思科PPT分享：无处不在的网络威胁 我们该如何有效化解与应对

©2013Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential1徐洪涛（hongtxu@cisco.com)Cisco2014/10观看同期在线研讨会:=9082&KeyCode=000238223&ad_id=bdc113©2013Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential2Cisco打造智能网络安全核心技术与方向新的安全模型Cisco下一代安全平台为用户提供安全保障ASA下一代防火墙总结©2013Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential3新一代的业务，面临新的安全挑战业务模型在发生改变我们需要保护最新的业务和平台动态的零日威胁我们的信息时刻存在风险复杂/碎片型的安全解决方案无法实现统一的整合©2013Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential4与网络设备集成,情景感知自动化提供安全防护的准确依据高级威胁防御云安全智能减少恶意威胁造成的损失灵活开放平台,可扩展，全面控制与管理提供统一动态的安全防护SecureIT——打造端到端的智能安全网络终端移动虚拟化云提高可见性Visibility-Driven关注威胁Threat-Focused统一平台Platform-BasedCI2I4ALOCALBusinessContextWhoWhatHowWhereWhen在网络内部GLOBALSituationalThreatIntelligence在网络外部ReputationInteractionsAPPApplicationsURLSites提高可见性©2013Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential6如果你不了解你的网络，就无法做出准确的防护NetworkServersOperatingSystemsVoIPphonesFilesNetflowRoutersandSwitchesTimeVirtualMachinesClientApplicationsUsersWebApplicationsApplicationProtocolsNetworkBehaviorMalwareCommandandControlServersVulnerabilitiesMobileDevicesServicesProcesses终端信息通讯信息服务器信息ISE情景感知技术下一代防火墙技术下一代入侵防御技术提高可见性©2013Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential77来源：《2012年Verizo数据泄露调查报告》秒分钟小时天周月年图40，事故时间表与恶意攻击百分比初始攻击至防御瘫痪防御瘫痪至数据外泄防御瘫痪至发现问题发现问题至修复漏洞和恢复运行关注威胁©2013Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential8思科关注威胁发生的整个过程攻击前发现执行加固攻击后定位缓解修复检测阻挡防御攻击中网络异常行为分析恶意软件防护AMP准入系统下一代防火墙功能防火墙VPN下一代入侵防御Web安全平台Email安全平台vmvmvm云安全智能情景感知技术全面了解网络定制细粒度安全策略大部分攻击被定义的安全策略阻挡一部分骗过策略的攻击被云智能和攻击防御系统阻断少数攻击成功后，系统快速进行攻击定位与修复信息资产攻击企图网络终端移动虚拟化云攻击真的成功了，怎么办？关注威胁©2013Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential9思科将提供开放的安全平台pxGridContextSharingCSMPNSCOpenAppID开放接口易于定制与第三方整合信息共享联动统一平台©2011Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential10网络安全是Cisco的优先发展方向BetterTogether©2011Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential11•10年以上安全经验•从网络安全到恶意软件防御NGIPS,NGFW,MalwareProtection|Physical,Virtual,Cloud•客户遍及180多个国家•创新:52+获奖专利•世界级研发队伍•支持开源系统Snort®,ClamAV®,Razorback®IPSMQLeaderAmerica’sFastest-GrowingTechCompanies2012©2011Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential12Cisco是最可信赖的网络安全合作伙伴安全市场份额遥遥领先用户调查显示的最优安全选择©2013Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential13Cisco打造智能网络安全核心技术与方向新的安全模型Cisco下一代安全平台为用户提供安全保障ASA下一代防火墙总结CiscoConfidential14©2013-2014Ciscoand/oritsaffiliates.Allrightsreserved.