McAfee_NSP_入侵防御解决方案

February24,2020如何构建主动的安全防御体系ConfidentialMcAfeeInternalUseOnly•企业用户面临的安全威胁•解决之道：主动的入侵防御•成功案例：交通银行议程ConfidentialMcAfeeInternalUseOnlyMcAfeeThreatsReportMcAfee2010威胁报告3ConfidentialMcAfeeInternalUseOnly恶意软件数量稳步增长恶意软件数量稳步增长，2010年第一季度达到历史高点40,000,00030,000,00020,000,00010,000,0000Q1Q1Q4Q3Q2Q1Q4Q3Q2200820092010No.ofsamplesinourdatabaseConfidentialMcAfeeInternalUseOnly僵尸计算机数量增多僵尸计算机数量增多，2010年二月下旬达到峰值JanMarFeb201020,00015,0005,000010,000Asia-Pacific17%EuropeMiddleEastAfrica29%10%44%NorthAmericaLatinAmericaDistributionofServersHostingMaliciousContentConfidentialMcAfeeInternalUseOnly零日攻击案例增多零日攻击案例增多McAfeeLabswitnessedmultiplezero-dayattacksduringthisquarter.SomeofthemostnotableaffectedMicrosoftInternetExplorerandAdobeAcrobatandReader.•OperationAurora”MS10-002HTMLObjectMemoryCorruptionVulnerability–CVE-2010-0249•InternetExplorerDynamicOBJECTtagandURLMONsniffingvulnerabilities–CVE-2010-0255•AdobeAcrobatandReaderRemoteCodeExecutionVulnerability–CVE-2010-0188•UninitializedMemoryCorruptionVulnerability–CVE-2010-0806ConfidentialMcAfeeInternalUseOnlyWeb2.0加剧了安全威胁URIpathCookietheftHTTPheadersPOSTdataURIusingeventhandlersWeb2.0加剧了安全威胁ConfidentialMcAfeeInternalUseOnlyABetterWay解决之道•全面的网络入侵防御(IPS)解决方案Whatif…8•有效对抗零日攻击,恶意代码，拒绝服务攻击等安全威胁•保护企业核心应用的网络纵深安全防御体系•确保网络性能的高可靠性网络入侵防御•高整合性，高可管理性的网络入侵防御平台ConfidentialMcAfeeInternalUseOnly传统的被动安全技术仅能勉强应对传统的攻击方式传统的威胁生命周期威胁暴露期发现漏洞IPS特征发布攻击方法发布100%的补丁覆盖率恶意代码样本提交，病毒特征码升级补丁发布Day90Day0Day7Day30ConfidentialMcAfeeInternalUseOnly传统的被动安全技术在新的攻击下暴露了很大的安全风险快速增长的变型恶意代码威胁生命周期攻击方法发布100%的补丁覆盖率发现漏洞IPS特征发布威胁暴露期Day90Day0Day7Day30补丁发布当恶意代码变型出现后防病毒特征码随之发布ConfidentialMcAfeeInternalUseOnly传统的被动安全技术在新的攻击下暴露了很大的安全风险“零日”威胁生命周期威胁暴露期Day90Day0修补漏洞的补丁发布威胁爆发期间，IPS和防病毒特征发布漏洞公布Day7Day30100%的补丁覆盖率ConfidentialMcAfeeInternalUseOnly当前威胁形式要求安全厂商能够加强威胁分析的广度和深度安全厂商需要对洞察整个威胁生命周期以便有效应对ThreatExposureDay90Day0VulnerabilityPatchReleasedIPS&AVSignaturesdevelopedDuringOutbreakExploitReleased100%ApplicationspatchedinthefieldDay7信息共享和研究能缩短保护差距漏洞研究•理论性的威胁评估恶意代码和攻击研究•威胁量化信誉研究•前瞻性的威胁保护保护网络•被动的威胁保护风险合规•威胁消减全球传感网络•实际威胁收集ConfidentialMcAfeeInternalUseOnly安全厂商需要对洞察整个威胁生命周期以便有效应对集中的研究和管理能够提供更好的威胁信息Day90Day0Day7ConfidentialMcAfeeInternalUseOnly集中的研究和管理能够提供更好的威胁信息Day0Day90Day7ConfidentialMcAfeeInternalUseOnly安全防护向着全球威胁智能感知系统演进第3阶段–预测•对新威胁的预测•全球实时的多因素威胁行为关联分析•比如：全球威胁智能感知系统第2阶段–主动•发现未知威胁•实时的全球和本地行为分析•基于信誉的防范•比如：TrustedSource,Artemis,SiteAdvisor•通用检测、启发检测第一阶段–被动•检测已知威胁•基于代码的技术•比如：防病毒、IPS、垃圾邮件特征1980sTodayConfidentialMcAfeeInternalUseOnly1980sTodayMcAfee全球威胁智能感知系统（GTI）提供了答案–全球的传感器网络ConfidentialMcAfeeInternalUseOnlyMcAfee全球威胁智能感知系统（GTI）提供了答案–全球的传感器网络McAfee实验室信誉技术•TrustedSource•Artemis本地保护网络信誉Email信誉Web信誉文件信誉网络安全Web安全Email安全端点ConfidentialMcAfeeInternalUseOnly横跨多威胁因素的第三方信息源以及密切合作的研究团队McAfee实验室信誉技术•TrustedSource•Artemis本地保护网络信誉Email信誉Web信誉文件信誉网络安全Web安全Email安全端点ConfidentialMcAfeeInternalUseOnlyGTI在安全更新之间提供了本地的威胁保护和实时安全防范全球信息本地信息端点或网络安全设备威胁检测更新本地扫描引擎URL列表AntiSpamAntiVirusIPS特征码全球威胁关联分析实时保护ReputationServices网络信誉Email信誉Web信誉文件信誉ConfidentialMcAfeeInternalUseOnlyStepsoftheCyberAttack201.Attackinitiated.UserwithIEvulnerabilityvisitswebsiteinfectedwithOperationAuroramalware.2.Attackinprogress.Websiteexploitsvulnerability;malware(disguisedasJPG)downloadedtousersystem.3.Attacksetupcomplete.Malwareinstalledonusersystem;malwareopensbackdoor(usingcustomprotocolactinglikeSSL)thatgivesaccesstosensitivedata.123Zero-dayproducts:WebGateway,NetworkThreatResponseZero-dayproducts:Firewall,WebGateway,ApplicationControl,NetworkDataLossPreventionConfidentialMcAfeeInternalUseOnly(MS09-032)MicrosoftDirectShow视频ActiveX控件漏洞?????GTI应对零日攻击100%补丁应用信誉系统发现恶意活动:•端点:Artemis•网络:TrustedSource•端点:特征库升级以精确匹配•网络:IPS特征升级以精确匹配通过以下手段提供零天保护:•端点:主机IPS–通用检测•Web网关:网关防恶意代码:高级启发式检测June11thEndJune今天July6thJuly14thMicrosoft发布漏洞确认说明攻击样例代码出现攻击大规模出现Microsoft发布紧急补丁更新信息和研究成果共享使得防护空档大大缩短互补的安全技术提供了新的纵深防御ConfidentialMcAfeeInternalUseOnlyGlobalThreatIntelligenceZeroDayResponseEnvironmentInternetBOTSGotyou.com1.Newphishingemailonwebmail2.Userclicks3.MalwaredetectedevenwithoutasignatureConfidentialMcAfeeInternalUseOnlyGlobalThreatIntelligenceZeroDayResponseEnvironmentInternetGlobalThreatIntelligenceBOTSGotyou.com4.SamplesFingerprinted5.Attributesanalyzedinrealtime6.ReputationsandSignaturesUpdatedConfidentialMcAfeeInternalUseOnlyWeb威胁研究邮件威胁研究网络威胁研究恶意代码研究漏洞研究Day0Day90Day7Day30?????孤立的安全威胁研究方法的弊端ConfidentialMcAfeeInternalUseOnlyMcAfee专业安全威胁研究团队漏洞研究合规研究主机和网络入侵研究恶意代码研究垃圾邮件研究Web安全研究•50,000样本/日•自2007年到2008年增长453%•评估超过二千一百万站点•覆盖Internet95%的内容•TrustedSourceURL分析技术•1100亿邮件/月•TrustedSourceIP信誉技术•5000万企业节点•1亿用户节点•每天监控100+信息源•每天监控分析一千万IPS报警•每天监控分析1000T流量Internet分布在全球26个国家ConfidentialMcAfeeInternalUseOnlySecurityLandscape如何使威胁应对更容易？全面的威胁信息关联分析所有威胁因素2集中的威胁信息源贯穿整个威胁生命周期14中央的安全事件管理影响到业务的风险是什么？威胁消减建议何种资产处于风险中？3自动化风险评估增强灵活度5流程化的风险管理内部和外部合规626ConfidentialMcAfeeInternalUseOnlyZero-DayAttackProtection零日攻击保护2008-10-23:MSreleasessecurityAlert(MS08-067)2008-10-23:McAfeeNSPreleasessignature:0x40709d00NETBIOS-SS:MicrosoftServerServiceRemoteCodeExecutionVulnerability.McAfeeNSP：在微软发布漏洞的同一天，发布了基于漏洞的Signature；仅需一个规则，就可以全面防御利用这个漏洞的所有攻击；在Conficker爆发时，McAf