對付高級持續(xù)威脅,經(jīng)驗很重要

今天來看，APT(Advanced Persistent Threat，高級持續(xù)威脅)已經(jīng)不是一個新鮮的詞兒了。與木馬入侵這樣的小打小鬧不同，APT因為其目標明確、潛伏周期長、有組織而更加難以對付，它讓網(wǎng)絡(luò)攻擊的形式變得更為復(fù)雜和多元化。

近兩年，我們正在越來越多地感受到APT的威脅。2011年，在美國本土，光是有據(jù)可查的大型安全攻擊就有70多起，受攻擊的包括銀行信用卡中心等。在國內(nèi)，2012年也有一些公布于眾的網(wǎng)絡(luò)安全犯罪事件，這些都屬于網(wǎng)絡(luò)APT的范疇。

面對這種復(fù)雜的高級持續(xù)性威脅，我們該如何未雨綢繆，防患于未然呢？

該如何應(yīng)對APT

在RSA公司資深技術(shù)顧問華丹看來，應(yīng)對高級網(wǎng)絡(luò)威脅最困難之處并不是在技術(shù)層面，而是在前期，一個企業(yè)對APT攻擊或者網(wǎng)絡(luò)威脅的重視程度和理解程度。一個常見的現(xiàn)象是，企業(yè)的IT安全部門認為應(yīng)對APT很重要，但企業(yè)的決策者并不這樣認為。而從技術(shù)角度看，應(yīng)對APT攻擊關(guān)鍵在于前期的選型和邏輯設(shè)計。一個企業(yè)能否有效應(yīng)對APT，一是看這個企業(yè)目前IT應(yīng)用的成熟程度，是否有應(yīng)對APT攻擊的決心，二是看在前期的架構(gòu)設(shè)計上，當攻擊者發(fā)出有組織、有目的的攻擊，并且有著非常高超的攻擊技巧時，企業(yè)是否擁有一套戰(zhàn)術(shù)或解決方案，真正對其進行化解。

實際上，要應(yīng)對APT攻擊，IT安全人員的經(jīng)驗至關(guān)重要。華丹告訴記者，如果企業(yè)有一定的安全防護基礎(chǔ)，相關(guān)安全人員有著豐富的經(jīng)驗，對付APT理應(yīng)可以做到事前預(yù)防。但在大多數(shù)的情況下，APT的攻擊往往會在潛伏很長時間才開始作案，令人難以察覺，這是其可怕之處。因此，在大部分情況下，企業(yè)對APT的應(yīng)對主要都在事中偏事后階段實現(xiàn)。只有攻擊威脅真正發(fā)生時，實時告警才會開始進行。RSA公司希望幫助客戶達成的目標是：面對APT攻擊，能夠做到事中發(fā)現(xiàn)。實際上，目前的防御APT的產(chǎn)品和方案本身并不是不具備相關(guān)的功能和能力，但若要有效防御APT，還有賴于應(yīng)用者能憑借豐富的經(jīng)驗將其功能充分發(fā)揮。

對于企業(yè)來說，應(yīng)對復(fù)雜的APT攻擊并非易事。應(yīng)對APT攻擊，首先要有一個全面的可視性。企業(yè)目前的安全到底處于什么狀態(tài)，有哪些風(fēng)險，有哪些資產(chǎn)是需要重點保全的，這些都是安全人員必須清楚的；第二是需要有靈活的分析，一旦遭到攻擊，必須有相應(yīng)的工具或平臺，能夠幫助企業(yè)快速去定位問題，并分析問題，要能搞清楚到底黑客是通過什么途徑進來，他到底從企業(yè)偷走了什么；第三就是要有智能的實時指示，如果公司治理得好，IT層面和業(yè)務(wù)層面的管理都比較規(guī)范，資產(chǎn)和設(shè)備管理狀況也比較清晰，一旦出現(xiàn)APT攻擊，企業(yè)就可能比較容易去定位問題，并找到對企業(yè)業(yè)務(wù)影響最大的一些資產(chǎn)問題。

