RSA 2013峰会共有350家安全厂商参加,参展厂家数量超过了以往RSA年会。这两年RSA大会的关注热点并没有太多的变化,从图中可以看到,热点依然还是数据安全、企业安全管理、合规性、应用程序安全、DLP等,但是通过对比2012和2013两次RSA大会发现,RSA2012展会的支撑性厂商大部分是做硬件的,多强调产品性能,代表性产品是UTM和NGFW;RSA2013年展会的支撑性厂商多强调安全功能,代表性产品是安全监控和分析产品,比如,今年很多厂商都在宣传APT检测和防御产品。
RSA 2013热点排名
本次RSA峰会启明星辰关注的热点技术包括:大数据和APT、安全事件分析、脆弱性管理、身份标识管理、Web应用安全、安全网关、无线网络安全、云计算安全、数据防泄密和智能沙盒,下面是对一些技术热点的分析。
大数据和APT检测
大数据和APT检测绝对是RSA2013大会的最热点。有很多厂商都提出了自己的APT安全解决方案。我们可以把这些方案分为四类:
1、恶意代码检测类:该类APT解决方案其实就是检测APT攻击过程中的恶意代码传播步骤,因为大多数APT攻击都是采用恶意代码来攻击员工个人电脑以进入目标网络,因此,恶意代码的检测至关重要。很多做恶意代码检测的安全厂商就是从恶意代码检测入手来制定APT攻击检测和防御方案的,典型代表厂商包括FireEye和GFI Software。
2、主机应用保护类:不管攻击者通过何种渠道发送给组织员工的恶意代码,必须在员工的个人电脑上执行,因此,如果能够确保员工个人电脑的安全则可以有效防止APT攻击。主要思路是采用白名单方法来控制个人主机上应用程序的加载和执行情况,从而防止恶意代码在员工电脑上执行。很多做终端安全的厂商就是从这个角度入手来制定APT攻击防御方案,典型代表厂商包括Bit9。
3、网络入侵检测类:就是通过网络边界处的入侵检测系统来检测APT攻击的命令和控制通道。虽然APT攻击中的恶意代码变种很多,但是,恶意代码网络通信的命令和控制通信模式并不经常变化,因此,可以采用传统入侵检测方法来检测APT通信通道。典型代表厂商有趋势科技、飞塔等。
4、大数据分析检测APT类:该类APT攻击检测方案并不重点检测APT攻击中的某个步骤,而是通过全面收集重要终端和服务器上的日志信息以及采集网络设备上的原始流量,进行集中分析和数据挖掘。它是一种网络取证思路,它可以在发现APT攻击的蛛丝马迹后,通过全面分析海量数据,从而还原整个APT攻击场景。大多数拥有大数据分析技术的厂商都采用这种思路来检测APT攻击。典型的厂商有RSA和SOLERA。
安全事件分析(SIEM)
本次RSA大会参展的SIEM厂商较多,包括RSA、Arcsight、LogRhythm、Agiliance、AlertLogic、AlienVault、SenSage等著名的SIEM公司。一些系统厂商也通过并购动作进入SIEM市场,比如HP收购了Arcsight。从展会情况看,传统SIEM厂商比如RSA和Arcsight等依然实力很强大,但根据gartner魔力象限数据看出,新型SIEM厂商LogRhytm从2012年开始已经超过RSA和Arcsight,成为了SIEM领域的领头羊。SIEM看点是,这些SIEM安全产品提出了下一代SOC概念,LogRhythm提出了SIEM2.0概念,它在传统SIEM功能上集成了文件完整性监控和主机行为监控功能,目标瞄准APT攻击检测。我们还看到的另一个现象是,很多SIEM厂商开始采用大数据技术来做日志和安全事件分析,代表厂商是splunk。
脆弱性管理
今年的RSA大会同样吸引了很多脆弱性管理厂商,包括Qualys、nCircle和Secunia等,今年这些厂商都在强调脆弱性管理过程。Qualys公司推出了基于云的脆弱性管理服务,该服务覆盖脆弱性整个生命周期,包括漏洞挖掘、漏洞扫描、漏洞评估和漏洞补丁管理等,从而可以实现集中脆弱性监控、扫描和防护。nCircle也推出了基于云的脆弱性管理服务,主要客户是大公司和企业,它提出以补丁管理为中心的脆弱性管理概念。Secunia本次不再宣传其漏洞扫描器,而是强调脆弱性管理过程,基于其脆弱性管理套件提出了一个补丁管理过程,包括脆弱性挖掘、脆弱性扫描、补丁自动创建和补丁部署等步骤。
