信息安全會(huì)議Syantec整體解決方案

PresentationIdentifierGoesHere1

Symantec信息安全解決方案介紹

王旭中賽門鐵克-系統(tǒng)安全工程師演示文稿標(biāo)識(shí)符轉(zhuǎn)至此處創(chuàng)建于1982年，全球第一大安全軟件公司全球第四大獨(dú)立軟件公司約20,500名員工中國區(qū)擁有超過1200名研發(fā)，其中成都300名2012年財(cái)富500強(qiáng)公司榜單名列第391位所有財(cái)富500強(qiáng)公司均是賽門鐵克用戶2012年?duì)I收達(dá)67億美元，約52%來自美國境外在擁有超過1,500項(xiàng)全球?qū)＠Q身《財(cái)富雜志》“最令人仰慕的公司”榜單年收入的14%投入到研發(fā)工作中**研發(fā)投資以非公認(rèn)會(huì)計(jì)準(zhǔn)則收入計(jì)2全球智能網(wǎng)絡(luò)

識(shí)別更多威脅，更快采取行動(dòng)，防止產(chǎn)生影響Austin,TX德克薩斯州奧斯汀MountainView,CA加利福尼亞州芒廷維尤CulverCity,CA加利福尼亞州卡爾沃市SanFrancisco,CA加利福尼亞州舊金山Taipei,Taiwan臺(tái)灣臺(tái)北Tokyo,Japan日本東京Dublin,Ireland愛爾蘭都柏林Calgary,Alberta阿爾伯達(dá)省卡爾加里Chengdu,China中國成都Chennai,India印度欽奈Pune,India印度普納3國家200+全球覆蓋監(jiān)控攻擊64.6M+探測器1.4BWeb訪問/每天5M蜜罐賬戶15數(shù)據(jù)中心8B郵件/每天

惡意軟件監(jiān)控最大的漏洞庫47,662個(gè)記錄的漏洞15,96740,006個(gè)產(chǎn)品個(gè)供應(yīng)商安全產(chǎn)品最終目標(biāo)

-效果！效果

–依賴于威脅數(shù)據(jù)統(tǒng)計(jì)分析！數(shù)據(jù)統(tǒng)計(jì)分析能力–依靠威脅大數(shù)據(jù)收集能力！信息安全發(fā)展趨勢:威脅攻擊變化和虛擬化發(fā)展基于WEB的威脅4SEC313CoreSecurityRoadmapInternalUseOnly更有目標(biāo)性的攻擊APT虛擬化的快速發(fā)展*Forrester85%X86虛擬化服務(wù)器75%X86服務(wù)器將虛擬化97%數(shù)據(jù)盜竊來源于服務(wù)器無論是大型企業(yè)機(jī)構(gòu)還是中小型企業(yè)均面臨有針對性的攻擊。18%的攻擊面對250個(gè)終端下的中小型企業(yè)70%有針對性的攻擊是政府和公共部門以外的58%有針對性的攻擊不是針對管理人員和高級(jí)管理人員電子郵件和網(wǎng)絡(luò)是主要的入侵載體其中24.5%是從2011年三月后新發(fā)展的惡意程序37.0%的網(wǎng)站包含基于web的惡意程序75%信息安全發(fā)展趨勢:終端設(shè)備的變化和管理需求主機(jī)平臺(tái)演進(jìn)5SEC313CoreSecurityRoadmapInternalUseOnly移動(dòng)平臺(tái)的大幅增長終端管理趨勢2012年52%蘋果平臺(tái)的增長*ForresterIDC預(yù)計(jì)2011年到2016年18.3%Linux增長率，其中服務(wù)器19.1%的增長率2010

177M企業(yè)PCs2015

246M企業(yè)PCs39%2010

173M個(gè)人PCs2015293M個(gè)人PCs69%2010300M智能手機(jī)20151017M智能手機(jī)340%201015M平板電腦2015326M平板電腦2,170%合并的的端點(diǎn)操作和端點(diǎn)安全功能CIOs估計(jì)到2012年底將有38%

