2016信息安全峰會(huì)：從連接到保護(hù)

楊光

2月29日-3月4日，信息安全峰會(huì)RSA Conference 2016于美國舊金山召開。作為全球知名的IT安全界盛會(huì)，不僅邀請各地區(qū)安全專家出席與分享，更吸引匯集了全球眾多安全廠商的聯(lián)袂參展。據(jù)悉，本屆大會(huì)有200多場的專題演講和10場以上的沙盒專場，議題包括加密技術(shù)、物聯(lián)網(wǎng)安全以及云端安全等。

了解安全趨勢的風(fēng)向標(biāo)

自從1995年首屆RSA大會(huì)開啟以來，這一IT安全盛會(huì)已經(jīng)迎來了它的第21個(gè)年頭。今年的RSA2016主題被確定為“Connect to Protect（從連接到保護(hù)）”，相比去年的“變化：挑戰(zhàn)當(dāng)今的安全理念”主題，則明顯將網(wǎng)絡(luò)連接與安全防護(hù)兩大方向作為大會(huì)的主旋律。對于提出這個(gè)主題，主辦方表示，科技演進(jìn)的主要驅(qū)動(dòng)力之一，便是對于連接新的人、新的思想的不斷渴望。古騰堡印刷機(jī)通過印刷文字把人們連接到一起；無線電將全球范圍內(nèi)發(fā)生的新聞和文化進(jìn)行著傳遞；電話則讓遠(yuǎn)隔萬里的人們能夠?qū)崟r(shí)交談。今天，互聯(lián)網(wǎng)則通過此前無人能夠想象的方式將人們相連接。

雖然即時(shí)連接的世界為人們提供了巨大的好處，但是現(xiàn)在它的一個(gè)缺點(diǎn)也越來越凸顯，那就是惡意攻擊者不斷運(yùn)用更為成熟、復(fù)雜的攻擊手段來竊取人們的數(shù)據(jù)，擾亂人們的生活。25年前，RSA大會(huì)成立后，專業(yè)人員通過這個(gè)平臺(tái)可以相互溝通交流，共同應(yīng)對日益增長的網(wǎng)絡(luò)安全威脅。今天，RSA大會(huì)不僅促進(jìn)了信息安全領(lǐng)域的連接，而且在過去、現(xiàn)在和未來，也促進(jìn)了IT領(lǐng)域其他企業(yè)與私營和公共部門的聯(lián)系。無數(shù)的想法從這里開始，大家通過共享知識(shí)與協(xié)作，促使這些想法成長形成更大的概念，用來更好地保護(hù)今天的數(shù)字世界。

華為ATP防御解決方案

APT防御作為一個(gè)持續(xù)的話題，在本次展會(huì)依然被熱捧。在本次RSA會(huì)議上華為發(fā)布了自適應(yīng)的APT防御解決方案，涵蓋了從防御到檢測，再到APT事件調(diào)查以及整網(wǎng)的安全態(tài)勢感知等功能，該模型吸引了大量的參觀者，成為華為展臺(tái)的一個(gè)被熱烈討論的話題。

俗話說：兵來將擋，水來土淹。為了應(yīng)對APT的強(qiáng)勢攻擊，華為按照“舉重若輕，舉輕若重”的思路，在這個(gè)防御模型的基礎(chǔ)上，推出了兩個(gè)不同的解決方案，分別為輕量級和重量級APT防御解決方案，從不同的角度對APT進(jìn)行防御，這種針對不同用戶的不同應(yīng)對方法極大的滿足用戶的多樣需求，而且用戶也可以平滑地從輕量級的解決方案升級到重量級的解決方案。

華為輕量級APT解決方案采用“四兩撥千斤”的思維，只對APT中的關(guān)鍵的惡意軟件、對外通道進(jìn)行深度檢測和攔截，形同斷黑客之手臂，使其攻擊力盡失。

