APT攻击从前年开始,收到关注的热度一直持续上升,不论是Google这样的巨头还是Comodo这样的安全厂商,都一一沦陷,而国内的CSDN泄密事件更是让APT攻击成为产业的焦点。对于这种新型的攻击手段,企业充满了恐惧,战栗的原因来自于传统的防御手段对于APT来说,几乎不起作用,我们需要寻找新的安全防御模型。
目前很多的安全厂商都在试水他们的APT攻击防御方案,作为安全业界的巨头,RSA自然也不甘落后,他们近日就展示了一套SMC系统架构,这将有助于企业解决APT攻击带来的困扰。
让企业安全防线成为马奇诺的APT
在安全领域,APT是英文Advanced Persistent Threat的缩写,一般我们把它翻译成为高持续性渗透威胁,所以不要把它认为是借助Ubuntu发起的攻击手段。
顾名思义,APT一个非常显著的特点就是持续性,这个攻击针对的目标往往是政府和大型企业,攻击者一般不是个人,往往是具有严密的组织,他们会花费数月,甚至有可能数年来实施他们的攻击行动。
我们来看看这个APT攻击的示意图,攻击者会制作一下木马源,并且通过社交网络或者即时通信工具,来入侵到企业内部,分工非常严密,一环扣一环,实现产业化的攻击体系:
APT攻击往往会先渗入到企业内网,因此,企业原有的安全措施就像马奇诺防线一般,尽管非常坚固,但绕过防线之后,攻击者就可以肆无忌惮的行动,甚至全身而退。
RSA眼中的APT防御
在传统安全手段失效之后,企业该如何防御APT的威胁呢?
APT攻击就像间谍,就像特种部队,无声无息的窃取走企业的敏感数据,因此,RSA认为,企业要防御好APT的威胁,就要从四个方面去考虑。
首先是全面的可视性,企业要能够实现全方位的安全监控;
其次,是灵活的分析能力,能够快速的分析,黑客通过什么途径进来;
第三,智能的实时指示,一旦出现APT攻击,就可以找到业务问题,核查资产状况;
第四,公司治理与合规,之前我们提到了,APT要么针对大型公司,要么针对国家,合规性的建设就非常关键了。
企业的安全漏洞不可避免,不论从逻辑上还是事实上,漏洞是必然存在的,当漏洞被发现之后,企业就可能面临APT攻击的威胁,但如果我们的防线被突破,如果做到了上述的四点,我们也能很好的进行补救,至少是事后的追查。
RSA SMC体系
为了抵御APT的威胁,RSA推出了SMC解决方案,这个方案就是从上述的四点来帮助企业构建有效的安全防御体系。
SMC有四个高效的组件:
RSA Archer GRC,是公司IT治理与合规性的产品,能够把所有的企业资产这些的信息,全部汇总整理到统一的平台上,给出业务层面参考的价值,其作用有些类似于现实安防中的智能摄像头。
RSA NetWitness,相当于现场分析,来帮助企业重建攻击路径。
RSA enVision,专门用来做日志搜集和管理,包括应用系统,数据库等等。
RSA DLP,发现和定义敏感数据,并且执行数据策略。
在这四个组件之上,是统一的管理平台,类似于现实安防中的监控中心,它来实现整个方案的管理和协调,并且对数据分析的结果进行传递和反馈。从下面这个架构图上,我们可以直观的看到这一点:
最后我们来回顾下近代史,一战之后,法国把所有的防御力量集中在了马奇诺防线上,这条号称无法从正面突破的防线确实直到二战结束,都没被突破过,但是,德国的坦克绕过了马奇诺防线,一个月时间就吞并了法国,APT攻击某些方面非常类似这点,而RSA的方案则让企业避免法国的悲剧重蹈。
资深技术经理:无线网络设备导致信..
网上邻居九招特殊的应用.doc