的個(gè)人設(shè)備在企業(yè)內(nèi)部的使用**Gartner用戶和位置為中心的策略管理和控制推動(dòng)企業(yè)安全建設(shè)轉(zhuǎn)變的動(dòng)態(tài)環(huán)境6風(fēng)險(xiǎn)與合規(guī)管理自動(dòng)化可視化企業(yè)安全建設(shè)正經(jīng)歷的重要轉(zhuǎn)變演進(jìn)的IT基礎(chǔ)設(shè)施極富挑戰(zhàn)的威脅環(huán)境定向攻擊信息泄漏社會(huì)工程防御體系結(jié)構(gòu)性調(diào)整Intelligence成為安全要素安全前置成為必然Symantec金融行業(yè)信息安全防護(hù)用戶案例-能力與實(shí)力的體現(xiàn)人民銀行渣打銀行平安保險(xiǎn)貴州農(nóng)商行中國銀聯(lián)匯豐銀行國泰君安證券陜西信合中國農(nóng)業(yè)銀行花旗銀行中國國際金融公司國泰君安證卷中國工商銀行東亞銀行宏源證券上海銀行中國建設(shè)銀行江蘇農(nóng)信深圳證卷交易所北京農(nóng)商行交通銀行大連銀行中國國家開發(fā)銀行貴州農(nóng)商行浦發(fā)銀行渤海銀行華僑銀行山東農(nóng)信上海銀行北京農(nóng)商行上海農(nóng)商行西南證券招商銀行陜西農(nóng)商行成都銀行吉林農(nóng)信民生銀行恒豐銀行重慶銀行龍江銀行華夏銀行華僑銀行平安保險(xiǎn)黑龍江農(nóng)信恒豐銀行太平洋保險(xiǎn)江西農(nóng)信浙江農(nóng)信光大銀行渣打銀行中國國際金融公司陜西農(nóng)信安全管理層安全戰(zhàn)略管理安全戰(zhàn)略制定安全戰(zhàn)略宣貫安全規(guī)劃管理安全規(guī)劃制定安全規(guī)劃宣貫安全策略管理安全流程管理安全技術(shù)規(guī)范安全組織保障安全運(yùn)營層安全合規(guī)管理安全風(fēng)險(xiǎn)評(píng)估安全風(fēng)險(xiǎn)識(shí)別安全風(fēng)險(xiǎn)分析安全風(fēng)險(xiǎn)預(yù)警安全風(fēng)險(xiǎn)應(yīng)對安全知識(shí)管理知識(shí)庫建立知識(shí)庫管理安全培訓(xùn)管理安全技術(shù)層互聯(lián)網(wǎng)應(yīng)用平臺(tái)安全身份認(rèn)證網(wǎng)絡(luò)服務(wù)器數(shù)據(jù)防泄漏安全網(wǎng)絡(luò)側(cè)防泄密基礎(chǔ)設(shè)施安全安全檢查與考核安全基線制定安全問題整改備份與容災(zāi)應(yīng)用安全數(shù)據(jù)與信息安全安全審計(jì)事件采集安全監(jiān)控審計(jì)分析日志采集監(jiān)控與審計(jì)身份認(rèn)證網(wǎng)絡(luò)服務(wù)器備份與容災(zāi)監(jiān)控與審計(jì)終端終端側(cè)防泄密服務(wù)器側(cè)防泄密

發(fā)現(xiàn)/監(jiān)控/阻斷/加密防護(hù)

監(jiān)控/加密/歸檔

Web漏洞/代碼安全/釣魚網(wǎng)站監(jiān)控

入侵防護(hù)與監(jiān)控/漏洞檢查與彌補(bǔ)

入侵防護(hù)與監(jiān)控/漏洞檢查與彌補(bǔ)/外設(shè)Symantec:IT系統(tǒng)安全建設(shè)的框架性設(shè)計(jì)——三大專題的位置與作用一：業(yè)界通行的終端安全總體技術(shù)框架安全告警防病毒KeeptheBadthingsOut端點(diǎn)安全保護(hù)（系統(tǒng)）單一防護(hù)集成防護(hù)防間諜軟件已知/未知威脅防護(hù)主機(jī)防火墻應(yīng)用程序和外設(shè)控制終端準(zhǔn)入控制（網(wǎng)絡(luò)）策略強(qiáng)制終端行為安全（行為）病毒掃描網(wǎng)頁過濾應(yīng)用管控僵尸行為分析Behaviorcontrol網(wǎng)頁訪問安全信息外泄防范（信息）機(jī)密信息發(fā)現(xiàn)行為監(jiān)控信息泄漏防護(hù)KeeptheGoodthingsIn數(shù)據(jù)防泄數(shù)據(jù)加密數(shù)據(jù)加密上網(wǎng)行為控制上網(wǎng)訪問控制上網(wǎng)行為審計(jì)專業(yè)安全防護(hù)（面向防護(hù)）集中安全管理（面向管理）安全管理運(yùn)維管理有效安全管控（面向落實(shí)）自動(dòng)修復(fù)電子文檔權(quán)限管理角色管理訪問授權(quán)管理流程管理非受控端點(diǎn)控制持續(xù)監(jiān)控身份管理域管理帳號(hào)管理身份認(rèn)證資源管理安全報(bào)表風(fēng)險(xiǎn)控制安全審計(jì)遠(yuǎn)程運(yùn)維資產(chǎn)清單系統(tǒng)分發(fā)補(bǔ)丁管理備份恢復(fù)軟件管理10專業(yè)防護(hù)1-端點(diǎn)安全綜合防護(hù)：

SymantecEndpointProtection12.1遺憾的是，對于盛行程度較低的數(shù)千萬文件，任何一種方法都不管用（但是這是不爭的事實(shí)，當(dāng)今的大多數(shù)惡意軟件都覆滅了）如今，優(yōu)質(zhì)軟件和惡意軟件都遵照長尾分發(fā)的方式。惡意文件可靠文件盛行程度白名單此時(shí)很管用對于這個(gè)長尾區(qū)域，需要一項(xiàng)新的技術(shù)。黑名單此時(shí)很管用Symantec

