如圖所示,這是一個(gè)典型的APT惡意軟件分發(fā)流程��,需要五個(gè)步驟:黑客制造木馬并通過0-day漏洞隨機(jī)的控制僵尸機(jī)�����,通過目前主流的社交網(wǎng)絡(luò)����、IM工具等放出消息售賣其木馬和僵尸資源�����,位于黑客產(chǎn)業(yè)鏈的第三方惡意軟件資源得到消息后,會(huì)提供各種形式的惡意軟件���,并委托其將惡意軟件放到分發(fā)更新服務(wù)器���,被隨機(jī)控制的僵尸機(jī)會(huì)通過分發(fā)服務(wù)器下載第三方惡意軟件并釋放惡意軟件,僵尸機(jī)上的有價(jià)值信息會(huì)被竊取����,同時(shí)這臺(tái)機(jī)器會(huì)成為跳板,以幫助惡意軟件潛入進(jìn)更有價(jià)值的企業(yè)關(guān)鍵服務(wù)器����。
華丹表示,“不管是APT���,還是惡意軟件分發(fā)都越來越產(chǎn)業(yè)化���,分工更加精細(xì),而且目標(biāo)也更加明確�,就是企業(yè)的關(guān)鍵數(shù)據(jù)和信息的重要節(jié)點(diǎn)。對于企業(yè)而言��,目前的安全架構(gòu)正在失效,因?yàn)樵诤芏痰臅r(shí)間�,數(shù)據(jù)和信息就泄露了,而且攻擊者全身而退���,留給企業(yè)的可能是無跡可尋����,或者花費(fèi)很長的時(shí)間來調(diào)查數(shù)據(jù)和信息的泄露原因�。”
對于APT攻擊,企業(yè)所面臨的挑戰(zhàn)主要是APT攻擊不易察覺����,因?yàn)樗膼阂獬绦蚧貓?bào)有別于傳統(tǒng)的攻擊方式;此外,由于不明顯的攻擊和立即損害���,會(huì)讓企業(yè)低估APT攻擊所帶來的損失�,后知后覺和數(shù)據(jù)泄露�,讓企業(yè)糾結(jié)于是否企業(yè)內(nèi)部出現(xiàn)人為的泄露。
知己——應(yīng)對APT先過自己這關(guān)
對于企業(yè)而言���,面對APT攻擊的挑戰(zhàn),他們都可能會(huì)關(guān)注這些問題�����。比如面對APT,企業(yè)是否有智能的收集和分析能力?安全控管是否能找對方向?攻擊 者是否獲得了管理的權(quán)限和賬戶?企業(yè)中有多少用戶的電腦已經(jīng)成為犧牲品?企業(yè)管理者是否會(huì)加大投資來應(yīng)對APT攻擊?是否能與同行交流到更多的經(jīng)驗(yàn)?等等 問題�����。
RSA有自己的見解����。華丹指出,“企業(yè)應(yīng)對復(fù)雜的APT攻擊�,第一具備全面的可視性,即企業(yè)是怎樣的一個(gè)狀態(tài)�����,有哪些風(fēng)險(xiǎn)�,有哪些資產(chǎn)是要保護(hù)的; 第二需要靈活的分析,一旦遭遇APT攻擊�����,需要有工具或平臺(tái)能夠幫助企業(yè)快速定位和分析攻擊者是通過什么途徑侵入企業(yè)?竊取了什么?第三企業(yè)治理與合規(guī)�����, 企業(yè)需要在IT層面和業(yè)務(wù)層面有清晰的規(guī)范,比如資產(chǎn)狀況��,設(shè)備管理情況等;第四智能的實(shí)時(shí)顯示�,企業(yè)需要第一時(shí)間確定身份目標(biāo)、攻擊和事件���,是來自有目 的的攻擊���,還是禍起蕭墻?
有了這四方面,就足夠了嗎?答案顯然不是�����。華丹強(qiáng)調(diào)����,“應(yīng)對APT最困難的不是在技術(shù)層面,很多時(shí)候是在前期��。企業(yè)應(yīng)對APT��,首先要看企業(yè)對 APT或網(wǎng)絡(luò)威脅的重視程度和理解程度���。最常見的情況是�����,企業(yè)IT安全部門認(rèn)為防御APT很重要����,但企業(yè)領(lǐng)導(dǎo)不這么認(rèn)為�����,那么問題就產(chǎn)生了;此外從技術(shù)角 度�,應(yīng)對APT攻擊時(shí),企業(yè)在前期的選型和邏輯設(shè)計(jì)�����,選擇APT攻擊的解決方案時(shí)要評估����、測試解決方案是否能夠真正有效地實(shí)現(xiàn)防御、消除�、以及事后調(diào)查。 所以首先要看企業(yè)目前IT的成熟度�����,應(yīng)對APT是否有決心;此外,在前期架構(gòu)設(shè)計(jì)上是否有一套解決方案能夠真正化解威脅�。在整體框架確定后,才要考慮技術(shù) 和與現(xiàn)有安全系統(tǒng)的融合����。”
顯然應(yīng)對APT是技術(shù)問題��,但更是考驗(yàn)企業(yè)IT信息化進(jìn)程�、宏觀安全策略和心理博弈的綜合能力評估問題,所以我才在這一小節(jié)的開始部分����,與企業(yè)一起提出了這些問題。那么你有這樣問過自己嗎?
