威脅管理戰(zhàn)略-A

Classification12/31/20221云時(shí)代威脅管理戰(zhàn)略林義軒JayLinClassification12/31/20222威脅管理戰(zhàn)略說明國內(nèi)案例分享威脅發(fā)現(xiàn)設(shè)備詳細(xì)說明Classification12/31/20223威脅管理戰(zhàn)略說明國內(nèi)案例分享威脅發(fā)現(xiàn)設(shè)備詳細(xì)說明最近的信息安全情況進(jìn)階持續(xù)性威脅具系統(tǒng)存取權(quán)限的合法人員利用系統(tǒng)弱點(diǎn)進(jìn)行感染攻擊傳統(tǒng)的資安機(jī)制已不足以保護(hù)您重要的資產(chǎn)…Classification12/31/20226多方位的攻擊*偵查*找出可用弱點(diǎn)*入侵*收集資料*資料外傳*潛伏APT刻苦型攻擊手法使用者3.進(jìn)行內(nèi)網(wǎng)弱點(diǎn)掃描、攻擊?；蚋`錄網(wǎng)路流量中的密碼等敏感資訊。2.植入後門程式1.攻擊外部伺服器的弱點(diǎn)4.透過弱點(diǎn)或竊得的密碼攻擊更多內(nèi)部電腦。5.植入後門程式，並竊取資料。SQLinjection主管管理者控制與竊密的傳輸通道竊取資料HTTPport80/8080HTTPSport443駭客外部伺服器APT惡意郵件攻擊手法郵件伺服器使用者2.寄送惡意信件到特定目標(biāo)信箱，等待目標(biāo)開啟信件副檔，植入後門程式。1.準(zhǔn)備好惡意信件內(nèi)容並在郵件中夾帶含後門程式的文件檔案。5.植入後門程式，並竊取資料。駭客主管管理者控制與竊密的傳輸通道竊取資料HTTPport80/8080HTTPSport443Email+exploitDocument4.透過弱點(diǎn)或竊得的密碼攻擊更多內(nèi)部電腦。3.進(jìn)行內(nèi)網(wǎng)弱點(diǎn)掃描、攻擊。或竊錄網(wǎng)路流量中的密碼等敏感資訊。實(shí)際案例–假造電信賬單2022/12/319看似正常的發(fā)件人看似正常的電子賬單PDF檔案開啟賬單后，會(huì)發(fā)生哪些事件？2022/12/3110產(chǎn)生新的病毒檔案背景自動(dòng)聯(lián)機(jī)浮動(dòng)IP主機(jī)注冊(cè)機(jī)碼＆系統(tǒng)服務(wù)，讓病毒在重開機(jī)后仍會(huì)自動(dòng)執(zhí)行Malware/Bot/APT威脅比較表

APT殭屍惡意代碼威脅模式計(jì)劃性的組織化攻擊區(qū)域性大量散播區(qū)域性大量散播服務(wù)中斷不會(huì)不會(huì)會(huì)散佈對(duì)象Targeted目標(biāo)性(僅針對(duì)少數(shù)特定單位/組織為對(duì)象)非目標(biāo)性的大量散播非目標(biāo)性的大量散播攻擊目的長期竊取特定情報(bào)/資料個(gè)人交易憑證/信用卡資料/帳號(hào)密碼/隱私資料竊用運(yùn)算/網(wǎng)路/儲(chǔ)存資源當(dāng)成攻擊跳板隨機(jī)攻擊頻率不間斷的一次一次攻擊手法Zero-Dayexploit社交工程惡意信件/魚叉式釣魚植入RAT/後門程式已知Exploits

