知己——应对APT先过自己这关

对于企业而言，面对APT攻击的挑战，他们都可能会关注这些问题。比如面对APT，企业是否有智能的收集和分析能力?安全控管是否能找对方向?攻击 者是否获得了管理的权限和账户?企业中有多少用户的电脑已经成为牺牲品?企业管理者是否会加大投资来应对APT攻击?是否能与同行交流到更多的经验?等等 问题。

RSA有自己的见解。华丹指出，“企业应对复杂的APT攻击，第一具备全面的可视性，即企业是怎样的一个状态，有哪些风险，有哪些资产是要保护的; 第二需要灵活的分析，一旦遭遇APT攻击，需要有工具或平台能够帮助企业快速定位和分析攻击者是通过什么途径侵入企业?窃取了什么?第三企业治理与合规， 企业需要在IT层面和业务层面有清晰的规范，比如资产状况，设备管理情况等;第四智能的实时显示，企业需要第一时间确定身份目标、攻击和事件，是来自有目 的的攻击，还是祸起萧墙?

有了这四方面，就足够了吗?答案显然不是。华丹强调，“应对APT最困难的不是在技术层面，很多时候是在前期。企业应对APT，首先要看企业对 APT或网络威胁的重视程度和理解程度。最常见的情况是，企业IT安全部门认为防御APT很重要，但企业领导不这么认为，那么问题就产生了;此外从技术角 度，应对APT攻击时，企业在前期的选型和逻辑设计，选择APT攻击的解决方案时要评估、测试解决方案是否能够真正有效地实现防御、消除、以及事后调查。 所以首先要看企业目前IT的成熟度，应对APT是否有决心;此外，在前期架构设计上是否有一套解决方案能够真正化解威胁。在整体框架确定后，才要考虑技术 和与现有安全系统的融合。”

显然应对APT是技术问题，但更是考验企业IT信息化进程、宏观安全策略和心理博弈的综合能力评估问题，所以我才在这一小节的开始部分，与企业一起提出了这些问题。那么你有这样问过自己吗?

SMC海量数据分析为基 架构与协同取胜

RSA安全管理中心SMC是一套整体的解决方案，应对APT时它工作的一部分。SMC强调事前、事中、事后的管理。事前，梳理企业IT治理情况，定 义优先权;事中，进行分析、定位、实时记录的可视化过程;事后，如果发生安全情况，在最短时间找到APT攻击者，给出处理建议。要实现事前、事中、事后的 完美结合，需要一个整体的框架和不同工具的有效协同。

华丹表示，“SMC框架以海量数据分析为基础，企业IT治理和可视化流程都基于这一前提，对数据进行分析，进行实时的报表、事件调查、恶意软件分析、虚拟化和数据防泄露等。在数据分析的基础上进行APT的治理和合规事件的管理。”

如图RSA SMC系统框架，中间是SMC架构的云端，管理数据信息的分析和APT治理。左边进行日志和信息收集，右边进行网络数据的收集，以及其他的和外部信息分析等。

这个框架依靠RSA Archer、RSA NetWitness、RSA enVision和RSA DLP协同支撑。RSA Archer是企业IT治理和合规治理的产品，包括策略、风险和合规定义和管理，它能够把我们所有的企业资产，包括APT等一些信息，还有一些监测到的信息全部汇总，整理到统一的平台之上，给出具有业务层面参考的价值，一些操作的智能和综合的管理;RSA NetWitness可以到内部的层面，分析具体安全威胁，并重建攻击路径和攻击源头，模拟威胁思路和路径等;RSA enVision是专门来做收集和管理的，包括应用系统、安全系统、数据库等等，将所有的数据进行收集，并且实时的产生关联;RSA DLP是发现和定义敏感数据，并且执行数据策略。

华丹指出，“管理由RSA Archer完成，如企业资产定义和管理，RSA enVision负责设备日志信息手机，如设备状况和状态，敏感事件发生时，enVision可以直接进行处理，RSA NetWitness，完成对数据和应用的信息收集，DLP执行数据防丢失策略。协同构成针对企业内部资产、能力资源管理系统，ERP等完整的安全管理系统架构。”

最后，华丹告诉ZDNet，“对于不同的客户，不同的企业规模，不同的企业IT成熟度，不同的需求，SMC可根据用户的需求量体裁衣。4个产品不一定全部都要用，甚至可以只用一个。在RSA Archer中有9个模块，包括事件管理、企业管理、策略管理等，企业也可根据业务发展选择。4个解决方案的选择，没有先后次序。”