什么是安全人員心中最佳的必備的安全工具？本文列出的工具均為產(chǎn)業(yè)分析師、安全從業(yè)者，以及行業(yè)協(xié)會(huì)成員的意見和推薦。這些安全專家指出，安全沒有靈丹妙藥，最好的策略就是部署一個(gè)盡可能全面地深度解決方案。

　　Windows上帝模式與SysInternals

　　羅恩·沃那是大學(xué)的網(wǎng)絡(luò)安全研究主任，他認(rèn)為對IT技術(shù)人員和安全從業(yè)人員而言，最重要的是對網(wǎng)絡(luò)安全知識(shí)的了解，以及知道從哪里獲得關(guān)于某一題材方面的技術(shù)、工具。了解所有事情是不可能的，因此應(yīng)當(dāng)集中精力獲取高質(zhì)量的信息。

　　沃那推薦了兩個(gè)網(wǎng)站供讀者參考，以及兩個(gè)工具箱：SysInternals和Windows GodMode。前者是一系列Window工具的集合，而后者則是一個(gè)系統(tǒng)控制面板自帶的管理員應(yīng)用。

　　微軟EMET

　　微軟的增強(qiáng)緩解應(yīng)急工具包（EMET），是一個(gè)工具箱，可以幫助阻止軟件中的漏洞被利用的實(shí)用程序。

　　佛羅里達(dá)中部大學(xué)的計(jì)算機(jī)科學(xué)與工程方向副教授伊爾·金認(rèn)為，EMET通過使用安全緩解技術(shù)來實(shí)現(xiàn)此目的。這些技術(shù)用作特殊防護(hù)和阻擋，導(dǎo)致利用者必須攻克障礙才能利用軟件漏洞。這些安全緩解技術(shù)不保證這些漏洞不被利用。而是盡量使漏洞的利用變得盡可能困難。

　　Secure@Source, Q-Radar, ArcSight, Splunk

　　杰夫·諾茨洛浦是國際隱私專業(yè)人員協(xié)會(huì)（IAPP）的首席技術(shù)官，他使用數(shù)據(jù)安全情報(bào)這樣的名詞來描述那些幫助IT人員理解數(shù)據(jù)基本情況的工具。

　　“目前，我們擁有商業(yè)化情報(bào)工具、數(shù)據(jù)整合工具、數(shù)據(jù)發(fā)現(xiàn)工具、數(shù)據(jù)加密工具、合規(guī)工具，以及SIEM工具。然而在使用這些工具之前，安全人員需要理解收集到的到底是什么數(shù)據(jù)，它的位置在哪、它的結(jié)構(gòu)是什么樣、如何被分類、如何被使用。大多數(shù)供應(yīng)商都只在這其中的一兩個(gè)領(lǐng)域中展開行動(dòng)，理解那些自己正在保護(hù)的數(shù)據(jù)本身是很重要的，但目前只有一小部分公司認(rèn)識(shí)到了這一點(diǎn)，并擴(kuò)展自身的產(chǎn)品，適應(yīng)這種需求。”

　　諾茨洛浦列出的工具包括Informatica公司的Secure@Source解決方案，以及IBM的Q-Radar，惠普的ArcSight、Splunk。

　　內(nèi)部威脅保護(hù)

　　麥克·帕培是Northrop Grumman公司的副總裁和CISO，他表示，“如果想要清除破壞性惡意軟件、解決內(nèi)部人員造成的數(shù)據(jù)泄露事件，公司應(yīng)當(dāng)在那些提供從內(nèi)到外全方位保護(hù)的安全工具上投資。類似于破窗理論，那些可以作為基準(zhǔn)，進(jìn)行探測并對侵入網(wǎng)絡(luò)或客戶端上的陌生行為發(fā)出報(bào)警的安全工具可以幫助公司在威脅周期中提前消除那些存在問題的活動(dòng)?！?/p>

