2016信息安全峰会：从连接到保护

　　2月29日-3月4日，信息安全峰会RSA Conference 2016于美国旧金山召开。作为全球知名的IT安全界盛会，不仅邀请各地区安全专家出席与分享，更吸引汇集了全球众多安全厂商的联袂参展。据悉，本届大会有200多场的专题演讲和10场以上的沙盒专场，议题包括加密技术、物联网安全以及云端安全等。

　　了解安全趋势的风向标

自从1995年首届RSA大会开启以来，这一IT安全盛会已经迎来了它的第21个年头。今年的RSA2016主题被确定为“Connect to Protect(从连接到保护)”，相比去年的“变化：挑战当今的安全理念”主题，则明显将网络连接与安全防护两大方向作为大会的主旋律。

对于提出这个主题，主办方表示，科技演进的主要驱动力之一，便是对于连接新的人、新的思想的不断渴望。古腾堡印刷机通过印刷文字把人们连接到一起;无线电将全球范围内发生的新闻和文化进行着传递;电话则让远隔万里的人们能够实时交谈。今天，互联网则通过此前无人能够想象的方式将人们相连接。

　　虽然即时连接的世界为人们提供了巨大的好处，但是现在它的一个缺点也越来越凸显，那就是恶意攻击者不断运用更为成熟、复杂的攻击手段来窃取人们的数据，扰乱人们的生活。25年前，RSA大会成立后，专业人员通过这个平台可以相互沟通交流，共同应对日益增长的网络安全威胁。今天，RSA大会不仅促进了信息安全领域的连接，而且在过去、现在和未来，也促进了IT领域其他企业与私营和公共部门的联系。无数的想法从这里开始，大家通过共享知识与协作，促使这些想法成长形成更大的概念，用来更好地保护今天的数字世界。

　　华为ATP防御解决方案

　　APT防御作为一个持续的话题，在本次展会依然被热捧。在本次RSA会议上华为发布了自适应的APT防御解决方案，涵盖了从防御到检测，再到APT事件调查以及整网的安全态势感知等功能，该模型吸引了大量的参观者，成为华为展台的一个被热烈讨论的话题。

　　俗话说：兵来将挡，水来土淹。为了应对APT的强势攻击，华为按照“举重若轻，举轻若重”的思路，在这个防御模型的基础上，推出了两个不同的解决方案，分别为轻量级和重量级APT防御解决方案，从不同的角度对APT进行防御，这种针对不同用户的不同应对方法极大的满足用户的多样需求，而且用户也可以平滑地从轻量级的解决方案升级到重量级的解决方案。

　　华为轻量级APT解决方案采用“四两拨千斤”的思维，只对APT中的关键的恶意软件、对外通道进行深度检测和拦截，形同断黑客之手臂，使其攻击力尽失。

　　该解决方案以华为沙箱为基础，通过和华为NGFW进行安全联动以及logcenter进行APT攻击展示构成一个整体的解决方案。华为沙箱深度检测恶意软件和C&C通道，秒级同步这些IOC信息给NGFW，防火墙自动响应，生成相关的拦截策略，实现快速拦截，而logcenter产品采集两个设备的相关日志信息，通过关联分析，可以准确地展示APT攻击中恶意软件的感染范围，恶意文件下载的情况，以及整网的安全态势情况。

　　华为的重量级解决方案则采用了另外一种思维。以持续检测对抗持续攻击，重量级解决方案以CIS大数据安全分析平台为基础，通过对现网关键路径流量的采集、关键系统的日志信息等，采用机器学习的方式，快速检测各种异常行为，包括检测Web异常、Mail异常、DNS异常等，构筑了涵盖整个APT攻击链的异常检测，通过这些异常，进行多维度的分析，能快速对APT攻击进行预警，有效地缩小了安全响应的时间窗。

　　而在这些检测的基础上，CIS还实现了对APT攻击事件的调查，通过完整的展示Kill-chain攻击路径，以及对路径中的每个节点进行数据钻取，通过大量相关的数据，充分实现对APT攻击进行调查。

　　轻重量级APT防御解决方案，为用户提供了端到端的防御模型，构筑了完整的APT防御体系，为用户提供了多样的选择。

　　最值得关注的创新产品

　　对于企业信息安全主管来说，不仅要建立公司安全管理体系，从物理安全、网络安全、应用安全、信息安全、运营安全、业务连续性及容灾等多个角度设计公司安全架构，还要制定各种规范制度，并负责监管信息安全体系内的各子系统安全、稳定、高效的运行。因此，在RSA 2016上发布的新产品，至少有以下几款不得不重点关注。

　　■Bastille 无线安全产品

　　Bastille公司产品定位是无线安全，产品在传统的WiFi基础上能够支持2.4G 和5G 频段，蜂窝 2G/3G/4G/LTE， 蓝牙，zigbee Z-wave，DECT，ENOCEAN，nRF24等无线通迅机制和协议。建立了无线安全特征库，同时提供云服务器端进行升级和同步。该产品利用了软件无线电技术，对无线通信进行探测和安全检查。

　　■Webroot BrightCloud威胁调查工具

　　BrightCloud威胁调查工具是一套威胁调查方案，能够为企业客户提供与个别IP及URL相关之可操作威胁情报的即时访问能力，从而实现威胁调查与事件响应。

　　BrightCloud曾是全球最大的网址分类导航和内容过滤的互联网服务提供商。其网络覆盖十数倍于其他同类服务提供商。通过过滤网页减少用户对那些不明网站的访问，BrightCloud强大的网址分类和网页过滤技术极大地降低了用户浏览互联网可能遭遇的各种风险。

　　■360 DDoSMon系统

　　这是360公司在RSA 2016上发布的全球唯一一个面向全互联网提供DDoS监测和告警服务的系统。

　　从目前的数据看，对于全球成规模的DDoS事件，DDoSMon基本都会在第一时间成功探测检出，在准确度和及时性方面都有非常好的表现。同时360还能结合多种数据源，对某些种类的DDoS攻击，还有更多后台僵尸网络主控的发现机制，从而能更好地帮助用户看到攻击的深层内幕。

　　360在本届RSA大会期间向全球用户展示了其领先的威胁情报实力。在威胁情报方面，截至目前，360拥有超过95亿样本量、50亿条DNS解析记录以及众多第三方数据源。

　　■Nubo远程安全虚拟化服务

　　Nubo提供安全远程虚拟工作区，旨在为全部iOS与Android设备提供原生应用体验。全部员工应用与企业数据皆立足于云环境进行托管与控制。这使得企业能够拥有自身数据与应用程序，而员工则拥有其工作设备。

　　对于企业信息安全主管来说，随着移动办公的快速发展，如何保障公司信息不随着员工的终端而泄露，更为合理地配置员工对公司数据的使用权限，Nubo的作用不容小视。

　　■AuSM

　　AuSM是一套开源SDN框架，旨在通过API接入多种不同网络与监控工具，并将其整体为单一平台以实现涵盖整体WAN、数据中心网络以及存储系统的统一化业务策略。

　　AuSM能够有效削减管理员数量以及投入到SDN部署工作中的时间，同时更好地保证IT目标能够与业务目标实现契合。

　　■War Room

　　War Room是一款企业级应用，能够提供实时事件与危机管理，能够同时通过将企业管理人员需要的各类信息片段整合至云中以构建起立足于共享空间的全面事件细节视图。

　　现在的RSA大会已成为一个快速了解全球安全趋势的风向标，也成为影响安全产业转型与持续发展的重要产品发布平台。

　　作者：杨光 来源：中国信息化周报 2016年8期