情境感知和情報(bào)將是本屆RSA2013大會(huì)的兩個(gè)熱詞，至少從廠商方面看是如此，因?yàn)檎麄€(gè)安全業(yè)界都意識(shí)到了大多數(shù)邊界防御的失敗。

在此次會(huì)議開幕日的上午，主要參與者，包括RSA自己都推出了針對(duì)利用大數(shù)據(jù)和分析的產(chǎn)品，它們是利用情境感知和攔截潛在威脅。

它們致力于提供情報(bào)，以便更好地掌握攻擊源，以及將來如何對(duì)其進(jìn)行防御。這與基于簽名的保護(hù)不一樣。

廠商不僅僅是推出了更多安全信息和事件管理(SIEM)產(chǎn)品，聲稱以前對(duì)情境感知的認(rèn)識(shí)不夠，他們過去也沒有為IT團(tuán)隊(duì)把足夠的性能綁定到相同界面。

RSA 指向“下一代”安全

[[64867]]

RSA在大會(huì)第一天就發(fā)布了下一代安全操作中心(SOC)服務(wù)，作為其成為大數(shù)據(jù)安全領(lǐng)導(dǎo)者計(jì)劃的一部分，這個(gè)服務(wù)旨在為那些要推動(dòng)自己的SOC服務(wù)成為標(biāo)準(zhǔn)的公司提供備份。

RSA會(huì)幫助使用其服務(wù)的公司部署策略，工作流和技術(shù)，從而應(yīng)對(duì)新型高級(jí)威脅。RSA 高級(jí)網(wǎng)絡(luò)防御實(shí)例高級(jí)主管Peter Tran在其博客中說，“新的RSA下一代安全操作中心(SOC)是一種參考架構(gòu)，可以快速適應(yīng)企業(yè)當(dāng)前的安全操作模式，可以從單純的反應(yīng)式模式轉(zhuǎn)變?yōu)轭A(yù)測(cè)型的智能驅(qū)動(dòng)模式。低效的操作進(jìn)程，低效的技術(shù)利用率以及基于警告的調(diào)查已經(jīng)成為過去。”

為了備份其服務(wù)，這家下屬于EMC的公司推出了各種補(bǔ)充軟件：立即就推出的安全分析的數(shù)據(jù)查找，以及RSA 資產(chǎn)危險(xiǎn)程度情報(bào)(ACI)和RSA 高級(jí)安全突發(fā)事故管理(AIMS)將在三月推出。

這些產(chǎn)品將在下月和RSA的安全分析平臺(tái)一起推出，目的是提供更多的信息流并提高能動(dòng)性。

惠普有什么動(dòng)作？

許多廠商會(huì)在本周推出情境感知識(shí)別套件，其中包括惠普。惠普正把自己的ArcSight SIEM技術(shù)與Autonomy軟件結(jié)合起來用數(shù)據(jù)為人類觀點(diǎn)和態(tài)度提供追蹤和分析。

惠普對(duì)新型ArcSight Cloud Connector Framework提供了一些細(xì)節(jié)，稱其可以讓企業(yè)從云服務(wù)供應(yīng)商那里收集應(yīng)用事件和日志數(shù)據(jù)。其產(chǎn)品以行業(yè)標(biāo)準(zhǔn)協(xié)議為基礎(chǔ)，對(duì)on-premises和云應(yīng)用中的用戶的活動(dòng)和威脅監(jiān)測(cè)提供了一個(gè)獨(dú)立的，實(shí)時(shí)視角。

更有趣的是，惠普正把ArcSight與Hadoop框架連接起來處理大數(shù)據(jù)，通常大數(shù)據(jù)被視為Autonomy的威脅。將惠普ArcSight 6.0c與Apache Hadoop結(jié)合在一起是把惠普ArcSight的報(bào)告，搜索和相關(guān)性與Hadoop的大規(guī)模集中式存儲(chǔ)庫聯(lián)結(jié)起來，企業(yè)就有足夠的存儲(chǔ)空間處理Pb量信息。

“開源的機(jī)器學(xué)習(xí)型運(yùn)算法則，統(tǒng)計(jì)分析，異常檢測(cè)和預(yù)測(cè)型分析可用于已存儲(chǔ)數(shù)據(jù)，使我們進(jìn)一步看清安全事件的內(nèi)部情況。”

Juniper的策略

[[64868]]

瞻博網(wǎng)絡(luò)也推出了一系列產(chǎn)品為來提供攻擊者的情報(bào)。首推的便是Junos Spotlight Secure，瞻博網(wǎng)絡(luò)稱其為唯一的基于云計(jì)算的全球型攻擊者情報(bào)服務(wù)，這項(xiàng)服務(wù)可以在設(shè)備層級(jí)識(shí)別單獨(dú)的攻擊者并在全球數(shù)據(jù)庫中對(duì)其進(jìn)行追蹤。

此服務(wù)以200多個(gè)獨(dú)特的屬性為依據(jù)，創(chuàng)建了一個(gè)攻擊者設(shè)備指紋。一旦攻擊者獲得一個(gè)ID，就將他們攔截在用戶網(wǎng)絡(luò)之外。此產(chǎn)品與Junos WebApp Secure一起運(yùn)作，后者基于瞻博網(wǎng)絡(luò)所收購的Mykonos 技術(shù)，二者結(jié)合可以攔截攻擊者。

另外，Mykonos 入侵欺騙技術(shù)可以在黑客訪問數(shù)據(jù)的時(shí)候追蹤黑客，使黑客自以為自己的攻擊是偷偷進(jìn)行，而實(shí)際上自己已經(jīng)成為追蹤的目標(biāo)。

瞻博網(wǎng)絡(luò)計(jì)劃把這些技術(shù)融合到自己的軟件定義型網(wǎng)絡(luò)技術(shù)(SDN)測(cè)量中，屆時(shí)，應(yīng)該還可以補(bǔ)充RSA所持情報(bào)，現(xiàn)在該公司也已經(jīng)和合作伙伴密切聯(lián)系。

顯然，從RSA 2013剛開始的情況看，廠商們都在競(jìng)相提供情報(bào)與情境感知，因?yàn)橹苓叿烙男Ч麤]有達(dá)到業(yè)界的期望。