InsightSymantecEndpointProtection1211現(xiàn)有的防護(hù)不能解決“長尾效應(yīng)”只有惡意軟件變化多端如果我們跟蹤互聯(lián)網(wǎng)上的每個(gè)文件，..新文件或變異的文件就會(huì)顯現(xiàn)出來該文件的下載頻率有多高？它來自何處？其他用戶是否報(bào)告過感染？源文件是否與感染有關(guān)？該文件會(huì)以什么樣的方式執(zhí)行？該文件的新舊程度如何？有多少人在使用它？源文件是否與垃圾郵件有關(guān)？源文件是否與很多新文件有關(guān)？文件看上去是否像惡意軟件？該文件是否與鏈接到感染源的文件關(guān)聯(lián)？誰創(chuàng)建了它？它是否具有安全評(píng)分？它是否已簽名？需要什么權(quán)限？誰擁有它？Insight會(huì)發(fā)現(xiàn)瞬息萬變的變種文件它有哪些用途？該程序的新舊程度如何？存在多少個(gè)該文件的副本？其他用戶是否報(bào)告過感染？12這些問題引導(dǎo)我們?nèi)ニ伎糞ymantecEndpointProtection12.1Symantec

Insight2盛行程度年限來源行為34查找關(guān)聯(lián)因素在掃描過程中檢查數(shù)據(jù)庫5提供可操作數(shù)據(jù)1構(gòu)建一個(gè)收集網(wǎng)絡(luò)關(guān)聯(lián)因素它是新的嗎？是否信譽(yù)不好？2億臺(tái)電腦30

億個(gè)文件Symantec?Insight的工作原理SymantecEndpointProtection12.1SymantecSONAR-基于行為的控制

14特殊檢查

它會(huì)阻斷惡意軟件民間的智慧–即使我們沒有指紋

它會(huì)一步步的啟發(fā)和阻斷行為它殺惡意軟件，一勞永逸掃描速度更快SymantecEndpointProtection12.11515Insight-優(yōu)化的掃描跳過我們確信可靠的任何文件，

從而可以縮短掃描時(shí)間傳統(tǒng)掃描必須掃描每個(gè)文件üüüüüüüüüüüüüüü在一般的系統(tǒng)上，可以跳過70%的活動(dòng)應(yīng)用程序！更快的掃描速度嶄新的虛擬化功能增強(qiáng)了管理并將掃描的IO影響降低90%左右虛擬鏡像排除在復(fù)制的映像上使用排除所有文件降低掃描影響共享Insight緩存客戶端共享掃描結(jié)果掃描一次文件利用Insight虛擬客戶端標(biāo)記識(shí)別管理程序設(shè)置組特定的策略搜索虛擬客戶端虛擬機(jī)離線掃描支持所有主流的虛擬環(huán)境分散掃描的時(shí)間16SymantecEndpointProtection12.11717客戶端自強(qiáng)制工作原理圖工作站Symantec終端安全管理器修復(fù)服務(wù)器客戶端連接，驗(yàn)證策略SEP客戶端執(zhí)行

自身遵從情況檢查

遵從檢查失敗:應(yīng)用“隔離”防火墻策略遵從檢查通過:應(yīng)用“辦公室”防火墻策略HostIntegrityRuleStatusAnti-VirusOnAnti-VirusUpdatedPersonalFirewallOnServicePackUpdatedPatchUpdatedSEP客戶端受保護(hù)網(wǎng)絡(luò)隔離區(qū)PatchUpdated基于位置的自強(qiáng)制！準(zhǔn)入控制策略防病毒軟件的安裝與運(yùn)行檢測規(guī)則分發(fā)防病毒軟件補(bǔ)丁檢查策略針對SANtop10所列漏洞的檢查及修復(fù)針對IIS漏洞的檢查及修復(fù)針對Internetexplorer漏洞的檢查及修復(fù)其他常見服務(wù)和應(yīng)用的漏洞常見系統(tǒng)設(shè)置弱點(diǎn)統(tǒng)一墻紙統(tǒng)一屏保IE主頁設(shè)置IE代理設(shè)置IE安全級(jí)別設(shè)置Registrytool限制添加刪除程序限制禁止更改IP設(shè)置時(shí)間同步設(shè)置，禁止更改系統(tǒng)時(shí)間桌面鎖定、默認(rèn)主頁設(shè)定策略PresentationIdentifierGoesHere1819防病毒防間諜

軟件防火墻入侵防護(hù)設(shè)備控制應(yīng)用程序控制網(wǎng)絡(luò)準(zhǔn)入控制

SymantecEndpointProtection12組件SEP12-終端安全縱深防御機(jī)制Copyright?2011SymantecCorporation.Allrightsreserved.20入侵防御文件掃描行為分析信譽(yù)評(píng)級(jí)阻擋網(wǎng)絡(luò)攻擊,不使其有機(jī)會(huì)將惡意程序帶進(jìn)系統(tǒng)里搜尋病毒特征,以阻擋惡意文件監(jiān)控進(jìn)程的可疑行為,以即時(shí)攔阻惡意代碼利用超過一億人的信譽(yù)評(píng)級(jí)來阻擋惡意文件及網(wǎng)站的存取防病度引擎啟發(fā)式掃描自動(dòng)防護(hù)SONAR行為偵測引擎行為特徵庫基於協(xié)議的入侵檢測瀏覽器防護(hù)網(wǎng)絡(luò)信譽(yù)網(wǎng)絡(luò)文件行為互聯(lián)網(wǎng)服務(wù)器文件信譽(yù)網(wǎng)站信譽(yù)X21專業(yè)防護(hù)2-終端標(biāo)準(zhǔn)化運(yùn)維管理

