過(guò)去只是針對(duì)于國(guó)防和軍隊(duì)等高端網(wǎng)絡(luò)威脅目前正在發(fā)展成為針對(duì)大型主流企業(yè)和組織的高級(jí)網(wǎng)絡(luò)威脅，這些網(wǎng)絡(luò)攻擊者追求著更高價(jià)值的虛擬數(shù)字資產(chǎn)和價(jià)值，譬如企業(yè)知識(shí)產(chǎn)權(quán)和其他專有數(shù)據(jù)及系統(tǒng)等。

之前總覺(jué)得自己不會(huì)被犯罪份子盯上的公司紛紛遭到攻擊，它們或者被當(dāng)作跳板，或者就是直接攻擊對(duì)象。敏感數(shù)據(jù)不停的泄漏出去，潛伏在內(nèi)網(wǎng)的高級(jí)木馬如幽靈般不可捉摸……

另外，虛擬機(jī)和BYOD設(shè)備的不斷增加，讓企業(yè)架構(gòu)越來(lái)越復(fù)雜，直接導(dǎo)致安全性下降。網(wǎng)絡(luò)管理員為了讓業(yè)務(wù)跑起來(lái)，不得不減少其安全工作。

傳統(tǒng)的安全架構(gòu)

目前，一些企事業(yè)單位經(jīng)常用的安全架構(gòu)是在邊界部署IPS/UTM設(shè)備，然后再部署企業(yè)版殺毒軟件、網(wǎng)管軟件、VPN等等。如圖所示。

IPS和UTM負(fù)責(zé)在邊界攔截威脅，VPN負(fù)責(zé)安全接入，而企業(yè)防毒軟件負(fù)責(zé)終端安全，看上去似乎還是比較安全的。但是現(xiàn)在的威脅方式多種多樣。有政府級(jí)別的攻擊，社交網(wǎng)絡(luò)攻擊，定向釣魚，免殺，零日漏洞，拒絕服務(wù)……而高級(jí)網(wǎng)絡(luò)威脅往往由多種攻擊方式組合，不但難以阻止，有時(shí)連發(fā)現(xiàn)都很難發(fā)現(xiàn)，堪稱APT（Advanced Persistent Threat）。

面對(duì)這類駭客威脅，常規(guī)的解決方案并不能起到太多遏制作用。駭客們只要稍為謹(jǐn)慎一些，便可以來(lái)去自由。于是，很多公司只有在自己的數(shù)據(jù)被貼到共享網(wǎng)站上之后，才發(fā)現(xiàn)自己公司的網(wǎng)絡(luò)被攻擊，數(shù)據(jù)被泄露了。

在談到此節(jié)時(shí)，RSA資深顧問(wèn)華丹表示，APT攻擊近年來(lái)越來(lái)越產(chǎn)業(yè)化和分工化，并且?guī)в薪M織性和明確的攻擊目標(biāo)。面對(duì)這樣的一個(gè)有組織的攻擊或者網(wǎng)絡(luò)犯罪，企業(yè)目前的安全防護(hù)可能起不到很大作用。

組織和企業(yè)需要制定新的信息安全防御戰(zhàn)略

如此說(shuō)來(lái)，上述傳統(tǒng)安全架構(gòu)就一無(wú)是處了？答案并不是這樣。上述傳統(tǒng)安全架構(gòu)不可或缺，但新的信息安全防御戰(zhàn)略，需要在上述安全架構(gòu)中加一套東西，整合邊界和終端的安全方案，讓他們發(fā)揮更大的力量。

首先，在這里需要問(wèn)一個(gè)問(wèn)題。

惡意行為從哪里進(jìn)來(lái)的，什么時(shí)候進(jìn)來(lái)的，惡意行為來(lái)自哪里？如果某個(gè)安全運(yùn)維人員每天不吃不喝勤奮翻閱日志，實(shí)時(shí)檢查接入信息，有事兒沒(méi)事兒就用掃描器掃描網(wǎng)絡(luò)……也許，他可以回答上述問(wèn)題。但這樣的安全運(yùn)維人員似乎很少見(jiàn)。不過(guò)要回答上述問(wèn)題，也不用請(qǐng)個(gè)那么神勇的運(yùn)維。只要在傳統(tǒng)安全架構(gòu)上加一套SMC （安全管理中心），壓力便可大大的緩解。

RSA SMC安全管理中心如何應(yīng)對(duì)高級(jí)網(wǎng)絡(luò)威脅

在說(shuō)起SMC之前，大家需要先了解在網(wǎng)絡(luò)安全保護(hù)中，企業(yè)所需要的四種能力。它們分別是：全面的可視性，靈活的分析能力，智能的實(shí)時(shí)指示，公司治理與合規(guī)。

與此對(duì)應(yīng)，SMC的框架則讓企業(yè)擁有了以上四種能力。SMC將海量數(shù)據(jù)進(jìn)行分析之后，提出相應(yīng)的管理辦法。管理員不但可以對(duì)整個(gè)事態(tài)了如指掌，還可以針對(duì)結(jié)果進(jìn)行自動(dòng)或手動(dòng)的處理。

以RSA的SMC平臺(tái)舉例，其中的核心便是RSA Archer GRC，RSA NetWitness，RSA DLP，RSA envision四大模塊。其工作模式如圖所示。

收集到Firewall/IPS/IDS的實(shí)時(shí)入侵威脅數(shù)據(jù)，再將潛在漏洞信息進(jìn)行整合。不管是已知/未知威脅，都將被優(yōu)化和管理。多個(gè)模塊組成的智能安全架構(gòu)，才是阻止高級(jí)網(wǎng)絡(luò)威脅泛濫的有效方式。