近期安全威脅的發(fā)展動(dòng)向

近期安全威脅的發(fā)展動(dòng)向

和技術(shù)應(yīng)對(duì)措施北京冠群金辰軟件有限公司2005.12威脅目前的幾大嚴(yán)重威脅垃圾郵件DDoSPhishing蠕蟲(chóng)時(shí)代變遷類型：多數(shù)病毒，少數(shù)木馬行為：明顯破壞行為或引人注意的特征目的：惡作劇或故意破壞成果：獲得“成就感”類型：大部分是潛伏的惡意代碼行為：力求不被注意目的：信息竊取、遠(yuǎn)程控制成果：獲取經(jīng)濟(jì)利益危害程度監(jiān)聽(tīng)篡改廣告軟件蠕蟲(chóng)間諜軟件木馬后門(mén)病毒Bot主動(dòng)傳播可控圖例快速增長(zhǎng)惡意代碼的財(cái)富之道僵尸網(wǎng)絡(luò)(Zombienetwork，botnet)按時(shí)段出租散布垃圾郵件執(zhí)行DDoS攻擊廣告軟件（Adware）按點(diǎn)擊率計(jì)價(jià)身份竊取信用卡和銀行信息獲取間諜行為2005年某月惡意代碼流行度Mytob和ZotobMytob基于Mydoom源代碼，通過(guò)電子郵件傳播也可以通過(guò)LSASS漏洞傳播具有Bot的功能Mydoom+tob（bot逆序）Zotob利用五天前公布的系統(tǒng)嚴(yán)重漏洞（WindowsPlugandPlay服務(wù)漏洞(MS05-039)）具有Bot的功能惡意Bot的功能和特點(diǎn)安裝、運(yùn)行文件簡(jiǎn)單的DoS攻擊創(chuàng)建后門(mén)程序創(chuàng)建代理程序轉(zhuǎn)發(fā)郵件鍵盤(pán)記錄獲取口令、信用卡號(hào)碼及其他信息個(gè)別會(huì)停止個(gè)人防火墻、防病毒軟件等安全軟件的進(jìn)程一般會(huì)加殼自保護(hù)升級(jí)到新版本惡意Bot的傳播途徑攻擊手段弱口令和弱口令網(wǎng)絡(luò)共享其它惡意代碼留下的漏洞攻擊漏洞并將Bot植入利用Worm自動(dòng)化攻擊和植入過(guò)程社會(huì)工程欺騙用戶訪問(wèn)惡意網(wǎng)站特洛伊木馬：P2P網(wǎng)絡(luò)惡意共享軟件欺騙性郵件即時(shí)通訊網(wǎng)絡(luò)Botnet的用途DDoS攻擊擊垃圾郵件掃描、攻擊，，建立新的BotnetIRC服務(wù)器IRC服務(wù)器BOTBOTBOTBOTBOTBOTBOTBOTBOT攻擊者受害者DHA攻擊和和垃圾郵件網(wǎng)絡(luò)欺詐的過(guò)過(guò)程網(wǎng)絡(luò)欺詐價(jià)值值鏈防范主要威脅途徑徑HTTPE-mailIM/P2P/IRCWindows漏洞攻擊擊防范措施主要技術(shù)防范范手段網(wǎng)關(guān)惡意代碼碼和攻擊的防防范郵件安全垃圾郵件病毒郵件欺詐郵件策略管理終端的安全管管理防病毒/防間間諜軟件/終終端防火墻補(bǔ)丁管理終端應(yīng)用監(jiān)管管和審計(jì)注意：雙向防防范對(duì)網(wǎng)絡(luò)外部的的網(wǎng)絡(luò)連接和和信息傳遞終端計(jì)算機(jī)的的行為監(jiān)控冠群金辰威脅控制傳染病控制理理論模型網(wǎng)關(guān)安全隔離離雙向隔離隔離通過(guò)HTTP、郵件件以及其它協(xié)協(xié)議的內(nèi)容威威脅隔離蠕蟲(chóng)動(dòng)態(tài)態(tài)攻擊和傳播播郵件安全防御御三向隔離降低電子郵件件系統(tǒng)可能引引入的風(fēng)險(xiǎn)終端安全管理理支持終端生命命周期管理策策略的實(shí)現(xiàn)安全服務(wù)傳染病控制理理論模型傳染源易感人群傳播途徑影響成為防治原則：控制傳染源切斷傳播途徑徑保護(hù)易感人群群防治措施：預(yù)防為主，防