Pack植入可供大規(guī)?？刂频腂ot程式視惡意程式設(shè)計(jì)而定樣本偵測率一個(gè)月內(nèi)偵測率低於10%一個(gè)月內(nèi)偵測率大約86%一個(gè)月內(nèi)偵測率大約99%Malware/Bot/APT比較表大規(guī)模的散播播針對(duì)性Malware高惡意程式變化率APTBotnets傳統(tǒng)Anti-Malware解決方案涵蓋蓋低惡意程式變化率客戶的現(xiàn)況33%入侵都是在在分鐘就完成成,80%在1天就能完成入入侵但是大部分發(fā)發(fā)現(xiàn)時(shí)間與治治理時(shí)間都要要超過一周甚甚至于1個(gè)月--缺乏威脅的可可見性與預(yù)警警系統(tǒng)Source:Verizon2011DataBreachReport威脅入侵威脅被發(fā)現(xiàn)治理時(shí)間傳統(tǒng)防治方法法防病毒軟件進(jìn)進(jìn)行掃描及清清除倡導(dǎo)員工不開開起可疑電子子郵件黑客透過VirusTotal掌握各家防毒廠商的偵測結(jié)果，客制化且具有自我變種能力的殭尸程序可輕易避開防病毒軟件的偵測社交工程攻擊日趨成熟，郵件幾乎真假難辨零時(shí)差攻擊造成防御的空窗期執(zhí)行上的困難定期修補(bǔ)文件弱點(diǎn)常見的方式利用GSN黑名單阻擋聯(lián)聯(lián)機(jī)名單更新不夠快且沒有搭配的清除機(jī)制Classification12/23/202215趨勢科技威脅管理戰(zhàn)略略體系:威脅可見性阻斷威脅活動(dòng)威脅防護(hù)連動(dòng)專殺安全網(wǎng)關(guān)安全網(wǎng)關(guān)安全網(wǎng)關(guān)威脅發(fā)現(xiàn)解決方案主動(dòng)防御的發(fā)發(fā)展，利用對(duì)已知知病毒的知識(shí)識(shí)累積來判斷斷新的病毒把防線向前移移，將病毒放在在進(jìn)入用戶系系統(tǒng)之前，在在網(wǎng)絡(luò)的基礎(chǔ)礎(chǔ)設(shè)施上架設(shè)設(shè)防病毒的設(shè)設(shè)備，多層次次的防病毒，，減輕客戶端端的壓力在不可信的客戶戶端中構(gòu)建可可信的環(huán)境，例如虛擬化化或者定制瀏瀏覽器——國家防病毒應(yīng)應(yīng)急應(yīng)辦主任任：張健日/周/月報(bào)表分析多協(xié)議關(guān)連分析引擎云安全運(yùn)算平臺(tái)旁路分析設(shè)備2~7層與84多種協(xié)議

過濾已知惡意程序分析未知惡意程序分析專家技術(shù)支持高危病毒通知緊急上門處理提供對(duì)策發(fā)現(xiàn)風(fēng)險(xiǎn)解決問題互聯(lián)網(wǎng)旁路設(shè)備TDA全網(wǎng)惡意威脅脅的可見性:威脅管理儀表表版Classification12/23/202217結(jié)合趨勢云安安全提供動(dòng)態(tài)/圖形化數(shù)據(jù)可操作性:專業(yè)報(bào)表哈哈2022/12/2318功能提供專業(yè)分析報(bào)告優(yōu)勢龐大的規(guī)則數(shù)據(jù)庫7*24小時(shí)專家值守價(jià)值降低管理復(fù)雜度體現(xiàn)IT管理績效避免同類威脅產(chǎn)生阻斷惡意代碼活動(dòng)的持續(xù)性交換機(jī)

鏡像TDATDA+NVW已感染計(jì)算機(jī)偵測惡意代碼活動(dòng)InternetThreatsNVWE阻斷Trend-Labs威脅情報(bào)網(wǎng)絡(luò)絡(luò)ActiveUpdateDNS-IP聲譽(yù)網(wǎng)絡(luò)釣魚過濾濾器應(yīng)用聲譽(yù)HTTP-URL聲譽(yù)關(guān)聯(lián)客戶管理報(bào)告客戶執(zhí)行報(bào)告終端用戶應(yīng)用服務(wù)器核心網(wǎng)絡(luò)網(wǎng)關(guān)威脅防護(hù)解解決方案-WEB安全網(wǎng)關(guān)郵件安全網(wǎng)關(guān)關(guān)服務(wù)器深度安安全防護(hù)套件件網(wǎng)絡(luò)版防毒軟軟件IWSA––Web安全網(wǎng)關(guān)5大協(xié)議掃描集成網(wǎng)頁信譽(yù)譽(yù)云計(jì)算服務(wù)務(wù)故障直通設(shè)計(jì)VDI-智能感知提升虛擬桌面整合率虛擬環(huán)境資源配置管理性能優(yōu)化全面性防護(hù)SmartProtectionNetwork私有云技術(shù)虛擬補(bǔ)丁強(qiáng)制策略執(zhí)行U盤病毒防御設(shè)備管理終端層:OfficeScan10.5業(yè)界第一個(gè)VDI-感知的終端安安全軟件5為

