在2月14日至18日于美國舊金山Moscone會(huì)議中心舉行的2011 RSA大會(huì)上，RSA演示了這種新型信息安全運(yùn)維中心的功能，以此展現(xiàn)RSA在業(yè)界的領(lǐng)先地位。

 

 

 

這種新的信息安全運(yùn)維機(jī)制包括6個(gè)核心要素，還包括一份規(guī)范的指導(dǎo)書，指導(dǎo)如何將這些要素納入現(xiàn)有信息安全運(yùn)維機(jī)制。這些要素包括：

 

•風(fēng)險(xiǎn)規(guī)劃：新的信息安全運(yùn)維中心將采用更以信息為核心的方式進(jìn)行安全風(fēng)險(xiǎn)規(guī)劃，并花精力了解哪些企業(yè)資產(chǎn)非常重要、必不可少，需要加以保護(hù)。按照GRC(信息治理,風(fēng)險(xiǎn)和法規(guī)遵從)政策確定的優(yōu)先事項(xiàng)，信息安全團(tuán)隊(duì)必須針對(duì)企業(yè)“皇冠上的明珠”（最重要的信息資產(chǎn)） 進(jìn)行風(fēng)險(xiǎn)評(píng)估。

 

•攻擊建模：要建立復(fù)雜環(huán)境的攻擊模型，需要確定哪些系統(tǒng)、哪些人和哪些流程能訪問重要信息。一旦建好了威脅表面模型，企業(yè)就能確定可能的攻擊方向和強(qiáng)度，并研究防御措施，以高效、快速地隔離有危險(xiǎn)的訪問點(diǎn)。RSA實(shí)驗(yàn)室已經(jīng)根據(jù)已知的高級(jí)持續(xù)性攻擊方法開發(fā)出理論模型，并運(yùn)用理論原理確定了最高效地切斷攻擊的途徑以及優(yōu)化防御成本的方法。

 

•虛擬化環(huán)境：虛擬化將成為未來信息安全運(yùn)維中心的核心功能，可帶來多種信息安全方面的益處。例如，如果懷疑電子郵件、附件和URL藏有惡意軟件，那么企業(yè)就可以將其放入“沙箱” (一種限制代碼運(yùn)行安全區(qū)的方式)。任何可疑的東西都可以裝入一個(gè)隔離的系統(tǒng)管理程序，虛擬機(jī)可以與系統(tǒng)的其余部分切斷聯(lián)系。

 

•自助學(xué)習(xí)并預(yù)測(cè)分析：信息安全運(yùn)維中心要在未來的IT環(huán)境中仍然有價(jià)值，就必須真正地集成法規(guī)遵從監(jiān)控和風(fēng)險(xiǎn)管理功能。系統(tǒng)應(yīng)該不斷地監(jiān)控企業(yè)環(huán)境，確定典型狀態(tài)，然后就可以依據(jù)這些典型狀態(tài)較早地確定問題。基于統(tǒng)計(jì)數(shù)據(jù)的預(yù)測(cè)性建模有助于找到各種不同警報(bào)之間的關(guān)聯(lián)。盡管有些必不可少的技術(shù)今天已經(jīng)能提供了，但是開發(fā)這樣一個(gè)運(yùn)維中心需要在實(shí)時(shí)行為分析方面有所創(chuàng)新。

 

•自動(dòng)化的、基于風(fēng)險(xiǎn)的決策系統(tǒng)：一個(gè)更加智能化的信息安全運(yùn)維中心的關(guān)鍵不同之處是，它能即時(shí)評(píng)估風(fēng)險(xiǎn)，并相應(yīng)地改變響應(yīng)。與基于風(fēng)險(xiǎn)的身份認(rèn)證類似，這樣的信息安全運(yùn)維中心將通過預(yù)測(cè)性分析來發(fā)現(xiàn)高風(fēng)險(xiǎn)事件，然后自動(dòng)啟動(dòng)補(bǔ)救行動(dòng)。在這類面向云的系統(tǒng)自動(dòng)化手段中，動(dòng)態(tài)“留痕”是前景最令人振奮的創(chuàng)新之一。為了實(shí)施一次高級(jí)持續(xù)性攻擊，攻擊者必須了解網(wǎng)絡(luò)結(jié)構(gòu)，并能為其建模。為了應(yīng)對(duì)這個(gè)問題，企業(yè)可以重新安排整個(gè)網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)，以擾亂攻擊者的偵查。這與現(xiàn)實(shí)中頻繁地重新安排一個(gè)城市的布局類似，而且整個(gè)過程可以自動(dòng)完成，因此系統(tǒng)之間的連接仍然完好無損，而且無需人工干預(yù)，就可以處理相互依存關(guān)系。

 

•通過取證分析和社區(qū)學(xué)習(xí)持續(xù)改進(jìn)：盡管取證式分析可能密集占用資源，但它是信息安全運(yùn)維中心必不可少的組成部分，也是減輕后續(xù)攻擊影響的關(guān)鍵。虛擬化環(huán)境可以提供安全事件發(fā)生時(shí)的IT環(huán)境快照，如果攻擊檢測(cè)推遲了，那么快照可以提供有用信息。分享攻擊信息是信息安全運(yùn)維中心技術(shù)的未來。人們應(yīng)該接受這個(gè)概念，即在各自的行業(yè)內(nèi)交換安全威脅信息，并更好地預(yù)測(cè)高級(jí)持續(xù)性攻擊的途徑，從而確定對(duì)策。

 

 

•EMC公司信息安全事業(yè)部RSA的全球市場(chǎng)部首席技術(shù)官Sam Curry；

•EMC公司信息安全事業(yè)部RSA首席技術(shù)官Bret Hartman

•VMware公司全球政府行業(yè)部首席技術(shù)官David Hunter

•EMC公司全球信息安全部首席安全官David Martin

•EMC公司信息安全事業(yè)部RSA實(shí)驗(yàn)室高級(jí)技術(shù)戰(zhàn)略家Dennis R. Moreau博士

•EMC公司信息安全事業(yè)部RSA高級(jí)技術(shù)戰(zhàn)略家Alina Oprea博士

•EMC公司信息安全事業(yè)部RSA消費(fèi)者身份保護(hù)部新技術(shù)負(fù)責(zé)人Uri Rivner

•EMC公司信息安全事業(yè)部RSA新業(yè)務(wù)拓展部高級(jí)經(jīng)理Dana Elizabeth Wolf

 

《RSA信息安全概要》旨在就當(dāng)前最緊迫的信息安全風(fēng)險(xiǎn)和由此帶來的商機(jī)，向信息安全領(lǐng)導(dǎo)者提供必不可少的指導(dǎo)。每一版《RSA信息安全概要》都由精選的信息安全應(yīng)急相應(yīng)團(tuán)隊(duì)專家撰寫，他們倡導(dǎo)企業(yè)就新出現(xiàn)的關(guān)鍵話題分享專業(yè)知識(shí)?！禦SA信息安全概要》既提供全局性看法，又提供實(shí)際的技術(shù)建議，是今天具有前瞻性的信息安全從業(yè)者不可或缺的讀物。

相關(guān)播客：大話IT之RSA歸來看APT高持續(xù)性威脅(音頻)

更多有關(guān)2011 RSA大會(huì)的情況，請(qǐng)參看51CTO專題報(bào)道：http://netsecurity.51cto.com/secu/RSA2011/