思科重磅推出：业界首个自适应/关注威胁的下一代防火墙#1思科安全本年度最重磅的发布业界应用最为广泛的ASA防火墙+业界最为领先的Sourcefire威胁与恶意软件防御ASA下一代防火墙（FirePOWERServices）•全面可见•动态控制•威胁防御CiscoConfidential14©2013-2014Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential15©2013-2014Ciscoand/oritsaffiliates.Allrightsreserved.NSS实验室为下一代防火墙设定新的标准（安全效率）Cisco三款产品，统一平台，最高安全效率发布伊始：权威安全评测机构的认可CiscoConfidential16©2013-2014Ciscoand/oritsaffiliates.Allrightsreserved.合理网络使用针对性防护按需增加的信息资产跨平台的企业服务如何有效防护多样化的终端接入，丰富的互联网应用如何进行控制应对最新威胁越来越多的系统漏洞频繁出现的零日威胁如何保证安全快速事件处理攻击变化多端如果受到影响如何快速定位？17•识别网络中主机和应用•登陆用户信息•开放的服务•风险的评估•提供修复的建议操作系統开放的服务客户端应用程序登录信息版本合理使用18•识别网络中各种应用类型，并进行访问控制：•QQ•微博•微信•优酷•设置用户访问行为，限制网站分类过滤。•OpenAPPID，借助论坛的力量合理使用19阻挡与业务无关的网站基于用户和用户组合理使用20SourcefireIPS规则16,000+Snort规则#1检测效率(99%-NSSLabs)SourcefireVRT开发开放可监控,业界标准模式基于漏洞的特征高速单次解码引擎SecurityI智能/IP名誉库SourcefireVRTBotsandC&CKnownAttackersBogusIPsPhishing/SpamIPsOpenproxies/relaysMalwareIPs加入自定制智能Third-partyfeedsGovernment-providedfeedsUser-createdfeedsor阻挡恶意IP***Canbeupdatedeverytwohours针对性防护21•根据网络中主机和应用类型•启用针对性的IPS入侵防御规则•手工方式或自动方式针对性防护22弱點(攻擊目標有已知弱點)疑似弱點(攻擊目標的操作系統或服務，已修補弱點)無弱點(無此服務)不存在(無此主機)入侵事件減少傳統IPS的99%事件针对性防护232SEU/SRU,1VDB每周更新威胁库210CVE’s每天签名库变化180,000每日恶意软件提交4,310newIPS规则100%同一天保护微软漏洞发布98.9%行业最优每个NSSLabsIPSgroup的漏洞覆盖率上一年统计防御最新威胁4月7日，OpenSSL宣布OpenSSL1.0.2-beta及1.0.1系列（除1.0.1g）中的TLS心跳扩展存在严重的内存处理错误。可能会导致信息泄漏。9月24日，各大Linux发行版和MacOSX系统中的Bash发现漏洞，当Web网站或其他应用调用后台的Bash脚本或程序时，攻击者利用远程命令注入方式执行系统命令等April7thVulnerabilityannouncedExploitdesignedforQAwithin6hoursofinitialreportIPSRulesDevelopedApril8thIPSRulesreleasedPublicexploitssurfaceInitialVRTblogpostedApril9thCoverageextendedtomoreSSLservicesClientsideexploitabilitydiscoveredAdditionalexploitsreleasedincludingMSFApril10thRulesreleasedtocoverclientsideexploitationVRTblogpostedregardingclientsideexploitationSEU/SRUreleasedCiscorulesdetecttoallknownpublicexploits防御最新威胁微软4月26日晚间证实，在所有版本的IE浏览器中发现一处新的零日漏洞。这些攻击利用了一个以前未知的漏洞，该漏洞主要是内存被释放后发生数据损坏，从而绕过系统的数据执行保护和地址空间布局随机化的保护机制。微软解释称，攻击者有可能会引诱访问者到一个精心制作的网页来触发漏洞。微软指出，这个漏洞之所以存在，主要是因为IE在访问某个对象时，内存被删除或没有适当的分配而导致的。在某种程度上，该漏洞可能会破坏内存，使得攻击者能根据用户IE中的上下文执行任意代码。微软表示，将尽快向用户下发这一漏洞的安全补丁。•微软2014年最新安全报告Win7比WinXP更安全？？？XP停服后谁能真正保护XP????(2014年4月8日停止支持)防御最新威胁CiscoConfidential26©2013-2014Ciscoand/oritsaffiliates.Allrightsreserved.受感染指数方便管理员重点关注(IoCs)入侵防御事件MalwareBackdoorsExploitKitsWebAppAttacksCnCConnectionsAdminPrivilegeEscalations安全智能事件ConnectionstoKnownCnCIPs恶意软件事件MalwareDetectionsOffice/PDF/JavaCompromisesMalwareExecutionsDropperInfections事件处理27•基于云安全识别恶意代码或文件•记录恶意文件的轨迹文件传播起点文件传播终点文件传播轨迹事件处理©2013Ciscoand/oritsaffiliate