这篇文章将会是RSA参会的最后一篇文章，主要说说对EMC信息安全事业部首席技术专家Samir Saklikar《分享为协同攻击分析的威胁智能分析》议题的感触。

随着APT（高级持续性威胁）的兴起，一个个知名的关键企业纷纷中枪，美国的洛马公司、CIA、Google、Sony等，当然这也包括RSA公司。搞安全的大家都知道木桶原理，而APT恰恰是根据木桶原理，有针对性的对攻击目标制定适合该目标的攻击方案，所以，APT下，企业纷纷中枪不足为奇。那么如何防御APT（或者缓解APT）攻击呢？BlueCoat很聪明，EMC的 Samir Saklikar也很有想法， EMC提出要将企业攻击事件信息共享，从而使得企业能够抵御同类攻击。如下图：

但是这种企业攻击事件信息共享并不是一帆风顺的，面对的挑战之一就是如何控制隐私，因为在攻击事件的共享中，可能将企业关键信息共享，从而导致泄密事件产生，会上 Samir Saklikar也提到了这点。挑战之二是这种共享信息目前缺乏相应标准，或者某些标准不符合该种共享的要求（EMC也在积极推动标准的建立） 。 Samir Saklikar告诉了我们目前现有的共享信息有哪些：

目前EMC的产品采用了如下几种数据标准对攻击事件进行描述和共享：

这其中很关键的一点是数据分析，捕获攻击事件，如何从海量数据通信中捕获一个攻击事件，这是系统的基础。显然单机是无法满足需求的，那么分布、并行是必然选择， Samir Saklikar同样给出了EMC的数据处理方法：

个人观点：该系统部署在关键领域的企业外部会有意想不到的结果，但是系统本身的复杂性、对攻击事件的识别精确度、 捕获攻击后的防御措施的处理上都是系统能否成功的关键，同时中小公司难以享受到该产品所带来的好处。不知国内企业是否在从事这方面的研究，个人还是很看好这个系统的，如果以后有机会，希望能够从事这方面的研究吧！

Samir Saklikar分享的该议题在RSA China 2012的官方网站已经可以下载，地址：http://www.emc-china.com/rsaconference/2012/cn/download.php?pdf_file=TH-1005_CN.pdf

via focusecurity