伴着7月的热情，23日下午，迎来了网络与信息安全主题沙龙的第四期，本期的主题是信息安全的发展趋势，我们邀请了RSA的郭鸣和深信服的邓永茂来与我们分享，他们眼中信息安全的方向。

首先给我们带来分享的是郭鸣，他向我们展现了攻击的整个生命周期，如下图所示：

在前面两步中，我们是无法预知黑客的动作的，最早只能从第三步，即黑客将malware传递到攻击目标时，在黑客发起攻击到我们发现入侵的这段时间，我们基本是不知道黑客做了什么动作的，所以，我们预防攻击的重点将转为缩短从黑客发起入侵到我们发现入侵的时间。

在面对入侵时，郭鸣提到，传统的安全手段如防火墙、IDS、IPS、杀毒软件只能拦截已知的威胁，面对未知的威胁，我们却无能为力。SIEM产品虽然可以串联各种安全产品，达到联动检测的目的，但是一些关键的日志往往会被黑客清除或篡改。所以，我们要加大对终端行为和网络行为的可见性，来提高我们高级威胁检测、调查的能力。后续我们的投入将从重点关注预防能力，转而向监测、预防、响应为一体的纵深防御体系转变。

接下来，郭鸣向我们展示了RSA的安全分析平台，可视化的安全分析方向，囊括了数据流分析、日志分析和终端行为分析，在大数据分析能力和实时处理能力的前提下，通过汇总数据，提供统一调查接口，并配合专业的调查人员，可帮助企业应对各种已知和未知的威胁。

最后，郭鸣向我们简要介绍了EMC自己的安全事件处理团队，上到CISO，下到各级分析小组、数据泄露响应小组、平台支撑小组，分工明确，各司其职，共同实现EMC公司的安全运营。

接下来给我们分享的是来自深信服的邓永茂，他首先为我们分享了深信服的安全理念：安全可视、持续检测、快速响应、简单交付。永茂提到，随着时代的变迁，黑客的攻击手段也变的越来越复杂，从传统的漏洞扫描、DDos攻击、口令破解、会话劫持、越权访问、身份伪造、逻辑漏洞等攻击开始向精准、定向攻击转变，鱼叉攻击、水坑攻击、APT攻击、僵尸网络、撞库攻击、钓鱼网站、社会工程学等新型的攻击手段层出不穷。

接下来，从永茂向我们展示了一个从黑客视角，利用精准、定向攻击，模拟黑客真实场景的样例，一个已经有各类基础防护，做了网络区域划分、隔离的制药集团，是如何一步步被黑客拿下的：

  1）首先，黑客先对企业的网站进行漏洞探测，利用发现的web漏洞，篡改网站，当管理员点击恶意js时，会被获取cookie信息，可以为黑客进一步利用，获取网站的权限；

  2）另一个更简单的方法，向管理员发送包含恶意链接的伪造的邮件，引诱管理员点击链接，可以将恶意程序植入管理员的电脑，使黑客成功的进入企业的内网；

  3）利用被控制的电脑做跳板，黑客可以控制更多的电脑，组建僵尸网络，利用僵尸网络作为攻击电脑，发起更广范围的攻击，或者利用扫描等手段，发现企业核心数据的机器，窃取企业机密信息。

最后，永茂向我们分享了如何应对这类新型的攻击手段，基于云的威胁检测分析平台，利用部署在各个重要节点，边界的监控、采集设备，收集潜在的攻击行为，发送到云平台，利用大数据、沙盒、威胁情报等技术，持续检测，综合分析识别出攻击行为，即可绘制攻击画像，还原整个攻击过程，又可通过可视化的方式展现整个攻击过程，还可以与企业中的安全设备进行联动响应，帮助企业发现、响应处理各类入侵行为。

在沙龙过程中，大家在可视化，如何引起领导关注，是部署私有的安全防护系统，还是利用共有的云安全服务，样本检测方式，数据采集方式，如何联动响应等方面展开了深入探讨。