Windows7最佳優(yōu)化認(rèn)證標(biāo)識(shí)支持32和64位擴(kuò)展強(qiáng)大的管理功能擴(kuò)充性基于角色管理AD域整合威脅治理服務(wù)務(wù)-威脅發(fā)現(xiàn)+連動(dòng)專殺數(shù)據(jù)中心威脅感染…威脅發(fā)現(xiàn)設(shè)備備控制服務(wù)器掛馬網(wǎng)站資料竊取收集集站點(diǎn)偵測到威脅活活動(dòng)連動(dòng)專殺工具具M(jìn)OC監(jiān)控與綠色通道通知專殺清除除云安全關(guān)連分析報(bào)表:

實(shí)時(shí)報(bào)表

事件報(bào)表

根源分析報(bào)表

綠色通道支持威脅儀表板偵測日志上傳傳

無代碼專殺企業(yè)威脅管理戰(zhàn)略威脅預(yù)警解決方案威脅發(fā)現(xiàn)設(shè)備(TDA)

威脅阻斷解決方案主要功能:全網(wǎng)威脅預(yù)警警平臺(tái),威脅管理儀表表板定位感染源智能分析技術(shù)術(shù)日周月報(bào)表,威脅趨勢,威脅說明與處處理建議主要功能:TDA聯(lián)動(dòng)阻斷高危威脅隔離感染電腦斷電直通報(bào)表網(wǎng)絡(luò)防毒墻NVW3500i/1500i威脅預(yù)警平臺(tái)TMSP威脅防護(hù)解決方案終端用戶分支網(wǎng)絡(luò)核心網(wǎng)絡(luò)網(wǎng)關(guān)分支網(wǎng)絡(luò)核心網(wǎng)絡(luò)網(wǎng)關(guān)終端用戶網(wǎng)絡(luò)安全防護(hù)威脅治理解決方案主要功能:阻斷網(wǎng)頁與郵郵件的威脅統(tǒng)一終端安全全管理平臺(tái)4合一完整主機(jī)機(jī)防護(hù)主要功能:威脅發(fā)現(xiàn)連動(dòng)動(dòng)專殺工具7X24監(jiān)控運(yùn)維中心心MOC綠色通道根源分析IWSADS/OSCE基于云安全-威脅管理戰(zhàn)略略安全云平臺(tái)為全網(wǎng)提供云安全基礎(chǔ)設(shè)施服務(wù)安全云設(shè)施網(wǎng)絡(luò)阻斷子云文件阻斷子云提供網(wǎng)絡(luò)威脅阻斷服務(wù)提供文件威脅阻斷服務(wù)云阻斷系統(tǒng)預(yù)警系統(tǒng)聯(lián)動(dòng)系統(tǒng)高危威脅流量實(shí)時(shí)預(yù)警聯(lián)動(dòng)安全系統(tǒng)，實(shí)現(xiàn)協(xié)同防御云安全預(yù)警分析業(yè)務(wù)應(yīng)用服務(wù)器防護(hù)系統(tǒng)應(yīng)用系統(tǒng)防護(hù)終端云安全防護(hù)終端智能防護(hù)終端桌面終端防護(hù)系統(tǒng)統(tǒng),設(shè)備管控Classification12/23/202227從韓國案例說說起威脅管理戰(zhàn)略略說明國內(nèi)案例分享享威脅發(fā)現(xiàn)設(shè)備備詳細(xì)說明挑戰(zhàn):分行普遍存在在無專職防病病毒管理人員員情況，很多多問題解決不不及時(shí)，缺乏乏對(duì)系統(tǒng)運(yùn)行行情況的有效效監(jiān)控生產(chǎn)網(wǎng)/OA/終端風(fēng)險(xiǎn):移動(dòng)存儲(chǔ)設(shè)備,未安裝操作系系統(tǒng)補(bǔ)丁,通過第三方網(wǎng)網(wǎng)絡(luò)傳播這三種病毒威脅是我行系統(tǒng)面臨的主要要風(fēng)險(xiǎn)需求:全網(wǎng)防病毒系系統(tǒng)采用“兩兩級(jí)控制、多多級(jí)管理”架架構(gòu)總行設(shè)立全行行防病毒監(jiān)控控總中心，分行設(shè)立監(jiān)控分中中心，對(duì)生產(chǎn)產(chǎn)系統(tǒng)、辦公公系統(tǒng)所有防防病毒產(chǎn)品進(jìn)進(jìn)行實(shí)時(shí)統(tǒng)一一監(jiān)控，及時(shí)發(fā)現(xiàn)病毒感感染源并快速速進(jìn)行處理，避免病毒在網(wǎng)內(nèi)大大規(guī)模傳播Classification12/23/202228Classification12/23/202229價(jià)值:第一階段建建立生產(chǎn)網(wǎng)網(wǎng)主動(dòng)監(jiān)控控機(jī)制,確保生產(chǎn)網(wǎng)網(wǎng)的可用性性.實(shí)現(xiàn)從事后后被動(dòng)防護(hù)護(hù)到事前主主動(dòng)風(fēng)險(xiǎn)管管控真正減少安安全事件的的停機(jī)時(shí)間間、降低安安全事件的的發(fā)生頻率率、縮小安安全事件波波及的范圍圍，讓安全全風(fēng)險(xiǎn)可接接受、安全全管理可控控3臺(tái)TDA3臺(tái)TDA6臺(tái)TDA客服中心數(shù)據(jù)中心1級(jí)分行運(yùn)行報(bào)告Classification12/23/202230序號(hào)攻擊源所屬單位攻擊源IP發(fā)現(xiàn)次數(shù)威脅類型影響IP數(shù)1總行機(jī)關(guān)42,133檢測到高危險(xiǎn)的漏洞攻擊行為和已知威脅1,3672上海分行0361檢測到高危險(xiǎn)的漏洞攻擊行為3423上海分行65120檢測到高危險(xiǎn)的漏洞攻擊行為484廣東分行08102訪問的URL存在風(fēng)險(xiǎn)15