該解決方案以華為沙箱為基礎(chǔ)，通過和華為NGFW進(jìn)行安全聯(lián)動(dòng)以及l(fā)ogcenter進(jìn)行APT攻擊展示構(gòu)成一個(gè)整體的解決方案。華為沙箱深度檢測惡意軟件和C&C通道，秒級同步這些IOC信息給NGFW，防火墻自動(dòng)響應(yīng)，生成相關(guān)的攔截策略，實(shí)現(xiàn)快速攔截，而logcenter產(chǎn)品采集兩個(gè)設(shè)備的相關(guān)日志信息，通過關(guān)聯(lián)分析，可以準(zhǔn)確地展示APT攻擊中惡意軟件的感染范圍，惡意文件下載的情況，以及整網(wǎng)的安全態(tài)勢情況。

華為的重量級解決方案則采用了另外一種思維。以持續(xù)檢測對抗持續(xù)攻擊，重量級解決方案以CIS大數(shù)據(jù)安全分析平臺(tái)為基礎(chǔ)，通過對現(xiàn)網(wǎng)關(guān)鍵路徑流量的采集、關(guān)鍵系統(tǒng)的日志信息等，采用機(jī)器學(xué)習(xí)的方式，快速檢測各種異常行為，包括檢測Web異常、Mail異常、DNS異常等，構(gòu)筑了涵蓋整個(gè)APT攻擊鏈的異常檢測，通過這些異常，進(jìn)行多維度的分析，能快速對APT攻擊進(jìn)行預(yù)警，有效地縮小了安全響應(yīng)的時(shí)間窗。

而在這些檢測的基礎(chǔ)上，CIS還實(shí)現(xiàn)了對APT攻擊事件的調(diào)查，通過完整的展示Kill-chain攻擊路徑，以及對路徑中的每個(gè)節(jié)點(diǎn)進(jìn)行數(shù)據(jù)鉆取，通過大量相關(guān)的數(shù)據(jù)，充分實(shí)現(xiàn)對APT攻擊進(jìn)行調(diào)查。

輕重量級APT防御解決方案，為用戶提供了端到端的防御模型，構(gòu)筑了完整的APT防御體系，為用戶提供了多樣的選擇。

最值得關(guān)注的創(chuàng)新產(chǎn)品

對于企業(yè)信息安全主管來說，不僅要建立公司安全管理體系，從物理安全、網(wǎng)絡(luò)安全、應(yīng)用安全、信息安全、運(yùn)營安全、業(yè)務(wù)連續(xù)性及容災(zāi)等多個(gè)角度設(shè)計(jì)公司安全架構(gòu)，還要制定各種規(guī)范制度，并負(fù)責(zé)監(jiān)管信息安全體系內(nèi)的各子系統(tǒng)安全、穩(wěn)定、高效的運(yùn)行。因此，在RSA 2016上發(fā)布的新產(chǎn)品，至少有以下幾款不得不重點(diǎn)關(guān)注。

■Bastille 無線安全產(chǎn)品

Bastille公司產(chǎn)品定位是無線安全，產(chǎn)品在傳統(tǒng)的WiFi基礎(chǔ)上能夠支持2.4G 和5G 頻段，蜂窩 2G/3G/4G/LTE， 藍(lán)牙，zigbee Z-wave，DECT，ENOCEAN，nRF24等無線通迅機(jī)制和協(xié)議。建立了無線安全特征庫，同時(shí)提供云服務(wù)器端進(jìn)行升級和同步。該產(chǎn)品利用了軟件無線電技術(shù)，對無線通信進(jìn)行探測和安全檢查。

■Webroot BrightCloud威脅調(diào)查工具

BrightCloud威脅調(diào)查工具是一套威脅調(diào)查方案，能夠?yàn)槠髽I(yè)客戶提供與個(gè)別IP及URL相關(guān)之可操作威脅情報(bào)的即時(shí)訪問能力，從而實(shí)現(xiàn)威脅調(diào)查與事件響應(yīng)。

