过去只是针对于国防和军队等高端网络威胁目前正在发展成为针对大型主流企业和组织的高级网络威胁,这些网络攻击者追求着更高价值的虚拟数字资产和价值,譬如企业知识产权和其他专有数据及系统等。
之前总觉得自己不会被犯罪份子盯上的公司纷纷遭到攻击,它们或者被当作跳板,或者就是直接攻击对象。敏感数据不停的泄漏出去,潜伏在内网的高级木马如幽灵般不可捉摸……
另外,虚拟机和BYOD设备的不断增加,让企业架构越来越复杂,直接导致安全性下降。网络管理员为了让业务跑起来,不得不减少其安全工作。
传统的安全架构
目前,一些企事业单位经常用的安全架构是在边界部署IPS/UTM设备,然后再部署企业版杀毒软件、网管软件、VPN等等。如图所示。
IPS和UTM负责在边界拦截威胁,VPN负责安全接入,而企业防毒软件负责终端安全,看上去似乎还是比较安全的。但是现在的威胁方式多种多样。有政府级别的攻击,社交网络攻击,定向钓鱼,免杀,零日漏洞,拒绝服务……而高级网络威胁往往由多种攻击方式组合,不但难以阻止,有时连发现都很难发现,堪称APT(Advanced Persistent Threat)。
面对这类骇客威胁,常规的解决方案并不能起到太多遏制作用。骇客们只要稍为谨慎一些,便可以来去自由。于是,很多公司只有在自己的数据被贴到共享网站上之后,才发现自己公司的网络被攻击,数据被泄露了。
在谈到此节时,RSA资深顾问华丹表示,APT攻击近年来越来越产业化和分工化,并且带有组织性和明确的攻击目标。面对这样的一个有组织的攻击或者网络犯罪,企业目前的安全防护可能起不到很大作用。
组织和企业需要制定新的信息安全防御战略
如此说来,上述传统安全架构就一无是处了?答案并不是这样。上述传统安全架构不可或缺,但新的信息安全防御战略,需要在上述安全架构中加一套东西,整合边界和终端的安全方案,让他们发挥更大的力量。
首先,在这里需要问一个问题。
恶意行为从哪里进来的,什么时候进来的,恶意行为来自哪里?如果某个安全运维人员每天不吃不喝勤奋翻阅日志,实时检查接入信息,有事儿没事儿就用扫描器扫描网络……也许,他可以回答上述问题。但这样的安全运维人员似乎很少见。不过要回答上述问题,也不用请个那么神勇的运维。只要在传统安全架构上加一套SMC (安全管理中心),压力便可大大的缓解。
RSA SMC安全管理中心如何应对高级网络威胁
在说起SMC之前,大家需要先了解在网络安全保护中,企业所需要的四种能力。它们分别是:全面的可视性,灵活的分析能力,智能的实时指示,公司治理与合规。
与此对应,SMC的框架则让企业拥有了以上四种能力。SMC将海量数据进行分析之后,提出相应的管理办法。管理员不但可以对整个事态了如指掌,还可以针对结果进行自动或手动的处理。
以RSA的SMC平台举例,其中的核心便是RSA Archer GRC,RSA NetWitness,RSA DLP,RSA envision四大模块。其工作模式如图所示。
收集到Firewall/IPS/IDS的实时入侵威胁数据,再将潜在漏洞信息进行整合。不管是已知/未知威胁,都将被优化和管理。多个模块组成的智能安全架构,才是阻止高级网络威胁泛滥的有效方式。
