下一代的未知威胁以及数据安全防护幻灯片资料.ppt

下一代的未知威胁以及数据安全防护 Kevin Chai趋势科技亚太区技术总监 解碼2008中国网络威胁现况黑色产业链下一代的未知威胁新时代的数据安全防护 Case Sharing内容2008中国网络威胁现况2008年病毒情况回顾信息来源：2008年10月公安部国家计算机病毒应急处理中心计算机病毒感染率为85.5%多次感染病毒的比率为66.8% 解碼2008中国网络威胁现况黑色产业链下一代的未知威胁新时代的数据安全防护Case Sharing内容解密黑色产业链*6Confidential-发送垃圾邮件-DDOS攻击-网站挂马-建钓鱼 网站入侵活动动:资资金流向:游戏玩家虚拟装备中间商6.地下交易-数百万肉鸡控制权信用卡犯罪团伙信用卡受害人信用卡盗刷商业机密泄露公司竞争对手广告商/钓鱼集团/其他黑客集团更多受害者-商业机密被盗-隐私活动被盗摄-隐私照片网上流传5.肉鸡控制权2.病毒1.漏洞信息3.后门/僵尸病毒4.弱鸡控制权商业机密/隐私控制命令7.盗号木马攻击者肉鸡中间商肉鸡控制权勒索黑色产业链下一代的未知威胁HTTPSMTPIRCP2P80+ 其他协议零时差攻击未知安全问题肉鸡DNSDNSDCE-RPCDCE-RPCTelnetTelnetRDPRDPSSHSSHHTTPHTTPAIMAIMIRCIRCFTPFTPTFTPTFTPSMBSMBSMTPSMTPGmailGmailBit TorrentBit TorrentIRCIRCMSNMSNICQICQGoogle TalkGoogle TalkSlingboxSlingboxiTunesiTunesWindows MediaWindows MediaeMuleeMuleeDonkeyeDonkey每兩秒一隻新的未知病毒中国黑客自揭：做病毒一定要低调 中华吸血鬼熊猫烧香僵尸(肉鸡)网络黑客傻瓜化恶恶意程序类类型订订购购价格广告类间谍 程序美国 $0.3 加拿大 $0.2，英国$0.1, 其它 $0.01恶意程序组合包（基本）$1,000 - $2,000恶意程序组合包(升级服务）$20/次漏洞挖掘租赁服务（1小时）$0.99漏洞挖掘租赁服务（2.5小时）$1.60漏洞挖掘租赁服务（5小时）$4不能检测 出来的窃取型木马$80DDOS 攻击$100/天10,000台僵尸控制机器$1,000窃取银行帐号类木马$50发送100万封恶意邮件$8黑色产业链服务化解碼2008中国网络威胁现况黑色产业链下一代的未知威胁新时代的数据安全防护 Case Sharing内容Paramount Q1 2008 - 12安全风险管理新防毒时代的安全目标 要解决的核心问题要解决的核心问题安全目标安全目标是否某位员工无意中访问了带有恶意威胁的网站?是否某位员工接收了一份传染恶意威胁的邮件?是否某位员工接入了一个含有恶意威胁的存储设备?是否通过即时信息系统例如MSN接收到恶意威胁 ?公司是否够安全?为什么不能将这种威胁事件提前告诉我呢?为什么你要等我通知你这些威胁状况呢?这些高危行为的潜在危害是什么？我是否需要部署了网关防护?我是否需要部署邮件防护或Web防护 ?在安全防护上我还要注意那些?我内部状况如何？ 如何有效消除这些高危行为？威胁实时分析系统 威胁的深度分析 威胁的处置建议新时代安全目标实现的要求 旁路分析设备 支持27层与84多种协议 内含行为智能识别与病毒分析机制等多种技术 结合云安全运算平台 交叉分析快速识别已知与未知威胁 精准定位感染源 每日处理与周/月管理报表 根源分析 恶意程序处理方案 趋势监控中心专家支持过滤分析定位感染源,与恶意程序分析威胁报告与处理策略新防毒时代解决方案Feb 2009A compromised web siteOne click in a link.Fake news by email.TROJ_CHOST.E邮件信誉评估中心Web信誉评估中心文件信誉评估中心云安全的中心概念威胁发现系统TDA的价值(1)您的担心方案价值TDA可以象“放大镜”一样发现网络中的已知/未知威胁问题构建网络安全预警系统 如何快速发现全网整体潜在安全威胁状况某用户安全报告威胁发现系统TDA的价值(2)您的担心方案价值TDA在协议分析的基础，基于云安全、智能行为分析和代码比对技术快速定位高危节点和攻击型态如何快速、高效抓到高危节点并识别攻击型态某用户安全报告威胁发现系统TDA的价值(3)您的担心方案价值TDA能够及时识别占用大量网络资源的访问行为如何快速发现内部员工滥用网络资源的行为某客户安全报告威胁发现系统TDA的价值(5)您的担心方案价值TDA针对84种协议进行深度关联分析能够及时发现各种业务应用的风险如何识别各种业务应用潜在的风险识别某客户安全报告威胁发现系统TDA的价值(6)您的担心方案价值监控中心的专业服务工程师提供详细的处置建议并根据服务协议提供远程或现场支持如何将发现的安全威胁转化为详细的处理措施并进行落实某客户安全报告使用威胁发现系统后的感受1. 看得见：所有威胁及隐患，一目了然。