防治結(jié)合綜合措施，群群防群治加強(qiáng)監(jiān)測(cè)，制制止疫情隔離，治療預(yù)防參考模型的應(yīng)應(yīng)用網(wǎng)絡(luò)客戶端服務(wù)器互聯(lián)網(wǎng)網(wǎng)絡(luò)邊邊界網(wǎng)絡(luò)邊邊界KILL主主機(jī)入入侵檢檢測(cè)系系統(tǒng)KILL入入侵檢檢測(cè)系系統(tǒng)KILL漏漏洞掃掃描器器KILLVDSKILL防防火墻墻KILL過(guò)過(guò)濾網(wǎng)網(wǎng)關(guān)KILL防防病毒毒系統(tǒng)統(tǒng)KSMS反間諜諜軟件件1.切斷傳播途徑2.監(jiān)控傳染源3.保護(hù)易感人群KILL過(guò)過(guò)濾網(wǎng)網(wǎng)關(guān)（（KSG））——預(yù)防外外部威威脅保護(hù)內(nèi)內(nèi)部網(wǎng)網(wǎng)絡(luò)保護(hù)關(guān)關(guān)鍵網(wǎng)網(wǎng)段DNS服務(wù)器郵件服務(wù)器內(nèi)部服務(wù)器KSGINTERNETKSG業(yè)務(wù)服服務(wù)器器業(yè)務(wù)服服務(wù)器器文件服服務(wù)器器內(nèi)部網(wǎng)網(wǎng)INTERNETKILL過(guò)過(guò)濾網(wǎng)網(wǎng)關(guān)（（KSG））——內(nèi)部網(wǎng)網(wǎng)絡(luò)安安全隔隔離Cell-based安全防防御體體系WEB服務(wù)器器業(yè)務(wù)服服務(wù)器器郵件服服務(wù)器器關(guān)鍵網(wǎng)網(wǎng)絡(luò)辦公網(wǎng)網(wǎng)絡(luò)KSG隔離KSG:領(lǐng)領(lǐng)先的的蠕蟲(chóng)蟲(chóng)過(guò)濾濾技術(shù)術(shù)IntranetInternetWormKSGWorm①蠕蟲(chóng)代代碼傳傳播（SMTP,POP3,HTTP,FTP）②蠕蟲(chóng)動(dòng)動(dòng)態(tài)攻攻擊（數(shù)據(jù)據(jù)包））過(guò)濾??！阻斷??！Trojan③蠕蟲(chóng)種種植的的木馬活活動(dòng)阻止?。∪湎x(chóng)特特征碼碼入侵阻阻斷特特征碼碼KSG-M：專專業(yè)郵郵件安安全網(wǎng)網(wǎng)關(guān)KSG-M是一款款專業(yè)業(yè)的郵郵件安安全設(shè)設(shè)備，，具有有強(qiáng)大大的反反垃圾圾郵件件、反反病毒毒郵件件、防防欺詐詐以及及策略略監(jiān)管管和依依從性性保障障功能能，適適用于于保護(hù)護(hù)各種種規(guī)模模組織織的電電子郵郵件基基礎(chǔ)設(shè)設(shè)施KSG-M能夠有有效幫幫助用用戶降降低電電子郵郵件系系統(tǒng)管管理負(fù)負(fù)擔(dān)、、有效效保障障郵件件系統(tǒng)統(tǒng)投資資，降降低電電子郵郵件系系統(tǒng)可可能引引入的的風(fēng)險(xiǎn)險(xiǎn)KSG-M終端生生命周周期管管理EndpointLifecycleManagement（（ELM）終端生生命周周期(EndpointLifecycle)的的定義義：當(dāng)當(dāng)計(jì)算算機(jī)終終端加加入組組織機(jī)機(jī)構(gòu)后后，就就開(kāi)始始了其其生命命周期期，直直到其其業(yè)務(wù)務(wù)使命命終止止。終端對(duì)對(duì)信息息的存存儲(chǔ)、、處理理、傳傳輸過(guò)過(guò)程代代表了了其生生命活活動(dòng)。。