從發(fā)現(xiàn)����、大數(shù)據(jù)分析到響應(yīng)形成閉環(huán)系統(tǒng)
因?yàn)锳PT攻擊以找到企業(yè)最薄弱的環(huán)節(jié)——人為跳板,所以企業(yè)需要教育員工����,告訴員工不要隨意打開你不熟悉的軟件或者做違背公司規(guī)定的操作���。Aloni強(qiáng)調(diào),但企業(yè)自身的防范系統(tǒng)最重要��。
根據(jù)歷史數(shù)據(jù)�����,大部分APT都是未被發(fā)現(xiàn)的��,只有10%是被企業(yè)發(fā)現(xiàn)的�,而90%是被外人告知的。所以企業(yè)首先要通過更加智能的工具及時(shí)發(fā)現(xiàn)這種攻擊����,提升發(fā)現(xiàn)APT攻擊的能力。
其次�����,企業(yè)需要對大數(shù)據(jù)進(jìn)行分析����,以強(qiáng)大的調(diào)查平臺���,在大量的數(shù)據(jù)中發(fā)現(xiàn)蛛絲馬跡。通過數(shù)據(jù)分析引擎��,對工作流程進(jìn)行相關(guān)數(shù)據(jù)的關(guān)聯(lián)性分析���。 Aloni指出��,以前的問題在于所有的信息都分布在企業(yè)不同的地方�����,對于調(diào)查取證非常困難,所以很難發(fā)現(xiàn)這樣的攻擊�。而系統(tǒng)如果可以快速搜集這些信息,進(jìn) 行關(guān)聯(lián)性分析就能很快發(fā)現(xiàn)這種攻擊�����。同時(shí)這套系統(tǒng)還要具備智能性�����,了解員工的行為信息���,這是一種對使用情景的識別�,圍繞流程或者行為,把這些信息收集起來 進(jìn)行識別��。同時(shí)����,還需要對外部、第三方提供的攻擊代碼模式智能感知���。
在身份認(rèn)證的層面上���,要以風(fēng)險(xiǎn)為導(dǎo)向,因?yàn)樵瓉淼撵o態(tài)密碼已經(jīng)不能保護(hù)單一用戶了����,企業(yè)系統(tǒng)要更加智能化才能應(yīng)對當(dāng)前這種攻擊。系統(tǒng)除了能做控制��, 還要能去發(fā)現(xiàn)不太正常的狀態(tài)����。大數(shù)據(jù)需要一個(gè)中控系統(tǒng)把所有內(nèi)部的、外部的信息收集起來進(jìn)行分析����,所有傳統(tǒng)意義上的邊界安全已經(jīng)不能起到作用���。
最后,除了前端的發(fā)現(xiàn)工具�����、分析工具外���,要通過控制層進(jìn)行快速響應(yīng)����。過去這種系統(tǒng)都是孤島型的�,控制層和管理層都是隔離的,很難做到快速響應(yīng)�����。隨著虛擬化和大量移動(dòng)終端接入和云計(jì)算的普及����,必須要形成閉環(huán)智能信息安全系統(tǒng)��。
RSA針對APT攻擊有一套信息安全管理中心的解決方案,其主要的特點(diǎn)就是把一些大數(shù)據(jù)收集起來�����,進(jìn)行分析��、檢測�、監(jiān)控。Aloni表示�,RSA第 一次把這些變成整體的系統(tǒng),因?yàn)樵瓉碜錾矸菡J(rèn)證的只是身份認(rèn)證�����,做日志管理的也只是日志管理���。如今把控制點(diǎn)的信息都加起來����,讓每個(gè)層面都變得智能���、敏捷并 進(jìn)行協(xié)作��。
在這套流程里��,一邊有日志全采集���,一邊有網(wǎng)絡(luò)監(jiān)控��,把所有的東西放到一個(gè)統(tǒng)一的監(jiān)控平臺上����,就相當(dāng)于建立了全自動(dòng)化的響應(yīng)系統(tǒng)����������?梢詾闆Q策提供快速 支持�����,相當(dāng)于一個(gè)智能系統(tǒng)�,而不是用分散的信息進(jìn)行獨(dú)立的分析�。Aloni進(jìn)一步說到,其實(shí)這種智能有時(shí)候不光是企業(yè)內(nèi)部系統(tǒng)產(chǎn)生的��,如果有第三方類似經(jīng) 驗(yàn)或類似攻擊模式的分享,就可以在系統(tǒng)中了解哪些是惡意軟件或APT攻擊���,從而快速建立起防御�����。他同時(shí)強(qiáng)調(diào)����,RSA的安全產(chǎn)品一個(gè)非常重要的功能就是 Netwitness網(wǎng)絡(luò)監(jiān)控可以回放�����,就像攝像頭一樣����。發(fā)現(xiàn)不正常的情況后,可以把場景進(jìn)行回放�����,了解攻擊的去向��。原來邊界安全的做法是,如果受到攻 擊���,只要關(guān)閉端口就可以了��。而APT可能潛伏一周�����、一個(gè)月�����、一年甚至更長的時(shí)間���,所以必須要有網(wǎng)絡(luò)回放,從而增強(qiáng)監(jiān)控能力�����。最后���,從發(fā)現(xiàn)到響應(yīng)形成閉環(huán)系 統(tǒng)����。