Symantec

Altiris客戶端管理套件PowerPointStyleGuide22SymantecAltiris幫助企業(yè)重新定義基于ITIL的IT生命周期運(yùn)維管理部署新系統(tǒng)OS部署網(wǎng)絡(luò)配置初始系統(tǒng)安裝定義資產(chǎn)硬件資產(chǎn)軟件資產(chǎn)固定資產(chǎn)分發(fā)軟件應(yīng)用軟件升級(jí)病毒包問題管理遠(yuǎn)程控制桌面幫助

升級(jí)硬件更新操作系統(tǒng)更新應(yīng)用軟件更新PC個(gè)性化遷移監(jiān)視/跟蹤采購輔助預(yù)定策略檢測非法軟件應(yīng)用測量軟件授權(quán)管理安全管理端口/無線控制管理員密碼系統(tǒng)安全漏洞分析掃描、報(bào)告，補(bǔ)丁IT生命周期管理業(yè)務(wù)連續(xù)性軟件自動(dòng)修復(fù)健康狀態(tài)管理沖突分析備份和恢復(fù)合約管理軟件許可證硬件租約服務(wù)水準(zhǔn)協(xié)議采購淘汰安裝設(shè)置運(yùn)作生產(chǎn)Symantec實(shí)現(xiàn)服務(wù)器與終端標(biāo)準(zhǔn)化管理的最佳實(shí)踐發(fā)現(xiàn)發(fā)現(xiàn)IT資產(chǎn)及其變更發(fā)現(xiàn)IT管理問題所在發(fā)現(xiàn)服務(wù)器，終端不穩(wěn)定的因素管理管理IT資產(chǎn)，合同，條形碼…管理計(jì)算機(jī)的桌面標(biāo)準(zhǔn)化管理服務(wù)器的健康性檢查管理互聯(lián)網(wǎng)以及內(nèi)網(wǎng)的終端設(shè)備自動(dòng)化自動(dòng)化保持計(jì)算機(jī)的桌面標(biāo)準(zhǔn)化自動(dòng)化保持服務(wù)器的管理標(biāo)準(zhǔn)化自動(dòng)化實(shí)現(xiàn)VMWare以及Hper-V聯(lián)動(dòng)報(bào)告報(bào)告所有IT資產(chǎn)信息報(bào)告所有計(jì)算機(jī)的系統(tǒng)狀態(tài)報(bào)告所有服務(wù)器的穩(wěn)定性自定義報(bào)表

ITIL最佳實(shí)踐SymantecAltiris管理平臺(tái)Symantec

Altiris客戶端管理Symantec

Altiris服務(wù)器管理Symantec

Altiris資產(chǎn)管理Symantec

Altiris流程管理SymantecAltiris服務(wù)臺(tái)管理Symantec

Altiris軟件沖突性管理DeliverAltiris服務(wù)器EmailNotification/ProcessingAutomationRules客戶端操作系統(tǒng)部署一個(gè)管理員，一個(gè)平臺(tái)，一個(gè)客戶端24條形碼，RFID管理CMDB庫IT資產(chǎn)拓?fù)潢P(guān)系管理服務(wù)器系統(tǒng)部署客戶端資產(chǎn)清單管理客戶端補(bǔ)丁管理跨互聯(lián)網(wǎng)以及內(nèi)網(wǎng)的PC

