楊光

2月29日-3月4日，信息安全峰會(huì)RSA Conference 2016于美國(guó)舊金山召開。作為全球知名的IT安全界盛會(huì)，不僅邀請(qǐng)各地區(qū)安全專家出席與分享，更吸引匯集了全球眾多安全廠商的聯(lián)袂參展。據(jù)悉，本屆大會(huì)有200多場(chǎng)的專題演講和10場(chǎng)以上的沙盒專場(chǎng)，議題包括加密技術(shù)、物聯(lián)網(wǎng)安全以及云端安全等。

了解安全趨勢(shì)的風(fēng)向標(biāo)

自從1995年首屆RSA大會(huì)開啟以來(lái)，這一IT安全盛會(huì)已經(jīng)迎來(lái)了它的第21個(gè)年頭。今年的RSA2016主題被確定為“Connect to Protect（從連接到保護(hù)）”，相比去年的“變化：挑戰(zhàn)當(dāng)今的安全理念”主題，則明顯將網(wǎng)絡(luò)連接與安全防護(hù)兩大方向作為大會(huì)的主旋律。對(duì)于提出這個(gè)主題，主辦方表示，科技演進(jìn)的主要驅(qū)動(dòng)力之一，便是對(duì)于連接新的人、新的思想的不斷渴望。古騰堡印刷機(jī)通過印刷文字把人們連接到一起；無(wú)線電將全球范圍內(nèi)發(fā)生的新聞和文化進(jìn)行著傳遞；電話則讓遠(yuǎn)隔萬(wàn)里的人們能夠?qū)崟r(shí)交談。今天，互聯(lián)網(wǎng)則通過此前無(wú)人能夠想象的方式將人們相連接。

雖然即時(shí)連接的世界為人們提供了巨大的好處，但是現(xiàn)在它的一個(gè)缺點(diǎn)也越來(lái)越凸顯，那就是惡意攻擊者不斷運(yùn)用更為成熟、復(fù)雜的攻擊手段來(lái)竊取人們的數(shù)據(jù)，擾亂人們的生活。25年前，RSA大會(huì)成立后，專業(yè)人員通過這個(gè)平臺(tái)可以相互溝通交流，共同應(yīng)對(duì)日益增長(zhǎng)的網(wǎng)絡(luò)安全威脅。今天，RSA大會(huì)不僅促進(jìn)了信息安全領(lǐng)域的連接，而且在過去、現(xiàn)在和未來(lái)，也促進(jìn)了IT領(lǐng)域其他企業(yè)與私營(yíng)和公共部門的聯(lián)系。無(wú)數(shù)的想法從這里開始，大家通過共享知識(shí)與協(xié)作，促使這些想法成長(zhǎng)形成更大的概念，用來(lái)更好地保護(hù)今天的數(shù)字世界。

華為ATP防御解決方案

APT防御作為一個(gè)持續(xù)的話題，在本次展會(huì)依然被熱捧。在本次RSA會(huì)議上華為發(fā)布了自適應(yīng)的APT防御解決方案，涵蓋了從防御到檢測(cè)，再到APT事件調(diào)查以及整網(wǎng)的安全態(tài)勢(shì)感知等功能，該模型吸引了大量的參觀者，成為華為展臺(tái)的一個(gè)被熱烈討論的話題。

俗話說(shuō)：兵來(lái)將擋，水來(lái)土淹。為了應(yīng)對(duì)APT的強(qiáng)勢(shì)攻擊，華為按照“舉重若輕，舉輕若重”的思路，在這個(gè)防御模型的基礎(chǔ)上，推出了兩個(gè)不同的解決方案，分別為輕量級(jí)和重量級(jí)APT防御解決方案，從不同的角度對(duì)APT進(jìn)行防御，這種針對(duì)不同用戶的不同應(yīng)對(duì)方法極大的滿足用戶的多樣需求，而且用戶也可以平滑地從輕量級(jí)的解決方案升級(jí)到重量級(jí)的解決方案。

華為輕量級(jí)APT解決方案采用“四兩撥千斤”的思維，只對(duì)APT中的關(guān)鍵的惡意軟件、對(duì)外通道進(jìn)行深度檢測(cè)和攔截，形同斷黑客之手臂，使其攻擊力盡失。