BrightCloud曾是全球最大的網(wǎng)址分類導(dǎo)航和內(nèi)容過濾的互聯(lián)網(wǎng)服務(wù)提供商。其網(wǎng)絡(luò)覆蓋十?dāng)?shù)倍于其他同類服務(wù)提供商。通過過濾網(wǎng)頁減少用戶對那些不明網(wǎng)站的訪問，BrightCloud強(qiáng)大的網(wǎng)址分類和網(wǎng)頁過濾技術(shù)極大地降低了用戶瀏覽互聯(lián)網(wǎng)可能遭遇的各種風(fēng)險(xiǎn)。

■360 DDoSMon系統(tǒng)

這是360公司在RSA 2016上發(fā)布的全球唯一一個(gè)面向全互聯(lián)網(wǎng)提供DDoS監(jiān)測和告警服務(wù)的系統(tǒng)。

從目前的數(shù)據(jù)看，對于全球成規(guī)模的DDoS事件，DDoSMon基本都會(huì)在第一時(shí)間成功探測檢出，在準(zhǔn)確度和及時(shí)性方面都有非常好的表現(xiàn)。同時(shí)360還能結(jié)合多種數(shù)據(jù)源，對某些種類的DDoS攻擊，還有更多后臺(tái)僵尸網(wǎng)絡(luò)主控的發(fā)現(xiàn)機(jī)制，從而能更好地幫助用戶看到攻擊的深層內(nèi)幕。

360在本屆RSA大會(huì)期間向全球用戶展示了其領(lǐng)先的威脅情報(bào)實(shí)力。在威脅情報(bào)方面，截至目前，360擁有超過95億樣本量、50億條DNS解析記錄以及眾多第三方數(shù)據(jù)源。

■Nubo遠(yuǎn)程安全虛擬化服務(wù)

Nubo提供安全遠(yuǎn)程虛擬工作區(qū)，旨在為全部iOS與Android設(shè)備提供原生應(yīng)用體驗(yàn)。全部員工應(yīng)用與企業(yè)數(shù)據(jù)皆立足于云環(huán)境進(jìn)行托管與控制。這使得企業(yè)能夠擁有自身數(shù)據(jù)與應(yīng)用程序，而員工則擁有其工作設(shè)備。

對于企業(yè)信息安全主管來說，隨著移動(dòng)辦公的快速發(fā)展，如何保障公司信息不隨著員工的終端而泄露，更為合理地配置員工對公司數(shù)據(jù)的使用權(quán)限，Nubo的作用不容小視。

■AuSM

AuSM是一套開源SDN框架，旨在通過API接入多種不同網(wǎng)絡(luò)與監(jiān)控工具，并將其整體為單一平臺(tái)以實(shí)現(xiàn)涵蓋整體WAN、數(shù)據(jù)中心網(wǎng)絡(luò)以及存儲(chǔ)系統(tǒng)的統(tǒng)一化業(yè)務(wù)策略。

AuSM能夠有效削減管理員數(shù)量以及投入到SDN部署工作中的時(shí)間，同時(shí)更好地保證IT目標(biāo)能夠與業(yè)務(wù)目標(biāo)實(shí)現(xiàn)契合。

■War Room

War Room是一款企業(yè)級應(yīng)用，能夠提供實(shí)時(shí)事件與危機(jī)管理，能夠同時(shí)通過將企業(yè)管理人員需要的各類信息片段整合至云中以構(gòu)建起立足于共享空間的全面事件細(xì)節(jié)視圖。

現(xiàn)在的RSA大會(huì)已成為一個(gè)快速了解全球安全趨勢的風(fēng)向標(biāo)，也成為影響安全產(chǎn)業(yè)轉(zhuǎn)型與持續(xù)發(fā)展的重要產(chǎn)品發(fā)布平臺(tái)。