專家們構(gòu)想的新模型、即新型信息安全運維中心（SOC）包括6個核心要素，RSA開發(fā)的演示系統(tǒng)說明了這種新型信息安全運維中心的有效性。該演示系統(tǒng)模擬了加入了推薦核心要素之前和之后，信息安全運維中心受到APT類攻擊的情況。演示過程重點顯示，在攻擊事件發(fā)生時和發(fā)生后，所采用的新技術(shù)怎樣有效阻止了攻擊并改進了模型。該新一代信息安全運維中心演示系統(tǒng)采用了EMC、VMware和RSA的技術(shù)，并成功地實現(xiàn)了實驗技術(shù)及理論方法與當(dāng)前的商用產(chǎn)品和最佳實踐結(jié)合。

VMware公司全球公共服務(wù)行業(yè)部門首席技術(shù)官David Hunter表示：“就多數(shù)大型企業(yè)而言，遭遇高級持續(xù)性威脅是不可避免的。今天的IT環(huán)境如此復(fù)雜，我們預(yù)計，高級持續(xù)性威脅將越來越多地將目標(biāo)鎖定到企業(yè)的知識產(chǎn)權(quán)上，這就要求企業(yè)改進IT和信息安全運維機制，以防備高級持續(xù)性威脅以及其他快速發(fā)展的安全威脅。”

 

RSA首席技術(shù)官Bret Hartman表示：“要以云的速度和規(guī)模管理信息安全，并應(yīng)對高級持續(xù)性攻擊等不可預(yù)測的自適應(yīng)型安全威脅，企業(yè)必須以目前的信息安全運維中心功能為基礎(chǔ)，改進信息安全運維機制，以有效應(yīng)對這些新的安全威脅。”

 

在2月14日至18日于美國舊金山Moscone會議中心舉行的2011 RSA大會上，RSA演示了這種新型信息安全運維中心的功能，以此展現(xiàn)RSA在業(yè)界的領(lǐng)先地位。

 

 

 

這種新的信息安全運維機制包括6個核心要素，還包括一份規(guī)范的指導(dǎo)書，指導(dǎo)如何將這些要素納入現(xiàn)有信息安全運維機制。這些要素包括：

 

•風(fēng)險規(guī)劃：新的信息安全運維中心將采用更以信息為核心的方式進行安全風(fēng)險規(guī)劃，并花精力了解哪些企業(yè)資產(chǎn)非常重要、必不可少，需要加以保護。按照GRC(信息治理,風(fēng)險和法規(guī)遵從)政策確定的優(yōu)先事項，信息安全團隊必須針對企業(yè)“皇冠上的明珠”（最重要的信息資產(chǎn)） 進行風(fēng)險評估。

 

•攻擊建模：要建立復(fù)雜環(huán)境的攻擊模型，需要確定哪些系統(tǒng)、哪些人和哪些流程能訪問重要信息。一旦建好了威脅表面模型，企業(yè)就能確定可能的攻擊方向和強度，并研究防御措施，以高效、快速地隔離有危險的訪問點。RSA實驗室已經(jīng)根據(jù)已知的高級持續(xù)性攻擊方法開發(fā)出理論模型，并運用理論原理確定了最高效地切斷攻擊的途徑以及優(yōu)化防御成本的方法。

 

•虛擬化環(huán)境：虛擬化將成為未來信息安全運維中心的核心功能，可帶來多種信息安全方面的益處。例如，如果懷疑電子郵件、附件和URL藏有惡意軟件，那么企業(yè)就可以將其放入“沙箱” (一種限制代碼運行安全區(qū)的方式)。任何可疑的東西都可以裝入一個隔離的系統(tǒng)管理程序，虛擬機可以與系統(tǒng)的其余部分切斷聯(lián)系。

 

