惡意代碼監(jiān)控中心方案-V4

Classification12/28/20231惡意代碼監(jiān)控中心設(shè)計方案Classification12/28/20232Agenda信息安全現(xiàn)狀分析惡意代碼防范策略惡意代碼防范體系設(shè)計詳解社交工程-精準(zhǔn)攻擊內(nèi)部威脅移動使用者與分公司多方位的攻擊Source:Forrester社交工程攻擊手法日趨成熟，郵件幾乎真假難辨USB,3G,移動設(shè)備客制化惡意程序VPN/HTTP通道Classification12/28/20234多方位的攻擊*偵查*找出可用弱點*入侵*收集資料*資料外傳*潛伏實際案例–假造電信賬單2023/12/28Classification5看似正常的發(fā)件人看似正常的電子賬單PDF檔案開啟賬單后，會發(fā)生哪些事件？2023/12/28Classification6產(chǎn)生新的病毒檔案背景自動聯(lián)機(jī)浮動IP主機(jī)注冊機(jī)碼＆系統(tǒng)服務(wù)，讓病毒在重開機(jī)后仍會自動執(zhí)行多方位的攻擊的差異Classification12/28/20237黑客針對企業(yè)使用APT攻擊與一般網(wǎng)絡(luò)攻擊手法差異

APT攻擊一般網(wǎng)絡(luò)攻擊時間長時間攻擊，會隱匿行蹤攻擊時間長短并不一定動機(jī)竊取所需要的特定機(jī)密，包含國家安全、各種組織情報和商業(yè)機(jī)密等等竊取金融與個人資料換取實質(zhì)利益，不見得具有特定動機(jī)攻擊對象有針對性、小范圍，通常是以政府、軍事國防機(jī)構(gòu)、大型能源石油天然氣產(chǎn)業(yè)、高科技產(chǎn)業(yè)、金融業(yè)等無針對性、大范圍，一般以金融業(yè)、在線交易業(yè)者、具有大量個資企業(yè)為主攻擊武器客制化，常用單一的漏洞，經(jīng)常是零時差漏洞的攻擊，或者是DropEmbeddedRAT非客制化，復(fù)合多種常見漏洞在單一檔案攻擊，攻擊范圍大；URLDownloadBotnet攻擊手法為了確定攻擊一定成功，或同實用多種攻擊手法入侵速戰(zhàn)速決，通常以大量快速有效的單一手法入侵防病毒軟件偵測率1個月內(nèi)新樣本偵測率約30％以下1個月內(nèi)新樣本偵測率約90％數(shù)據(jù)源：Xecure-Lab、RSA，iThome整理，2011年8月客戶的現(xiàn)況33%入侵都是在分鐘就完成,80%在1天就能完成入侵但是大部分發(fā)現(xiàn)時間與治理時間都要超過一周甚至于1個月Source:Verizon2011DataBreachReport威脅入侵威脅被發(fā)現(xiàn)治理時間--缺乏威脅的可見性與預(yù)警系統(tǒng)客戶應(yīng)用環(huán)境的轉(zhuǎn)變9移動設(shè)備分公司公司互連網(wǎng)原本邊界IaaSSaaS新邊界虛擬化,雲(yún)應(yīng)用,移動設(shè)備Classification12/28/202310Agenda信息安全現(xiàn)狀分析惡意代碼防范策略惡意代碼防范體系設(shè)計詳解企業(yè)威脅管理策略資料內(nèi)容安全智能時間察覺身份察覺位置察覺內(nèi)容察覺本地化威脅監(jiān)控預(yù)警平臺存取策略加密Inside-OUTDataProtectionClassification12/28/202311SmartDataProtectionThreatManagementDataProtectionAlldatamustbeabletodefenditselffromattacksContext-AwarePolicyManagementPhysical-Virtual-Cloud全球智能化威脅監(jiān)控網(wǎng)路郵件,網(wǎng)頁,文件信譽評估服務(wù)多層次立體防護(hù)體系本地化威脅監(jiān)控預(yù)警平臺Outside-INThreatProtectionOutside-InThreatProtectionInside-OUTDataProtectionClassification12/28/202312管控阻斷預(yù)警監(jiān)測應(yīng)急響應(yīng)威脅生命周期管理系統(tǒng)實現(xiàn)對風(fēng)險的自動化阻斷實時對數(shù)據(jù)進(jìn)行分析，并對高威風(fēng)險進(jìn)行預(yù)警展示對全網(wǎng)進(jìn)行安全監(jiān)測，實時發(fā)現(xiàn)已知及未知威脅建立應(yīng)急響應(yīng)機(jī)制，并提供應(yīng)急響應(yīng)保障實現(xiàn)對風(fēng)險的可管理、可控制，一體化管控機(jī)制威脅生命周期管理Classification12/28/202313趨勢科技威脅管理戰(zhàn)略體系:威脅可見性阻斷威脅活動威脅防護(hù)連動專殺安全網(wǎng)關(guān)安全網(wǎng)關(guān)安全網(wǎng)關(guān)Classification12/28/202314Agenda信息安全現(xiàn)狀分析惡意代碼防范策略惡意代碼防范體系設(shè)計詳解一、平臺建設(shè)-總體部署深圳清遠(yuǎn)XX廣州廣東省移動威脅管理中心XXXX借助云安全、行為智能識別、病毒代碼比對等多種技術(shù)針對網(wǎng)絡(luò)通訊數(shù)據(jù)進(jìn)行深度關(guān)聯(lián)分析和協(xié)議分析；發(fā)現(xiàn)網(wǎng)絡(luò)運行中的潛在威脅，如病毒、木馬、間諜程序、僵尸網(wǎng)絡(luò)、暴力攻擊等InternetFW/NATRouter服務(wù)器群核心交換Web/FTPSMTPDNSSegmentSwitch分公司惡意威脅預(yù)警平臺威脅管理平臺安全事件發(fā)生安全事件發(fā)生安全事件發(fā)生事件采集事件采集事件采集預(yù)警展示平臺Classification12/28/202317Classification12/28/202318