由于于業(yè)務(wù)務(wù)需要要，這這臺(tái)終終端可可能會(huì)會(huì)接入入不同同的網(wǎng)網(wǎng)絡(luò)環(huán)環(huán)境中中，包包括獨(dú)獨(dú)立運(yùn)運(yùn)行。。終端生生命周周期管管理（（EndpointLifecycleManagement,ELM）是在計(jì)計(jì)算機(jī)機(jī)終端端的全全生命命周期期中，，將計(jì)計(jì)算機(jī)終端端的安安全、、管理理和維維護(hù)工作同同其業(yè)業(yè)務(wù)目目標(biāo)相相結(jié)合合，并并保障障計(jì)算算機(jī)終終端持持續(xù)有有效運(yùn)運(yùn)行的的一種種策略略。終端生生命周周期管管理EndpointLifecycleManagement（（ELM）業(yè)務(wù)目標(biāo)資產(chǎn)管理終端保護(hù)應(yīng)用監(jiān)管審計(jì)分析ELM理論：：終端的的使命命是完完成企企業(yè)的的業(yè)務(wù)務(wù)目標(biāo)標(biāo)業(yè)務(wù)目目標(biāo)分分解后后形成成每臺(tái)臺(tái)終端端的業(yè)業(yè)務(wù)目目的當(dāng)一臺(tái)臺(tái)終端端加入入網(wǎng)絡(luò)絡(luò)，就就開(kāi)始始了其其生命命周期期終端的的軟硬硬件資資產(chǎn)需需要管管理終端需需要被被保護(hù)護(hù)不受受外來(lái)來(lái)的干干擾終端的的具體體業(yè)務(wù)務(wù)目的的決定定其行行為模模式完善的的審計(jì)計(jì)制度度是落落實(shí)策策略的的保障障、并并且構(gòu)構(gòu)成閉閉環(huán)反反饋KSMS介介紹主要模塊功能描述資產(chǎn)管理1.設(shè)備管理（收集設(shè)備信息及變更情況）2.軟件管理（收集軟件安裝及變更情況）3.用戶管理（標(biāo)識(shí)終端用戶、IP/MAC/硬件綁定）終端保護(hù)1.基礎(chǔ)架構(gòu)保護(hù)a)終端訪問(wèn)控制（避免黑客攻擊和非法網(wǎng)絡(luò)訪問(wèn)）b)網(wǎng)絡(luò)準(zhǔn)入（網(wǎng)絡(luò)準(zhǔn)入控制，防止未經(jīng)授權(quán)電腦接入內(nèi)部網(wǎng)絡(luò)）c)保護(hù)的擴(kuò)展：KILL防病毒；防間諜2.資產(chǎn)保護(hù)設(shè)備使用控制（USB、磁盤(pán)、打印機(jī)、網(wǎng)卡等設(shè)備使用控制）應(yīng)用監(jiān)管1.程序限制（網(wǎng)絡(luò)程序、應(yīng)用程序限制）2.遠(yuǎn)程協(xié)作（屏幕監(jiān)視、遠(yuǎn)程維護(hù)）3.Web/IM限制（Web訪問(wèn)、QQ聊天、游戲等限制）審計(jì)分析1.管理審計(jì)2.用戶審計(jì)3.策略審計(jì)信息安安全保保障體體系建建設(shè)方方法論論用戶/事件源源運(yùn)作支持部部門(mén)內(nèi)部信信息安安全事件響響應(yīng)小小組業(yè)務(wù)部部門(mén)及及外部相相關(guān)組組織準(zhǔn)備階階段安全事事件檢測(cè)匯報(bào)信息收集一次評(píng)估真實(shí)？？二次評(píng)估真實(shí)？？檢測(cè)分分析階階段抑制根根除和和恢復(fù)復(fù)階段段誤報(bào)鑒證分析溝通交流事件是否可可控？？根除恢復(fù)抑制后續(xù)響響應(yīng)立即響應(yīng)啟動(dòng)緊緊急處理流流程事后活活動(dòng)階階段緊急處處理活活動(dòng)否是是否否是否是總結(jié)改進(jìn)時(shí)間9、靜夜夜四無(wú)無(wú)鄰，，荒居居舊業(yè)業(yè)貧。。。