知己知彼 RSA安全管理中心叫板APT

APT（高级持续威胁）在过去的2年多时间中，正逐渐成为威胁企业安全的主流攻击方式。它的每一次出现，都会震动安全产业的神经；它的每一次出现，精细化程度和复杂程度都会引发企业对现有安全策略和架构的思考；它的每一次出现，目标靶单上的主角都会让人们大吃一惊，这份靶单上除了国家、组织机构、知名企业等外，甚至安全厂商也在劫难逃。据了解，在2011年美国本土有超过70次在APT范畴的大型安全攻击。

企业的高价值资产、关键数据成为APT攻击者不断追寻的猎物，它们包括：知识产权、高的访问权限、私有数据和系统。美国国家标准和技术研究院对APT给出了详细定义：精通复杂技术的攻击者利用多种攻击向量(如：网络，物理和欺诈)借助丰富资源创建机会实现自己目的。”这些目的通常包括对目标企业的信息技术架构进行篡改从而盗取数据(如将数据从内网输送到外网)，执行或阻止一项任务，程序；又或者是潜入对方架构中伺机进行偷取数据。APT威胁：1.会长时间重复这种操作；2.会适应防御者从而产生抵抗能力；3.会维持在所需的互动水平以执行偷取信息的操作。

诱发APT逐渐成为针对企业的主流安全威胁的因素有很多，比如竞争加剧的全球经济环境，金融市场的衰退，企业现有IT系统和安全架构的弊端。而对于大多数企业而言，不得不通过全新的思路和找寻更加有效的方法来应对APT攻击威胁。

近日RSA通过网络会议的形式举办了“领先一步应对危机四伏的高级网络威胁”研讨会，RSA资深技术顾问华丹在线分享了RSA如何帮助企业应对APT攻击的思路和方法。

知彼——解析APT典型流程

华丹首先分享了一个典型的APT攻击流程，这个流程你可能似曾相识，因为有的步骤也适用于其他安全威胁流程，比如木马制造，恶意分发，僵尸机的控制等。

如图所示，这是一个典型的APT恶意软件分发流程，需要五个步骤：黑客制造木马并通过0-day漏洞随机的控制僵尸机，通过目前主流的社交网络、IM工具等放出消息售卖其木马和僵尸资源，位于黑客产业链的第三方恶意软件资源得到消息后，会提供各种形式的恶意软件，并委托其将恶意软件放到分发更新服务器，被随机控制的僵尸机会通过分发服务器下载第三方恶意软件并释放恶意软件，僵尸机上的有价值信息会被窃取，同时这台机器会成为跳板，以帮助恶意软件潜入进更有价值的企业关键服务器。

华丹表示，“不管是APT，还是恶意软件分发都越来越产业化，分工更加精细，而且目标也更加明确，就是企业的关键数据和信息的重要节点。对于企业而言，目前的安全架构正在失效，因为在很短的时间，数据和信息就泄露了，而且攻击者全身而退，留给企业的可能是无迹可寻，或者花费很长的时间来调查数据和信息的泄露原因。”

对于APT攻击，企业所面临的挑战主要是APT攻击不易察觉，因为它的恶意程序回报有别于传统的攻击方式；此外，由于不明显的攻击和立即损害，会让企业低估APT攻击所带来的损失，后知后觉和数据泄露，让企业纠结于是否企业内部出现人为的泄露。

知己——应对APT先过自己这关

对于企业而言，面对APT攻击的挑战，他们都可能会关注这些问题。比如面对APT，企业是否有智能的收集和分析能力？安全控管是否能找对方向？攻击者是否获得了管理的权限和账户？企业中有多少用户的电脑已经成为牺牲品？企业管理者是否会加大投资来应对APT攻击？是否能与同行交流到更多的经验？等等问题。

