智能分享平台和大数据分析应对APT攻击

2011年11月2-3日,第二届RSA中国大会在北京举行。RSA首席技术专家Samir Saklikar在ZDNet记者专访时表示,实现全面保障移动安全,要建立更高层次的行为分析风险基础模型,并介绍了RSA在防范APT攻击的两个最新研究方法。

智能分享平台和大数据分析应对APT攻击

RSA首席技术专家Samir Saklikar

在移动安全领域,因为智能手机的发展,很多移动安全的技术都纳入到操作系统中。Saklikar介绍说,在移动支付的过程中,不仅仅要依靠认证保证安全问题,同时要对交易风险进行分析。当然如何给操作系统提供安全保证,也存在一些安全挑战。他说,比如如何让应用程序在网络中安全地存储数据。如果智能手机受到黑客的侵袭,它的管理权就落入其他人手中,这个时候应用程序中存储的数据就会受到威胁。一旦出现这种情况,如何保证设备平台的安全性,并使得这些应用程序中的数据得到保护成为安全厂商关注和研究的课题。

建立风险基础模型保障移动安全

全面保护移动安全,Saklikar建议要建立起以风险为基础的模型。他认为,在网络中没有哪个网络能一劳永逸免除被袭击的风险。比如,SSL 是在传输过程中被袭击的环节,还有终端也可能被袭击。要了解每一笔交易的发生情况,要对交易当中的风险进行评分。其中包括许多要素,比如用户的状态、参与了什么样的支付、使用了什么移动支付、有哪些特点、渠道是什么、终端是什么等。Saklikar强调,要把所有的要素都包括进去,然后进行交易风险分析,并给予评分。我们要做的不仅仅是解决传输和终端的漏洞问题,要从更高的层次上分析其中的风险。

Saklikar进一步解释说,从移动设备的角度来看,它的处理能力是很强的,而且跟其他设备有很强的关联性。就像从电脑桌面进入企业VPN一样,现在移动终端已经有密钥、生物认证、令牌等一系列安全认证方式。但是,移动安全不管是在传输,还是终端,很多环节会出现被袭击的情况。不能从SSL的角度或者操作系统参数的角度防御风险,需要提高从更高层次的行为角度的分析风险能力。

智能分享平台和大数据分析应对APT攻击

今年年初的RSA美国大会曾经演示过RSA如何防御高持续性威胁(APT),在被问到近十个月以来的进展时,Saklikar告诉记者,当时有三种方法应对APT攻击。一是利用虚拟化带来的预防机制;二是一旦出现任何攻击,可将对服务器进行重置;三是使用虚拟监控,使hypervisor搜集数据,并进行分析。

这段时间,RSA也希望促进新技术的发展。Saklikar列举了两个应对APT的最新研究方法,一个是智能分享平台。在这样的机制中,如果多家公司正在处理APT攻击,这个智能分享平台就可以使这些公司一起分享,并且确定是保密的。通过这些信息的聚集,可以早期抵御APT攻击。另一种方法是对大数据进行分析,使用横向扩展硬件和安全数据并行分解,使得安全处理和介入更加迅速。通过SIEM/Packet Capture 等收集原始初级数据,并通过拥有大数据技术的功能或平台进行分析,比如EMC的Greenplum 或Hadoop,最终降低泄漏设施追踪到感染源所需的时间和精力。