•自助學(xué)習(xí)并預(yù)測分析：信息安全運維中心要在未來的IT環(huán)境中仍然有價值，就必須真正地集成法規(guī)遵從監(jiān)控和風(fēng)險管理功能。系統(tǒng)應(yīng)該不斷地監(jiān)控企業(yè)環(huán)境，確定典型狀態(tài)，然后就可以依據(jù)這些典型狀態(tài)較早地確定問題。基于統(tǒng)計數(shù)據(jù)的預(yù)測性建模有助于找到各種不同警報之間的關(guān)聯(lián)。盡管有些必不可少的技術(shù)今天已經(jīng)能提供了，但是開發(fā)這樣一個運維中心需要在實時行為分析方面有所創(chuàng)新。

 

•自動化的、基于風(fēng)險的決策系統(tǒng)：一個更加智能化的信息安全運維中心的關(guān)鍵不同之處是，它能即時評估風(fēng)險，并相應(yīng)地改變響應(yīng)。與基于風(fēng)險的身份認(rèn)證類似，這樣的信息安全運維中心將通過預(yù)測性分析來發(fā)現(xiàn)高風(fēng)險事件，然后自動啟動補救行動。在這類面向云的系統(tǒng)自動化手段中，動態(tài)“留痕”是前景最令人振奮的創(chuàng)新之一。為了實施一次高級持續(xù)性攻擊，攻擊者必須了解網(wǎng)絡(luò)結(jié)構(gòu)，并能為其建模。為了應(yīng)對這個問題，企業(yè)可以重新安排整個網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)，以擾亂攻擊者的偵查。這與現(xiàn)實中頻繁地重新安排一個城市的布局類似，而且整個過程可以自動完成，因此系統(tǒng)之間的連接仍然完好無損，而且無需人工干預(yù)，就可以處理相互依存關(guān)系。

 

•通過取證分析和社區(qū)學(xué)習(xí)持續(xù)改進：盡管取證式分析可能密集占用資源，但它是信息安全運維中心必不可少的組成部分，也是減輕后續(xù)攻擊影響的關(guān)鍵。虛擬化環(huán)境可以提供安全事件發(fā)生時的IT環(huán)境快照，如果攻擊檢測推遲了，那么快照可以提供有用信息。分享攻擊信息是信息安全運維中心技術(shù)的未來。人們應(yīng)該接受這個概念，即在各自的行業(yè)內(nèi)交換安全威脅信息，并更好地預(yù)測高級持續(xù)性攻擊的途徑，從而確定對策。

 

 

•EMC公司信息安全事業(yè)部RSA的全球市場部首席技術(shù)官Sam Curry；

•EMC公司信息安全事業(yè)部RSA首席技術(shù)官Bret Hartman

•VMware公司全球政府行業(yè)部首席技術(shù)官David Hunter

•EMC公司全球信息安全部首席安全官David Martin

•EMC公司信息安全事業(yè)部RSA實驗室高級技術(shù)戰(zhàn)略家Dennis R. Moreau博士

•EMC公司信息安全事業(yè)部RSA高級技術(shù)戰(zhàn)略家Alina Oprea博士

•EMC公司信息安全事業(yè)部RSA消費者身份保護部新技術(shù)負(fù)責(zé)人Uri Rivner

•EMC公司信息安全事業(yè)部RSA新業(yè)務(wù)拓展部高級經(jīng)理Dana Elizabeth Wolf

 

《RSA信息安全概要》旨在就當(dāng)前最緊迫的信息安全風(fēng)險和由此帶來的商機，向信息安全領(lǐng)導(dǎo)者提供必不可少的指導(dǎo)。每一版《RSA信息安全概要》都由精選的信息安全應(yīng)急相應(yīng)團隊專家撰寫，他們倡導(dǎo)企業(yè)就新出現(xiàn)的關(guān)鍵話題分享專業(yè)知識。《RSA信息安全概要》既提供全局性看法，又提供實際的技術(shù)建議，是今天具有前瞻性的信息安全從業(yè)者不可或缺的讀物。

相關(guān)播客：大話IT之RSA歸來看APT高持續(xù)性威脅(音頻)

更多有關(guān)2011 RSA大會的情況，請參看51CTO專題報道：http://netsecurity.51cto.com/secu/RSA2011/