該解決方案以華為沙箱為基礎(chǔ)，通過和華為NGFW進(jìn)行安全聯(lián)動(dòng)以及l(fā)ogcenter進(jìn)行APT攻擊展示構(gòu)成一個(gè)整體的解決方案。華為沙箱深度檢測(cè)惡意軟件和C&C通道，秒級(jí)同步這些IOC信息給NGFW，防火墻自動(dòng)響應(yīng)，生成相關(guān)的攔截策略，實(shí)現(xiàn)快速攔截，而logcenter產(chǎn)品采集兩個(gè)設(shè)備的相關(guān)日志信息，通過關(guān)聯(lián)分析，可以準(zhǔn)確地展示APT攻擊中惡意軟件的感染范圍，惡意文件下載的情況，以及整網(wǎng)的安全態(tài)勢(shì)情況。

華為的重量級(jí)解決方案則采用了另外一種思維。以持續(xù)檢測(cè)對(duì)抗持續(xù)攻擊，重量級(jí)解決方案以CIS大數(shù)據(jù)安全分析平臺(tái)為基礎(chǔ)，通過對(duì)現(xiàn)網(wǎng)關(guān)鍵路徑流量的采集、關(guān)鍵系統(tǒng)的日志信息等，采用機(jī)器學(xué)習(xí)的方式，快速檢測(cè)各種異常行為，包括檢測(cè)Web異常、Mail異常、DNS異常等，構(gòu)筑了涵蓋整個(gè)APT攻擊鏈的異常檢測(cè)，通過這些異常，進(jìn)行多維度的分析，能快速對(duì)APT攻擊進(jìn)行預(yù)警，有效地縮小了安全響應(yīng)的時(shí)間窗。

而在這些檢測(cè)的基礎(chǔ)上，CIS還實(shí)現(xiàn)了對(duì)APT攻擊事件的調(diào)查，通過完整的展示Kill-chain攻擊路徑，以及對(duì)路徑中的每個(gè)節(jié)點(diǎn)進(jìn)行數(shù)據(jù)鉆取，通過大量相關(guān)的數(shù)據(jù)，充分實(shí)現(xiàn)對(duì)APT攻擊進(jìn)行調(diào)查。

輕重量級(jí)APT防御解決方案，為用戶提供了端到端的防御模型，構(gòu)筑了完整的APT防御體系，為用戶提供了多樣的選擇。

最值得關(guān)注的創(chuàng)新產(chǎn)品

對(duì)于企業(yè)信息安全主管來(lái)說(shuō)，不僅要建立公司安全管理體系，從物理安全、網(wǎng)絡(luò)安全、應(yīng)用安全、信息安全、運(yùn)營(yíng)安全、業(yè)務(wù)連續(xù)性及容災(zāi)等多個(gè)角度設(shè)計(jì)公司安全架構(gòu)，還要制定各種規(guī)范制度，并負(fù)責(zé)監(jiān)管信息安全體系內(nèi)的各子系統(tǒng)安全、穩(wěn)定、高效的運(yùn)行。因此，在RSA 2016上發(fā)布的新產(chǎn)品，至少有以下幾款不得不重點(diǎn)關(guān)注。

■Bastille 無(wú)線安全產(chǎn)品

Bastille公司產(chǎn)品定位是無(wú)線安全，產(chǎn)品在傳統(tǒng)的WiFi基礎(chǔ)上能夠支持2.4G 和5G 頻段，蜂窩 2G/3G/4G/LTE， 藍(lán)牙，zigbee Z-wave，DECT，ENOCEAN，nRF24等無(wú)線通迅機(jī)制和協(xié)議。建立了無(wú)線安全特征庫(kù)，同時(shí)提供云服務(wù)器端進(jìn)行升級(jí)和同步。該產(chǎn)品利用了軟件無(wú)線電技術(shù)，對(duì)無(wú)線通信進(jìn)行探測(cè)和安全檢查。