現(xiàn)在，涉足APT領(lǐng)域的安全廠商正在增加，對用戶對于那些比較重視APT攻擊的企業(yè)來說，他們在對安全解決方案架構(gòu)選型時應(yīng)該關(guān)注哪些問題呢？華丹建議，用戶要根據(jù)自己的具體需求來進行選型，而在實際操作中，RSA有一些最佳實踐建議提供給客戶。這個建議包括以下幾個方面：第一，這個解決方案應(yīng)該能夠真正優(yōu)化企業(yè)的IT治理，能夠幫助企業(yè)把設(shè)備、信息等資產(chǎn)管理起來；第二是必須簡化，其實絕大多數(shù)企業(yè)對于可視性的需求就是簡化的需求；第三是要有足夠的靈活性。針對企業(yè)內(nèi)部的需求和遭受威脅，相應(yīng)的解決方案要有靈活的視野和可定制性和強大的分析能力，真正能為企業(yè)所用；第四是智能，這是屬于比較高級的要求，涉及到不同項目的經(jīng)驗和產(chǎn)品開發(fā)的經(jīng)驗。

RSA SMC方案全面抵御APT

現(xiàn)在，針對APT攻擊，一些先進的安全廠商開始推出自己的解決方案。其中，RSA推出的SMC是一個具備安全管理中心的整體解決方案。該解決方案包括RSA Archer、RSA NetWitness、RSA enVision、RSA DLP，還有RSA CCI等模塊，這些模塊集成后形成了一個有機的整體，為企業(yè)安全提供事前、事中、事后的管理。各個模塊各司其職，其中，Archer是一個總控，NetWitness對網(wǎng)絡(luò)流量進行監(jiān)控，enVision能提供可視化的顯示，DLP則是起數(shù)據(jù)防控的作用。

值得關(guān)注的是，在SMC管理中心下的四個核心模塊(RSA Archer、RSA NetWitness、RSA enVision和RSA DLP)用到的都是在相關(guān)安全領(lǐng)域排名一二的產(chǎn)品。其中，RSA Archer是做公司IT治理和合規(guī)治理的產(chǎn)品，包括策略、風(fēng)險和合規(guī)定義和管理，它能夠把所有的企業(yè)資產(chǎn)，包括APT等監(jiān)測到的信息全部匯總，整理到統(tǒng)一的平臺之上，進行智能和綜合的管理。RSA NetWitness可以到內(nèi)部的層面，分析出來哪個是真正的木馬，還可以重建攻擊路徑和源頭，對過程進行還原。RSA enVision專門做收集和管理，收集應(yīng)用系統(tǒng)、安全系統(tǒng)、數(shù)據(jù)庫等數(shù)據(jù)，并實時產(chǎn)生關(guān)聯(lián)。RSA DLP可發(fā)現(xiàn)和定義敏感數(shù)據(jù)，并執(zhí)行數(shù)據(jù)策略。

華丹告訴記者，SMC是一個整體解決方案，也是一個相對開放的平臺。從理論上來說，任何廠家或者任何產(chǎn)品和系統(tǒng)都可以接入到SMC這個框架中來，用戶自己現(xiàn)有的安全產(chǎn)品或技術(shù)也可以直接納入該平臺。不過，華丹也坦言， APT攻擊非常復(fù)雜，而且千變?nèi)f化，如果想主動去了解其要發(fā)動攻擊的路徑或其中的流程其實不太可能，對于企業(yè)來說，當他擁有了SMC框架后，他所要做的事就是盡可能把SMC的功能用好，利用SMC應(yīng)對APT攻擊最好的辦法就是，將這套系統(tǒng)真正跟企業(yè)業(yè)務(wù)結(jié)合，而不應(yīng)簡單視其為上了一個IT項目而已，要通過流程的持續(xù)優(yōu)化，真正解決問題。