過去只是針對于國防和軍隊等高端網(wǎng)絡(luò)威脅目前正在發(fā)展成為針對大型主流企業(yè)和組織的高級網(wǎng)絡(luò)威脅，這些網(wǎng)絡(luò)攻擊者追求著更高價值的虛擬數(shù)字資產(chǎn)和價值，譬如企業(yè)知識產(chǎn)權(quán)和其他專有數(shù)據(jù)及系統(tǒng)等。

之前總覺得自己不會被犯罪份子盯上的公司紛紛遭到攻擊，它們或者被當(dāng)作跳板，或者就是直接攻擊對象。敏感數(shù)據(jù)不停的泄漏出去，潛伏在內(nèi)網(wǎng)的高級木馬如幽靈般不可捉摸……

另外，虛擬機和BYOD設(shè)備的不斷增加，讓企業(yè)架構(gòu)越來越復(fù)雜，直接導(dǎo)致安全性下降。網(wǎng)絡(luò)管理員為了讓業(yè)務(wù)跑起來，不得不減少其安全工作。

傳統(tǒng)的安全架構(gòu)

目前，一些企事業(yè)單位經(jīng)常用的安全架構(gòu)是在邊界部署IPS/UTM設(shè)備，然后再部署企業(yè)版殺毒軟件、網(wǎng)管軟件、VPN等等。如圖所示。

IPS和UTM負(fù)責(zé)在邊界攔截威脅，VPN負(fù)責(zé)安全接入，而企業(yè)防毒軟件負(fù)責(zé)終端安全，看上去似乎還是比較安全的。但是現(xiàn)在的威脅方式多種多樣。有政府級別的攻擊，社交網(wǎng)絡(luò)攻擊，定向釣魚，免殺，零日漏洞，拒絕服務(wù)……而高級網(wǎng)絡(luò)威脅往往由多種攻擊方式組合，不但難以阻止，有時連發(fā)現(xiàn)都很難發(fā)現(xiàn)，堪稱APT（Advanced Persistent Threat）。

面對這類駭客威脅，常規(guī)的解決方案并不能起到太多遏制作用。駭客們只要稍為謹(jǐn)慎一些，便可以來去自由。于是，很多公司只有在自己的數(shù)據(jù)被貼到共享網(wǎng)站上之后，才發(fā)現(xiàn)自己公司的網(wǎng)絡(luò)被攻擊，數(shù)據(jù)被泄露了。

在談到此節(jié)時，RSA資深顧問華丹表示，APT攻擊近年來越來越產(chǎn)業(yè)化和分工化，并且?guī)в薪M織性和明確的攻擊目標(biāo)。面對這樣的一個有組織的攻擊或者網(wǎng)絡(luò)犯罪，企業(yè)目前的安全防護可能起不到很大作用。

組織和企業(yè)需要制定新的信息安全防御戰(zhàn)略

如此說來，上述傳統(tǒng)安全架構(gòu)就一無是處了？答案并不是這樣。上述傳統(tǒng)安全架構(gòu)不可或缺，但新的信息安全防御戰(zhàn)略，需要在上述安全架構(gòu)中加一套東西，整合邊界和終端的安全方案，讓他們發(fā)揮更大的力量。

首先，在這里需要問一個問題。

惡意行為從哪里進來的，什么時候進來的，惡意行為來自哪里？如果某個安全運維人員每天不吃不喝勤奮翻閱日志，實時檢查接入信息，有事兒沒事兒就用掃描器掃描網(wǎng)絡(luò)……也許，他可以回答上述問題。但這樣的安全運維人員似乎很少見。不過要回答上述問題，也不用請個那么神勇的運維。只要在傳統(tǒng)安全架構(gòu)上加一套SMC （安全管理中心），壓力便可大大的緩解。

RSA SMC安全管理中心如何應(yīng)對高級網(wǎng)絡(luò)威脅

在說起SMC之前，大家需要先了解在網(wǎng)絡(luò)安全保護中，企業(yè)所需要的四種能力。它們分別是：全面的可視性，靈活的分析能力，智能的實時指示，公司治理與合規(guī)。

與此對應(yīng)，SMC的框架則讓企業(yè)擁有了以上四種能力。SMC將海量數(shù)據(jù)進行分析之后，提出相應(yīng)的管理辦法。管理員不但可以對整個事態(tài)了如指掌，還可以針對結(jié)果進行自動或手動的處理。

以RSA的SMC平臺舉例，其中的核心便是RSA Archer GRC，RSA NetWitness，RSA DLP，RSA envision四大模塊。其工作模式如圖所示。

收集到Firewall/IPS/IDS的實時入侵威脅數(shù)據(jù)，再將潛在漏洞信息進行整合。不管是已知/未知威脅，都將被優(yōu)化和管理。多個模塊組成的智能安全架構(gòu)，才是阻止高級網(wǎng)絡(luò)威脅泛濫的有效方式。