IBM-前瞻性安全解决方案--郭耀聪

©2006InternetSecuritySystems.Allrightsreservedworldwide.ContentsarepropertyofInternetSecuritySystems.IBM前瞻性安全解决方案Y.C.Kwok郭耀聪ISS高级信息安全顾问IBM全球服务部©2006InternetSecuritySystems.Allrightsreservedworldwide.ContentsarepropertyofInternetSecuritySystems.1.IBMISS简介/安全背景2.IBMISS安全解决方案介绍3.案例介绍©2006InternetSecuritySystems.Allrightsreservedworldwide.ContentsarepropertyofInternetSecuritySystems.全球领先的独立IT安全厂商全球领先的安全智库全球领先的安全托管服务厂商1994年成立总部位于Atlanta,USA1998IPO–NASDAQ:ISSX;2001JASDAQ在27个国家有1,200名员工全球超过12,000企业用户业界唯一超过十二年资历，整合“研究、产品、服务”的安全厂商2006年Q3被IBM公司收购IBMISS背景©2006InternetSecuritySystems.Allrightsreservedworldwide.ContentsarepropertyofInternetSecuritySystems.威胁无所不在,安全已成为今天信息科技最热门的话题受保护资源Protectedresources外国政府foreigngovernment诈骗bilk竞争对手rival有组织犯罪Organizedcrime内部威胁Internalthreat黑客攻击Hackerattack病毒virus恶意攻击Viciousattack自然灾害naturaldisease事故Accidence人为失误Humanmistake©2006InternetSecuritySystems.Allrightsreservedworldwide.ContentsarepropertyofInternetSecuritySystems.TheStateofEvolvingThreatse-crime商业利益驱动Innovationtocapturenewmarkets(victims)VictimsegmentationandfocusStealthisthenew“black”攻击速度不断加速攻击模式更加复杂多变Attacksare“Designer”inNature©2006InternetSecuritySystems.Allrightsreservedworldwide.ContentsarepropertyofInternetSecuritySystems.快速变化多端的威胁LimitedITresources减少安全风险和符合法律顺从性的压力ProcesscomplexityReduceoperatingcostsSecurityprogrammustshowvalue前瞻性防护VS反应式事后修补ITChallenges©2006InternetSecuritySystems.Allrightsreservedworldwide.ContentsarepropertyofInternetSecuritySystems.SpamAntiVirusMalwareTrojanSpyWareEtcTheSoloProblem–PointSolutionsnolongerprovideaneffectivedefenseagainsttoday’scomplexthreatsIssueof:•Complexity,Scalability,Reporting•Nolongeraddressescomplexsecurityissues©2006InternetSecuritySystems.Allrightsreservedworldwide.ContentsarepropertyofInternetSecuritySystems.银联事件现象页面被修改植入木马程序分析通过WEB程序的弱点，获得了数据库的访问权限利用数据库权限管理的缺陷获取了敏感信息，例如后台管理员帐号和密码通过直接修改数据库，发布更改后的页面，该页面含有恶意网页脚本和木马诱使用户访问，使木马植入用户个人系统中通过木马控制用户个人系统，搜索银行帐号等信息……暴露的问题应用程序存在弱点数据库配置存在弱点缺乏有效的检测方法从事后的处理来看根据日志分析定位存在弱点的应用程序，进行修复©2006InternetSecuritySystems.Allrightsreservedworldwide.ContentsarepropertyofInternetSecuritySystems.某移动公司充值卡被盗05年8月,移动值卡被盗卖系统集成公司工程师利用三年前在T移动维护的帐号和密码，通过互联网进入了B移动的充值数据库，盗取了价值370万的充值卡数据。B移动在此前花费了上亿元进行信息安全的建设和改造问题出在什么地方？第三方安全对于第三方的帐号管理存在问题，帐号没有进行修改和删除系统安全从T移动的主机进入B移动的系统，系统之间存在过于宽松的信任关系安全孤岛B移动投入了大量的资金对自身安全进行了评估和改造，但是T移动的安全相对较弱，由此B移动变成了一个安全孤岛。数据库安全数据库中存储的充值信息没有经过加密处理安全审计对数据的操作缺乏审计功能，出现的安全问题没有及时被发现©2006InternetSecuritySystems.Allrightsreservedworldwide.ContentsarepropertyofInternetSecuritySystems.