惡意代碼監(jiān)控中心方案-V4

Classification12/28/20231惡意代碼監(jiān)控中心設(shè)計(jì)方案Classification12/28/20232Agenda信息安全現(xiàn)狀分析惡意代碼防范策略惡意代碼防范體系設(shè)計(jì)詳解社交工程-精準(zhǔn)攻擊內(nèi)部威脅移動(dòng)使用者與分公司多方位的攻擊Source:Forrester社交工程攻擊手法日趨成熟，郵件幾乎真假難辨USB,3G,移動(dòng)設(shè)備客制化惡意程序VPN/HTTP通道Classification12/28/20234多方位的攻擊*偵查*找出可用弱點(diǎn)*入侵*收集資料*資料外傳*潛伏實(shí)際案例–假造電信賬單2023/12/28Classification5看似正常的發(fā)件人看似正常的電子賬單PDF檔案開啟賬單后，會(huì)發(fā)生哪些事件？2023/12/28Classification6產(chǎn)生新的病毒檔案背景自動(dòng)聯(lián)機(jī)浮動(dòng)IP主機(jī)注冊(cè)機(jī)碼＆系統(tǒng)服務(wù)，讓病毒在重開機(jī)后仍會(huì)自動(dòng)執(zhí)行多方位的攻擊的差異Classification12/28/20237黑客針對(duì)企業(yè)使用APT攻擊與一般網(wǎng)絡(luò)攻擊手法差異

APT攻擊一般網(wǎng)絡(luò)攻擊時(shí)間長時(shí)間攻擊，會(huì)隱匿行蹤攻擊時(shí)間長短并不一定動(dòng)機(jī)竊取所需要的特定機(jī)密，包含國家安全、各種組織情報(bào)和商業(yè)機(jī)密等等竊取金融與個(gè)人資料換取實(shí)質(zhì)利益，不見得具有特定動(dòng)機(jī)攻擊對(duì)象有針對(duì)性、小范圍，通常是以政府、軍事國防機(jī)構(gòu)、大型能源石油天然氣產(chǎn)業(yè)、高科技產(chǎn)業(yè)、金融業(yè)等無針對(duì)性、大范圍，一般以金融業(yè)、在線交易業(yè)者、具有大量個(gè)資企業(yè)為主攻擊武器客制化，常用單一的漏洞，經(jīng)常是零時(shí)差漏洞的攻擊，或者是DropEmbeddedRAT非客制化，復(fù)合多種常見漏洞在單一檔案攻擊，攻擊范圍大；URLDownloadBotnet攻擊手法為了確定攻擊一定成功，或同實(shí)用多種攻擊手法入侵速戰(zhàn)速?zèng)Q，通常以大量快速有效的單一手法入侵防病毒軟件偵測率1個(gè)月內(nèi)新樣本偵測率約30％以下1個(gè)月內(nèi)新樣本偵測率約90％數(shù)據(jù)源：Xecure-Lab、RSA，iThome整理，2011年8月客戶的現(xiàn)況33%入侵都是在分鐘就完成,80%在1天就能完成入侵但是大部分發(fā)現(xiàn)時(shí)間與治理時(shí)間都要超過一周甚至于1個(gè)月Source:Verizon2011DataBreachReport威脅入侵威脅被發(fā)現(xiàn)治理時(shí)間--缺乏威脅的可見性與預(yù)警系統(tǒng)客戶應(yīng)用環(huán)境的轉(zhuǎn)變9移動(dòng)設(shè)備分公司公司互連網(wǎng)原本邊界IaaSSaaS新邊界虛擬化,雲(yún)應(yīng)用,移動(dòng)設(shè)備Classification12/28/202310Agenda信息安全現(xiàn)狀分析惡意代碼防范策略惡意代碼防范體系設(shè)計(jì)詳解企業(yè)威脅管理策略資料內(nèi)容安全智能時(shí)間察覺身份察覺位置察覺內(nèi)容察覺本地化威脅監(jiān)控預(yù)警平臺(tái)存取策略加密Inside-OUTDataProtectionClassification12/28/202311SmartDataProtectionThreatManagementDataProtectionAlldatamustbeabletodefenditselffromattacksContext-AwarePolicyManagementPhysical-Virtual-Cloud全球智能化威脅監(jiān)控網(wǎng)路郵件,網(wǎng)頁,文件信譽(yù)評(píng)估服務(wù)多層次立體防護(hù)體系本地化威脅監(jiān)控預(yù)警平臺(tái)Outside-INThreatProtectionOutside-InThreatProtectionInside-OUTDataProtectionClassification12/28/202312管控阻斷預(yù)警監(jiān)測應(yīng)急響應(yīng)威脅生命周期管理系統(tǒng)實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的自動(dòng)化阻斷實(shí)時(shí)對(duì)數(shù)據(jù)進(jìn)行分析，并對(duì)高威風(fēng)險(xiǎn)進(jìn)行預(yù)警展示對(duì)全網(wǎng)進(jìn)行安全監(jiān)測，實(shí)時(shí)發(fā)現(xiàn)已知及未知威脅建立應(yīng)急響應(yīng)機(jī)制，并提供應(yīng)急響應(yīng)保障實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的可管理、可控制，一體化管控機(jī)制威脅生命周期管理Classification12/28/202313趨勢科技威脅管理戰(zhàn)略體系:威脅可見性阻斷威脅活動(dòng)威脅防護(hù)連動(dòng)專殺安全網(wǎng)關(guān)安全網(wǎng)關(guān)安全網(wǎng)關(guān)Classification12/28/202314Agenda信息安全現(xiàn)狀分析惡意代碼防范策略惡意代碼防范體系設(shè)計(jì)詳解一、平臺(tái)建設(shè)-總體部署深圳清遠(yuǎn)XX廣州廣東省移動(dòng)威脅管理中心XXXX借助云安全、行為智能識(shí)別、病毒代碼比對(duì)等多種技術(shù)針對(duì)網(wǎng)絡(luò)通訊數(shù)據(jù)進(jìn)行深度關(guān)聯(lián)分析和協(xié)議分析；發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)行中的潛在威脅，如病毒、木馬、間諜程序、僵尸網(wǎng)絡(luò)、暴力攻擊等InternetFW/NATRouter服務(wù)器群核心交換Web/FTPSMTPDNSSegmentSwitch分公司惡意威脅預(yù)警平臺(tái)威脅管理平臺(tái)安全事件發(fā)生安全事件發(fā)生安全事件發(fā)生事件采集事件采集事件采集預(yù)警展示平臺(tái)Classification12/28/202317Classification12/28/202318

