信息安全防护体系新框架.docVIP

信息安全防护体系新框架 Analytics+CyberSecurity+Forensics --美亚柏科：谢志坚 关键字:趋势分析、即时响应、调查取证 一、互联网信息安全透视 斯诺登的出现，引发了信息安全行业和国家网络安全的全民大讨论。美国政府的“棱镜”计划令各国政府不寒而栗，美国利用全球互联网中心的地位和各个本土IT巨头的配合，长期监控非友好国家如中国俄罗斯等国，甚至盟友德国政府也不例外。与信息安全有关的新闻充斥在每个IT人士的眼中，越来越多的信息安全需求已经从纸面上已经被摆到桌面上了。 中国公安部很早就制定了信息安全等级保护和涉密分级保护等信息安全体系，严令政府单位和各大企业根据自己单位对国家、社会等重要程度不同，制定对应的等保和分保级别。各中小企业也对自己的内部网络安全也逐渐重视起来。 传统的安全防护，无非就是从管理和技术层面去构建自己的安全体系。管理上，制定各种管理性的安全制度，细分每个人员的角色权限，审计所有的访问行为等。技术层面，从OSI七层模层或TCP四层模式上，区域划分越来越合理合规，装备是越来越齐全，硬件设施越来越强大，有Firewall、IPS、IDS、WAF，AntiVirus等设备，从物理层已经武装到应用层，犹如一张张天网，似乎已经觉得网络就已经很安全了，百毒不侵。 但是，世界并非太平，也不可能天下无贼。道高一尺，魔高一杖，所谓的安全，只是相对安全。小学生tools-user 就可以使用DDOS攻击令很多企业策手无策，0day攻击让很多IT人员不敢轻松度假。而APT攻击在很久的一个时间里，少见有系统的概述，也往往因为周期长，让很多信息安全人员放松警惕。 网络安全，尤其是互联网安全正在面临前所未有的挑战，这主要就来自于有组织、有特定目标、持续时间极长的新型攻击和威胁，国际上有的称之为APT（Advanced Persistent Threat）攻击，或者称之为“针对特定目标的攻击”。这种攻击方式有别于传统的网络攻击和应用入侵行为，突破传统现在的防御体系，直接把现有体系变成“马奇诺防线”。 一般认为，APT 攻击就是就是一场有组织有计划的犯罪计划，目的就是获取某个组织甚至是国家的重要信息，有针对性的进行的一系列攻击行为的整个过程。APT 攻击利用了多种攻击手段，包括各种最先进的手段和社会工程学方法，一步一步的获取进入组织内部的权限。APT往往利用组织内部的人员作为攻击跳板。有时候，攻击者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击代码。 此外，APT 攻击具有持续性，甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直到收集到重要情报。更加危险的是，这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行，包括能源、电力、金融、国防等关系到国计民生，或者是国家核心利益的网络基础设施。对于这些单位而言，尽管已经部署了相对完备的纵深安全防御体系，可能既包括针对某个安全威胁的安全设备，也包括了将各种单一安全设备串联起来的管理平台，而防御体系也可能已经涵盖了事前、事中和事后等各个阶段。但是，这样的防御体系仍然难以有效防止来自互联网的入侵和攻击，以及信息窃取，尤其是新型攻击（例如APT 攻击，以及各类利用zero-day 漏洞的攻击）。 二、互联网企业如何面对高级威胁APT的挑战？ 众所周知，网络攻击者经常使用复杂的恶意软件来危害网络和计算机，以窃取企业的敏感信息。近期，Gartner的报告称可以用五种基本方式来保护企业免遭攻击，并且建议结合其中两种及以上的方式，效果会更好。该报告详述了科学解决隐形攻击(又称先进的持续威胁)的五种高级威胁防御模式， 简单的传统安全防御技术如反病毒或防火墙除并不包括在其中。这篇报告通过分析一些已经上市的安全产品，来帮助识别隐形攻击或收集被入侵的系统的相关信息，也就是所谓的取证。 EnCase Analytics发现难以找到的风险和威胁，具有： 通过全面的终端可视化来洞察安全 EnCase Analytics并不信任已经遭到入侵的操作系统，而是从内核级别获取您所有终端的数据，将这些数据存入最可靠、最有用的资源库，从中洞察未被检测的风险和威胁。 安全风险和威胁鸟瞰视图 不管数据集多大，有何差异，EnCase Analytics均能够快速将整个企业的终端数据以多维度进行可视化展示 从数据的可视化展示中快速洞悉风险与威胁 EnCase Analytics通过互动型可视化界面，发现可疑模式、共性和异常，还可对实时动态调整瞄准并锁定安全威胁 事中防护：实时应急响应和敏感数据发现 EnCase CyberSecurity是全球领先的企业安全事件应急响应及处置系统，基于国际领先的电子数据取证技术，通过磁盘级访问技术对