户组成的Blue Coat全球情报网络而延伸威胁知识和保护措施。

2)分析与减轻影响：未知活动不断升级，利用带有恶意软件分析和沙箱的Blue Coat内容分析系统，以及Blue Coat旗下Solera的带有集成ThreatBLADES 的安全分析平台来进行事件遏制。随着未知威胁的行为和特征通过自动化分析而被了解，这些情报可在安全基础设施上进行共享，从而在网关处增强保护，成为更具扩展性的防御措施。Blue Coat恶意软件分析技术集成到当前安全环境中，并可作为第三方沙箱解决方案的代理，让客户能够灵活选择一个或多个解决方案来检测高级或未知恶意软件。

3)调查与调整：Blue Coat安全分析平台能够支持高级威胁分析和事件解决。已知威胁的情报用来调查并修复攻击的全部范围，其中包括网络上已出现的恶意文件和威胁的其它实例。攻击全部范围的情报在整个企业基础设施以及整个Blue Coat全球情报网络上进行共享，以便在“检测与保护”阶段就能自动检测新发现的威胁。

内容分析系统最多支持两个领先的防病毒特征数据库并提供应用程序白名单和动态恶意软件分析。这些技术相结合，可为企业带来以下好处：

•最佳沙箱：由Blue Coat业务保障技术合作伙伴 Norman Shark提供支持支持，Blue Coat恶意软件分析技术（目前作为设备提供，未来可通过云提供）将自定义的虚拟环境与沙箱模拟相结合，以便对包括采用回避检测技术的未知或高级恶意软件进行最全面的检测。

•恶意软件分析的编排：Blue Coat内容分析系统可作为多个沙箱或恶意软件分析实例的代理，同时向Blue Coat沙箱以及第三方沙箱发送未知或可以文件。通过无缝集成到现有安全基础设施中，内容分析系统允许企业优化其对沙箱技术的现有投资，同时深入构建一个高级恶意软件防御措施。该系统还通过一个可扩展接口而使客户的基础设施不会过时，该接口通过代理功能纳入了其它高级恶意软件分析技术。

•威胁情报的反馈循环：来自高级或未知恶意软件分析的新情报通过Blue Coat ProxySG设备而进行共享，以便在网关处自动拦截新发现的威胁，从而打造更具扩展性的防御措施。新情报也与Blue Coat旗下Solera公司的安全分析平台共享，该平台可提供高级威胁剖析以及对攻击全范围的修复。通过共享来自全球15,000家客户的威胁情报，全球情报网络的网络效应进一步加强了防护自动化。