Anywhere遠(yuǎn)程維護(hù)服務(wù)器資產(chǎn)清單管理軟件分發(fā)，軟件虛擬化，軟件流管理帶外管理無需Agent的跨服務(wù)器平臺(tái)硬件監(jiān)控服務(wù)器應(yīng)用層以及系統(tǒng)層監(jiān)控服務(wù)器軟件安裝預(yù)檢測管理服務(wù)器補(bǔ)丁安裝預(yù)檢測管理軟硬件資產(chǎn)管理價(jià)值清單和資產(chǎn)支持AIX，Solaris，Unix，Linux，Mac，Windows等多操作系統(tǒng)平臺(tái)自動(dòng)執(zhí)行軟、硬件資產(chǎn)清單的搜集工作掌握硬件變化并實(shí)時(shí)報(bào)警資產(chǎn)評(píng)估與symantec終端管理其他方案完美結(jié)合：軟件分發(fā)，補(bǔ)丁管理，遠(yuǎn)程控制，系統(tǒng)部署，災(zāi)難恢復(fù)！詳細(xì)的資產(chǎn)信息是IT管理的基礎(chǔ)IT資產(chǎn)管理為用戶帶來的價(jià)值準(zhǔn)確收集企業(yè)內(nèi)部的IT資產(chǎn)信息，如PC的軟硬件資產(chǎn)信息及時(shí)獲知資產(chǎn)信息的變更通過IT資產(chǎn)拓?fù)浍@知員工，IT設(shè)備，位置，保修期，報(bào)廢期之間的關(guān)系管理的角度延伸至維護(hù)合同，設(shè)備條形碼，RFID設(shè)備CMDB庫，完全符合大型企業(yè)管理IT資產(chǎn)的規(guī)范我們總共有多少臺(tái)服務(wù)器？多少臺(tái)客戶端？品牌型號(hào)？我們的設(shè)備在哪里？那個(gè)省份？那個(gè)機(jī)架？那個(gè)UPS？那些員工正在使用他們設(shè)備由哪些管理員管理？我們的服務(wù)器和客戶端的保修期是多長？服務(wù)器和客戶端什么時(shí)候過保？他們從采購到報(bào)廢總共維修了多少次？具體維修的原因？廠家的服務(wù)如何？遠(yuǎn)程協(xié)助、電源管理遠(yuǎn)程協(xié)助，電源管理支持Linux，Mac，Windows等多操作系統(tǒng)平臺(tái)集成業(yè)界知名的symantecPCAnywhere遠(yuǎn)程控制文字交流，視頻錄制,文件傳輸，遠(yuǎn)程執(zhí)行，開機(jī)重啟受控端可以切換賬號(hào)高效的遠(yuǎn)程協(xié)助技術(shù)，提高服務(wù)響應(yīng)速度，降低維護(hù)成本。統(tǒng)一制定節(jié)能計(jì)劃，共同營造綠色I(xiàn)T完善的機(jī)制，注重遠(yuǎn)程協(xié)助過程中的“個(gè)人隱私”保護(hù)補(bǔ)丁、智能軟件管理補(bǔ)丁、智能軟件管理支持AIX，Solaris，Unix，Linux，Mac，Windows等多操作系統(tǒng)平臺(tái)低帶寬分發(fā)，帶寬管理，斷點(diǎn)續(xù)傳，分發(fā)服務(wù)器按需分發(fā)，基于策略分發(fā)設(shè)定分發(fā)機(jī)會(huì)，定時(shí)分發(fā)自動(dòng)執(zhí)行漏洞分析，支持多平臺(tái)的系統(tǒng)補(bǔ)丁、軟件的統(tǒng)一管理對應(yīng)用程序的有效運(yùn)行時(shí)間以及資源占用情況進(jìn)行測量90％的系統(tǒng)漏洞可以通過適當(dāng)?shù)呐渲煤脱a(bǔ)丁管理得以消除OperatingSystem傳統(tǒng)的環(huán)境ApplicationCAppE應(yīng)用虛擬化虛擬化的環(huán)境SystemsareMoreStableandMoreEasilyManagedApplicationAApplicationBAppDOperatingSystemFilterDriverApplicationCAppDAppEApplicationAApplicationB映像制作和部署帶來的價(jià)值映像制作和部署全面的部署功能基于映像或腳本化的操作系統(tǒng)安裝持續(xù)更新/重新設(shè)置無需手動(dòng)干預(yù)的工具以及PC用戶的個(gè)性化設(shè)置遷移促進(jìn)了標(biāo)準(zhǔn)化臺(tái)式機(jī)配置的實(shí)施降低了與臺(tái)式機(jī)變更相關(guān)的風(fēng)險(xiǎn)價(jià)值體現(xiàn)MedCentral>將每臺(tái)計(jì)算機(jī)的部署時(shí)間從4-8小時(shí)減少到1個(gè)小時(shí)以內(nèi)，縮短了90%的時(shí)間美國空軍>將響應(yīng)新硬件映像制作申請的時(shí)間縮短了88%16集成利用業(yè)界領(lǐng)先的知名SymantecGhost獨(dú)立于硬件的鏡像制作利用DXExpert，更容易的管理復(fù)雜多樣的不同版本的驅(qū)動(dòng)程序，根據(jù)策略主動(dòng)收集企業(yè)內(nèi)部所有終端的各種不同驅(qū)動(dòng)，根據(jù)需求部署收集到的驅(qū)動(dòng)到新安裝的終端，滿足不同終端，不同硬件配置的驅(qū)動(dòng)程序需求。31專業(yè)防護(hù)3-終端行為管理：

Symantec

WEB網(wǎng)關(guān)縱深防御ClientWebSymantecWebGateway

僵尸網(wǎng)絡(luò)的偵測發(fā)現(xiàn)已受感染客戶端網(wǎng)絡(luò)應(yīng)用程序控制（P2P）惡意程序掃描偵測與阻斷惡意網(wǎng)址及內(nèi)容過濾基于Domain和IP的信譽(yù)Insight文件信譽(yù)防護(hù)未知威脅SymantecWebGateway-多功能防護(hù)網(wǎng)關(guān)32僵尸網(wǎng)絡(luò)客戶端發(fā)現(xiàn)報(bào)告#1

活躍僵尸網(wǎng)絡(luò)客戶端x,可疑僵尸網(wǎng)絡(luò)客戶端x,非活躍僵尸網(wǎng)絡(luò)客戶端x33活躍的僵尸網(wǎng)絡(luò)客戶端要立即隔離分析處理可疑和非活躍的客戶端要繼續(xù)觀察和進(jìn)一步的分析，最好能利用Symantec最新的防護(hù)工具進(jìn)行掃描

僵尸網(wǎng)絡(luò)客戶端發(fā)現(xiàn)報(bào)告#2

活躍僵尸網(wǎng)絡(luò)客戶端具體分析舉例-1：(X)Confidential/SymantecWebGatewayMAA導(dǎo)入事例34活躍僵尸網(wǎng)絡(luò)客戶端

