实现威胁防御的自动化和加速

防御者生命周期模型旨在实现对威胁的自动化识别和防御，并对这一过程进行加速。该模型专注四个方面：防御、检测、预测及控制，它采用全新模式将机器学习、人工智能以及安全流程自动化集成，可将攻击者取得的控制和优势转移到防御一方。

在防止数据泄露方面，安全运维团队现在面临较大的挑战，究其原因是网络数据不断增长，使其没有足够时间进行威胁检测。此外，大量网络攻击者和可用资源的出现使得传统防御方式不再有效，并且具备在不被检测到的网络中实现快速增生的能力。

受制于较低的可视化、较高的成本、以及对手工处理的严重依赖，传统安全防御方法在面对事件发生时变得不再有效。这种情况下，就需要一种全新的方法能够应对这种改变。

GigaSECURE与防御者生命周期模型

通过动态分析，在虚机（如恶意软件分析环境）中触发可疑文件，对该文件进行分析后，可了解其作用。可疑文件的分级依据执行文件后所起到的作用，而不是根据用于识别威胁的签名。这样便可通过动态分析来识别威胁，这些威胁与以前所见的任何威胁都不一样。

防御者生命周期模型的四大支撑技术

防御

在网络流量不断增长以及软件不断升级的情况下，GigaSECURE使用合适的包括Cisco IPS, FireEye ATP,Imperva WAF在内的串接安全工具对入侵进行检测、保护以及阻截。借助这一平台，威胁流量被送入串接工具，解密功能被卸载，弹性功能启动，客户网络因此变得更加精准、高效和经济。

在实现威胁防御最大化的同时确保网络可用性，GigaSECURE可提供串接旁路保护。

串接旁路的作用是可作为串接安全工具的失效保护接入点。现在，串接工具可用于防备网络中的单点故障。在工具掉电、软件失效或者离线更新的情况下，流量不再流经保护链路。一旦串接工具失效，原来需要保护的各类应用和服务都会受到威胁。

串接旁路可通过旁路模式转发流量，从而自动消除单点故障，确保关键网络流量和防护措施持续运行。

检测

对于大多数安全团队来说，几乎没有时间和资源来有效采集信息以实现对潜在安全威胁的精准预测。

为了有效对IT环境中的威胁进行检测，企业部署了多个安全和监测方案。但如何确保工具接收到的信息准确且合适，便成为一个问题。

安全和监测工具必须能够接收特定数据，以便对网络威胁进行评估。举例来说，SIEM系统需要元数据，而DLP, IDS以及ATP工具则需要包数据。

GigaSECURE 可为安全运维团队生成元数据并获得数据包级的可视化，助力企业采取有效检测态势。

预测

对异常事件的识别，能够帮助用户制定出下一阶段的防御者生命周期模型：预测。预测对于获取攻击者意图至关重要，比如，攻击者想要做什么或者已经做了什么。能够识别出单个异常现象意义不大，无法获得对攻击行为情境的全面掌握。我们要掌握恶意行为背后的意图，就需要引入人工智能和认知方案。

多数恶意软件和CC威胁主要存在于现有的已被租用或者购买的架构之中，其在攻击周期中采取的手段尽管有些变动或者经过伪装，但与过去曾经发现或者了解到的攻击仍有相似之处。面对这些多态形态及伪装，基于AI的解决方案试图依据模式来解析攻击者意图，他们会重点分析行为方式，进而采取一系列行动将防御者生命周期带入下一阶段：控制。

控制

攻击者意图一旦识别出，我们就可以采取行动来控制、矫正甚至在沙箱内引爆威胁以获得对威胁意图的更深入认识。

现在，威胁控制流程采用手动控制且耗时耗力，需要在多个群组之间协调并在多个端点、路由、交换机、防火墙以及IPS之间采取行动。企业之内，不同部门都面临同一情况，就是所属关系或者管理层有所变动，需要采取不同的流程、技巧或者评估流程，这种情况必须有所改变。企业必须简化流程强化控制，缩小接触点，开发和部署自动化及安全流程编排方案。

关于 Gigamon