深入解读RSA2013热点技术

RSA2013峰会共有350家安全厂商参加，参展厂家数量超过了以往RSA年会。这两年RSA大会的关注热点并没有太多的变化，从图中可以看到，热点依然还是数据安全、企业安全管理、合规性、应用程序安全、DLP等，但是通过对比2012和2013两次RSA大会发现，RSA2012展会的支撑性厂商大部分是做硬件的，多强调产品性能，代表性产品是UTM和NGFW；RSA2013年展会的支撑性厂商多强调安全功能，代表性产品是安全监控和分析产品，比如，今年很多厂商都在宣传APT检测和防御产品。

本次RSA峰会启明星辰关注的热点技术包括：大数据和APT、安全事件分析、脆弱性管理、身份标识管理、Web应用安全、安全网关、无线网络安全、云计算安全、数据防泄密和智能沙盒，下面是对一些技术热点的分析。

大数据和APT检测

大数据和APT检测绝对是RSA2013大会的最热点。有很多厂商都提出了自己的APT安全解决方案。我们可以把这些方案分为四类：

1、恶意代码检测类：该类APT解决方案其实就是检测APT攻击过程中的恶意代码传播步骤，因为大多数APT攻击都是采用恶意代码来攻击员工个人电脑以进入目标网络，因此，恶意代码的检测至关重要。很多做恶意代码检测的安全厂商就是从恶意代码检测入手来制定APT攻击检测和防御方案的，典型代表厂商包括FireEye和GFISoftware.

2、主机应用保护类：不管攻击者通过何种渠道发送给组织员工的恶意代码，必须在员工的个人电脑上执行，因此，如果能够确保员工个人电脑的安全则可以有效防止APT攻击。主要思路是采用白名单方法来控制个人主机上应用程序的加载和执行情况，从而防止恶意代码在员工电脑上执行。很多做终端安全的厂商就是从这个角度入手来制定APT攻击防御方案，典型代表厂商包括Bit9.

3、网络入侵检测类：就是通过网络边界处的入侵检测系统来检测APT攻击的命令和控制通道。虽然APT攻击中的恶意代码变种很多，但是，恶意代码网络通信的命令和控制通信模式并不经常变化，因此，可以采用传统入侵检测方法来检测APT通信通道。典型代表厂商有趋势科技、飞塔等。

4、大数据分析检测APT类：该类APT攻击检测方案并不重点检测APT攻击中的某个步骤，而是通过全面收集重要终端和服务器上的日志信息以及采集网络设备上的原始流量，进行集中分析和数据挖掘。它是一种网络取证思路，它可以在发现APT攻击的蛛丝马迹后，通过全面分析海量数据，从而还原整个APT攻击场景。大多数拥有大数据分析技术的厂商都采用这种思路来检测APT攻击。典型的厂商有RSA和SOLERA.

安全事件分析（SIEM）

本次RSA大会参展的SIEM厂商较多，包括RSA、Arcsight、LogRhythm、Agiliance、AlertLogic、AlienVault、SenSage等著名的SIEM公司。一些系统厂商也通过并购动作进入SIEM市场，比如HP收购了Arcsight.从展会情况看，传统SIEM厂商比如RSA和Arcsight等依然实力很强大，但根据gartner魔力象限数据看出，新型SIEM厂商LogRhytm从2012年开始已经超过RSA和Arcsight，成为了SIEM领域的领头羊。SIEM看点是，这些SIEM安全产品提出了下一代SOC概念，LogRhythm提出了SIEM2.0概念，它在传统SIEM功能上集成了文件完整性监控和主机行为监控功能，目标瞄准APT攻击检测。我们还看到的另一个现象是，很多SIEM厂商开始采用大数据技术来做日志和安全事件分析，代表厂商是splunk.

脆弱性管理

今年的RSA大会同样吸引了很多脆弱性管理厂商，包括Qualys、nCircle和Secunia等，今年这些厂商都在强调脆弱性管理过程。Qualys公司推出了基于云的脆弱性管理服务，该服务覆盖脆弱性整个生命周期，包括漏洞挖掘、漏洞扫描、漏洞评估和漏洞补丁管理等，从而可以实现集中脆弱性监控、扫描和防护。nCircle也推出了基于云的脆弱性管理服务，主要客户是大公司和企业，它提出以补丁管理为中心的脆弱性管理概念。Secunia本次不再宣传其漏洞扫描器，而是强调脆弱性管理过程，基于其脆弱性管理套件提出了一个补丁管理过程，包括脆弱性挖掘、脆弱性扫描、补丁自动创建和补丁部署等步骤。

身份标识管理（IAM）

身份标识管理也一直是RSA大会的热点，很多厂商涉足这个领域。以前的身份标识管理厂商只做身份标识管理产品，现在，很多厂商开始运营身份标识管理服务，包括基于云的身份标识管理服务。目前提供身份标识管理的厂商多为小型创业公司，但伴随着云计算的日益普及，将会有很多大公司进入身份标识管理服务领域。在身份认证方面，目前带外认证技术已经非常流行，包括Entrust、Authentify公司的移动电话号码、pin码、语音识别认证技术；同时我们也看到了一些新型公司如HID和SPYRUS在使用生物特征识别技术来实现身份认证。身份标识管理方面的另一个趋势是，很多身份标识管理厂商推出基于云架构的单点登录（SSO）服务，从而可以解决客户的多系统、多Web应用之间的一次性认证问题。