　　特權(quán)身份管理

　　“我推薦特權(quán)身份管理（PIM）工具，它們可以控制管理員級的密碼，在某些情況下甚至可以管控共享的密碼和身份信息?！盕orrester公司的副總裁、首席安全/風(fēng)險(xiǎn)分析師安德拉斯·西撒表示。

　　“通過完全取代訪問內(nèi)部網(wǎng)絡(luò)和云負(fù)載的實(shí)時(shí)管理員權(quán)限，這些工具對于防止數(shù)據(jù)泄露而言是極端重要的。它們可以讓攻擊者竊聽得到的管理員密碼和根密碼一文不值。同時(shí)，一般而言，PIM會(huì)進(jìn)行密切檢測，并記錄所有接入設(shè)備的可編程權(quán)限或管理員權(quán)限?！?/p>

　　補(bǔ)丁管理

　　“有三種工具是每家公司都應(yīng)該擁有的，”City of San Diego公司的首席信息安全官、副主管蓋瑞·海斯利普說。

　　“補(bǔ)丁管理、數(shù)據(jù)備份，以及全盤加密這樣的工具會(huì)提供基礎(chǔ)的網(wǎng)絡(luò)衛(wèi)生（Cyber-hygiene）環(huán)境，讓公司得以繼續(xù)安全成長，對安全事件進(jìn)行響應(yīng)。然后，當(dāng)預(yù)算更加充足時(shí)，這些公司可以為公司提供更多的安全控制。如果必須在這些里面選一個(gè)的話，我會(huì)選擇補(bǔ)丁管理。部署補(bǔ)丁管理策略能夠保證公司的IT資產(chǎn)版本最新，降低風(fēng)險(xiǎn)暴露，使得壞人更難入侵。不過這方面基本沒有什么一站式解決方案?！?/p>

　　Cyphort

　　大衛(wèi)·詹布魯諾是tribune Media的高級副總裁和首席情報(bào)官，他建議公司應(yīng)當(dāng)向著一種名為“軟件定義數(shù)據(jù)中心”的概念前進(jìn)。

　　“我們正在使用VMware的解決方案棧中的微觀細(xì)分功能。從歷史上來講，這對硬件非常有挑戰(zhàn)性，但在軟件世界里，所有東西都可以用安全姿態(tài)封裝起來。不論是在內(nèi)部還是在外部網(wǎng)絡(luò)里，安全都可以跟隨著文件流動(dòng)。審計(jì)能力、操作自動(dòng)化、變化能見度的防御能力正在改變傳統(tǒng)防御方式?！?/p>

　　詹布魯諾部署了Cyphort，利用云端監(jiān)測來自美國東西部的數(shù)據(jù)。

　　藍(lán)盒子

　　約翰·約翰遜博士是John Deere的安全策略師安全架構(gòu)師，他認(rèn)為：“其中一個(gè)有趣的新領(lǐng)域是使用技術(shù)在用戶和SaaS解決方案中提供一個(gè)新的層面，因此公司可以管理驗(yàn)證和加密方案，并保管相關(guān)的密鑰，同時(shí)使用SaaS軟件提供的解決方案保持接近于滿的工作效率。也有一些針對云端文件存儲(chǔ)以及同步功能（比如Box）的新型解決方案，它們會(huì)增加加密、數(shù)據(jù)丟失防護(hù)，細(xì)粒度報(bào)告功能?！?/p>

　　對自帶軟件辦公（BYOD）環(huán)境，他推薦那些可以將公司數(shù)據(jù)封裝起來，并防止數(shù)據(jù)移動(dòng)的產(chǎn)品，比如Bluebox。該軟件會(huì)在特定的數(shù)據(jù)和應(yīng)用周圍建立可變的所謂“數(shù)據(jù)花園”，并實(shí)現(xiàn)公司規(guī)則。

　　端點(diǎn)檢測與響應(yīng)