預(yù)警平臺-IP地理化展示Classification12/28/202319

預(yù)警平臺-威脅地理化展示區(qū)域威脅管理平臺:威脅管理儀表版Classification12/28/202320公司風(fēng)險指標(biāo):公司目前的風(fēng)險等級定位感染原與攻擊源威脅內(nèi)容與解決說明實時高危風(fēng)險事件說明威脅統(tǒng)計數(shù)據(jù)業(yè)務(wù)風(fēng)險表受影響的資產(chǎn)威脅統(tǒng)計感染源威脅變化趨勢干擾性應(yīng)用全網(wǎng)預(yù)警評估報告每日/周/月的Executive摘要了解全公司的安全態(tài)勢事件審查和比較報告安全策略建議SmartProtection

Network每日通報報表:定位惡意程序客戶端與威脅信息進(jìn)行高效處理云安全技術(shù)3年半—研發(fā)時間1,200位—

TrendLab專職安全專家7X24

—全球5個數(shù)據(jù)中心34,000臺—全球服務(wù)器1,500萬美金—每年維護(hù)費用約4億多美金—投入成本趨勢科技云安全投入成本備份PPTClassification12/28/202326威脅發(fā)現(xiàn)解決方案主動防御的發(fā)展，利用對已知病毒的知識累積來判斷新的病毒把防線向前移，將病毒放在進(jìn)入用戶系統(tǒng)之前，在網(wǎng)絡(luò)的基礎(chǔ)設(shè)施上架設(shè)防病毒的設(shè)備，多層次的防病毒，減輕客戶端的壓力在不可信的客戶端中構(gòu)建可信的環(huán)境，例如虛擬化或者定制瀏覽器 ——國家防病毒應(yīng)急應(yīng)辦主任：張健日/周/月報表分析多協(xié)議關(guān)連分析引擎云安全運算平臺旁路分析設(shè)備2~7層與84多種協(xié)議

