分享RSA大会的《分享为协同攻击分析的威胁智能分析》议题

2012-09-20 116098人围观 ,发现 3 个不明物体 其他

这篇文章将会是RSA参会的最后一篇文章,主要说说对EMC信息安全事业部首席技术专家Samir Saklikar《分享为协同攻击分析的威胁智能分析》议题的感触。

随着APT(高级持续性威胁)的兴起,一个个知名的关键企业纷纷中枪,美国的洛马公司、CIA、Google、Sony等,当然这也包括RSA公司。搞安全的大家都知道木桶原理,而APT恰恰是根据木桶原理,有针对性的对攻击目标制定适合该目标的攻击方案,所以,APT下,企业纷纷中枪不足为奇。那么如何防御APT(或者缓解APT)攻击呢?BlueCoat很聪明,EMC的 Samir Saklikar也很有想法, EMC提出要将企业攻击事件信息共享,从而使得企业能够抵御同类攻击。如下图:

但是这种企业攻击事件信息共享并不是一帆风顺的,面对的挑战之一就是如何控制隐私,因为在攻击事件的共享中,可能将企业关键信息共享,从而导致泄密事件产生,会上 Samir Saklikar也提到了这点。挑战之二是这种共享信息目前缺乏相应标准,或者某些标准不符合该种共享的要求(EMC也在积极推动标准的建立) 。 Samir Saklikar告诉了我们目前现有的共享信息有哪些:

目前EMC的产品采用了如下几种数据标准对攻击事件进行描述和共享:

这其中很关键的一点是数据分析,捕获攻击事件,如何从海量数据通信中捕获一个攻击事件,这是系统的基础。显然单机是无法满足需求的,那么分布、并行是必然选择, Samir Saklikar同样给出了EMC的数据处理方法:

个人观点:该系统部署在关键领域的企业外部会有意想不到的结果,但是系统本身的复杂性、对攻击事件的识别精确度、 捕获攻击后的防御措施的处理上都是系统能否成功的关键,同时中小公司难以享受到该产品所带来的好处。不知国内企业是否在从事这方面的研究,个人还是很看好这个系统的,如果以后有机会,希望能够从事这方面的研究吧!

Samir Saklikar分享的该议题在RSA China 2012的官方网站已经可以下载,地址:http://www.emc-china.com/rsaconference/2012/cn/download.php?pdf_file=TH-1005_CN.pdf

via focusecurity

发表评论

已有 3 条评论

取消
Loading...
G.r0b1n

一个普通的安全攻城狮,Web安全、渗透测试、IoT & so on

26 文章数 107 评论数

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php