從發(fā)現(xiàn)�、大數(shù)據分析到響應形成閉環(huán)系統(tǒng)
因為APT攻擊以找到企業(yè)最薄弱的環(huán)節(jié)——人為跳板,所以企業(yè)需要教育員工����,告訴員工不要隨意打開你不熟悉的軟件或者做違背公司規(guī)定的操作。Aloni強調�,但企業(yè)自身的防范系統(tǒng)最重要。
根據歷史數(shù)據����,大部分APT都是未被發(fā)現(xiàn)的�,只有10%是被企業(yè)發(fā)現(xiàn)的����,而90%是被外人告知的。所以企業(yè)首先要通過更加智能的工具及時發(fā)現(xiàn)這種攻擊���,提升發(fā)現(xiàn)APT攻擊的能力��。
其次�����,企業(yè)需要對大數(shù)據進行分析����,以強大的調查平臺���,在大量的數(shù)據中發(fā)現(xiàn)蛛絲馬跡����。通過數(shù)據分析引擎���,對工作流程進行相關數(shù)據的關聯(lián)性分析����。 Aloni指出�����,以前的問題在于所有的信息都分布在企業(yè)不同的地方�����,對于調查取證非常困難����,所以很難發(fā)現(xiàn)這樣的攻擊。而系統(tǒng)如果可以快速搜集這些信息�����,進 行關聯(lián)性分析就能很快發(fā)現(xiàn)這種攻擊���。同時這套系統(tǒng)還要具備智能性���,了解員工的行為信息,這是一種對使用情景的識別�����,圍繞流程或者行為,把這些信息收集起來 進行識別��。同時��,還需要對外部���、第三方提供的攻擊代碼模式智能感知���。
在身份認證的層面上,要以風險為導向����,因為原來的靜態(tài)密碼已經不能保護單一用戶了,企業(yè)系統(tǒng)要更加智能化才能應對當前這種攻擊����。系統(tǒng)除了能做控制, 還要能去發(fā)現(xiàn)不太正常的狀態(tài)����。大數(shù)據需要一個中控系統(tǒng)把所有內部的����、外部的信息收集起來進行分析��,所有傳統(tǒng)意義上的邊界安全已經不能起到作用���。
最后,除了前端的發(fā)現(xiàn)工具�����、分析工具外���,要通過控制層進行快速響應。過去這種系統(tǒng)都是孤島型的�,控制層和管理層都是隔離的�,很難做到快速響應。隨著虛擬化和大量移動終端接入和云計算的普及�����,必須要形成閉環(huán)智能信息安全系統(tǒng)。
RSA針對APT攻擊有一套信息安全管理中心的解決方案���,其主要的特點就是把一些大數(shù)據收集起來����,進行分析�����、檢測�����、監(jiān)控���。Aloni表示����,RSA第 一次把這些變成整體的系統(tǒng)�,因為原來做身份認證的只是身份認證,做日志管理的也只是日志管理���。如今把控制點的信息都加起來�����,讓每個層面都變得智能、敏捷并 進行協(xié)作����。
在這套流程里�����,一邊有日志全采集���,一邊有網絡監(jiān)控��,把所有的東西放到一個統(tǒng)一的監(jiān)控平臺上�����,就相當于建立了全自動化的響應系統(tǒng)����������?梢詾闆Q策提供快速 支持�,相當于一個智能系統(tǒng),而不是用分散的信息進行獨立的分析��。Aloni進一步說到����,其實這種智能有時候不光是企業(yè)內部系統(tǒng)產生的�����,如果有第三方類似經 驗或類似攻擊模式的分享����,就可以在系統(tǒng)中了解哪些是惡意軟件或APT攻擊,從而快速建立起防御��。他同時強調��,RSA的安全產品一個非常重要的功能就是 Netwitness網絡監(jiān)控可以回放��,就像攝像頭一樣�。發(fā)現(xiàn)不正常的情況后,可以把場景進行回放�����,了解攻擊的去向�����。原來邊界安全的做法是�,如果受到攻 擊���,只要關閉端口就可以了����。而APT可能潛伏一周��、一個月���、一年甚至更長的時間�����,所以必須要有網絡回放����,從而增強監(jiān)控能力�����。最后�����,從發(fā)現(xiàn)到響應形成閉環(huán)系 統(tǒng)�。
