【51CTO旧金山综合报道】2011年2月16日 ,EMC公司信息安全事业部RSA发布题为“倡导智能化信息安全运维,应对高级持续性威胁”的《RSA信息安全概要》。
在高级持续性威胁(APT)不断升级的今天,企业为了更好地识别安全威胁、确定优先采取哪些行动,采取了各种应对方式。不过这些应对方式出现了一些基本但具有战略意义的变化。这份新发布的信息安全概要概述了这些变化。来自RSA、EMC和VMware的信息安全专家在概要中构想了一种具有前瞻性的新型信息安全运维模型,该模型专为帮助企业有效应对这些新的、复杂的攻击而设计。
专家们构想的新模型、即新型信息安全运维中心(SOC)包括6个核心要素,RSA开发的演示系统说明了这种新型信息安全运维中心的有效性。该演示系统模拟了加入了推荐核心要素之前和之后,信息安全运维中心受到APT类攻击的情况。演示过程重点显示,在攻击事件发生时和发生后,所采用的新技术怎样有效阻止了攻击并改进了模型。该新一代信息安全运维中心演示系统采用了EMC、VMware和RSA的技术,并成功地实现了实验技术及理论方法与当前的商用产品和最佳实践结合。
VMware公司全球公共服务行业部门首席技术官David Hunter表示:“就多数大型企业而言,遭遇高级持续性威胁是不可避免的。今天的IT环境如此复杂,我们预计,高级持续性威胁将越来越多地将目标锁定到企业的知识产权上,这就要求企业改进IT和信息安全运维机制,以防备高级持续性威胁以及其他快速发展的安全威胁。”
RSA首席技术官Bret Hartman表示:“要以云的速度和规模管理信息安全,并应对高级持续性攻击等不可预测的自适应型安全威胁,企业必须以目前的信息安全运维中心功能为基础,改进信息安全运维机制,以有效应对这些新的安全威胁。”
在2月14日至18日于美国旧金山Moscone会议中心举行的2011 RSA大会上,RSA演示了这种新型信息安全运维中心的功能,以此展现RSA在业界的领先地位。
信息安全运维新愿景的6个核心要素
这种新的信息安全运维机制包括6个核心要素,还包括一份规范的指导书,指导如何将这些要素纳入现有信息安全运维机制。这些要素包括:
•风险规划:新的信息安全运维中心将采用更以信息为核心的方式进行安全风险规划,并花精力了解哪些企业资产非常重要、必不可少,需要加以保护。按照GRC(信息治理,风险和法规遵从)政策确定的优先事项,信息安全团队必须针对企业“皇冠上的明珠”(最重要的信息资产) 进行风险评估。
•攻击建模:要建立复杂环境的攻击模型,需要确定哪些系统、哪些人和哪些流程能访问重要信息。一旦建好了威胁表面模型,企业就能确定可能的攻击方向和强度,并研究防御措施,以高效、快速地隔离有危险的访问点。RSA实验室已经根据已知的高级持续性攻击方法开发出理论模型,并运用理论原理确定了最高效地切断攻击的途径以及优化防御成本的方法。
•虚拟化环境:虚拟化将成为未来信息安全运维中心的核心功能,可带来多种信息安全方面的益处。例如,如果怀疑电子邮件、附件和URL藏有恶意软件,那么企业就可以将其放入“沙箱” (一种限制代码运行安全区的方式)。任何可疑的东西都可以装入一个隔离的系统管理程序,虚拟机可以与系统的其余部分切断联系。
•自助学习并预测分析:信息安全运维中心要在未来的IT环境中仍然有价值,就必须真正地集成法规遵从监控和风险管理功能。系统应该不断地监控企业环境,确定典型状态,然后就可以依据这些典型状态较早地确定问题。基于统计数据的预测性建模有助于找到各种不同警报之间的关联。尽管有些必不可少的技术今天已经能提供了,但是开发这样一个运维中心需要在实时行为分析方面有所创新。
•自动化的、基于风险的决策系统:一个更加智能化的信息安全运维中心的关键不同之处是,它能即时评估风险,并相应地改变响应。与基于风险的身份认证类似,这样的信息安全运维中心将通过预测性分析来发现高风险事件,然后自动启动补救行动。在这类面向云的系统自动化手段中,动态“留痕”是前景最令人振奋的创新之一。为了实施一次高级持续性攻击,攻击者必须了解网络结构,并能为其建模。为了应对这个问题,企业可以重新安排整个网络的基础架构,以扰乱攻击者的侦查。这与现实中频繁地重新安排一个城市的布局类似,而且整个过程可以自动完成,因此系统之间的连接仍然完好无损,而且无需人工干预,就可以处理相互依存关系。
•通过取证分析和社区学习持续改进:尽管取证式分析可能密集占用资源,但它是信息安全运维中心必不可少的组成部分,也是减轻后续攻击影响的关键。虚拟化环境可以提供安全事件发生时的IT环境快照,如果攻击检测推迟了,那么快照可以提供有用信息。分享攻击信息是信息安全运维中心技术的未来。人们应该接受这个概念,即在各自的行业内交换安全威胁信息,并更好地预测高级持续性攻击的途径,从而确定对策。
《RSA信息安全概要》的作者包括很多业界最著名的信息安全领导者:
•EMC公司信息安全事业部RSA的全球市场部首席技术官Sam Curry;
•EMC公司信息安全事业部RSA首席技术官Bret Hartman
•VMware公司全球政府行业部首席技术官David Hunter
•EMC公司全球信息安全部首席安全官David Martin
•EMC公司信息安全事业部RSA实验室高级技术战略家Dennis R. Moreau博士
•EMC公司信息安全事业部RSA高级技术战略家Alina Oprea博士
•EMC公司信息安全事业部RSA消费者身份保护部新技术负责人Uri Rivner
•EMC公司信息安全事业部RSA新业务拓展部高级经理Dana Elizabeth Wolf
《RSA信息安全概要》旨在就当前最紧迫的信息安全风险和由此带来的商机,向信息安全领导者提供必不可少的指导。每一版《RSA信息安全概要》都由精选的信息安全应急相应团队专家撰写,他们倡导企业就新出现的关键话题分享专业知识。《RSA信息安全概要》既提供全局性看法,又提供实际的技术建议,是今天具有前瞻性的信息安全从业者不可或缺的读物。
更多有关2011 RSA大会的情况,请参看51CTO专题报道:http://netsecurity.51cto.com/secu/RSA2011/
