RSA归来话感受

　　RSA过去有一段时间了，但是给我留下的冲击仍然很大。作为第一次参加RSA的国内厂商，WebRAY能得以有机会在全球最大的信息安全展会上展示自己，这让我感到自豪，同时也非常感谢中关村管委会给我们的大力支持。而同时，这也是一次全面学习国际信息安全发展趋势的大好机会。随着时间的过去，许多类似于砸盒子的噱头慢慢淡去，而真正给我留下印象的是两个关键词：“威胁情报”和“情景感知”。

　　高级的定向攻击使“防范”为中心的策略已经过时。安全是对抗，不可能完全防范。做安全的思路应该从防止安全入侵这种不可能的任务转到了防止损失这一关键任务上，防范措施必不可少，但是基于预警、响应的时间差更关键。从未来看，企业安全将会发生一个大的转变：即以“信息和人”为中心的安全策略，结合全面的内部监控和安全情报共享。全方位的内部监控和安全情报是保护信息安全的主要手段。实际的安全工作中，很多用户知道要严防死守外部侵袭，但往往忽略了内部威胁对系统造成的破坏，实际上大多数安全威胁都来自内部。外部的防御与内部的控制(内部异常行为的发现与处置)都很重要。

　　针对外部的攻击(即外防)，主要通过获取威胁情报，依靠专业的安全分析团队，分析之后形成情报的处置决策，并通过网络安全设备或终端上的安全软件来执行决策(Action)，达到针对高级攻击的防范。

　　内部异常行为的监控(即内控):内部的异常行为造成的破坏是安全事故最大的来源，外部攻击者发起APT攻击，其中的部分环节Delivery、Exploitation、Installation、Command and Control (C2)、Actions on Objectives都需要通过“内部行走”才能接触到敏感数据达到盗取或破坏的目的;同时企业内部的威胁源包括可能准备离职有恶意的内部人员、内部人员的长期慢速的信息泄露、内部攻击也可能具备内部访问权限的合作伙伴或者第三方发起。如果通过制定不同的情景，通过获取样本，建立正常行为模型，然后分析内部网络流量或终端服务器上的行为，并发现异常，情景感知(Context-Aware)是安全监测的很重要触发点。

 

[1] [2] [3]