RSA高级信息安全分析平台与反欺诈服务

标签:信息安全RSA反欺诈

访客:43174  发表于:2014-03-21 11:12:28

主持人:下面的演讲是针对安全分析的,有请吴异刚先生。

RSA高级信息安全分析平台与反欺诈服务

RSA大中华区高级信息安全售前顾问    吴异刚

吴异刚:大家早上好,我是RSA的吴异刚,非常荣幸有这样的机会和大家介绍RSA高级信息安全分析平台与反欺诈服务。我们从两个角度谈谈RSA有什么样的方案来帮助用户。一个商业银行在信息化的过程中,从一个攻击者的角度来说,对银行的攻击是两种用户群,一个是银行的用户,一个是银行的本身。这来个是我们认为比较切合商业银行的模式,同时,分别针对商业银行的用户和商业银行本身的保护。

RSA的反欺诈服务,帮助商业银行做得一件事,是帮助商业银行关闭一些钓鱼网站,如果要攻击商业银行的话,成本最低的是钓鱼网站,让用户长期访问这个网站是最便宜也是最简单的方式。从攻击者的角度讲,不仅成本低,而且他会考虑这个钓鱼网站放在商业银行区域最远的地方。如果说,把这个钓鱼网站放得越远,甚至放到国外,很难有一家单独的商业银行可以接触到这么多的ISP,把这个钓鱼网站关闭掉,我们提供的第一个服务是可以帮助商业银行关闭到这个网站,无论是在城内还是任何国家的,甚至这个钓鱼网站放在这个阶段和国家关系不太好的地方,要关闭这些国家的钓鱼网站是非常困难的事情,这个时候可以通过我们的服务做到这个。60%是小于以小时,我们是有最大的反欺诈的网络,在目前的项目中,中行、农行等等都是使用了放钓鱼网站的服务,这个没有太多的成本。除了关闭,我们还希望了解到这个钓鱼网站其他的更多的信息,比如说,这个钓鱼网站是什么类型的,现在的状态是怎么样的,它的发现时间在哪里?持续时间是多少?在什么国家和区域,同时我想了解针对我们的钓鱼网站的用户关闭的大致时间是怎么样的。另一方面,我们可以提供更详细的报告,包括钓鱼网站具体信息,包括客户的信息,比如说,相应的注册的ISP的信息,邮箱的信息,除了关闭钓鱼网站,我们也可以进行一个钓鱼网站的封锁,在什么样的区域在什么样的国家,无论用什么样的技术都访问不了。大家经常使用的IE浏览器的成本是IC的过滤引擎,封锁不等于关闭,换一个浏览器,如果这个浏览器不是在这个成员中,还是会访问到。所以封锁和关闭我们会同时进行,同时,还有很多的技术应对客户。或者是其他的一些信息,包括我们在客户授权的情况下,在这个虚假站点发送大量的数据,我们把真实的数据湮没在这些数据中,降低窃取可能性。在某些情况下,客户如果需要的话,我们可以把整个钓鱼网站的原代码的信息提供给客户,这个服务是比较简单的,帮助客户关闭钓鱼网站,同时给客户整体的对钓鱼网站发现、关闭的分布的情况,根据客户的需求提供相应的需求和原代码,这个是比较简单的服务方式。

第二个服务方式是防木马,是基于ISP层面的。我们的服务是帮助银行,发现与它相关的木马信息,同时,在源头,就是在上传点和下传点,不是具体解决所有的木马问题。而是针对银行信息的机密地方关闭掉。在商业银行互联网的过程中,有越来越多的应用,会放在移动终端,我们有这样的服务,可以监控主要的APP的应用市场。我们会帮用户在这个过程中有没有上传一个虚假的东西,我们会进行沟通工作,在客户的指导下,这个市场中的假冒银行的应用给下架,这个是我们提供的服务中的一部分。

我们除了提供这些保护措施之外,还有另外一项服务,这个是针对银行雇员的,就是CCI服务,是通过一些周期性的报表来帮助用户今后并加固他们的基础架构,这里包括两方面的内容,第一方面的内容是已经被发现。第二方面是危害到企业资源的数据,企业的计算机,网络资源,电子邮件信息,如果由于某种原因,企业内部的基本信息,邮箱信息也好,外泄之后,我们会提供你信息,你内部有哪些员工的某一个登陆帐号的信息已经外泄到市场上,或者是外泄到某一个黑客的服务器中。这个的话,是客户特定分析报告的样本,会告诉你某一个员工某一个密码登陆进去已经有外泄,需要对这个员工或者是计算机进行更换或者是更改。第二个是黑名单的报告样本,我们会列出恶意的软件域,有一些检测的时间,做一些集成,防止内部发起攻击。