預(yù)警平臺(tái)-IP地理化展示Classification12/28/202319

預(yù)警平臺(tái)-威脅地理化展示區(qū)域威脅管理平臺(tái):威脅管理儀表版Classification12/28/202320公司風(fēng)險(xiǎn)指標(biāo):公司目前的風(fēng)險(xiǎn)等級(jí)定位感染原與攻擊源威脅內(nèi)容與解決說明實(shí)時(shí)高危風(fēng)險(xiǎn)事件說明威脅統(tǒng)計(jì)數(shù)據(jù)業(yè)務(wù)風(fēng)險(xiǎn)表受影響的資產(chǎn)威脅統(tǒng)計(jì)感染源威脅變化趨勢干擾性應(yīng)用全網(wǎng)預(yù)警評(píng)估報(bào)告每日/周/月的Executive摘要了解全公司的安全態(tài)勢事件審查和比較報(bào)告安全策略建議SmartProtection

Network每日通報(bào)報(bào)表:定位惡意程序客戶端與威脅信息進(jìn)行高效處理云安全技術(shù)3年半—研發(fā)時(shí)間1,200位—

TrendLab專職安全專家7X24

—全球5個(gè)數(shù)據(jù)中心34,000臺(tái)—全球服務(wù)器1,500萬美金—每年維護(hù)費(fèi)用約4億多美金—投入成本趨勢科技云安全投入成本備份PPTClassification12/28/202326威脅發(fā)現(xiàn)解決方案主動(dòng)防御的發(fā)展，利用對(duì)已知病毒的知識(shí)累積來判斷新的病毒把防線向前移，將病毒放在進(jìn)入用戶系統(tǒng)之前，在網(wǎng)絡(luò)的基礎(chǔ)設(shè)施上架設(shè)防病毒的設(shè)備，多層次的防病毒，減輕客戶端的壓力在不可信的客戶端中構(gòu)建可信的環(huán)境，例如虛擬化或者定制瀏覽器 ——國家防病毒應(yīng)急應(yīng)辦主任：張健日/周/月報(bào)表分析多協(xié)議關(guān)連分析引擎云安全運(yùn)算平臺(tái)旁路分析設(shè)備2~7層與84多種協(xié)議