RSA有自己的见解。华丹指出，“企业应对复杂的APT攻击，第一具备全面的可视性，即企业是怎样的一个状态，有哪些风险，有哪些资产是要保护的；第二需要灵活的分析，一旦遭遇APT攻击，需要有工具或平台能够帮助企业快速定位和分析攻击者是通过什么途径侵入企业？窃取了什么？第三企业治理与合规，企业需要在IT层面和业务层面有清晰的规范，比如资产状况，设备管理情况等；第四智能的实时显示，企业需要第一时间确定身份目标、攻击和事件，是来自有目的的攻击，还是祸起萧墙？

有了这四方面，就足够了吗？答案显然不是。华丹强调，“应对APT最困难的不是在技术层面，很多时候是在前期。企业应对APT，首先要看企业对APT或网络威胁的重视程度和理解程度。最常见的情况是，企业IT安全部门认为防御APT很重要，但企业领导不这么认为，那么问题就产生了；此外从技术角度，应对APT攻击时，企业在前期的选型和逻辑设计，选择APT攻击的解决方案时要评估、测试解决方案是否能够真正有效地实现防御、消除、以及事后调查。所以首先要看企业目前IT的成熟度，应对APT是否有决心；此外，在前期架构设计上是否有一套解决方案能够真正化解威胁。在整体框架确定后，才要考虑技术和与现有安全系统的融合。”

显然应对APT是技术问题，但更是考验企业IT信息化进程、宏观安全策略和心理博弈的综合能力评估问题，所以我才在这一小节的开始部分，与企业一起提出了这些问题。那么你有这样问过自己吗？

SMC海量数据分析为基 架构与协同取胜

RSA安全管理中心SMC是一套整体的解决方案，应对APT时它工作的一部分。SMC强调事前、事中、事后的管理。事前，梳理企业IT治理情况，定义优先权；事中，进行分析、定位、实时记录的可视化过程；事后，如果发生安全情况，在最短时间找到APT攻击者，给出处理建议。要实现事前、事中、事后的完美结合，需要一个整体的框架和不同工具的有效协同。

华丹表示，“SMC框架以海量数据分析为基础，企业IT治理和可视化流程都基于这一前提，对数据进行分析，进行实时的报表、事件调查、恶意软件分析、虚拟化和数据防泄露等。在数据分析的基础上进行APT的治理和合规事件的管理。”

如图RSA SMC系统框架，中间是SMC架构的云端，管理数据信息的分析和APT治理。左边进行日志和信息收集，右边进行网络数据的收集，以及其他的和外部信息分析等。

这个框架依靠RSA Archer、RSA NetWitness、RSA enVision和RSA DLP协同支撑。RSA Archer是企业IT治理和合规治理的产品，包括策略、风险和合规定义和管理，它能够把我们所有的企业资产，包括APT等一些信息，还有一些监测到的信息全部汇总，整理到统一的平台之上，给出具有业务层面参考的价值，一些操作的智能和综合的管理；RSA NetWitness可以到内部的层面，分析具体安全威胁，并重建攻击路径和攻击源头，模拟威胁思路和路径等；RSA enVision是专门来做收集和管理的，包括应用系统、安全系统、数据库等等，将所有的数据进行收集，并且实时的产生关联；RSA DLP是发现和定义敏感数据，并且执行数据策略。

华丹指出，“管理由RSA Archer完成，如企业资产定义和管理，RSA enVision负责设备日志信息手机，如设备状况和状态，敏感事件发生时，enVision可以直接进行处理，RSA NetWitness，完成对数据和应用的信息收集，DLP执行数据防丢失策略。协同构成针对企业内部资产、能力资源管理系统，ERP等完整的安全管理系统架构。”

最后，华丹告诉ZDNet，“对于不同的客户，不同的企业规模，不同的企业IT成熟度，不同的需求，SMC可根据用户的需求量体裁衣。4个产品不一定全部都要用，甚至可以只用一个。在RSA Archer中有9个模块，包括事件管理、企业管理、策略管理等，企业也可根据业务发展选择。4个解决方案的选择，没有先后次序。”