X與惡意控制服務(wù)器通信C&CxX可疑IPScanning

X進(jìn)行了X次IPscanningDestinationIPaddressXXX.XXX.XXX.XXX

高危Zeus惡意控制服務(wù)器/國家（https://zeustracker.abuse.ch）活躍僵尸網(wǎng)絡(luò)客戶端

X回?fù)軔阂饪刂品?wù)器x次必須立即對所有檢測到的活躍僵尸網(wǎng)絡(luò)客戶端做隔離分析，處理，掃描！！病毒下載和上傳#1

總共X個(gè)客戶端進(jìn)行了X次病毒下載和上傳35排名前十位的客戶端病毒下載和次數(shù)調(diào)查下載病毒的動(dòng)機(jī)，時(shí)間和原因，無意還是有意？調(diào)查是否病毒在該終端上已經(jīng)被所安裝的安全防護(hù)軟件識(shí)別并查殺。立即對該終端應(yīng)用最新的防護(hù)軟件及病毒庫進(jìn)行掃描，并對其做隔離漏洞利用攻擊的發(fā)現(xiàn)報(bào)告

總共發(fā)現(xiàn)三臺(tái)終端存在漏洞利用攻擊的行為Confidential/SymantecWebGatewayMAA導(dǎo)入事例36漏洞利用攻擊的定義和危害：“漏洞利用”是通過利用軟件設(shè)計(jì)上的缺陷達(dá)到對該系統(tǒng)的控制，漏洞利用可能被利用來執(zhí)行眾多不同的惡意行為，比如下載惡意蠕蟲病毒和后門間諜程序，訪問機(jī)密數(shù)據(jù)，通過攻擊阻止軟件的正常運(yùn)行?？梢陕┒蠢霉舻慕K端1：X可疑漏洞利用攻擊的終端2：X可疑漏洞利用攻擊的終端3：X端點(diǎn)訪問釣魚網(wǎng)站報(bào)告

Confidential/SymantecWebGatewayMAA導(dǎo)入事例37此次體檢檢測中，我們偵測到一共X個(gè)客戶端訪問了Y次惡意釣魚網(wǎng)站釣魚式攻擊是一種企圖從電子通信中，通過偽裝成信譽(yù)卓著的法人媒體以獲得如用戶名、密碼和信用卡等個(gè)人敏感信息的犯罪詐騙過程。訪問釣魚網(wǎng)站的終端識(shí)別風(fēng)險(xiǎn)并開發(fā)相應(yīng)的策略SOXPCI-DSSISO27001等級(jí)保護(hù)…密碼服務(wù)文件審計(jì)…RPC補(bǔ)丁web端口…法規(guī)配置漏洞事先評(píng)估事后恢復(fù)快速恢復(fù)系統(tǒng)到正常狀態(tài)操作系統(tǒng)備份數(shù)據(jù)庫備份數(shù)據(jù)備份監(jiān)控并阻斷風(fēng)險(xiǎn)系統(tǒng)監(jiān)控文件監(jiān)控日志監(jiān)控…安全鎖定事中防護(hù)üüüü監(jiān)控預(yù)警限制網(wǎng)絡(luò)連接鎖定配置文件鎖定用戶權(quán)限…üü二：數(shù)據(jù)中心/服務(wù)器安全解決方案CCSSM

+

CCS

VMSCSP賽門鐵克銷售培訓(xùn)教材NBU/SSR優(yōu)秀的漏洞評(píng)估解決方案預(yù)先阻止威脅發(fā)生覆蓋Web應(yīng)用（包含應(yīng)用掃描）、數(shù)據(jù)庫、操作系統(tǒng)與網(wǎng)絡(luò)設(shè)備，全面覆蓋100%的IT資產(chǎn)支持憑據(jù)登錄掃描（OS、DB）6萬多個(gè)檢查項(xiàng)覆蓋超過1.5萬個(gè)漏洞標(biāo)準(zhǔn)的漏洞評(píng)分算法持續(xù)的發(fā)現(xiàn)虛擬化資產(chǎn)，創(chuàng)建并管理動(dòng)態(tài)的虛擬資產(chǎn)組39ControlComplianceSuiteVulnerabilityManager漏洞管理WebServiceDatabaseOSYourData自動(dòng)化評(píng)估IT基礎(chǔ)架構(gòu)安全配置評(píng)估40ControlComplianceSuiteStandardsManager配置標(biāo)準(zhǔn)管理1.定義標(biāo)準(zhǔn)3.分析修復(fù)2.管理或未管理的資產(chǎn)評(píng)估自動(dòng)的檢測評(píng)估技術(shù)，覆蓋2900個(gè)控制項(xiàng)目，映射之上千個(gè)技術(shù)及流程控制點(diǎn)。預(yù)定義且分類打包的安全配置條目，包含例外管理支持有代理（用于認(rèn)證憑據(jù)定期變化環(huán)境）和無代理（降低基礎(chǔ)架構(gòu)影響）兩種方式采集基礎(chǔ)架構(gòu)數(shù)據(jù)BindViewandESMtechnologies,developedover12+yearsofexperience.網(wǎng)絡(luò)環(huán)境“鎖定”系統(tǒng)環(huán)境“鎖定”策略“統(tǒng)一”管理關(guān)鍵業(yè)務(wù)應(yīng)用服務(wù)器鎖定應(yīng)用進(jìn)程運(yùn)行環(huán)境，嚴(yán)格限制可運(yùn)行的進(jìn)程及資源只允許ATM的應(yīng)用進(jìn)程及其調(diào)用的系統(tǒng)進(jìn)程和資源運(yùn)行進(jìn)程間繼承關(guān)系智能檢測識(shí)別支持所有設(shè)備和系統(tǒng)集中管理系統(tǒng)的安全防護(hù)策略統(tǒng)一監(jiān)控應(yīng)用和系統(tǒng)日志和安全事件，集中審計(jì)和告警鎖定業(yè)務(wù)應(yīng)用網(wǎng)絡(luò)環(huán)境，嚴(yán)格限制網(wǎng)絡(luò)通訊只允許應(yīng)用與后臺(tái)特定服務(wù)器通訊鎖定系統(tǒng)運(yùn)行環(huán)境和資源開啟系統(tǒng)資源保護(hù)，防止緩沖區(qū)溢出、進(jìn)程注入、內(nèi)存注入等攻擊應(yīng)用環(huán)境“鎖定”“安全鎖定”保障關(guān)鍵業(yè)務(wù)最小權(quán)限的安全運(yùn)行環(huán)境

