RSA高级信息安全分析平台与反欺诈服务

访客:19527  发表于:2014-04-17 16:52:31


吴异刚   RSA大中华区高级信息安全售前顾问

吴异刚:大家下午好,非常高兴能有这个机会和大家进行沟通。我们也知道今天这个会议的主题是针对于小微金融服务的创新与转型的,我们知道在创新和转型的过程中,广大的农商行的用户除了有一些具体的业务需求之外,他们必然也会有一些安全方面的需求。RSA作为全球知名的安全厂商,它也有众多的解决方案,我们也从众多的解决方案当中挑选出了一些比较切合的,能够帮助用户解决某一方面或者某几方面问题的具体方案。

第一个解决方案就是RSA的安全分析平台的解决方案,我们可以看一下传统的边界安全的一些特点或者特征是什么样的。我们知道一般的银行IT系统或者IT架构里面一定会布置这样或者那样的安全措施,在部署这些措施的时候,我们往往会知道它是基于一种所谓的传统的边界的安全;第一个特征是它基于签名或者是特征码方式,比如说每一个企业或者用户都会使用的防病毒软件。第二方面是比较关注于在边界防御这块,就是说我们可能把很多的投入放在防火墙或者是说一些网关的防病毒,网关的安全控制等等。第三是合规驱动,因为有上级主管部门或者法律法规的要求,因为有这些需求,所以我要部署一些安全措施。但是基于特征码也好,基于边界也好,基于合规驱动也好,都没有办法抵御我们高级持续性的威胁。如果就有这样一个黑客,他刚刚就从他的地下论坛花了若干美金买了一漏洞,花了一下午的时间编辑一个代码攻击某一个行业或者是用户。你无论是基于特征码的方式还是基于边界的方式都没有办法防御这种攻击。

如果你能够有效的针对一些高级威胁的攻击,你最少应该具有4方面的功能或者特性,才有可能比较好的去解决这样一个问题。这四个特性就包括了第一方面需要有全面的可视性,你需要了解你企业架构当中所发生的每一件事情。第二是你需要有一个灵活的分析能力,这么多的信息,怎么样能够去有效的分析,并查找出你所关心的消息。第三方面是需要具有智能的实施指示,大量的信息和数据在进行分析的时候,除了能够提供灵活的分析方式,另外就是希望有一个类似于专家团队一样来告诉我收集的这些信息哪些可以去进行特别的花时间去观察。第四方面是公司治理与合规,这样一个安全解决方案当然也是符合整个公司的策略或者是整个企业或者上级主管部门合规的要求。这就是RSA的安全分析平台,它是在同一个平台上获取数据报和日至两方面信息的平台。作为一般的农商行用户来说,他们往往是以日志系统为核心的。日志的这种信息系统的收集,确实在合规的满足上面非常具有它的一个优势,也就是说上级主管部门要求一个银行日志的保留,保留一年或者是保留三年,或者保留五年,并且能够证明上级主管部门要求的这样一个操作运作的日志你都保留下来,从这方面的角度来讲,实际上日志审计系统在这方面的功能完成的是非常好的。

如果你的判断或者分析只是基于少量信息的情况下,就好象我们如果只是从一个正面去看这个苹果的话,你也许会觉得这个苹果是完好的。但是如果你是基于获取足够信息的基础上进行判断,比如说你从侧面、上面、左面、后面看,也许你会发觉这个苹果并没有你想象中的这样完备。这是跟你所看待这个事件的角度和需求是密不可分的联系的。我们通常所说的是怎么移除草堆去寻找到我们那根关注的针,就是能够帮助用户足够快的找到你所关心的问题,或者是某个故障。所有收集的网络日志或者是数据包,如果我们里面只关心可执行文件下载的话,这部分的数据量可能就是几T、几十T流量中的百分之几。如果我们再把这部分的信息跟我们关键资产的信息捆绑起来,比如说一般的计算机发生这种问题我们是不关心的,如果是我们网络中的服务器发生这种事件,我们会更加花时间去研究的。同时在这个安全分析平台当中也提供了事件的自动归纳与路径还原能力,可以比较好的展现在客户的面前,让客户更形象的了解到这个事件的来龙去脉。在整个安全分析平台的架构当中既包括了日志也包括了数据包的收集和索引,同时在它的上面具有了一些高级模块,或者客户说我的日志需要保留三年、五年,我需要向上级主管部门提供证明我是合规的。另外用户说其实我收集了这么大的数据,甚至我还想做一些更高级的分析,这时候我们就可以提供数据仓库,因此它不仅仅可以去帮用户去分析和判断一些安全方面的问题,同样这些数据的收集也可以帮助用户提供业务上其他信息的补充和参考。

