近期安全威胁的发展动向

近期安全威胁的发展动向和技术应对措施北京冠群金辰软件有限公司2005.12威胁目前的几大严重威胁•垃圾邮件•DDoS•Phishing•蠕虫时代变迁•类型：多数病毒，少数木马•行为：明显破坏行为或引人注意的特征•目的：恶作剧或故意破坏•成果：获得“成就感”•类型：大部分是潜伏的恶意代码•行为：力求不被注意•目的：信息窃取、远程控制•成果：获取经济利益危害程度监听篡改广告软件蠕虫间谍软件木马后门病毒Bot主动传播可控图例快速增长恶意代码的财富之道•僵尸网络(Zombienetwork，botnet)–按时段出租•散布垃圾邮件•执行DDoS攻击•广告软件（Adware）–按点击率计价•身份窃取–信用卡和银行信息获取•间谍行为2005年某月恶意代码流行度Mytob和Zotob•Mytob–基于Mydoom源代码，通过电子邮件传播–也可以通过LSASS漏洞传播–具有Bot的功能–Mydoom+tob（bot逆序）•Zotob–利用五天前公布的系统严重漏洞（WindowsPlugandPlay服务漏洞(MS05-039)）–具有Bot的功能恶意Bot的功能和特点•安装、运行文件•简单的DoS攻击•创建后门程序•创建代理程序•转发邮件•键盘记录•获取口令、信用卡号码及其他信息•个别会停止个人防火墙、防病毒软件等安全软件的进程•一般会加壳自保护•升级到新版本恶意Bot的传播途径•攻击手段–弱口令和弱口令–网络共享–其它恶意代码留下的漏洞–攻击漏洞并将Bot植入–利用Worm自动化攻击和植入过程•社会工程–欺骗用户访问恶意网站–特洛伊木马：P2P网络恶意共享软件–欺骗性邮件–即时通讯网络Botnet的用途•DDoS攻击•垃圾邮件•扫描、攻击，建立新的BotnetIRC服务器IRC服务器BOTBOTBOTBOTBOTBOTBOTBOTBOT攻击者受害者DHA攻击和垃圾邮件网络欺诈的过程网络欺诈价值链防范主要威胁途径•HTTP•E-mail•IM/P2P/IRC•Windows漏洞攻击防范措施•主要技术防范手段–网关恶意代码和攻击的防范–邮件安全•垃圾邮件•病毒邮件•欺诈邮件•策略管理–终端的安全管理•防病毒/防间谍软件/终端防火墙•补丁管理•终端应用监管和审计•注意：双向防范–对网络外部的网络连接和信息传递–终端计算机的行为监控冠群金辰•威胁控制–传染病控制理论模型•网关安全隔离–双向隔离–隔离通过HTTP、邮件以及其它协议的内容威胁–隔离蠕虫动态攻击和传播•邮件安全防御–三向隔离–降低电子邮件系统可能引入的风险•终端安全管理–支持终端生命周期管理策略的实现•安全服务传染病控制理论模型传染源易感人群传播途径影响成为防治原则：控制传染源切断传播途径保护易感人群防治措施：预防为主，防治结合综合措施，群防群治加强监测，制止疫情隔离，治疗预防参考模型的应用网络客户端服务器互联网网络边界网络边界KILL主机入侵检测系统KILL入侵检测系统KILL漏洞扫描器KILLVDSKILL防火墙KILL过滤网关KILL防病毒系统KSMS反间谍软件1.切断传播途径2.监控传染源3.保护易感人群KILL过滤网关（KSG）——预防外部威胁保护内部网络保护关键网段DNS服务器邮件服务器内部服务器KSGINTERNETKSG业务服务器业务服务器文件服务器内部网INTERNETKILL过滤网关（KSG）——内部网络安全隔离Cell-based安全防御体系WEB服务器业务服务器邮件服务器关键网络办公网络KSG隔离KSG:领先的蠕虫过滤技术IntranetInternetWormKSGWorm①蠕虫代码传播（SMTP,POP3,HTTP,FTP）②蠕虫动态攻击（数据包）过滤！阻断！Trojan③蠕虫种植的木马活动阻止！蠕虫特征码入侵阻断特征码KSG-M：专业邮件安全网关•KSG-M是一款专业的邮件安全设备，具有强大的反垃圾邮件、反病毒邮件、防欺诈以及策略监管和依从性保障功能，适用于保护各种规模组织的电子邮件基础设施•KSG-M能够有效帮助用户降低电子邮件系统管理负担、有效保障邮件系统投资，降低电子邮件系统可能引入的风险KSG-M终端生命周期管理EndpointLifecycleManagement（ELM）•终端生命周期(EndpointLifecycle)的定义：当计算机终端加入组织机构后，就开始了其生命周期，直到其业务使命终止。终端对信息的存储、处理、传输过程代表了其生命活动。由于业务需要，这台终端可能会接入不同的网络环境中，包括独立运行。•终端生命周期管理（EndpointLifecycleManagement,ELM）是在计算机终端的全生命周期中，将计算机终端的安全、管理和维护工作同其业务目标相结合，并保障计算机终端持续有效运行的一种策略。终端生命周期管理EndpointLifecycleManagement（ELM）业务目标资产管理终端保护应用监管审计分析ELM理论：•终端的使命是完成企业的业务目标•业务目标分解后形成每台终端的业务目的•当一台终端加入网络，就开始了其生命周期•终端的软硬件资产需要管理•终端需要被保护不受外来的干扰•终端的具体业务目的决定其行为模式•完善的审计制度是落实策略的保障、并且构成闭环反馈KSMS介绍主要模块功能描述资产管理1.设备管理（收集设备信息及变更情况）2.软件管理（收集软件安装及变更情况）3.用户管理（标识终端用户、IP/MAC/硬件绑定）终端保护1.基础架构保护a)终端访问控制（避免黑客攻击和非法网络访问）b)网络准入（网络准入控制，防止未经授权电脑接入内部网络）c)保护的扩展：KILL防病毒；防间谍2.资产保护设备使用控制（USB、磁盘、打印机、网卡等设备使用控制）应用监管1.程序限制（网络程序、应用程序限制）2.远程协作（屏幕监视、远程维护）3.Web/IM限制（Web访问、QQ聊天、游戏等限制）审计分析1.管理审计2.用户审计3.策略审计计划Plan实施DO检查处置Check&ACT安全顾问服务KILL系列安全产品eTrust系列安全产品安全运维服务制订安全策略风险评估确定控制措施边界安全控制效果检查反馈事件处理分析纠正预防措施反馈结果分析确定业务目标管理控制实施网络安全控制终端安全和管理服务器安全控制现有控制加固综合风险处理信息安全保障体系建设方法论用户/事件源运作支持部门内部信息安全事件响应小组业务部门及外部相关组织准备阶段安全事件检测汇报信息收集一次评估真实？二次评估真实？检测分析阶段抑制根除和恢复阶段误报鉴证分析沟通交流事件是否可控？根除恢复抑制后续响应立即响应启动紧急处理流程事后活动阶段紧急处理活动否是是否否是否是总结改进时间