从发现、大数据分析到响应形成闭环系统

因为APT攻击以找到企业最薄弱的环节——人为跳板，所以企业需要教育员工，告诉员工不要随意打开你不熟悉的软件或者做违背公司规定的操作。Aloni强调，但企业自身的防范系统最重要。

根据历史数据，大部分APT都是未被发现的，只有10%是被企业发现的，而90%是被外人告知的。所以企业首先要通过更加智能的工具及时发现这种攻击，提升发现APT攻击的能力。

其次，企业需要对大数据进行分析，以强大的调查平台，在大量的数据中发现蛛丝马迹。通过数据分析引擎，对工作流程进行相关数据的关联性分析。 Aloni指出，以前的问题在于所有的信息都分布在企业不同的地方，对于调查取证非常困难，所以很难发现这样的攻击。而系统如果可以快速搜集这些信息，进 行关联性分析就能很快发现这种攻击。同时这套系统还要具备智能性，了解员工的行为信息，这是一种对使用情景的识别，围绕流程或者行为，把这些信息收集起来 进行识别。同时，还需要对外部、第三方提供的攻击代码模式智能感知。

在身份认证的层面上，要以风险为导向，因为原来的静态密码已经不能保护单一用户了，企业系统要更加智能化才能应对当前这种攻击。系统除了能做控制， 还要能去发现不太正常的状态。大数据需要一个中控系统把所有内部的、外部的信息收集起来进行分析，所有传统意义上的边界安全已经不能起到作用。

最后，除了前端的发现工具、分析工具外，要通过控制层进行快速响应。过去这种系统都是孤岛型的，控制层和管理层都是隔离的，很难做到快速响应。随着虚拟化和大量移动终端接入和云计算的普及，必须要形成闭环智能信息安全系统。

RSA针对APT攻击有一套信息安全管理中心的解决方案，其主要的特点就是把一些大数据收集起来，进行分析、检测、监控。Aloni表示，RSA第 一次把这些变成整体的系统，因为原来做身份认证的只是身份认证，做日志管理的也只是日志管理。如今把控制点的信息都加起来，让每个层面都变得智能、敏捷并 进行协作。

在这套流程里，一边有日志全采集，一边有网络监控，把所有的东西放到一个统一的监控平台上，就相当于建立了全自动化的响应系统。可以为决策提供快速 支持，相当于一个智能系统，而不是用分散的信息进行独立的分析。Aloni进一步说到，其实这种智能有时候不光是企业内部系统产生的，如果有第三方类似经 验或类似攻击模式的分享，就可以在系统中了解哪些是恶意软件或APT攻击，从而快速建立起防御。他同时强调，RSA的安全产品一个非常重要的功能就是 Netwitness网络监控可以回放，就像摄像头一样。发现不正常的情况后，可以把场景进行回放，了解攻击的去向。原来边界安全的做法是，如果受到攻 击，只要关闭端口就可以了。而APT可能潜伏一周、一个月、一年甚至更长的时间，所以必须要有网络回放，从而增强监控能力。最后，从发现到响应形成闭环系 统。