現(xiàn)在的病毒攻擊已經(jīng)越來(lái)越變本加厲了。據(jù)估計(jì)，目前流行的病毒有10萬(wàn)種，每個(gè)月新產(chǎn)生的病毒幾百種，平均每15封郵件中就有1封多的附件被感染。僅預(yù)防病毒軟件已經(jīng)不足以應(yīng)付這種局面，我們需要一個(gè)全面的、積極的、自適應(yīng)的安全威脅管理方法，它應(yīng)該包括三方面要素：隔離（Isolate）——識(shí)別出正在進(jìn)行的攻擊；遏制（Contain）——防止安全威脅范圍擴(kuò)大；消滅（Extinguish）——用合適的補(bǔ)丁程序、殺毒工具等消除迫在眉睫的威脅，同時(shí)采取必要的行動(dòng)，防止類似攻擊再發(fā)生。
　　
　　 隔離（Isolate）
　　
　　 大多數(shù)安全問(wèn)題都是由于各種安全技術(shù)之間互不聯(lián)系造成的。它們之間往往是相互分離的，典型的例子是：一個(gè)防火墻發(fā)送了一條違反規(guī)則的警報(bào)，一個(gè)IDS檢測(cè)到一個(gè)簽名與一個(gè)攻擊工具（一個(gè)后門特洛伊木馬程序）相匹配，一個(gè)病毒程序也檢測(cè)到了這個(gè)特洛伊木馬程序。每個(gè)程序或者發(fā)出警報(bào)，或者在工作日志上記錄下這些情況，但是卻沒(méi)有分析以上3種事件的關(guān)聯(lián)性，因而也就沒(méi)有發(fā)現(xiàn)，也許正有人試圖控制服務(wù)器，而且已經(jīng)在其中放入了特洛伊木馬程序。
　　
　　 為什么會(huì)發(fā)生這樣的事？因?yàn)橛刑嗟南到y(tǒng)安全警報(bào)和事件，主要的警報(bào)反而被忽略了。因此，準(zhǔn)確隔離已存在的攻擊，分析事件相關(guān)性，確定安全保護(hù)優(yōu)先級(jí)和恰當(dāng)?shù)膱?bào)警，這些絕對(duì)是必不可少的。系統(tǒng)一旦具備了智能性，才有可能評(píng)估哪個(gè)警報(bào)是關(guān)鍵性的。智能化安全保護(hù)將根據(jù)業(yè)務(wù)價(jià)值和業(yè)務(wù)優(yōu)先級(jí)來(lái)設(shè)定和加強(qiáng)有關(guān)安全保護(hù)的政策和優(yōu)先級(jí)，對(duì)關(guān)鍵業(yè)務(wù)的安全威脅必須給予最高的安全保護(hù)優(yōu)先級(jí)，并將其迅速隔離。例如，涉及在線商店的問(wèn)題與涉及內(nèi)部培訓(xùn)系統(tǒng)的問(wèn)題相比，前者可能給業(yè)務(wù)運(yùn)行帶來(lái)的風(fēng)險(xiǎn)要大得多。因此，當(dāng)這兩種路由器發(fā)生宕機(jī)時(shí)，不應(yīng)該發(fā)出級(jí)別相同的警報(bào)，應(yīng)該在檢查每一個(gè)路由器時(shí)都要與業(yè)務(wù)背景相聯(lián)系，并根據(jù)恰當(dāng)?shù)膬?yōu)先級(jí)發(fā)出警報(bào)。
　　
　　 遏制（Contain）
　　
　　 遏制有多種形式。例如，病毒可能而且也應(yīng)該在PC一級(jí)用合適的防病毒軟件捕獲和隔離。但是，這至多是一種有限的防御方法。由于病毒的某些清晰可辨的個(gè)性特征，在網(wǎng)絡(luò)的進(jìn)入點(diǎn)遏制攻擊將更有效。名為A的電子郵件附件攜帶的病毒應(yīng)該由郵件服務(wù)器上的過(guò)濾器或相應(yīng)網(wǎng)關(guān)檢測(cè)出來(lái)，并立即被截住。為了防止帶病毒的附件在公司內(nèi)被打開(kāi)，還有必要部署阻塞功能，將部門、服務(wù)器甚至個(gè)人計(jì)算機(jī)隔離開(kāi)。以“Love Letter”這樣的Visual Basic腳本病毒為例，面對(duì)這樣的入侵，你可以通過(guò)網(wǎng)絡(luò)迅速發(fā)布一個(gè)策略——在病毒爆發(fā)結(jié)束之前不要執(zhí)行VB腳本程序。

　　 在爆發(fā)點(diǎn)上迅速應(yīng)用一系列政策就能實(shí)現(xiàn)有效的遏制。當(dāng)然，此前應(yīng)該制訂好災(zāi)難恢復(fù)計(jì)劃。這樣，一旦檢測(cè)到IP攻擊，就可以隔離部分網(wǎng)絡(luò)或改變網(wǎng)絡(luò)交換機(jī)的規(guī)則，從而阻止數(shù)據(jù)包的進(jìn)入。一個(gè)更徹底的遏制方法是部署一個(gè)“蜜罐”，用來(lái)收集攻擊者留下的證據(jù)的自我犧牲型服務(wù)器。一旦檢測(cè)到入侵，你就可以將攻擊指向與系統(tǒng)的其余部分隔離的“蜜罐”服務(wù)器上。如果你要扭轉(zhuǎn)被動(dòng)挨打的局面并對(duì)那些實(shí)施攻擊的人提起訴訟，這種方法尤其有用。
　　
　　 消滅（Extinguish）
　　
　　 如果要徹底消滅一個(gè)攻擊，我們就必須完成一些具體的工作。例如，如果是病毒，你必須解毒，并使用修補(bǔ)程序進(jìn)行修補(bǔ)，去掉病毒丟下或安裝的程序組件。恰當(dāng)?shù)淖龇ㄊ?，清理干凈所有受到病毒影響的部分，以保持系統(tǒng)的完整性，同時(shí)消除這個(gè)威脅或類似威脅再次發(fā)生的可能性。例如Klez蠕蟲(chóng)，僅將文件解毒是不夠的，還要保證去掉所有的更小的病毒元素。否則，它一旦復(fù)活，會(huì)造成更大的損失。一旦病毒進(jìn)入系統(tǒng)，就需要從頭建立或啟用一個(gè)可信任的備份恢復(fù)系統(tǒng)。
　　
　　 在目前的環(huán)境中，企業(yè)安全不再僅涉及獨(dú)立的防病毒軟件或入侵檢測(cè)系統(tǒng)，它需要一個(gè)隔離、遏制和消滅安全威脅的全面集成的方法。例如，CA的eTrust在管理內(nèi)部和外部安全威脅時(shí)就采用這種ICE的方法，還使用相關(guān)智能技術(shù)預(yù)見(jiàn)性地防御潛在的安全威脅。
　　
　　 有效的威脅管理必須做好對(duì)付上述任一或所有攻擊的準(zhǔn)備才是有效的，但是還不止這些，威脅管理還必須實(shí)現(xiàn)3個(gè)目標(biāo)：降低風(fēng)險(xiǎn)、降低保護(hù)成本和簡(jiǎn)化企業(yè)部署過(guò)程。這些目標(biāo)只能通過(guò)積極的和自適應(yīng)的威脅管理方法來(lái)實(shí)現(xiàn)，而且這種管理是以協(xié)調(diào)一致和智能化方式來(lái)隔離、遏制和消滅安全威脅的。