2011年7月13日~14日,RSA与TechAmerica举办一次针对APT的闭门峰会。有大约100位CISO,CIO和CEO参加,涵盖政府、金融、制造、医药、技术、服务业等多个领域。NetworkWorld对此进行了报道,并采访了其中一位与会人士——T-Mobile的副总裁兼CISO。

就在美国时间2011年9月13日,RSA将这次闭门会议的会议纪要发布了出来,内容是他们讨论后的一些重要发现,主要包括:

1)***向量已经从技术延伸到人。社会工程学是第一位的威胁向量。人成为了新的网络边界,只要给定恰当的上下文,任何人都可能成为钓鱼受害者。而传统的对人员进行安全意识培训的方法也不足以应付钓鱼***。

2)组织必须学会在已经遭受***的情况下生存。阻止***者进来是不现实的,更现实的做法是规划好在***者已经进来后应该采取什么响应动作。组织应该将重点放在如何尽快关闭遭受破坏的时间窗口,降低损失上,例如隔离系统、阻止敏感信息外泄,以及回到诸如“最小特权”、“纵深防御”这些核心的IT安全原则上来。防御的关键在于找到本组织中最核心最的、最需要受到保护的资产,清楚地知道这些资产在哪儿,谁对他进行了访问,在出现***的时候如何将资产隔离(锁定);

3)要提前监测出威胁必须依靠态势感知,尤其是需要更大范围的态势感知,不能只关注于自身网络中的态势,而要关注与自身网络相关的整个生态系统的态势。企业间合作共享十分重要。

4)利用供应链发起***的情况正在抬头,供应链正在成为安全防御中的最薄弱环节,***者正在通过研究和收集可信供应商的弱点来发起***。而对供应商的安全检测是一个巨大的挑战。可以借助一些方法,例如信誉评级、第三方审计、外部监测等。

5)突发事件响应应该是整个组织的事情,而非纯安全的事,并且要事先就制定好应对APT的突发事件响应程序/计划,并做好演练。

6)定制化——作为APT的一个重要特点——是对传统的基于签名(特征)的检测方法的重大挑战。定制化即意味着***的目的性极强,并且利用0day包装出一个***的速度极快,而研究出这个漏洞的签名(特征)则慢得多。

7)目前***方在实时情报共享方面做的比防御者更好。防御者在情报共享方面存在诸多障碍。而快速有效的情报共享是目前的第一要务。

8)组织必须积极主动地去尽早发现***,并用各种方式破坏***链条(路径)。

9)现在公开出来的APT***仅仅是冰山一角。同时,除了关注数据窃取,还要关注其他目的的APT***,例如poisoning, disruption,embarrassment 。

10)简单的安全才是更好的安全。我们要简化我们的技术环境(IT基础架构),只有更好的理解资产、流程和端点(终端)才有机会进行真正的防御。使用最小的技术去达成一个目标。

其中,威胁情报的共享是RSA十分看重的一个对抗APT的策略,包括如何才能促使大家能够参与到情报共享中来,包括信息的标准化、匿名化(正如龙虾计划中考虑的那样)等诸多具体问题需要考虑。