■Webroot BrightCloud威脅調(diào)查工具

BrightCloud威脅調(diào)查工具是一套威脅調(diào)查方案，能夠?yàn)槠髽I(yè)客戶提供與個(gè)別IP及URL相關(guān)之可操作威脅情報(bào)的即時(shí)訪問能力，從而實(shí)現(xiàn)威脅調(diào)查與事件響應(yīng)。

BrightCloud曾是全球最大的網(wǎng)址分類導(dǎo)航和內(nèi)容過濾的互聯(lián)網(wǎng)服務(wù)提供商。其網(wǎng)絡(luò)覆蓋十?dāng)?shù)倍于其他同類服務(wù)提供商。通過過濾網(wǎng)頁(yè)減少用戶對(duì)那些不明網(wǎng)站的訪問，BrightCloud強(qiáng)大的網(wǎng)址分類和網(wǎng)頁(yè)過濾技術(shù)極大地降低了用戶瀏覽互聯(lián)網(wǎng)可能遭遇的各種風(fēng)險(xiǎn)。

■360 DDoSMon系統(tǒng)

這是360公司在RSA 2016上發(fā)布的全球唯一一個(gè)面向全互聯(lián)網(wǎng)提供DDoS監(jiān)測(cè)和告警服務(wù)的系統(tǒng)。

從目前的數(shù)據(jù)看，對(duì)于全球成規(guī)模的DDoS事件，DDoSMon基本都會(huì)在第一時(shí)間成功探測(cè)檢出，在準(zhǔn)確度和及時(shí)性方面都有非常好的表現(xiàn)。同時(shí)360還能結(jié)合多種數(shù)據(jù)源，對(duì)某些種類的DDoS攻擊，還有更多后臺(tái)僵尸網(wǎng)絡(luò)主控的發(fā)現(xiàn)機(jī)制，從而能更好地幫助用戶看到攻擊的深層內(nèi)幕。

360在本屆RSA大會(huì)期間向全球用戶展示了其領(lǐng)先的威脅情報(bào)實(shí)力。在威脅情報(bào)方面，截至目前，360擁有超過95億樣本量、50億條DNS解析記錄以及眾多第三方數(shù)據(jù)源。

■Nubo遠(yuǎn)程安全虛擬化服務(wù)

Nubo提供安全遠(yuǎn)程虛擬工作區(qū)，旨在為全部iOS與Android設(shè)備提供原生應(yīng)用體驗(yàn)。全部員工應(yīng)用與企業(yè)數(shù)據(jù)皆立足于云環(huán)境進(jìn)行托管與控制。這使得企業(yè)能夠擁有自身數(shù)據(jù)與應(yīng)用程序，而員工則擁有其工作設(shè)備。

對(duì)于企業(yè)信息安全主管來(lái)說(shuō)，隨著移動(dòng)辦公的快速發(fā)展，如何保障公司信息不隨著員工的終端而泄露，更為合理地配置員工對(duì)公司數(shù)據(jù)的使用權(quán)限，Nubo的作用不容小視。

■AuSM

AuSM是一套開源SDN框架，旨在通過API接入多種不同網(wǎng)絡(luò)與監(jiān)控工具，并將其整體為單一平臺(tái)以實(shí)現(xiàn)涵蓋整體WAN、數(shù)據(jù)中心網(wǎng)絡(luò)以及存儲(chǔ)系統(tǒng)的統(tǒng)一化業(yè)務(wù)策略。

AuSM能夠有效削減管理員數(shù)量以及投入到SDN部署工作中的時(shí)間，同時(shí)更好地保證IT目標(biāo)能夠與業(yè)務(wù)目標(biāo)實(shí)現(xiàn)契合。

■War Room

War Room是一款企業(yè)級(jí)應(yīng)用，能夠提供實(shí)時(shí)事件與危機(jī)管理，能夠同時(shí)通過將企業(yè)管理人員需要的各類信息片段整合至云中以構(gòu)建起立足于共享空間的全面事件細(xì)節(jié)視圖。

現(xiàn)在的RSA大會(huì)已成為一個(gè)快速了解全球安全趨勢(shì)的風(fēng)向標(biāo)，也成為影響安全產(chǎn)業(yè)轉(zhuǎn)型與持續(xù)發(fā)展的重要產(chǎn)品發(fā)布平臺(tái)。