《構(gòu)建主動安全防護》

構(gòu)建主動平安防護何興偉 技術(shù)參謀joho_he@mcafeeMcAfee公司全球最大的純平安公司全球技術(shù)、市場領先的平安廠商在紐約證交所上市前身是被評為“世界網(wǎng)絡公司前十強〞的NetworkAssociatesInc.〔美國網(wǎng)絡聯(lián)盟〕2004年8月正式改名為McAfeeInc.McAfee在中國的分支機構(gòu)——安網(wǎng)〔上海〕軟件〔全資子公司〕3/15/20242.內(nèi)容面臨的威脅的變化傳統(tǒng)的平安方法構(gòu)建主動平安防護主動的平安管理總結(jié)3/15/20243.威脅統(tǒng)計Primary

InfectionVectorAdditional

PropagationVectors&Actions100%45%23%10%10%5%8%73%42%17%12%10%10%2%66Threats

RatedMedium

orHigher*(AVERT

01/03–10/04)90%

MassMailer

(EmailWorm)10%Vulnerability-

basedWormEmail RemoteAccessP2P TerminateProcessShareHopper DownloadRemoteFileCopy KeyLoggerExploit RegistryDeleteFileInfector DOSApplicationSpoof FileDeletionExploit RemoteAccessDownload DOS100%83%33%17%3/15/20244.從弱點到受到威脅的Timeline

RiskExposureforCriticalAssetsDiscoveryRemediation“Stopcountingattacksandstartmanagingvulnerabilities.〞JohnPescatore,GartnerVulnerabilityDiscoveredAutomatedExploitExploitPublicVulnerabilityAnnouncedThreat

ExposureAsvulnerabilities

becomeexploitedandmadepublictherisk

tocriticalassets

increases3/15/20245.從弱點到出現(xiàn)相應的蠕蟲的時間變化?Foundstone,2004(representsautomatedwormsJanuary1999throughMay2004)MelissaSadmindSonicBugbearCodeRedNimdaSpidarSlammerSlapperBlasterWelchiaNachiWittySasser3/15/20246.威脅在變化和演變攻擊比以前更快和更聰明攻擊更省力，成功機率更高變化總是存在因果循環(huán)繞過現(xiàn)有的“平安標準〞平安威脅的不斷變化3/15/20247.對抗威脅的傳統(tǒng)平安方法防火墻無法阻擋利用系統(tǒng)弱點的攻擊網(wǎng)絡入侵只能報警，無法實施阻斷；誤報率高防病毒軟件依賴于病毒特征碼傳統(tǒng)平安方法的最大薄弱環(huán)節(jié)：被動平安3/15/20248.防火墻無法阻擋利用系統(tǒng)弱點的攻擊Apachemodule2.8.9

Fireware：OpenTCP：443Apachemod_sslOff-By-OneHTAccessBufferOverflow運行效勞器中的任何命令√3/15/20249.防病毒軟件的“漏洞之窗〞3Months6Months0發(fā)現(xiàn)病毒3Hours6HoursTime3Days漏洞之窗發(fā)布補丁AVERT客戶3/15/202410.McAfee主動平安防護ANTI-MalwareFIREWALLINTRUSION

PREVENTION由被動到主動由物理邊界到虛擬邊界由探測到實時防護McAfee主動防護——對抗新的威脅和將來的威脅PolicyEnforcer3/15/202411.下一代技術(shù)

不需要病毒簽名情況下提供前瞻性威脅防護訪問防護策略緩沖區(qū)溢出防護使用規(guī)那么進行端口阻斷使用傳統(tǒng)防病毒產(chǎn)品的響應式防護使用VirusScanEnterprise8.0i進行前瞻性防護提供Zero-day防護！3/15/202412.從入侵探測到入侵防護Inline模式，實時阻斷攻擊(droppingattacks)技術(shù)先進采用專用ASIC技術(shù)的硬件設計深層封包檢測混和型檢測技術(shù)靈活的策略配置IPS系統(tǒng)也可以用作IDS3/15/202413.阻止Zero-Day攻擊數(shù)據(jù)隱私保護實時阻止攻擊訪問授權(quán)控制保護關鍵應用主機入侵防護SystemCall、RPC調(diào)用、API調(diào)用攔截綜合保護應用、數(shù)據(jù)和系統(tǒng)主動、自動和繼承的策略強制3/15/202414.學校網(wǎng)絡主動防護阻止Exploits和Vulnerability-basedWormsWindows

PCWindows中存在的平安弱點被利用“ACrackintheWindow〞SalesForceCustomersExploit導致系統(tǒng)崩潰4Exploit利用Windows弱點寫入系統(tǒng)1eStoreeServerInternetInternetSystem

File感染文件2…寫入內(nèi)存3Memory傳播、遠程操作例如：非授權(quán)下載

安裝后門5NIPSorHIPS可以block,prevent&reducetheseexploitsRemote

WorkersInternet3/15/202415.主動平安技術(shù)McAfeeSolutionsBlockedorContained100PercentatDayZero(Pre-exploit)BlockedDay1ContainedContainedNetskyBlockedBlockedSasserBlockedDay1ContainedMyDoomBlockedBlockedZotob攻擊McAfeeIntruShieldMcAfeeEnterceptMcAfeeVirusScanEnterpriseContainedBlockedBlocked出色的阻擋能力3/15/202416.主動平安管理

——McAfeePolicyEnforcer策略強制1.定義

定義系統(tǒng)compliancepolicies3/15/202417.1.定義

定義系統(tǒng)compliancepolicies主動平安管理

——McAfeePolicyEnforcer策略強制2.探測

當計算機連接到網(wǎng)絡3/15/202418.3.評估

實時評估compliance-McAfee和第三方平安應用微軟補丁Highriskinfections&more1.定義

定義系統(tǒng)compliancepolicies2.探測

當計算機連接到網(wǎng)絡主動平安管理

——McAfeePolicyEnforcer策略強制3/15/202419.4.強制

Non-compliant系統(tǒng)被阻擋或隔離到VLAN3.評估

實時評估compliance-McAfee和第三方平安應用微軟補丁Highriskinfections&more1.定義

定義系統(tǒng)compliancepolicies2.探測

當計算機連接到網(wǎng)絡主動平安管理——McAfeePolicyEnforcer策略強制3/15/202420.5.補救

Non-compliant系統(tǒng)被重訂向到補救portal主動平安管理

——McAfeePolicyEnforcer策略強制3.評估

實時評估compliance-McAfee和第三方平安應用微軟補丁Highriskinfections&more1.定義

定義系統(tǒng)compliancepolicies2.探測

當計算機連接到網(wǎng)絡4.強制

Non-compliant系統(tǒng)被阻擋或隔離到VLAN3/15/202421.主動平安管理PolicyEnforcerScannerPolicyEnforcerSensor241ePOPolicyServerRemoteScanDHCPResponseDefinesystem

compliancepolicies定義1PolicyEnforcerScannerremotelyscansforcompliance評估33PolicyEnforcerSensordetectswhensystemsconnecttothenetwork(Broadcasts,ARP,DHCP)探測2Non-compliantsystemsareredirectedtoQuarantineVLAN強制4