威胁无所不在…并且日新月异。您能得到保护吗？©2006InternetSecuritySystems.Allrightsreservedworldwide.ContentsarepropertyofInternetSecuritySystems.“我们110个基地中的每个都要花费30-60天来安装某个特定的补丁”-美国空军“没有终止的循环，设法跟上打补丁的脚步”-丰田反应式补丁无法满足企业要求©2006InternetSecuritySystems.Allrightsreservedworldwide.ContentsarepropertyofInternetSecuritySystems.ISSX-Force-最了解互联网风险X-Force是全球最大规模的安全研发组织高风险漏洞来源:Frost&Sullivan2006,Internet业界顶尖的安全研究机构全球性的安全运营中心端到端的前瞻性安全防御产品•专注于收集和分析安全风险•每年发布30次以上的安全建议和警告•每月找出200多个新的攻击手法•维护超过30,000个漏洞的安全数据库•开发了6000多个检查项用于检测和发现攻击手法•发布季度网络风险总结(IRIS)•2006年，发现7247个安全漏洞及攻击手法•CVE创始人之一，CVE的审核者及工具提供者之一©2006InternetSecuritySystems.Allrightsreservedworldwide.ContentsarepropertyofInternetSecuritySystems.料敌制胜–为何唯有ISS?ISSstops“EnemyattheGates”ISSX-Forceguysare“X-Men”ISSkeepson“Revolution”©2006InternetSecuritySystems.Allrightsreservedworldwide.ContentsarepropertyofInternetSecuritySystems.IBM如何实现前瞻性防护IBM企业安全平台EnterpriseSecurityPlatform提供了四个步骤:©2006InternetSecuritySystems.Allrightsreservedworldwide.ContentsarepropertyofInternetSecuritySystems.第一阶段：漏洞映射•ProventiaNetworkScanner•ProventiaInternetScanner•ProventiaNetworkAnomalyDetectionSystem•ProventiaManagementSiteProtector©2006InternetSecuritySystems.Allrightsreservedworldwide.ContentsarepropertyofInternetSecuritySystems.InternetScanner主要功能资产鉴别PingSweep导入范围枚举资产指纹库设备识别操作系统识别漏洞检测1800+安全检查项快速反应X-Force研发组织策略管理19种默认策略支持自定义策略FlexCheck功能控制启动、终止、暂停继续、远程、命令行报告管理层报告执行层报告技术层报告真实扫描时间增强动态检查分配（DynamicCheckAssignment）Builtins/Plugins并发运行可以设置不扫描打印机或未知设备发现功能（Discovery）无IP地址限制提供传统的补丁加防护的方法来消除漏洞和IPS协作采用扫描加阻断的方法为用户提供前瞻性防护FrostandSullivanMarketLeadershipAward#1MarketShare6ConsecutiveYears©2006InternetSecuritySystems.Allrightsreservedworldwide.ContentsarepropertyofInternetSecuritySystems.InternetScanner从外扫描默认帐户Mis-useSend-mailweb,mail,ftp...DMZ从内扫描winnukePingofdeathInternetScanner©2006InternetSecuritySystems.Allrightsreservedworldwide.ContentsarepropertyofInternetSecuritySystems.第二阶段：等级防护•ProventiaSiteProtector•SecurityFusion•DesignServices•ProventiaNetworkADS©2006InternetSecuritySystems.Allrightsreservedworldwide.ContentsarepropertyofInternetSecuritySystems.IBMADS异常流量检测系统KeySystemsDeptDeptDMZDeptRemoteUsersPartnersSwitchSwitchSwitchDept22SiteProtectorManagementSystemProventiaADSAnalyzerProventiaAD60CollectorProventiaAD120CollectorDeptDept2ISAIPSIPSIPSIPSRecon检测检测slowscans,fastscans,“stealth”scans,和hostsweeps.指纹检测(ATF)检测违背行为指纹的流量:恶意代码,钓鱼软件,僵尸流量等等.IBMADS不断的开发新的算法精确检测内部的威胁:蠕虫检测检测异常行为的复制:SQLSlammer蠕虫.基于比率的异常检测检测从基准线上级别的流量:DoS攻击.内部滥用检测特定安全策略的违背的行为:helpdes