專家們構想的新模型、即新型信息安全運維中心（SOC）包括6個核心要素，RSA開發的演示系統說明了這種新型信息安全運維中心的有效性。該演示系統模擬了加入了推薦核心要素之前和之后，信息安全運維中心受到APT類攻擊的情況。演示過程重點顯示，在攻擊事件發生時和發生后，所采用的新技術怎樣有效阻止了攻擊并改進了模型。該新一代信息安全運維中心演示系統采用了EMC、VMware和RSA的技術，并成功地實現了實驗技術及理論方法與當前的商用產品和最佳實踐結合。

VMware公司全球公共服務行業部門首席技術官David Hunter表示：“就多數大型企業而言，遭遇高級持續性威脅是不可避免的。今天的IT環境如此復雜，我們預計，高級持續性威脅將越來越多地將目標鎖定到企業的知識產權上，這就要求企業改進IT和信息安全運維機制，以防備高級持續性威脅以及其他快速發展的安全威脅。”

 

RSA首席技術官Bret Hartman表示：“要以云的速度和規模管理信息安全，并應對高級持續性攻擊等不可預測的自適應型安全威脅，企業必須以目前的信息安全運維中心功能為基礎，改進信息安全運維機制，以有效應對這些新的安全威脅。”

 

在2月14日至18日于美國舊金山Moscone會議中心舉行的2011 RSA大會上，RSA演示了這種新型信息安全運維中心的功能，以此展現RSA在業界的領先地位。

 

 

 

這種新的信息安全運維機制包括6個核心要素，還包括一份規范的指導書，指導如何將這些要素納入現有信息安全運維機制。這些要素包括：

 

•風險規劃：新的信息安全運維中心將采用更以信息為核心的方式進行安全風險規劃，并花精力了解哪些企業資產非常重要、必不可少，需要加以保護。按照GRC(信息治理,風險和法規遵從)政策確定的優先事項，信息安全團隊必須針對企業“皇冠上的明珠”（最重要的信息資產） 進行風險評估。

 

•攻擊建模：要建立復雜環境的攻擊模型，需要確定哪些系統、哪些人和哪些流程能訪問重要信息。一旦建好了威脅表面模型，企業就能確定可能的攻擊方向和強度，并研究防御措施，以高效、快速地隔離有危險的訪問點。RSA實驗室已經根據已知的高級持續性攻擊方法開發出理論模型，并運用理論原理確定了最高效地切斷攻擊的途徑以及優化防御成本的方法。

 

•虛擬化環境：虛擬化將成為未來信息安全運維中心的核心功能，可帶來多種信息安全方面的益處。例如，如果懷疑電子郵件、附件和URL藏有惡意軟件，那么企業就可以將其放入“沙箱” (一種限制代碼運行安全區的方式)。任何可疑的東西都可以裝入一個隔離的系統管理程序，虛擬機可以與系統的其余部分切斷聯系。

 

•自助學習并預測分析：信息安全運維中心要在未來的IT環境中仍然有價值，就必須真正地集成法規遵從監控和風險管理功能。系統應該不斷地監控企業環境，確定典型狀態，然后就可以依據這些典型狀態較早地確定問題。基于統計數據的預測性建模有助于找到各種不同警報之間的關聯。盡管有些必不可少的技術今天已經能提供了，但是開發這樣一個運維中心需要在實時行為分析方面有所創新。

 

•自動化的、基于風險的決策系統：一個更加智能化的信息安全運維中心的關鍵不同之處是，它能即時評估風險，并相應地改變響應。與基于風險的身份認證類似，這樣的信息安全運維中心將通過預測性分析來發現高風險事件，然后自動啟動補救行動。在這類面向云的系統自動化手段中，動態“留痕”是前景最令人振奮的創新之一。為了實施一次高級持續性攻擊，攻擊者必須了解網絡結構，并能為其建模。為了應對這個問題，企業可以重新安排整個網絡的基礎架構，以擾亂攻擊者的偵查。這與現實中頻繁地重新安排一個城市的布局類似，而且整個過程可以自動完成，因此系統之間的連接仍然完好無損，而且無需人工干預，就可以處理相互依存關系。

 

•通過取證分析和社區學習持續改進：盡管取證式分析可能密集占用資源，但它是信息安全運維中心必不可少的組成部分，也是減輕后續攻擊影響的關鍵。虛擬化環境可以提供安全事件發生時的IT環境快照，如果攻擊檢測推遲了，那么快照可以提供有用信息。分享攻擊信息是信息安全運維中心技術的未來。人們應該接受這個概念，即在各自的行業內交換安全威脅信息，并更好地預測高級持續性攻擊的途徑，從而確定對策。

 

 

•EMC公司信息安全事業部RSA的全球市場部首席技術官Sam Curry；

•EMC公司信息安全事業部RSA首席技術官Bret Hartman

•VMware公司全球政府行業部首席技術官David Hunter

•EMC公司全球信息安全部首席安全官David Martin

•EMC公司信息安全事業部RSA實驗室高級技術戰略家Dennis R. Moreau博士

•EMC公司信息安全事業部RSA高級技術戰略家Alina Oprea博士

•EMC公司信息安全事業部RSA消費者身份保護部新技術負責人Uri Rivner

•EMC公司信息安全事業部RSA新業務拓展部高級經理Dana Elizabeth Wolf

 

《RSA信息安全概要》旨在就當前最緊迫的信息安全風險和由此帶來的商機，向信息安全領導者提供必不可少的指導。每一版《RSA信息安全概要》都由精選的信息安全應急相應團隊專家撰寫，他們倡導企業就新出現的關鍵話題分享專業知識。《RSA信息安全概要》既提供全局性看法，又提供實際的技術建議，是今天具有前瞻性的信息安全從業者不可或缺的讀物。

相關播客：大話IT之RSA歸來看APT高持續性威脅(音頻)

更多有關2011 RSA大會的情況，請參看51CTO專題報道：http://netsecurity.51cto.com/secu/RSA2011/