342064規(guī)則56總行機(jī)關(guān)48已知威脅77廣東分行806灰色軟件18廣東分行042訪問的URL存在風(fēng)險(xiǎn)19廣東分行131檢測到高危險(xiǎn)的漏洞攻擊行為1序號(hào)攻擊源IP所屬單位攻擊源IP發(fā)現(xiàn)次數(shù)威脅類型被攻擊單位被攻擊次數(shù)1總行機(jī)關(guān)4961檢測到高危險(xiǎn)的漏洞攻擊行為南方客服中心上海131檢測到高危險(xiǎn)的漏洞攻擊行為三農(nóng)客服中心成都384檢測到高危險(xiǎn)的漏洞攻擊行為北方客服中心天津4462

3420可疑的堆棧溢出8總行機(jī)關(guān)20多種類型威威脅事件跨區(qū)威脅事事件31證券案例背景：2009年某周日下午，，上海某個(gè)個(gè)證券公司司接到證監(jiān)監(jiān)會(huì)的通報(bào)報(bào)，交易網(wǎng)網(wǎng)感染了““飛客”病病毒，要求求其進(jìn)行處處理，否則則將停止下下周一的交交易。過程：用戶在咨詢?cè)兞藥讉€(gè)安全全廠商沒有有解決問題題后，向趨勢科技尋尋求幫助，，我司工程師接到到電話后立立即調(diào)動(dòng)一臺(tái)TDA（威脅發(fā)現(xiàn)現(xiàn)和管理設(shè)設(shè)備）趕赴客戶現(xiàn)場。設(shè)備在到達(dá)現(xiàn)場后后10分鐘上線，1小時(shí)內(nèi)完成網(wǎng)絡(luò)絡(luò)威脅檢測測，精準(zhǔn)的的定位了病病毒的源頭頭和攻擊目目標(biāo)。結(jié)果：根據(jù)TDA的報(bào)表分析析后，根據(jù)據(jù)定位的結(jié)結(jié)果和解決決方案在1小時(shí)內(nèi)解決了客客戶的問題題。保證了了周一的正正常交易，，客戶對(duì)TDA解決方案表示非常滿滿意，對(duì)趨趨勢的技術(shù)術(shù)服務(wù)非常認(rèn)可。。2022/12/2332證券安裝示示意圖Classification12/23/202233Classification12/23/202234威脅脅管管理理戰(zhàn)戰(zhàn)略略說說明明國內(nèi)內(nèi)案案例例分分享享威脅脅發(fā)發(fā)現(xiàn)現(xiàn)設(shè)設(shè)備備詳詳細(xì)細(xì)說說明明布署署架架構(gòu)構(gòu)TDA偵測測引引擎擎VSAPIEngineKnownMalwareVSAPIxTrapEngineZero-dayMalwareNetworkContentInspectionEngineMalwareActivityNetworkVirusEngineNetwork-basedThreatsWebReputationServicesWebthreatsTHREATENGINESVSAPIEngine已知病毒掃瞄VSAPIxTrapEngine變種與加殼惡意程序掃瞄NetworkContentInspectionEngine惡意程序與未知威脅行為分析NetworkVirusEngine網(wǎng)路蠕蟲病毒掃瞄WebReputationServices網(wǎng)頁信譽(yù)服務(wù)TDA——多層層次次識(shí)識(shí)別別各各種種威威脅脅VSAPIEngine已知病毒掃描VSAPIxTrapEngine變種與加殼惡意程序掃描NetworkContentInspectionEngine惡意程序行為分析引擎/關(guān)聯(lián)性分析NetworkVirusEngine網(wǎng)絡(luò)蠕蟲病毒掃描CloudReputationServices云安全信譽(yù)服務(wù)網(wǎng)絡(luò)絡(luò)蠕蟲蟲/零時(shí)時(shí)差差攻攻擊擊僵尸尸網(wǎng)網(wǎng)絡(luò)絡(luò)各種種已知知病病毒毒/病毒毒變變種種（（文文件件型型病病毒毒、、蠕蠕蟲蟲、、灰灰色色軟軟件件、、間間諜諜軟軟件件、、黑黑客客工工具具等等））病毒毒下下載載器器掃描描引擎擎識(shí)別別威威脅脅網(wǎng)絡(luò)層各種路由協(xié)議及IP協(xié)議傳輸層TCP、UDP協(xié)議應(yīng)用層HTTP、FTP、POP3、SMTP、DHCP、DNS等協(xié)議網(wǎng)絡(luò)絡(luò)流流量量后門門/木馬馬Feb2009郵件信譽(yù)評(píng)估中心網(wǎng)頁信譽(yù)評(píng)估中心文件信譽(yù)評(píng)估中心TDA云安安全全的的中中心心概概念念TDA傳送送可可疑疑威威脅脅事事件件日日志志:ThreatlogDataIPAddress,Hostname,MACThreatDetectedDetailsofthethreatTimestamp殭尸尸病病毒毒檢檢測測ParamountQ12008-39ExtractembeddedURLsandperformWebReputationcheck分析析殭殭尸尸控控制制服服務(wù)務(wù)器器的的主主機(jī)機(jī)查查詢?cè)儥z查查殭殭尸尸使使用用IRC昵稱稱/通道道網(wǎng)頁頁殭殭尸尸行行為為分分析析,惡意意代代碼碼具具有有回回復(fù)復(fù)通通訊訊比對(duì)對(duì)僵僵尸尸病病毒毒黑黑名名單單IP與端端口口含有有文文件件傳傳送送到到已已知知病病毒毒引引擎擎進(jìn)進(jìn)行行分分析析掃描描漏漏洞洞攻攻擊擊封封包包,網(wǎng)絡(luò)絡(luò)蠕蠕蟲蟲封包包組組合合Performsingle-sessioncorrelationonthetrafficstream39惡意意代代碼碼行行為為說說明明TDA掃描描引引擎擎協(xié)協(xié)議議TDS&IPS&防病病毒毒軟軟件件TDA主要要針針對(duì)對(duì)應(yīng)應(yīng)用用層層內(nèi)內(nèi)容容分分析析旁路路部部署署根據(jù)據(jù)特特征征碼碼識(shí)識(shí)