今年RSA觉得我们实际上仅仅提安全分析平台,在整个安全的风险运维管理当中实际上还是不太够,因为这里面应该还缺了几部分内容。第一部分内容就是我们应该增加额外的一些业务与IT背景信息,这就包括了一些关键性的资产数据、漏洞评估、数据发现和分类,还有整个管理事件的工作流程。我们也觉得这样的安全分析平台虽然关注了网络上的数据包和日志,应该还缺一块,就是在终端上面,在终端的可视性中我们是不是也可以提供给用户解决方案。还有就是它灵活的整合能力,能够与其他安全工具进行紧密的无缝整合。我们把资产的重要性输入到整个安全分析平台中去,我们就能非常容易的了解某一个城市,比如说南京高价值的在研发部分所发生的安全事件。内容相关的智能情报,比如说同样的是两台数据库,但是一台数据库里面跑的是一些关键性的敏感数据,另外一个数据库中跑的只是日常应用的数据。我们就需要把敏感数据单独的罗列处理,用户在进行调查和分析的时候,就可以非常清晰的了解遇到这个问题我如何去调查跟我产权相关的内容。这里面的针对恶意软件跟我们所使用的防病毒软件还是有一定的差异性,它主要针对的是未知的恶意软件。在这里面会使用非常多的技术,包括了经常所使用的虚拟基础,比如说在让这个可视性程序在虚拟的环境中跑一跑,看看是否有恶意的行为。另外是我们要增加终端的可视性,我们也可以帮助客户扫描分析和检测上面是不是有未知的恶意软件。这部分内容实际上也可以跟安全分析平台进行无缝的集成。

我们可以提供一个完整的安全事件处理流程的仪表盘,分别针对于紧急的事件、违规的事件或者是IT运维的层面,或者是针对IT经理所看到整个网络中所发生的这些问题,它的情况,处理情况,由谁处理的,处理到第几步,接下来由谁处理等等。我们觉得跟农商行比较贴息的解决方案是RSA提供的一个防欺诈的服务,这跟前面的解决方案就有点不太一样了,因为前面的解决方案毕竟是通过某一种产品来实现的,这部分内容是没有硬件也没有软件,完全是通过一种服务的形式来帮助我们的农商行用户解决某一方面的具体问题。

第一个问题就是关于钓鱼网站的问题,也就是解决农商行或者是金融企业用户的问题。防钓鱼服务主要是我们帮助用户去关掉一些他上报或者是我们检测到的钓鱼网站。RSA提供这种服务,它的一个巨大的优势是因为它具有全球最大的防欺诈的网络,差不多60%可以小于5小时关闭,80%可以小于10小时关闭。一旦关闭好之后你可以看到详细的内容,它的一些汇总,包括它的整个信息,持续时间、关闭时间、额外信息等等,这部分都是作为服务的一部分内容来提供给我们的用户的。同样在关闭钓鱼网站的过程中我们还有全球最大的封锁网络,关闭钓鱼网站的含意就是你无论在什么国家,什么区域无论通过什么样的搜索浏览方式都搜索不到它。

第二方面,我们也可以为用户提供一些防木马的服务,它更多的是关注于比如说我这个木马创造出来就是为了攻击你这个银行,盗取你银行下面用户的信息。在盗取这些信息的时候一定会有一个感染点,也会有这些信息的上传点,我们所做的服务就是把它的感染点和上传点给关闭掉。我们也包括反移动应用的服务,如果有人假冒了这个银行的一些应用,我们可以去跟开发者一起帮助你把这样一个假冒你的应用下架。

最后我们还会提供一个网络犯罪情报的服务给用户,前面的服务是针对这个银行的用户,这个服务是针对于银行雇员的。如果说这个银行雇员在外部访问你的邮箱或者等等,如果有潜在的数据损失,我们也会提供相应的报告,告诉你下面的某一个用户访问了你某一个网站,实际上上面的密码已经被外泄等等。包括我们也提供了黑名单的报告样本。如果大家对RSA的一些解决方案有进一步的兴趣,也可以到我们展台那边和我们做一些进一步的交流。谢谢大家!


评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");