身份标识管理(IAM)
身份标识管理也一直是RSA大会的热点,很多厂商涉足这个领域。以前的身份标识管理厂商只做身份标识管理产品,现在,很多厂商开始运营身份标识管理服务,包括基于云的身份标识管理服务。目前提供身份标识管理的厂商多为小型创业公司,但伴随着云计算的日益普及,将会有很多大公司进入身份标识管理服务领域。在身份认证方面,目前带外认证技术已经非常流行,包括Entrust、Authentify公司的移动电话号码、pin码、语音识别认证技术;同时我们也看到了一些新型公司如HID和SPYRUS在使用生物特征识别技术来实现身份认证。身份标识管理方面的另一个趋势是,很多身份标识管理厂商推出基于云架构的单点登录(SSO)服务,从而可以解决客户的多系统、多Web应用之间的一次性认证问题。
Web应用安全
应用安全一直以来是人们关注的重点,应用安全中最主要的安全问题是Web安全。本次RSA展会,著名的Web安全厂商包括WebSense、Barracuda和Imperva都展出了自己的Web安全产品。Web安全产品可以分为两类:Web应用防火墙(WAF),它部署在Web服务器端用来保护Web服务器的安全;Web网关,部署在企业网边界,用来保护企业内部上网用户免受来自Web的网页木马或恶意代码的攻击,或者规范用户的Web访问行为。Imperva展出了其Web应用防火墙产品,除了可以为Web服务器提供传统的实时Web攻击防护外,还可以提供包括访问审计、取证分析和数据防泄密等新型安全功能;Imperva WAF还具有环境感知能力,通过主动扫描或者第三方扫描结果导入等方法收集被保护Web服务器的一些脆弱性信息(包括漏洞和配置信息),从而为Web服务器提供虚拟化补丁等高级安全功能。WebSense是Web安全防护领域的佼佼者,其WAF可以提供分角色管理和应用加速等功能;此外,Websense的Web网关产品提供包括DLP、网络分类和细粒度访问控制等安全功能。Barracuda也同时展出了其WAF和Web网关产品,其中,WAF产品提供了缓存加速、连接池、内容压缩、负载均衡等特性。
安全网关
本次RSA峰会吸引了包括Fortinet、Cyberoam、Juniper、Sourcefire、华为、SonicWall、Palo Alto在内的著名安全网关厂商,NGFW与UTM仍然是这些厂商的宣传重点。关于NGFW和UTM概念,各厂商的理解有所不同。NGFW代表厂商Palo Alto认为NGFW首要关注产品对应用的识别与控制,传统防火墙功能其次;UTM代表厂商Fortinet认为NGFW产品是UTM产品的功能子集,NGFW概念是在UTM之后出现,因为有用户只关注NGFW功能,不需要全功能UTM,因此诞生了NGFW概念。但我们看到,NGFW与UTM从产品角度来看呈现出趋同趋势,比如,Palo Alto在增强其NGFW产品的AV功能,该功能在标准的NGFW定义中是没有要求的;Fortinet在其最新UTM产品中增强了抗DDoS功能。安全网关的技术发展动态主要表现在以下几点:采用智能沙箱、异常检测等方法来弥补传统基于特征匹配的检测方法不足;开始融合大数据分析技术,并注重安全威胁情报收集;注重网络流量的可视化,有些产品可以对全流量数据进行深度分析,可以实现网络流量的回溯和关联分析;安全网关实现模式也在发生变化,由先前的集中网关模式变为前后端模式,前端仍然是安全网关,而后端是云计算。
无线网络安全