過濾已知惡意程序分析未知惡意程序分析專家技術(shù)支持高危病毒通知緊急上門處理提供對(duì)策發(fā)現(xiàn)風(fēng)險(xiǎn)解決問題互聯(lián)網(wǎng)旁路設(shè)備TDA威脅發(fā)現(xiàn)設(shè)備—多層次識(shí)別各種威脅網(wǎng)絡(luò)蠕蟲/零時(shí)差攻擊僵尸網(wǎng)絡(luò)各種已知病毒/病毒變種（文件型病毒、蠕蟲、灰色軟件、間諜軟件、黑客工具等）病毒下載器掃描引擎識(shí)別威脅網(wǎng)絡(luò)層各種路由協(xié)議及IP協(xié)議傳輸層TCP、UDP協(xié)議應(yīng)用層HTTP、FTP、POP3、SMTP、DHCP、DNS等協(xié)議網(wǎng)絡(luò)流量后門/木馬威脅發(fā)現(xiàn)設(shè)備TDA主要針對(duì)應(yīng)用層內(nèi)容分析旁路部署根據(jù)特征碼識(shí)別已知惡意程序根據(jù)惡意行為引擎識(shí)別僵尸網(wǎng)絡(luò)以及潛在木馬快速響應(yīng)服務(wù)本地日志管理服務(wù)連動(dòng)專殺工具IPS偵測外部黑客攻擊(DDOS阻斷式攻擊,異常封包偵測)傳統(tǒng)防病毒產(chǎn)品主要針對(duì)網(wǎng)絡(luò)數(shù)據(jù)包分析串聯(lián)部署為主/旁路部署為輔識(shí)別網(wǎng)絡(luò)攻擊數(shù)據(jù)包、網(wǎng)絡(luò)蠕蟲識(shí)別DoS攻擊

主要已知威脅防護(hù)根據(jù)特征碼識(shí)別已知惡意程序基于主機(jī)的文件檢測需要在每臺(tái)主機(jī)上面安裝低配置機(jī)器難部署偵測內(nèi)網(wǎng)威脅活動(dòng)網(wǎng)絡(luò)層各種路由協(xié)議及IP協(xié)議傳輸層TCP/UDP協(xié)議應(yīng)用層HTTP、FTP、POP3、SMTP、DHCP、DNS等協(xié)議IPS工作層TDS工作層威脅管理平臺(tái)TMSPClassification12/28/202330智能化:威脅管理平臺(tái)將客戶環(huán)境中海量的日志,抽絲剝繭找出環(huán)境中的威脅事件專家化:告知威脅的本質(zhì),風(fēng)險(xiǎn)的含量與處理建議可視化:讓客戶環(huán)境中威脅數(shù)據(jù)化,圖形化達(dá)到威脅的可見性威脅管理平臺(tái):架構(gòu)內(nèi)容*接收層:前端應(yīng)用服務(wù)器，負(fù)責(zé)提供門戶網(wǎng)站,威脅儀表板和日志接收等功能*應(yīng)用層:數(shù)據(jù)分析服務(wù)器，內(nèi)建智能分析引擎,負(fù)責(zé)提供數(shù)據(jù)分析,報(bào)表生成,通知*數(shù)據(jù)層:后臺(tái)數(shù)據(jù)庫，負(fù)責(zé)提供數(shù)據(jù)存儲(chǔ)和優(yōu)化威脅管理平臺(tái)的功能模塊賬戶管理設(shè)備管理日志管理報(bào)表管理威脅儀表板風(fēng)險(xiǎn)指標(biāo)感染原與攻擊源威脅排行榜威脅內(nèi)容與解決說明實(shí)時(shí)高危風(fēng)險(xiǎn)事件說明日,周,雙周,月威脅統(tǒng)計(jì)數(shù)據(jù)事件關(guān)連分析圖

設(shè)備狀態(tài)監(jiān)控設(shè)備分組設(shè)定

配置管理員

TDA監(jiān)控設(shè)備日志接收高危日志接收

實(shí)時(shí)日志接收

日志儲(chǔ)存管理

日誌智能分析引擎周期性報(bào)表:日周月報(bào)表按需報(bào)