RSA的APT峰会会议纪要

2011年7月13日～14日，RSA与TechAmerica举办一次针对APT的闭门峰会。有大约100位CISO，CIO和CEO参加，涵盖政府、金融、制造、医药、技术、服务业等多个领域。NetworkWorld对此进行了报道，并采访了其中一位与会人士——T-Mobile的副总裁兼CISO。

就在美国时间2011年9月13日，RSA将这次闭门会议的会议纪要发布了出来，内容是他们讨论后的一些重要发现，主要包括：

1）攻击向量已经从技术延伸到人。社会工程学是第一位的威胁向量。人成为了新的网络边界，只要给定恰当的上下文，任何人都可能成为钓鱼受害者。而传统的对人员进行安全意识培训的方法也不足以应付钓鱼攻击。

2）组织必须学会在已经遭受攻击的情况下生存。阻止攻击者进来是不现实的，更现实的做法是规划好在攻击者已经进来后应该采取什么响应动作。组织应该将重点放在如何尽快关闭遭受破坏的时间窗口，降低损失上，例如隔离系统、阻止敏感信息外泄，以及回到诸如“最小特权”、“纵深防御”这些核心的IT安全原则上来。防御的关键在于找到本组织中最核心最的、最需要受到保护的资产，清楚地知道这些资产在哪儿，谁对他进行了访问，在出现攻击的时候如何将资产隔离（锁定）；

3）要提前监测出威胁必须依靠态势感知，尤其是需要更大范围的态势感知，不能只关注于自身网络中的态势，而要关注与自身网络相关的整个生态系统的态势。企业间合作共享十分重要。

4）利用供应链发起攻击的情况正在抬头，供应链正在成为安全防御中的最薄弱环节，攻击者正在通过研究和收集可信供应商的弱点来发起攻击。而对供应商的安全检测是一个巨大的挑战。可以借助一些方法，例如信誉评级、第三方审计、外部监测等。

5）突发事件响应应该是整个组织的事情，而非纯安全的事，并且要事先就制定好应对APT的突发事件响应程序/计划，并做好演练。

6）定制化——作为APT的一个重要特点——是对传统的基于签名（特征）的检测方法的重大挑战。定制化即意味着攻击的目的性极强，并且利用0day包装出一个攻击的速度极快，而研究出这个漏洞的签名（特征）则慢得多。

7）目前攻击方在实时情报共享方面做的比防御者更好。防御者在情报共享方面存在诸多障碍。而快速有效的情报共享是目前的第一要务。

8）组织必须积极主动地去尽早发现攻击，并用各种方式破坏攻击链条（路径）。

9）现在公开出来的APT攻击仅仅是冰山一角。同时，除了关注数据窃取，还要关注其他目的的APT攻击，例如poisoning, disruption，embarrassment 。

10）简单的安全才是更好的安全。我们要简化我们的技术环境（IT基础架构），只有更好的理解资产、流程和端点（终端）才有机会进行真正的防御。使用最小的技术去达成一个目标。

其中，威胁情报的共享是RSA十分看重的一个对抗APT的策略，包括如何才能促使大家能够参与到情报共享中来，包括信息的标准化、匿名化（正如龙虾计划中考虑的那样)等诸多具体问题需要考虑。