過濾已知惡意程序分析未知惡意程序分析專家技術(shù)支持高危病毒通知緊急上門處理提供對策發(fā)現(xiàn)風(fēng)險解決問題互聯(lián)網(wǎng)旁路設(shè)備TDA威脅發(fā)現(xiàn)設(shè)備—多層次識別各種威脅網(wǎng)絡(luò)蠕蟲/零時差攻擊僵尸網(wǎng)絡(luò)各種已知病毒/病毒變種（文件型病毒、蠕蟲、灰色軟件、間諜軟件、黑客工具等）病毒下載器掃描引擎識別威脅網(wǎng)絡(luò)層各種路由協(xié)議及IP協(xié)議傳輸層TCP、UDP協(xié)議應(yīng)用層HTTP、FTP、POP3、SMTP、DHCP、DNS等協(xié)議網(wǎng)絡(luò)流量后門/木馬威脅發(fā)現(xiàn)設(shè)備TDA主要針對應(yīng)用層內(nèi)容分析旁路部署根據(jù)特征碼識別已知惡意程序根據(jù)惡意行為引擎識別僵尸網(wǎng)絡(luò)以及潛在木馬快速響應(yīng)服務(wù)本地日志管理服務(wù)連動專殺工具IPS偵測外部黑客攻擊(DDOS阻斷式攻擊,異常封包偵測)傳統(tǒng)防病毒產(chǎn)品主要針對網(wǎng)絡(luò)數(shù)據(jù)包分析串聯(lián)部署為主/旁路部署為輔識別網(wǎng)絡(luò)攻擊數(shù)據(jù)包、網(wǎng)絡(luò)蠕蟲識別DoS攻擊

主要已知威脅防護(hù)根據(jù)特征碼識別已知惡意程序基于主機(jī)的文件檢測需要在每臺主機(jī)上面安裝低配置機(jī)器難部署偵測內(nèi)網(wǎng)威脅活動網(wǎng)絡(luò)層各種路由協(xié)議及IP協(xié)議傳輸層TCP/UDP協(xié)議應(yīng)用層HTTP、FTP、POP3、SMTP、DHCP、DNS等協(xié)議IPS工作層TDS工作層威脅管理平臺TMSPClassification12/28/202330智能化:威脅管理平臺將客戶環(huán)境中海量的日志,抽絲剝繭找出環(huán)境中的威脅事件專家化:告知威脅的本質(zhì),風(fēng)險的含量與處理建議可視化:讓客戶環(huán)境中威脅數(shù)據(jù)化,圖形化達(dá)到威脅的可見性威脅管理平臺:架構(gòu)內(nèi)容*接收層:前端應(yīng)用服務(wù)器，負(fù)責(zé)提供門戶網(wǎng)站,威脅儀表板和日志接收等功能*應(yīng)用層:數(shù)據(jù)分析服務(wù)器，內(nèi)建智能分析引擎,負(fù)責(zé)提供數(shù)據(jù)分析,報表生成,通知*數(shù)據(jù)層:后臺數(shù)據(jù)庫，負(fù)責(zé)提供數(shù)據(jù)存儲和優(yōu)化威脅管理平臺的功能模塊賬戶管理設(shè)備管理日志管理報表管理威脅儀表板風(fēng)險指標(biāo)感染原與攻擊源威脅排行榜威脅內(nèi)容與解決說明實時高危風(fēng)險事件說明日,周,雙周,月威脅統(tǒng)計數(shù)據(jù)事件關(guān)連分析圖

設(shè)備狀態(tài)監(jiān)控設(shè)備分組設(shè)定

配置管理員

TDA監(jiān)控設(shè)備日志接收高危日志接收

實時日志接收

日志儲存管理

日誌智能分析引擎周期性報表:日周月報表按需報