對(duì)付高級(jí)持續(xù)威脅,經(jīng)驗(yàn)很重要

今天來(lái)看，APT(Advanced Persistent Threat，高級(jí)持續(xù)威脅)已經(jīng)不是一個(gè)新鮮的詞兒了。與木馬入侵這樣的小打小鬧不同，APT因?yàn)槠淠繕?biāo)明確、潛伏周期長(zhǎng)、有組織而更加難以對(duì)付，它讓網(wǎng)絡(luò)攻擊的形式變得更為復(fù)雜和多元化。

近兩年，我們正在越來(lái)越多地感受到APT的威脅。2011年，在美國(guó)本土，光是有據(jù)可查的大型安全攻擊就有70多起，受攻擊的包括銀行信用卡中心等。在國(guó)內(nèi)，2012年也有一些公布于眾的網(wǎng)絡(luò)安全犯罪事件，這些都屬于網(wǎng)絡(luò)APT的范疇。

面對(duì)這種復(fù)雜的高級(jí)持續(xù)性威脅，我們?cè)撊绾挝从昃I繆，防患于未然呢？

該如何應(yīng)對(duì)APT

在RSA公司資深技術(shù)顧問華丹看來(lái)，應(yīng)對(duì)高級(jí)網(wǎng)絡(luò)威脅最困難之處并不是在技術(shù)層面，而是在前期，一個(gè)企業(yè)對(duì)APT攻擊或者網(wǎng)絡(luò)威脅的重視程度和理解程度。一個(gè)常見的現(xiàn)象是，企業(yè)的IT安全部門認(rèn)為應(yīng)對(duì)APT很重要，但企業(yè)的決策者并不這樣認(rèn)為。而從技術(shù)角度看，應(yīng)對(duì)APT攻擊關(guān)鍵在于前期的選型和邏輯設(shè)計(jì)。一個(gè)企業(yè)能否有效應(yīng)對(duì)APT，一是看這個(gè)企業(yè)目前IT應(yīng)用的成熟程度，是否有應(yīng)對(duì)APT攻擊的決心，二是看在前期的架構(gòu)設(shè)計(jì)上，當(dāng)攻擊者發(fā)出有組織、有目的的攻擊，并且有著非常高超的攻擊技巧時(shí)，企業(yè)是否擁有一套戰(zhàn)術(shù)或解決方案，真正對(duì)其進(jìn)行化解。

實(shí)際上，要應(yīng)對(duì)APT攻擊，IT安全人員的經(jīng)驗(yàn)至關(guān)重要。華丹告訴記者，如果企業(yè)有一定的安全防護(hù)基礎(chǔ)，相關(guān)安全人員有著豐富的經(jīng)驗(yàn)，對(duì)付APT理應(yīng)可以做到事前預(yù)防。但在大多數(shù)的情況下，APT的攻擊往往會(huì)在潛伏很長(zhǎng)時(shí)間才開始作案，令人難以察覺，這是其可怕之處。因此，在大部分情況下，企業(yè)對(duì)APT的應(yīng)對(duì)主要都在事中偏事后階段實(shí)現(xiàn)。只有攻擊威脅真正發(fā)生時(shí)，實(shí)時(shí)告警才會(huì)開始進(jìn)行。RSA公司希望幫助客戶達(dá)成的目標(biāo)是：面對(duì)APT攻擊，能夠做到事中發(fā)現(xiàn)。實(shí)際上，目前的防御APT的產(chǎn)品和方案本身并不是不具備相關(guān)的功能和能力，但若要有效防御APT，還有賴于應(yīng)用者能憑借豐富的經(jīng)驗(yàn)將其功能充分發(fā)揮。

對(duì)于企業(yè)來(lái)說(shuō)，應(yīng)對(duì)復(fù)雜的APT攻擊并非易事。應(yīng)對(duì)APT攻擊，首先要有一個(gè)全面的可視性。企業(yè)目前的安全到底處于什么狀態(tài)，有哪些風(fēng)險(xiǎn)，有哪些資產(chǎn)是需要重點(diǎn)保全的，這些都是安全人員必須清楚的；第二是需要有靈活的分析，一旦遭到攻擊，必須有相應(yīng)的工具或平臺(tái)，能夠幫助企業(yè)快速去定位問題，并分析問題，要能搞清楚到底黑客是通過什么途徑進(jìn)來(lái)，他到底從企業(yè)偷走了什么；第三就是要有智能的實(shí)時(shí)指示，如果公司治理得好，IT層面和業(yè)務(wù)層面的管理都比較規(guī)范，資產(chǎn)和設(shè)備管理狀況也比較清晰，一旦出現(xiàn)APT攻擊，企業(yè)就可能比較容易去定位問題，并找到對(duì)企業(yè)業(yè)務(wù)影響最大的一些資產(chǎn)問題。

