知己——應對APT先過自己這關
對于企業(yè)而言�,面對APT攻擊的挑戰(zhàn),他們都可能會關注這些問題����。比如面對APT,企業(yè)是否有智能的收集和分析能力?安全控管是否能找對方向?攻擊 者是否獲得了管理的權限和賬戶?企業(yè)中有多少用戶的電腦已經(jīng)成為犧牲品?企業(yè)管理者是否會加大投資來應對APT攻擊?是否能與同行交流到更多的經(jīng)驗?等等 問題�。
RSA有自己的見解。華丹指出�,“企業(yè)應對復雜的APT攻擊,第一具備全面的可視性����,即企業(yè)是怎樣的一個狀態(tài),有哪些風險��,有哪些資產(chǎn)是要保護的; 第二需要靈活的分析����,一旦遭遇APT攻擊�����,需要有工具或平臺能夠幫助企業(yè)快速定位和分析攻擊者是通過什么途徑侵入企業(yè)?竊取了什么?第三企業(yè)治理與合規(guī)����, 企業(yè)需要在IT層面和業(yè)務層面有清晰的規(guī)范����,比如資產(chǎn)狀況,設備管理情況等;第四智能的實時顯示����,企業(yè)需要第一時間確定身份目標、攻擊和事件����,是來自有目 的的攻擊,還是禍起蕭墻?
有了這四方面�����,就足夠了嗎?答案顯然不是���。華丹強調(diào)�,“應對APT最困難的不是在技術層面�,很多時候是在前期。企業(yè)應對APT����,首先要看企業(yè)對 APT或網(wǎng)絡威脅的重視程度和理解程度。最常見的情況是�,企業(yè)IT安全部門認為防御APT很重要,但企業(yè)領導不這么認為����,那么問題就產(chǎn)生了;此外從技術角 度,應對APT攻擊時����,企業(yè)在前期的選型和邏輯設計,選擇APT攻擊的解決方案時要評估�、測試解決方案是否能夠真正有效地實現(xiàn)防御、消除���、以及事后調(diào)查��。 所以首先要看企業(yè)目前IT的成熟度���,應對APT是否有決心;此外�����,在前期架構(gòu)設計上是否有一套解決方案能夠真正化解威脅��。在整體框架確定后����,才要考慮技術 和與現(xiàn)有安全系統(tǒng)的融合�。”
顯然應對APT是技術問題�����,但更是考驗企業(yè)IT信息化進程����、宏觀安全策略和心理博弈的綜合能力評估問題,所以我才在這一小節(jié)的開始部分����,與企業(yè)一起提出了這些問題。那么你有這樣問過自己嗎?
SMC海量數(shù)據(jù)分析為基 架構(gòu)與協(xié)同取勝
RSA安全管理中心SMC是一套整體的解決方案,應對APT時它工作的一部分�。SMC強調(diào)事前、事中��、事后的管理����。事前����,梳理企業(yè)IT治理情況,定 義優(yōu)先權;事中����,進行分析、定位����、實時記錄的可視化過程;事后,如果發(fā)生安全情況����,在最短時間找到APT攻擊者,給出處理建議����。要實現(xiàn)事前���、事中、事后的 完美結(jié)合����,需要一個整體的框架和不同工具的有效協(xié)同。
華丹表示����,“SMC框架以海量數(shù)據(jù)分析為基礎,企業(yè)IT治理和可視化流程都基于這一前提����,對數(shù)據(jù)進行分析,進行實時的報表��、事件調(diào)查�、惡意軟件分析、虛擬化和數(shù)據(jù)防泄露等�����。在數(shù)據(jù)分析的基礎上進行APT的治理和合規(guī)事件的管理��。”
如圖RSA SMC系統(tǒng)框架����,中間是SMC架構(gòu)的云端,管理數(shù)據(jù)信息的分析和APT治理�����。左邊進行日志和信息收集�,右邊進行網(wǎng)絡數(shù)據(jù)的收集���,以及其他的和外部信息分析等��。
這個框架依靠RSA Archer��、RSA NetWitness�����、RSA enVision和RSA DLP協(xié)同支撐��。RSA Archer是企業(yè)IT治理和合規(guī)治理的產(chǎn)品���,包括策略、風險和合規(guī)定義和管理,它能夠把我們所有的企業(yè)資產(chǎn)���,包括APT等一些信息��,還有一些監(jiān)測到的信息全部匯總��,整理到統(tǒng)一的平臺之上����,給出具有業(yè)務層面參考的價值�����,一些操作的智能和綜合的管理;RSA NetWitness可以到內(nèi)部的層面����,分析具體安全威脅,并重建攻擊路徑和攻擊源頭�����,模擬威脅思路和路徑等;RSA enVision是專門來做收集和管理的���,包括應用系統(tǒng)����、安全系統(tǒng)、數(shù)據(jù)庫等等�,將所有的數(shù)據(jù)進行收集,并且實時的產(chǎn)生關聯(lián);RSA DLP是發(fā)現(xiàn)和定義敏感數(shù)據(jù)��,并且執(zhí)行數(shù)據(jù)策略�。
華丹指出,“管理由RSA Archer完成���,如企業(yè)資產(chǎn)定義和管理,RSA enVision負責設備日志信息手機�,如設備狀況和狀態(tài),敏感事件發(fā)生時��,enVision可以直接進行處理�,RSA NetWitness,完成對數(shù)據(jù)和應用的信息收集��,DLP執(zhí)行數(shù)據(jù)防丟失策略�。協(xié)同構(gòu)成針對企業(yè)內(nèi)部資產(chǎn)、能力資源管理系統(tǒng)����,ERP等完整的安全管理系統(tǒng)架構(gòu)�����!
最后,華丹告訴ZDNet�����,“對于不同的客戶�����,不同的企業(yè)規(guī)模�����,不同的企業(yè)IT成熟度����,不同的需求,SMC可根據(jù)用戶的需求量體裁衣�。4個產(chǎn)品不一定全部都要用,甚至可以只用一個���。在RSA Archer中有9個模塊���,包括事件管理��、企業(yè)管理���、策略管理等,企業(yè)也可根據(jù)業(yè)務發(fā)展選擇�����。4個解決方案的選擇�����,沒有先后次序������!