SMC海量數(shù)據(jù)分析為基 架構(gòu)與協(xié)同取勝
RSA安全管理中心SMC是一套整體的解決方案�����,應(yīng)對APT時(shí)它工作的一部分��。SMC強(qiáng)調(diào)事前����、事中、事后的管理。事前��,梳理企業(yè)IT治理情況���,定 義優(yōu)先權(quán);事中,進(jìn)行分析��、定位�、實(shí)時(shí)記錄的可視化過程;事后,如果發(fā)生安全情況�����,在最短時(shí)間找到APT攻擊者���,給出處理建議�。要實(shí)現(xiàn)事前�、事中、事后的 完美結(jié)合���,需要一個(gè)整體的框架和不同工具的有效協(xié)同��。
華丹表示���,“SMC框架以海量數(shù)據(jù)分析為基礎(chǔ)����,企業(yè)IT治理和可視化流程都基于這一前提��,對數(shù)據(jù)進(jìn)行分析�,進(jìn)行實(shí)時(shí)的報(bào)表、事件調(diào)查����、惡意軟件分析、虛擬化和數(shù)據(jù)防泄露等�����。在數(shù)據(jù)分析的基礎(chǔ)上進(jìn)行APT的治理和合規(guī)事件的管理��?��!?/p>
如圖RSA SMC系統(tǒng)框架���,中間是SMC架構(gòu)的云端,管理數(shù)據(jù)信息的分析和APT治理����。左邊進(jìn)行日志和信息收集���,右邊進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的收集,以及其他的和外部信息分析等����。
這個(gè)框架依靠RSA Archer、RSA NetWitness�����、RSA enVision和RSA DLP協(xié)同支撐�����。RSA Archer是企業(yè)IT治理和合規(guī)治理的產(chǎn)品����,包括策略���、風(fēng)險(xiǎn)和合規(guī)定義和管理����,它能夠把我們所有的企業(yè)資產(chǎn),包括APT等一些信息���,還有一些監(jiān)測到的信息全部匯總���,整理到統(tǒng)一的平臺(tái)之上,給出具有業(yè)務(wù)層面參考的價(jià)值��,一些操作的智能和綜合的管理;RSA NetWitness可以到內(nèi)部的層面�,分析具體安全威脅,并重建攻擊路徑和攻擊源頭���,模擬威脅思路和路徑等;RSA enVision是專門來做收集和管理的��,包括應(yīng)用系統(tǒng)��、安全系統(tǒng)��、數(shù)據(jù)庫等等�,將所有的數(shù)據(jù)進(jìn)行收集��,并且實(shí)時(shí)的產(chǎn)生關(guān)聯(lián);RSA DLP是發(fā)現(xiàn)和定義敏感數(shù)據(jù)��,并且執(zhí)行數(shù)據(jù)策略�����。
華丹指出,“管理由RSA Archer完成����,如企業(yè)資產(chǎn)定義和管理,RSA enVision負(fù)責(zé)設(shè)備日志信息手機(jī)����,如設(shè)備狀況和狀態(tài),敏感事件發(fā)生時(shí)�����,enVision可以直接進(jìn)行處理��,RSA NetWitness���,完成對數(shù)據(jù)和應(yīng)用的信息收集,DLP執(zhí)行數(shù)據(jù)防丟失策略�。協(xié)同構(gòu)成針對企業(yè)內(nèi)部資產(chǎn)、能力資源管理系統(tǒng)�,ERP等完整的安全管理系統(tǒng)架構(gòu)?!?/p>
最后�,華丹告訴ZDNet����,“對于不同的客戶,不同的企業(yè)規(guī)模�,不同的企業(yè)IT成熟度,不同的需求����,SMC可根據(jù)用戶的需求量體裁衣。4個(gè)產(chǎn)品不一定全部都要用��,甚至可以只用一個(gè)���。在RSA Archer中有9個(gè)模塊�����,包括事件管理����、企業(yè)管理�、策略管理等,企業(yè)也可根據(jù)業(yè)務(wù)發(fā)展選擇��。4個(gè)解決方案的選擇,沒有先后次序��?�!?/p>
