RSA：如何应对危机四伏的高级网络威胁

近年来，随着网络环境的日益复杂，针对网络的攻击形式也更为隐蔽和多元化，APT攻击成了这几年来的代表。极光行动(Operation Aurora)、震网病毒(Stuxnet)等等典型的APT攻击都给企业带来了重大的损失。如何才能防患于未然有效预防APT网络攻击，成了人们目前最热门的研究课题。

日前，RSA资深技术顾问华丹在网络研讨会“领先一步应对危机四伏的高级网络威胁”上，和大家分享了他对APT攻击的看法，以及如何有效抵御现在的网络威胁。什么是APT攻击?

APT攻击(高级持续威胁Advanced Persistent Threat)就是为了获取某个组织甚至是国家的重要信息，有针对性的进行的一系列攻击行为的整个过程。APT攻击利用了多种攻击手段，包括各种最先进的手段和社会工程学方法，一步一步的获取进入组织内部的权限。APT往往利用组织内部的人员作为攻击跳板。有时候，攻击者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击代码。

华丹详细介绍了黑客从制作木马到最后获取资源，以及如何把这些恶意软件进行分发的流程，他表示，现在APT攻击变得越来越隐蔽和复杂，从第一步黑客发布一个木马来获取一些内容，再通过论坛、社交网络或其它即时通讯工具向外面出售这些恶意软件，然后第三方人员买到并释放这些恶意软件，最后这个把他受委托人释放的恶意软件专门放在服务器上，再通过中间服务器偷偷地控制一些僵尸机器，通过这条途径到服务器上去更新他所需要释放的这些恶意的软件。

　　华丹谈到，APT攻击近年来越来越产业化和分工化，并且带有组织性和明确的攻击目标。面对这样的一个有组织的攻击或者网络犯罪，企业目前的安全防护可能起不到很大作用。

　　如何有效抵御APT攻击?

　　华丹讲到，企业要应对APT攻击首先是要有全面的可视性，理清企业目前是怎样的状态，有哪些风险，有哪些核心资产;二是灵活的分析，一旦发生泄密，要有相应的工具或平台能够快速的定位问题、分析问题;三是智能的实时指示，如果企业IT或是业务比较清晰和规范，一旦出现APT攻击就可以更加容易的定位问题;最后是公司的治理与合规。

　　应对APT攻击最困难的地方，华丹谈到，最困难的地方不是在技术层面，对于一个企业来说，它要应对高级网络威胁，首先是这个企业目前IT化的成熟度，应对APT威胁攻击是否有这个决心。二是在一个前期的架构设计上，当敌人是有组织、有目的和非常高超技巧的时候，我们这么一套战术或者解决方案，是不是真正能够化解。

▲企业所需要的能力

　　华丹介绍了RSA SMC解决方案，SMC框架首先要有海量的数据，不管是公司治理或是全面可视化，第一个前提就是必须要有足够的数据来源，然后所有的数据都需要做分析，进行实时报表、事件调查、恶意软件分析以及虚拟化、数据防泄漏等工作。在分析的基础之上，最后进行APT的治理和合规事件管理。

▲RSA SMC系统架构

　　如图，中间部分是SMC框架的云端，是管理所有的数据信息进行APT治理的平台。左侧是进行所有日志信息的收集，右边是进行所有的网络数据的收集，以及其他的和外部的信息进行分析等等。所有这些数据都会通过SMC平台进行全面的分析。

▲RSA SMC包括的相关产品

　　在SMC管理中心下面是RSA的四款核心产品，RSA Archer、RSA NetWitness、RSA enVision和RSA DLP。RSA Archer是公司IT治理和合规治理产品，包括策略、风险和合规定义和管理，能够把所有的企业资产，包括APT等一些信息全部汇总整理到统一平台之上，给出具有业务层面的参考价值。RSA NetWitness可以到内部层面分析出哪个是木马，那个是伪装出来的，还可以重建APT攻击的路径和攻击源头，APT攻击的思路和路径是怎样的，都可以还原整个流程。RSA enVision专门做收集和管理，包括应用系统、安全系统、数据库等等，把所有的数据进行收集，并且实时产生关联。RSA DLP是发现和定义敏感数据，并执行数据的安全策略。除了这四款产品，RSA还有全球反欺网络诈联盟，专门研究恶意密码攻击方式，研究出来以后会持续的监控已有的客户包括整个互联网的态势。

　　企业在选择抵御APT攻击的解决方案时，首先要看这个方案是否能真正的优化企业的IT治理，帮助企业把IT设备、信息等管理起来。二是简化，大多数企业对于可视性其实是简化的一个需求。三要有足够的灵活性。这个灵活性牵扯得比较广，企业要有一个灵活的视野和可定制性，包括强大的分析能力。四是智能，能清楚的分辨所有警报是否是真得安全威胁。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友