前面我们提供的是针对银行的用户,或者是针对银行本身的服务基本上,这些没有部署和产品,不是提供服务的方式,来帮助商业银行解决一些问题。

第二块,看一下RSA的平台。我们可以看到,这个安全平台,主要为了解决传统的边界安全无法有效抵御的威胁,比如防病毒,看某一个网络数据包里的信息是否匹配。第二是边界体系的,比如邮件防病毒网关,第三个是传统安全是合规驱动的,比如商业银行有银监会的要求,或者是有其他上市公司的要求,因为合规的方式,必须解决这些的安全方案。这样的安全解决方案,没有办法有效地地狱高级的威胁,一些APP的攻击,有一个黑客花了1万美金编了一个代码,然后针对行业进行供给,这个代码是花钱从地下市场刚刚拿到,没有任何的防病毒的代码,会直接地进入到系统中。从四个方面来考虑:

第一个是全面的可持续性,需要我们了解每个架构发生的信息,信息掌握都越全面,了解得越多,越有可能发现问题在哪里。

第二个灵活的分析能力,如何有效地分析和评判出潜在的问题和风险。

第三个,智能的实时指示。

第四个,符合公司的策略和领导的要求。

这个平台我们称之为RSA的分析平台,可以在一个平台中同时收集和分析网络包的日志,事实就是,比如银监会,有要求,提供证据,这些日志记录是在案的。当发生安全问题的时候,通过日志的信息还是太单薄,举一个例子,我们拜访一个机构,出去的时候,再把身份证还给你。这就是日志,但是我在这个企业中,到底是做了什么,是做了演讲,还是进了另外一个会议室,做了交流,或者是在某一个地方做了不合适的事情,因为日志缺乏上下文,信息比较单薄,这个时候需要有一个数据包的功能,把这个部分的信息也抓取过来,进行实时地分析。

这个是简单的示意图,如果只是掌握到一部分的信息,由于信息掌握得不完全,好象是从一个面看这个苹果,好象是完整的,如果掌握更多的信息量,站在更多的信息量上判断这个问题,会发现这个苹果背后确了一块。

这里使用到了一种技术,是层层分析的技术,所有的网络流量,或者是所有的数据包是非常浩瀚的流量,其中,可能和可执行占了5%,如果这个可执行程序和后续是不匹配的可能只占0.2%。因此通过这样的方式可以找到这个针在哪里。同时,需要事件自动归纳。这个是整个安全分析平台的架构,在这个架构中,既包括了数据包的数据模块,同时有一个高级的平台,做高级的平台分析。同时,如果客户说,我希望使用一些大数据的方式和方法提供一些数据的仓库,这些数据仓库可以让用户进行一些高级的数据量的分析。

有些人觉得安全信息平台提供的信息不够,需要有更多的需求,我们可以把安全的解决方案集成到这个系统中,可以非常容易地了解到,这些部门之间是如何进行安全调查的。还有包括其他的智能情报,包括了同样是两台服务器,一台服务器是一些数据,另外一台服务器有一些敏感的信息。把这样的敏感的信息数据输入到这个平台上去之后,可以定位到重要的服务器发生的安全事件,可以进行处理,这里包括了恶意软件的分析能力。因为时间有限,只是简单地介绍一下。看是否有恶意软件的特征来解决这样的问题,也包括终端的可持续性,我可以帮助用户看看在笔记本的电脑终端,看看是否有恶意的软件和行为发生。这两个平台也可以进行直接的互相交互。同样,在一个恶意软件的界面中,看到异常状况,可以知道这个软件是否通过其他渠道过来的。这两部分的内容可以协作。有这样的更多的信息之后,不仅仅是发现事件,要如何处理、汇报和解决。

这里可以看到安全事件处理的相应的仪表盘,违规的响应的仪表盘,只要了解整个网络安全事故状况就可以了。因为时间关系,我介绍到这里,谢谢大家!

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");