伴著7月的熱情，23日下午，迎來了網絡與信息安全主題沙龍的第四期，本期的主題是信息安全的發展趨勢，我們邀請了RSA的郭鳴和深信服的鄧永茂來與我們分享，他們眼中信息安全的方向。

首先給我們帶來分享的是郭鳴，他向我們展現了攻擊的整個生命周期，如下圖所示：

在前面兩步中，我們是無法預知黑客的動作的，最早只能從第三步，即黑客將malware傳遞到攻擊目標時，在黑客發起攻擊到我們發現入侵的這段時間，我們基本是不知道黑客做了什么動作的，所以，我們預防攻擊的重點將轉為縮短從黑客發起入侵到我們發現入侵的時間。

在面對入侵時，郭鳴提到，傳統的安全手段如防火墻、IDS、IPS、殺毒軟件只能攔截已知的威脅，面對未知的威脅，我們卻無能為力。SIEM產品雖然可以串聯各種安全產品，達到聯動檢測的目的，但是一些關鍵的日志往往會被黑客清除或篡改。所以，我們要加大對終端行為和網絡行為的可見性，來提高我們高級威脅檢測、調查的能力。后續我們的投入將從重點關注預防能力，轉而向監測、預防、響應為一體的縱深防御體系轉變。

接下來，郭鳴向我們展示了RSA的安全分析平臺，可視化的安全分析方向，囊括了數據流分析、日志分析和終端行為分析，在大數據分析能力和實時處理能力的前提下，通過匯總數據，提供統一調查接口，并配合專業的調查人員，可幫助企業應對各種已知和未知的威脅。

最后，郭鳴向我們簡要介紹了EMC自己的安全事件處理團隊，上到CISO，下到各級分析小組、數據泄露響應小組、平臺支撐小組，分工明確，各司其職，共同實現EMC公司的安全運營。

接下來給我們分享的是來自深信服的鄧永茂，他首先為我們分享了深信服的安全理念：安全可視、持續檢測、快速響應、簡單交付。永茂提到，隨著時代的變遷，黑客的攻擊手段也變的越來越復雜，從傳統的漏洞掃描、DDos攻擊、口令破解、會話劫持、越權訪問、身份偽造、邏輯漏洞等攻擊開始向精準、定向攻擊轉變，魚叉攻擊、水坑攻擊、APT攻擊、僵尸網絡、撞庫攻擊、釣魚網站、社會工程學等新型的攻擊手段層出不窮。

接下來，從永茂向我們展示了一個從黑客視角，利用精準、定向攻擊，模擬黑客真實場景的樣例，一個已經有各類基礎防護，做了網絡區域劃分、隔離的制藥集團，是如何一步步被黑客拿下的：

  1）首先，黑客先對企業的網站進行漏洞探測，利用發現的web漏洞，篡改網站，當管理員點擊惡意js時，會被獲取cookie信息，可以為黑客進一步利用，獲取網站的權限；

  2）另一個更簡單的方法，向管理員發送包含惡意鏈接的偽造的郵件，引誘管理員點擊鏈接，可以將惡意程序植入管理員的電腦，使黑客成功的進入企業的內網；

  3）利用被控制的電腦做跳板，黑客可以控制更多的電腦，組建僵尸網絡，利用僵尸網絡作為攻擊電腦，發起更廣范圍的攻擊，或者利用掃描等手段，發現企業核心數據的機器，竊取企業機密信息。

最后，永茂向我們分享了如何應對這類新型的攻擊手段，基于云的威脅檢測分析平臺，利用部署在各個重要節點，邊界的監控、采集設備，收集潛在的攻擊行為，發送到云平臺，利用大數據、沙盒、威脅情報等技術，持續檢測，綜合分析識別出攻擊行為，即可繪制攻擊畫像，還原整個攻擊過程，又可通過可視化的方式展現整個攻擊過程，還可以與企業中的安全設備進行聯動響應，幫助企業發現、響應處理各類入侵行為。

在沙龍過程中，大家在可視化，如何引起領導關注，是部署私有的安全防護系統，還是利用共有的云安全服務，樣本檢測方式，數據采集方式，如何聯動響應等方面展開了深入探討。