12月月-2212月月-22Thursday,December29,202210、雨中黃黃葉樹(shù)，，燈下白白頭人。。。21:46:3521:46:3521:4612/29/20229:46:35PM11、以我獨(dú)沈沈久，愧君君相見(jiàn)頻。。。12月-2221:46:3521:46Dec-2229-Dec-2212、故故人人江江海海別別，，幾幾度度隔隔山山川川。。。。21:46:3521:46:3521:46Thursday,December29,202213、乍見(jiàn)翻疑疑夢(mèng)，相悲悲各問(wèn)年。。。12月-2212月-2221:46:3521:46:35December29,202214、他鄉(xiāng)生白發(fā)發(fā)，舊國(guó)見(jiàn)青青山。。29十二月月20229:46:35下午21:46:3512月-2215、比比不不了了得得就就不不比比，，得得不不到到的的就就不不要要。。。。。十二二月月229:46下下午午12月月-2221:46December29,202216、行動(dòng)出出成果，，工作出出財(cái)富。。。2022/12/2921:46:3521:46:3529December202217、做前，能夠夠環(huán)視四周；；做時(shí)，你只只能或者最好好沿著以腳為為起點(diǎn)的射線線向前。。9:46:35下午9:46下下午21:46:3512月-229、沒(méi)有失敗，，只有暫時(shí)停停止成功！。。12月-2212月-22Thursday,December29,202210、很多事情努努力了未必有有結(jié)果，但是是不努力卻什什么改變也沒(méi)沒(méi)有。。21:46:3521:46:3521:4612/29/20229:46:35PM11、成功功就是是日復(fù)復(fù)一日日那一一點(diǎn)點(diǎn)點(diǎn)小小小努力力的積積累。。。12月月-2221:46:3521:46Dec-2229-Dec-2212、世間成事事，不求其其絕對(duì)圓滿滿，留一份份不足，可可得無(wú)限完完美。。21:46:3521:46:3521:46Thursday,December29,202213、不不知知香香積積寺寺，，數(shù)數(shù)里里入入云云峰峰。。。。12月月-2212月月-2221:46:3521:46:35December29,202214、意志堅(jiān)強(qiáng)的的人能把世界界放在手中像像泥塊一樣任任意揉捏。29十二月月20229:46:35下午21:46:3512月-2215、楚楚塞塞三三湘湘接接，，荊荊門(mén)門(mén)九九派派通通。。。。。十二二月月229:46下下午午12月月-2221:46December29,202216、少年年十五五二十十時(shí)，，步行行奪得得胡馬馬騎。。。2022/12/2921:46:3521:46:3529December202217、空山山新雨雨后，，天氣氣晚來(lái)來(lái)秋。。。9:46:35下下午9:46下下午午21:46:3512月月-229、楊柳散散和風(fēng)，，青山澹澹吾慮。。。12月-2212月-22Thursday,December29,202210、閱讀一一切好書(shū)書(shū)如同和和過(guò)去最最杰出的的人談話話。21:46:3521:46:3521:4612/29/20229:46:35PM11、越越是是沒(méi)沒(méi)有有本本領(lǐng)領(lǐng)的的就就越越加加自自命命不不凡凡。。12月月-2221:46:3521:46Dec-2229-Dec-2212、越是無(wú)能的的人，越喜歡歡挑剔別人的的錯(cuò)兒。21:46:3521:46:3521:46Thursday,December29,202213、知人人者智智，自自知者者明。。勝