知己——應(yīng)對(duì)APT先過自己這關(guān)
對(duì)于企業(yè)而言����,面對(duì)APT攻擊的挑戰(zhàn),他們都可能會(huì)關(guān)注這些問題��。比如面對(duì)APT����,企業(yè)是否有智能的收集和分析能力?安全控管是否能找對(duì)方向?攻擊 者是否獲得了管理的權(quán)限和賬戶?企業(yè)中有多少用戶的電腦已經(jīng)成為犧牲品?企業(yè)管理者是否會(huì)加大投資來應(yīng)對(duì)APT攻擊?是否能與同行交流到更多的經(jīng)驗(yàn)?等等 問題。
RSA有自己的見解���。華丹指出���,“企業(yè)應(yīng)對(duì)復(fù)雜的APT攻擊,第一具備全面的可視性��,即企業(yè)是怎樣的一個(gè)狀態(tài)�,有哪些風(fēng)險(xiǎn),有哪些資產(chǎn)是要保護(hù)的; 第二需要靈活的分析�,一旦遭遇APT攻擊,需要有工具或平臺(tái)能夠幫助企業(yè)快速定位和分析攻擊者是通過什么途徑侵入企業(yè)?竊取了什么?第三企業(yè)治理與合規(guī)����, 企業(yè)需要在IT層面和業(yè)務(wù)層面有清晰的規(guī)范����,比如資產(chǎn)狀況�,設(shè)備管理情況等;第四智能的實(shí)時(shí)顯示,企業(yè)需要第一時(shí)間確定身份目標(biāo)����、攻擊和事件,是來自有目 的的攻擊����,還是禍起蕭墻?
有了這四方面,就足夠了嗎?答案顯然不是��。華丹強(qiáng)調(diào)��,“應(yīng)對(duì)APT最困難的不是在技術(shù)層面��,很多時(shí)候是在前期��。企業(yè)應(yīng)對(duì)APT��,首先要看企業(yè)對(duì) APT或網(wǎng)絡(luò)威脅的重視程度和理解程度���。最常見的情況是�,企業(yè)IT安全部門認(rèn)為防御APT很重要,但企業(yè)領(lǐng)導(dǎo)不這么認(rèn)為��,那么問題就產(chǎn)生了;此外從技術(shù)角 度���,應(yīng)對(duì)APT攻擊時(shí),企業(yè)在前期的選型和邏輯設(shè)計(jì)��,選擇APT攻擊的解決方案時(shí)要評(píng)估�����、測試解決方案是否能夠真正有效地實(shí)現(xiàn)防御�����、消除�、以及事后調(diào)查。 所以首先要看企業(yè)目前IT的成熟度���,應(yīng)對(duì)APT是否有決心;此外�,在前期架構(gòu)設(shè)計(jì)上是否有一套解決方案能夠真正化解威脅��。在整體框架確定后����,才要考慮技術(shù) 和與現(xiàn)有安全系統(tǒng)的融合���!
顯然應(yīng)對(duì)APT是技術(shù)問題�����,但更是考驗(yàn)企業(yè)IT信息化進(jìn)程�����、宏觀安全策略和心理博弈的綜合能力評(píng)估問題�,所以我才在這一小節(jié)的開始部分,與企業(yè)一起提出了這些問題���。那么你有這樣問過自己嗎?
SMC海量數(shù)據(jù)分析為基 架構(gòu)與協(xié)同取勝
RSA安全管理中心SMC是一套整體的解決方案��,應(yīng)對(duì)APT時(shí)它工作的一部分�。SMC強(qiáng)調(diào)事前�、事中、事后的管理��。事前��,梳理企業(yè)IT治理情況,定 義優(yōu)先權(quán);事中�,進(jìn)行分析、定位���、實(shí)時(shí)記錄的可視化過程;事后����,如果發(fā)生安全情況����,在最短時(shí)間找到APT攻擊者��,給出處理建議����。要實(shí)現(xiàn)事前、事中���、事后的 完美結(jié)合��,需要一個(gè)整體的框架和不同工具的有效協(xié)同��。
華丹表示�����,“SMC框架以海量數(shù)據(jù)分析為基礎(chǔ)���,企業(yè)IT治理和可視化流程都基于這一前提�,對(duì)數(shù)據(jù)進(jìn)行分析��,進(jìn)行實(shí)時(shí)的報(bào)表����、事件調(diào)查、惡意軟件分析�����、虛擬化和數(shù)據(jù)防泄露等����。在數(shù)據(jù)分析的基礎(chǔ)上進(jìn)行APT的治理和合規(guī)事件的管理�����!
如圖RSA SMC系統(tǒng)框架,中間是SMC架構(gòu)的云端����,管理數(shù)據(jù)信息的分析和APT治理。左邊進(jìn)行日志和信息收集����,右邊進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的收集,以及其他的和外部信息分析等����。
這個(gè)框架依靠RSA Archer、RSA NetWitness����、RSA enVision和RSA DLP協(xié)同支撐�。RSA Archer是企業(yè)IT治理和合規(guī)治理的產(chǎn)品,包括策略���、風(fēng)險(xiǎn)和合規(guī)定義和管理�����,它能夠把我們所有的企業(yè)資產(chǎn)�����,包括APT等一些信息�,還有一些監(jiān)測到的信息全部匯總,整理到統(tǒng)一的平臺(tái)之上��,給出具有業(yè)務(wù)層面參考的價(jià)值���,一些操作的智能和綜合的管理;RSA NetWitness可以到內(nèi)部的層面����,分析具體安全威脅��,并重建攻擊路徑和攻擊源頭��,模擬威脅思路和路徑等;RSA enVision是專門來做收集和管理的�����,包括應(yīng)用系統(tǒng)�����、安全系統(tǒng)���、數(shù)據(jù)庫等等���,將所有的數(shù)據(jù)進(jìn)行收集��,并且實(shí)時(shí)的產(chǎn)生關(guān)聯(lián);RSA DLP是發(fā)現(xiàn)和定義敏感數(shù)據(jù)��,并且執(zhí)行數(shù)據(jù)策略�����。
華丹指出����,“管理由RSA Archer完成���,如企業(yè)資產(chǎn)定義和管理����,RSA enVision負(fù)責(zé)設(shè)備日志信息手機(jī)����,如設(shè)備狀況和狀態(tài)�,敏感事件發(fā)生時(shí),enVision可以直接進(jìn)行處理,RSA NetWitness���,完成對(duì)數(shù)據(jù)和應(yīng)用的信息收集�,DLP執(zhí)行數(shù)據(jù)防丟失策略��。協(xié)同構(gòu)成針對(duì)企業(yè)內(nèi)部資產(chǎn)�����、能力資源管理系統(tǒng)��,ERP等完整的安全管理系統(tǒng)架構(gòu)�������!
最后����,華丹告訴ZDNet,“對(duì)于不同的客戶�,不同的企業(yè)規(guī)模,不同的企業(yè)IT成熟度�����,不同的需求,SMC可根據(jù)用戶的需求量體裁衣�。4個(gè)產(chǎn)品不一定全部都要用,甚至可以只用一個(gè)���。在RSA Archer中有9個(gè)模塊�,包括事件管理���、企業(yè)管理��、策略管理等����,企業(yè)也可根據(jù)業(yè)務(wù)發(fā)展選擇����。4個(gè)解決方案的選擇,沒有先后次序��������!