2. 抓得准：定位精准,确实定位感染源3. 分得细：详细的数据分析，根据具体需求制定安全策略4. 效率高：专业的服务团队，高效率的威胁处理解碼2008中国网络威胁现况黑色产业链下一代的未知威胁新时代的数据安全防护 Case Sharing内容Case Sharing 1:某市级单位案例分享PainPoint:Worm_Downad 病毒扩散特征U盘进入内网针对MS04-011_LSASS_EXPLOIT攻击密码字典共享协议在内网侵入服务器后开启Http服务器大量发包安全需求 安全期许： 尽快解决现在的问题 帮助我完成事故分析报告 以后不要再爆发才告诉我 保持网络稳定TDA主动发现内网安全威胁TDA主动发现内网安全威胁事件说说明次数检测检测 到扩扩散病毒的源头头客户户机Top 5 客户户端150.20.152.198/150.20.129.121/150.20.176.240/150.20.177.82/150.20.130.189 的可疑流量佔了 91% ,對其他客户户端透过过SMB進行传传播方式是网络络蠕虫病毒 MS04-011_LSASS_EXPLOIT, 以及Possible NOP sled 攻击击1910客戶端內部通过过 Http 协议协议进进行Exe 文件下载载150.20.8.6306已知蠕虫病毒WORM_Downap感染150.20.132.166/150.20.132.148/150.20.195.118/150.20.75.8/150.20.130.189 感染病毒 对对150.20.14.25/150.20.9.248/150.20.8.96 透過SMB传传播Worm_Downap 病毒 ,病毒文件scardsvr32.exe8客戶端有安裝广告/间谍软间谍软件4总计总计22281.看的见:对於公司内部的威胁事件 ,一目了然 ,主要5台电脑造成 91% 的恶意事件流量2.抓的准:定位清楚,精准分辨出感染源3.清除方案提供:Worm_Down病毒清除方案Case Sharing 2:某製造業分享背景 : 1.客戶環境:拥有600多个网点，服务器有40多台，包括Windows 、Linux和UNIX系统等2. Pain point : IT部门时常忙于应付各类病毒入侵、恶意代码的骚扰. 處理成本太高 很多员工都是笔记本电脑，携带外出很容易受到感染，再加上频繁使用移动硬盘和U盘，病毒通过这些途径很容易进入到公司内网 ,對於客戶端管理不易安全需求 安全期许： 让IT管理人员对企业的安全情况一目了然，让企业网络安全管理变得清晰可控 定位出感染源,能夠高效處理問題 让IT管理部门有针对性地开展积极防御工作TDA价值与ROI 评估TDA的ROI价值主要表现在病毒的看见性、定位的准确性以及威胁可处理三方面看见性：TDA部署在交换机上,使管理员将网络中的可疑活动都看得一清二楚定位准：利用TDA基于云安全、智能行为分析关联分析，快速定位高危节点和攻击型态可处理：将安全威胁转化为详细的处理措施并进行落实。

趋势科技监控中心可对IT部门“拿不准”的处理步骤，提供详细的处置建议，利用:“（普通的终端使用者停滞工作的时间+网络管理员处理这项事件所用去的时间）工时工资”就可以得到单位时间内ROI的值，然后将这个值累计下来就可以得到这项安全产品的投资汇报率。