現(xiàn)在，涉足APT領(lǐng)域的安全廠商正在增加，對(duì)用戶對(duì)于那些比較重視APT攻擊的企業(yè)來(lái)說(shuō)，他們?cè)趯?duì)安全解決方案架構(gòu)選型時(shí)應(yīng)該關(guān)注哪些問題呢？華丹建議，用戶要根據(jù)自己的具體需求來(lái)進(jìn)行選型，而在實(shí)際操作中，RSA有一些最佳實(shí)踐建議提供給客戶。這個(gè)建議包括以下幾個(gè)方面：第一，這個(gè)解決方案應(yīng)該能夠真正優(yōu)化企業(yè)的IT治理，能夠幫助企業(yè)把設(shè)備、信息等資產(chǎn)管理起來(lái)；第二是必須簡(jiǎn)化，其實(shí)絕大多數(shù)企業(yè)對(duì)于可視性的需求就是簡(jiǎn)化的需求；第三是要有足夠的靈活性。針對(duì)企業(yè)內(nèi)部的需求和遭受威脅，相應(yīng)的解決方案要有靈活的視野和可定制性和強(qiáng)大的分析能力，真正能為企業(yè)所用；第四是智能，這是屬于比較高級(jí)的要求，涉及到不同項(xiàng)目的經(jīng)驗(yàn)和產(chǎn)品開發(fā)的經(jīng)驗(yàn)。

RSA SMC方案全面抵御APT

現(xiàn)在，針對(duì)APT攻擊，一些先進(jìn)的安全廠商開始推出自己的解決方案。其中，RSA推出的SMC是一個(gè)具備安全管理中心的整體解決方案。該解決方案包括RSA Archer、RSA NetWitness、RSA enVision、RSA DLP，還有RSA CCI等模塊，這些模塊集成后形成了一個(gè)有機(jī)的整體，為企業(yè)安全提供事前、事中、事后的管理。各個(gè)模塊各司其職，其中，Archer是一個(gè)總控，NetWitness對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，enVision能提供可視化的顯示，DLP則是起數(shù)據(jù)防控的作用。

值得關(guān)注的是，在SMC管理中心下的四個(gè)核心模塊(RSA Archer、RSA NetWitness、RSA enVision和RSA DLP)用到的都是在相關(guān)安全領(lǐng)域排名一二的產(chǎn)品。其中，RSA Archer是做公司IT治理和合規(guī)治理的產(chǎn)品，包括策略、風(fēng)險(xiǎn)和合規(guī)定義和管理，它能夠把所有的企業(yè)資產(chǎn)，包括APT等監(jiān)測(cè)到的信息全部匯總，整理到統(tǒng)一的平臺(tái)之上，進(jìn)行智能和綜合的管理。RSA NetWitness可以到內(nèi)部的層面，分析出來(lái)哪個(gè)是真正的木馬，還可以重建攻擊路徑和源頭，對(duì)過程進(jìn)行還原。RSA enVision專門做收集和管理，收集應(yīng)用系統(tǒng)、安全系統(tǒng)、數(shù)據(jù)庫(kù)等數(shù)據(jù)，并實(shí)時(shí)產(chǎn)生關(guān)聯(lián)。RSA DLP可發(fā)現(xiàn)和定義敏感數(shù)據(jù)，并執(zhí)行數(shù)據(jù)策略。

華丹告訴記者，SMC是一個(gè)整體解決方案，也是一個(gè)相對(duì)開放的平臺(tái)。從理論上來(lái)說(shuō)，任何廠家或者任何產(chǎn)品和系統(tǒng)都可以接入到SMC這個(gè)框架中來(lái)，用戶自己現(xiàn)有的安全產(chǎn)品或技術(shù)也可以直接納入該平臺(tái)。不過，華丹也坦言， APT攻擊非常復(fù)雜，而且千變?nèi)f化，如果想主動(dòng)去了解其要發(fā)動(dòng)攻擊的路徑或其中的流程其實(shí)不太可能，對(duì)于企業(yè)來(lái)說(shuō)，當(dāng)他擁有了SMC框架后，他所要做的事就是盡可能把SMC的功能用好，利用SMC應(yīng)對(duì)APT攻擊最好的辦法就是，將這套系統(tǒng)真正跟企業(yè)業(yè)務(wù)結(jié)合，而不應(yīng)簡(jiǎn)單視其為上了一個(gè)IT項(xiàng)目而已，要通過流程的持續(xù)優(yōu)化，真正解決問題。