该议题由RSA全球安全解决方案总经理Michal Blumenstyk-Braverman演讲,议题无太多技术内容,但是我依旧要把这个议题写下来,因为这些情况在未来的某天发生改变。

议题上给出了一份数据,其中有35%的威胁来自美国境外,行业有金融、通信和医疗等行业,亚洲网络犯罪的Top几依次为:印度、澳大利亚、中国、日本,威胁类型有:钓鱼(Fishing)、木马(Zeus VZ、Soduku、Warp的等)等。

针对以上情况,RSA提出了多层防御措施,Michal Blumenstyk-Braverman介绍了在当前网络安全背景下的RSA的解决思路(方案)–基于大数据的情报分析系统。该系统通过对BBS等互联网信息进行分析,分析黑客可能采用的攻击技术,从而对该类攻击进行防护。该系统采用风险引擎在后台进行威胁分析处理和威胁程度分析,引擎具有智能学习能力。该系统当前运营的规模已经达到了3亿用户,抵御了700000次Fishing攻击。

Michal Blumenstyk-Braverman举了一个例子:

英国的一家银行使用了该系统,该系统会根据不同的用户对一次登录进行威胁评分,假设评分的标准是100最高,0为最低,而当系统进行后台分析处理威胁评分时,越高的评分则意味着当前登录用户的不合法的可能越高时,那么该用户需要提供更多的凭证让系统认为这是合法登录。据称,该系统在英国这家银行使用后,大大提高了针对钓鱼攻击的抵御(准确度在94%以上),相反的是银行系统的运行效率却并未受到多大影响。

关于RSA系统的威胁模型如何判断威胁等级(评分),个人理解是根据其登录的IP地址、国家地区、浏览器等各种因素组成,在进行威胁评分时会综合各方面的因素,每个因素都会赋予不同的权重,权重越高,分数越高,分数越高,威胁度越高,威胁度越高,则登录用户需要输入更多凭证用于验证合法身份。

最后比较有意思的是Q&A环节,我清楚的记得有人问了一个这样的问题:什么是APT攻击,如何界定APT攻击,类似StuxnetDuqu、Flame攻击,是否也可以算作是一个国家对另一个国家的APT攻击?(原意应该大致如此)

源链接

Hacking more

...