——SymantecCriticalSystemProtection（SCSP）關(guān)鍵業(yè)務(wù)服務(wù)器安全防護(hù)方案41可以有效控制惡意代碼的傳播和感染可以有效控制惡意代碼、非法進(jìn)程的執(zhí)行和活動(dòng)可以有效保護(hù)系統(tǒng)或應(yīng)用的補(bǔ)丁缺失，防護(hù)入侵和零日攻擊可以滿足跨平臺(tái)、跨系統(tǒng)的集中安全管理需求SCSP安全防護(hù)技術(shù)實(shí)現(xiàn)原理42為每一個(gè)程序集分配一個(gè)沙箱，每個(gè)沙箱根據(jù)策略的定義實(shí)現(xiàn)有限的資源訪問和行為控制文件注冊表網(wǎng)絡(luò)設(shè)備文件系統(tǒng)及配置信息進(jìn)程訪問控制核心守護(hù)進(jìn)程應(yīng)用守護(hù)程序被保護(hù)主機(jī)大多數(shù)應(yīng)用只需要有限的資源以完成相關(guān)工作但大多數(shù)程序擁有遠(yuǎn)遠(yuǎn)超出其自身要求的資源，惡意的入侵攻擊常常利用這些空隙內(nèi)存使用端口或設(shè)備顆粒度資源限制…RSHShellBrowserMailWeb…crondRPCLPDPrinter交互式程序…ATM安全防護(hù)方案Symantec

SCSP對于多樣化服務(wù)器形式的保護(hù)能力PresentationIdentifierGoesHere43服務(wù)器安全小型機(jī)物理X86服務(wù)器虛擬X86平臺(tái)WindowsLinuxWindowsLinux監(jiān)控系統(tǒng)及應(yīng)用行為監(jiān)控訪問權(quán)限的異常變更識(shí)別多次的登錄失敗嘗試監(jiān)控文件及目錄監(jiān)控配置文件阻止未確認(rèn)的可執(zhí)行文件鎖定文件及目錄阻止未認(rèn)證的網(wǎng)絡(luò)連接鎖定系統(tǒng)配置鎖定應(yīng)用程序及行為阻止異常的訪問權(quán)限變化阻止異常的外部設(shè)備訪問GuestVM加固基于系統(tǒng)功能防護(hù)減少資源消耗Hypervisor加固文件完整性監(jiān)控配置監(jiān)控限制網(wǎng)絡(luò)流量系統(tǒng)功能鎖定零日攻擊防護(hù)管理服務(wù)器加固限制管理員控制降低補(bǔ)丁管理風(fēng)險(xiǎn)

入侵檢測入侵防護(hù)虛擬化保護(hù)三：VMware服務(wù)器虛擬化環(huán)境完整的解決方案WindowsLinuxCSPCSPCCSVM安全漏洞評(píng)估CCSVSM虛擬化安全管理HypervisorvCenter宿主機(jī)完整性監(jiān)控，vCenter保護(hù)SCSP基礎(chǔ)架構(gòu)監(jiān)控防護(hù)實(shí)現(xiàn)對宿主機(jī)、vCenter的操作認(rèn)證授權(quán)與審計(jì)vShieldEdge/App/…掃描評(píng)估整個(gè)虛擬化環(huán)境的漏洞與安全配置缺陷SSIM安全事件管理采集虛擬主機(jī)及vShield在內(nèi)的各類日志信息CCS