无线网络安全也颇受关注。本次展会上Motorola展示了一个无线管理平台——AirDefense,通过从AP端的传感器实时获取检测信号,发现问题、分析故障和优化网络。AirDefense可以定位问题AP并立刻进行处理,包括重启故障AP,增大AP功率或者端口问题终端等。RSA通过收购Meraki进入无线安全领域。Meraki最早提供AP产品,后来发展UTM产品线,其低端UTM在传统安全功能基础上提供无线接入及无线IPS功能。移动安全和BYOD是无线网络安全中的热点,典型厂商包括InfoExpress、Fasoo、PointSharp和华为。比如,Airwatch提供全面的移动安全解决方案,包括移动设备管理、移动应用管理和移动内容管理等服务;Mocana提出了安全沙箱的移动APP防护方案,可以为现有移动APP提供包括安全认证、数据加密和位置隐藏等能力。通过对这些移动安全解决方案分析发现,使用的技术不外乎是应用虚拟化、虚拟桌面和沙箱技术。
云计算安全
云计算安全和基于云计算模式的安全服务是本届RSA大会的热点。微软在RSA大会上发布了免费CSRT工具,CSRT是一个调查工具,可帮助企业组织审查和了解他们的IT成熟度水平和他们是否准备好将其业务迁移到云中,CSRT工具采用云控制矩阵,来考虑数据安全性、隐私和可靠性因素以及关键的合规性因素。云安全联盟(CSA)在RSA峰会上发布了2013年云计算安全威胁报告,列出了9大云计算安全威胁,包括:1.数据泄露;2.数据丢失;3.账户劫持;4.不安全的API;5.拒绝服务攻击;6.内部人员的恶意操作;7.云计算服务的滥用;8.云服务规划不合理;9.共享技术的漏洞问题。此外,针对虚拟化和云计算基础架构,也有安全厂商展出其相应的安全解决方案;趋势科技针对VMware等虚拟化基础架构提供基于Deep security的安全解决方案,保证VMware等的安全;checkpoint、Fortinet等安全厂商针对云计算多租户特点,将传统安全产品转换为虚拟安全器件,从而可以部署在VMware等虚拟化基础架构上面,为多租户提供独立的安全服务。VMware软件定义的数据中心,将它的Vshied安全套件包装到了VCD软件包中,从而实现虚拟数据中心的安全。
数据防泄密(DLP)
数据防泄密是历届RSA大会的热点,本届也不例外,且热度继续上升,从2012年排名13位提升为2013年第9位。本届RSA大会有超过37家公司宣传重点DLP,有超过100家涉及DLP。我们可以将DLP厂商分为两类:1、侧重DLP终端的厂商,这主要是传统防病毒厂商,包括McAfee、Symantec、Sophos和趋势科技等;侧重DLP网关的厂商,这主要是传统的FW/IPS厂商,包括Websense、TrustWave、WatchGuard、Paloalto。这些年来发生的一系列数据泄密安全事件,使得越来越多的人重视数据安全问题,不少安全厂商开始进入DLP领域。DLP的三个变化是:出现了ALL IN ONE趋势,典型代表就是,一些网关厂商开始将DLP和APT检测功能集成到其UTM或IPS产品中;由于BYOD的升温,围绕移动设备的数据防泄密成为热点中的热点;有些厂商提出了基于云和大数据的数据防泄密解决方案。
创新沙盒
每年RSA峰会上的创新沙盒论坛都会吸引很多人关注。今年的创新沙盒主题是移动安全,比较有代表性的创新为:
•Remotium:提供了移动应用虚拟化技术,在公共或私有云上运行移动应用,并将可视化数据传送到移动设备;Remotium被评为2013年RSA大会最佳创新公司;
•Silent Circle:提供一个全球性的加密通信服务,为移动设备提供了一整套既简单又安全的工具——视频加密、通话加密、文本加密和电子邮件加密;
•Wickr:一款军用级加密的手机通信应用,其特点是:账户匿名不可追踪,可设置信息时效并能自动销毁信息,自动清除隐私(如照片的位置信息);
•PrivateCore:针对内存dump、KVM攻击、“速冻内存”、断电保持内存(NVRAM)等可以从内存中获得敏感数据的攻击方法,PrivateCore公司在RSA峰会上提供了一款称为vCage的虚拟机产品,它是一个Hypervisor,通过实现虚拟机内存全加密从而有效防范上述攻击。