2013年底，美国第二大连锁超市塔吉特(Target)公司发表声明，称从2013年11月27日到12月15日，大约有4000万在该公司超市消费的顾客的信用卡和借记卡信息被盗。据媒体报道，事实上塔吉特公司在该事件发生半年前就引入了某厂商的恶意软件侦测工具。这半年来，此恶意软件侦测工具已经多次向塔吉特公司的信息安全人员发出警告。然而，狼来了的故事再次上演，频繁的安全警告让大家逐渐放松了警惕。等骇客真正采取实质行动时，塔吉特公司的信息安全人员完全忽略了侦测工具的警告，导致大规模用户信息被盗事件发生。

亡羊补牢，为时未晚。从塔吉特事件我们可以获得什么样的启示和经验呢？其实，众多企业的IT人员每天都在面对类似的情况——安全系统随时会产生海量的事件报警信息，信息安全人员根本无法做到对这些信息逐一分析，更无从指出其中哪些是真正关键性的报警。

因此，大幅度减少IT人员手工处理的事件数量，通过一整套自动化的机制，帮助IT人员聚焦到真正高风险的攻击行为上，在现实中成为了安全系统能否真正发挥效益的关键。换言之，安全系统不是越灵敏，每天发出的警报越多越好。相反，安全系统应该对已知、已定性、已被拦截的威胁进行自动化的日常处理，在系统的最外层就将他们大幅度地过滤掉，从而减少这些“低价值”的警报的数量，减少靠近系统核心的高级、精细的防御系统的负载。

另一方面，在网络和系统内层，企业需要部署支持高级防御能力，具备高精确度的安全分析系统。在减少误报与漏报的同时，它还能捕获具有巨大潜在威胁、可能给企业安全造成严重影响的APT(高级持续性威胁)攻击。更重要的是，安全系统给出的警告应该具有事件的上下文和可操作性的分析。

IT人员获得的信息不能仅限于“几点几分我们检测到一次攻击”，而是需要知道“什么时候、哪个设备进行了什么攻击，发动攻击的数据包是什么”，“防病毒软件更新或安全策略调整后，将当时的攻击行为重放，威胁能不能再次突破外围防线”等等。只有这样，IT人员才能在每一次“狼来了”的时候，准确地把“狼”打死、把“围栏”有针对性地加固，真正不断提高系统的防“狼”能力。

当企业安全部门真正为业务发展做好准备的时候，必定能够消除顾虑，赢得竞争。未知威胁在不断升级，利用Blue Coat在业界广受好评，已经被全球财富500强中86%的客户所采用的ProxySG安全网关，带有恶意软件分析和沙箱的MAA内容分析系统以及Blue Coat旗下Solera 安全分析平台，就可以构成“ATP高级威胁防御”系统，帮助企业进行事件遏制。随着自动化分析技术的应用，未知威胁的行为和特征正在逐渐被了解，这些情报可在安全基础设施上进行共享，从而在ProxySG网关处自动增强保护能力，使已知威胁无从进入防御系统的内层，大幅度减少了“低价值”告警的数量。

Blue Coat恶意软件分析平台MAA则采用了强大的双重侦测法，采用了智能化、可定制的IntelliVM技术。企业可以定义虚拟机来模拟不同类型的自定义环境，并能够准确匹配、识别各类恶意软件。它一方面降低了安全人员的工作量，另一方面避免由于频繁告警导致安全人员忽略真正威胁的情况发生。作为高级威胁防御系统重要组成部分的Solera 安全分析平台，则可以对大量安全数据进行分析，从而提供IT人员需要的安全警报的上下文、取证资料、时间回放等关键能力，使真正的潜在威胁无处遁形。

通过上述部分的自动化协同操作，提高系统的整体防御能力，将不同级别的安全事件分别交由“常规自动拦截”、“自动分析”、“高级大数据安全分析”和“人工事件处理”完成。利用Blue Coat的“ATP高级威胁防御”系统，可以有效杜绝“狼来了”的故事在您的企业中上演。

Blue Coat 亚太区高级产品营销经理 申强

(责任编辑：安博涛)