SM安全配置評(píng)估

45離線的虛擬機(jī)錯(cuò)過了補(bǔ)丁/病毒定義更新，安全狀態(tài)不可知虛擬機(jī)之間的通信不可見vCenter等管理組件的安全威脅將危害整所有VMs和hypervisors管理權(quán)限的控制不當(dāng)導(dǎo)致非授權(quán)訪問ESX/ESXi存在漏洞或者配置錯(cuò)誤導(dǎo)致威脅從單個(gè)VM擴(kuò)散到整個(gè)虛擬化環(huán)境虛擬機(jī)之間沒有物理邊界增加了數(shù)據(jù)泄漏的風(fēng)險(xiǎn)虛擬化引入新的安全威脅以Vmware為例存在安全脆弱性的VM快速復(fù)制虛擬機(jī)硬盤文件導(dǎo)致數(shù)據(jù)泄漏的風(fēng)險(xiǎn)增加類似物理機(jī)所面臨的安全威脅操作風(fēng)險(xiǎn)虛擬化安全威脅的分類與應(yīng)對46虛擬網(wǎng)絡(luò)安全虛擬架構(gòu)安全虛擬機(jī)自身安全虛擬機(jī)之間的通信不可見虛擬機(jī)之間沒有物理邊界增加了數(shù)據(jù)泄漏的風(fēng)險(xiǎn)ESX/ESXi存在漏洞或者配置錯(cuò)誤導(dǎo)致威脅從單個(gè)VM擴(kuò)散到整個(gè)虛擬化環(huán)境離線的虛擬機(jī)錯(cuò)過了補(bǔ)丁/病毒定義更新，安全狀態(tài)不可知vCenter等管理組件的安全威脅將危害整所有VMs和hypervisors管理權(quán)限的控制不當(dāng)導(dǎo)致非授權(quán)訪問存在安全脆弱性的VM快速復(fù)制類似物理機(jī)所面臨的安全威脅隱蔽通道逃逸威脅管理風(fēng)險(xiǎn)利用虛擬平臺(tái)的安全API接口（VmwareVsafeAPI）GuestOS上安裝基于主機(jī)的防火墻/IPS軟件保護(hù)Hypervisor漏洞：ESX的系統(tǒng)安全防護(hù)與漏洞保護(hù)監(jiān)控Hypervisor的配置變更和日志，及時(shí)響應(yīng)加固GuestOS，在攻擊源頭予以阻斷防護(hù)/監(jiān)控Vcenter等管理組件所在的主機(jī)安全、數(shù)據(jù)庫安全、應(yīng)用安全監(jiān)控Vcenter等管理組件的配置變更和日志，及時(shí)響應(yīng)監(jiān)控虛擬機(jī)資產(chǎn)狀態(tài)變更，安全運(yùn)維管理虛擬系統(tǒng)，掃描虛擬機(jī)的安全漏洞離線的病毒掃描工具（SEPOfflineScanning）防病毒（SEP12.1）操作系統(tǒng)與應(yīng)用保護(hù)（FW/HIPS/HIDS）47如何來防止數(shù)據(jù)泄漏？四：機(jī)密數(shù)據(jù)防泄漏建議流程DISCOVERYMONITORINGENFORCEMENT數(shù)據(jù)在網(wǎng)絡(luò)中如何流動(dòng)？機(jī)密信息在什么位置?DATALOSSPREVENTION(DLP)484848How控制和保護(hù)數(shù)據(jù)的有效性？HowWhereWhenWho機(jī)密數(shù)據(jù)被傳播？Where企業(yè)機(jī)密和敏感數(shù)據(jù)在那里？What才是企業(yè)真正的風(fēng)險(xiǎn)（fromaleak）？Symantec

DLP終端敏感數(shù)據(jù)外傳攔截—專業(yè)防護(hù)3敏感數(shù)據(jù)的主要安全威脅及應(yīng)對手段49DB

server/File

server/NASOther

servers內(nèi)部服務(wù)器終端外設(shè)U盤/打印/其他外設(shè)內(nèi)網(wǎng)互聯(lián)網(wǎng)外部郵箱重要數(shù)據(jù)存放內(nèi)部人員個(gè)人郵箱第三方服務(wù)商郵箱合作伙伴系統(tǒng)外部人員源/過程數(shù)據(jù)源/過程數(shù)據(jù)業(yè)務(wù)系統(tǒng)重要數(shù)據(jù)終端應(yīng)用源/過程數(shù)據(jù)非法下載/導(dǎo)出互聯(lián)網(wǎng)外泄外部服務(wù)器IM等互聯(lián)網(wǎng)應(yīng)用源/過程數(shù)據(jù)3MSN等IM應(yīng)用1異常的存儲(chǔ)分布終端無線上網(wǎng)其他不易監(jiān)控途徑5管理手段及多種其他技術(shù)WLAN/3G源/過程數(shù)據(jù)源數(shù)據(jù)產(chǎn)生24終端各類外泄終端域內(nèi)網(wǎng)服務(wù)器域四個(gè)主要環(huán)節(jié)：1.互聯(lián)網(wǎng)外泄監(jiān)控與阻止（終端郵件、IM、FTP等，傳輸加密)2.終端外泄監(jiān)控與阻止（終端U盤、外設(shè)、無線上網(wǎng)等，U盤加密）3.服務(wù)器敏感信息掃描與隔離（服務(wù)器、存儲(chǔ)、終端）4.數(shù)據(jù)源下載操作監(jiān)控（系統(tǒng)(存儲(chǔ))終端）5050SymantecDLP對數(shù)據(jù)泄露威脅的覆蓋CD/DVDLaptopsEmailInstantMessageFTPSharePoint/LotusNotes/ExchangeDatabasesFileServersU盤EndpointNetworkStorageDLPPolicyMonitoring&PreventionDiscovery&ProtectionWebmailWebservers本地硬盤OutlookLotus打印/傳真HTTP/SSymantecDLP系統(tǒng)架構(gòu)SECUREDCORPORATELANDMZ集中管理系統(tǒng)Disconnected終端終端阻止終端監(jiān)控網(wǎng)絡(luò)網(wǎng)絡(luò)攔截網(wǎng)絡(luò)監(jiān)控SPANPortorTapMTAorProxy服務(wù)器掃描隔離集中管理系統(tǒng)服務(wù)器（存儲(chǔ)）+終端+網(wǎng)絡(luò)“三位一體”，統(tǒng)一策略StorageFileserversDatabasesWebsitesLaptops/desktopsDiscoverdataMonitordatadownloadsMonitor/blockUSB,CD/DVDPoliciesWor