　　尼爾·麥克唐納德是加特納咨詢的副總裁、著名分析師，他建議客戶首先抹去微軟設(shè)備上的管理員權(quán)限，然后購買端點(diǎn)檢測與響應(yīng)（Endpint detection and response，EDR）解決方案，該方案會(huì)持續(xù)監(jiān)控并分析端點(diǎn)的狀態(tài)，以確定系統(tǒng)是否受到入侵。麥克唐納德強(qiáng)調(diào)，EDR解決方案提供持續(xù)可見性，如果和持續(xù)性分析工具結(jié)合，可以幫助公司縮短檢測到攻擊的時(shí)間。

　　“對服務(wù)器負(fù)載而言，我會(huì)將反惡意軟件掃描替換成某種應(yīng)用控制解決方案，以防止任何未授權(quán)代碼的運(yùn)行。它會(huì)保證大多數(shù)惡意軟件遠(yuǎn)離系統(tǒng)，還會(huì)加強(qiáng)可操作性，并改變管理衛(wèi)生環(huán)境?！?/p>

　　火眼Netflow Data

　　維吉尼亞科技（Virginia Tech）的IT安全實(shí)驗(yàn)室主管、安全官員蘭迪·馬乾尼認(rèn)為，對靜態(tài)外圍防御而言，最大的漏洞在于多數(shù)組織都更關(guān)注流入流量，而不是流出流量。持續(xù)性監(jiān)控也被稱為網(wǎng)絡(luò)安全監(jiān)控或擠壓檢測（Extrusion Detection），它主要關(guān)注流量和日志文件分析。蘭迪推薦火眼公司的惡意安全軟件檢測工具，Netflow Data（提供關(guān)于內(nèi)部設(shè)備是否受到入侵的高價(jià)值信息），以及類似ARGUS Software、SiLK（互聯(lián)網(wǎng)級別知識(shí)系統(tǒng)，CERT網(wǎng)絡(luò)情景感知團(tuán)隊(duì)開發(fā)的流量分析工具集合），以及Bro網(wǎng)絡(luò)安全分析器。

　　高級安全分析

　　約翰娜·蒂爾·約翰遜是Nemertes Reserch公司的首席執(zhí)行官，她推薦了高級安全分析工具，該工具會(huì)對那些可能意味著數(shù)據(jù)泄露、遭到入侵、漏洞的情景作出實(shí)時(shí)分析，更重要的是，還會(huì)作出預(yù)先反應(yīng)。ASA融合了安全事件管理及監(jiān)控（SEIM）與通?；诖髷?shù)據(jù)技術(shù)的分析性功能。

　　該工具還包括了診斷與入侵探測系統(tǒng)/入侵防御系統(tǒng)。Johnson推薦的工具包括Agiliance、Blue Coat、Damballa、火眼、Guidance、惠普ArcSight、IBM、Lastline、LogRhythm、McAfee/Intel、Splunk。

　　團(tuán)隊(duì)工具

　　Forrester Research的主力安全風(fēng)險(xiǎn)分析師Rick Holland表示，“我推薦的最佳安全方案是團(tuán)隊(duì)工具。是的，我們確實(shí)有很多靈丹妙藥；但我們真正需要的是那些為受到黑客入侵困擾的員工更多提供通訊、合作功能的工具。我們需要在那些可以讓員工更快速反應(yīng)的工具上投入資金?！?/p>

　　威脅情報(bào)

　　Frank Kim是SANS Institute的首席安全官，面對那些會(huì)繞過傳統(tǒng)安全防御工具的高級威脅時(shí)，他相信那些能夠探測攻擊者以及陌生活動(dòng)的安全能力更加重要。因此，威脅情報(bào)以及強(qiáng)大的信息共享是現(xiàn)代安全防御的重要一環(huán)。但這也需要高級分析以及挖掘內(nèi)部及外部數(shù)據(jù)的能力。建設(shè)數(shù)據(jù)科學(xué)能力以智能分析大量數(shù)據(jù)可以讓組織獲取更多有價(jià)值信息，安全小組可以快速用到這些信息并作出反應(yīng)。