威胁管理战略_APT

Copyright2009TrendMicroInc.Classification9/8/20191云时代威胁管理战略林义轩JayLinCopyright2009TrendMicroInc.Classification9/8/20192威胁管理战略说明国内案例分享威胁发现设备详细说明Copyright2009TrendMicroInc.Classification9/8/20193威胁管理战略说明国内案例分享威胁发现设备详细说明Copyright2009TrendMicroInc.最近的信息安全情况Copyright2009TrendMicroInc.進階持續性威脅具系統存取權限的合法人員利用系統弱點進行感染攻擊傳統的資安機制已不足以保護您重要的資產…Copyright2009TrendMicroInc.APT刻苦型攻擊手法使用者3.進行內網弱點掃描、攻擊。或竊錄網路流量中的密碼等敏感資訊。2.植入後門程式1.攻擊外部伺服器的弱點4.透過弱點或竊得的密碼攻擊更多內部電腦。5.植入後門程式，並竊取資料。SQLinjection主管管理者控制與竊密的傳輸通道竊取資料HTTPport80/8080HTTPSport443駭客外部伺服器Copyright2009TrendMicroInc.APT惡意郵件攻擊手法郵件伺服器使用者2.寄送惡意信件到特定目標信箱，等待目標開啟信件副檔，植入後門程式。1.準備好惡意信件內容並在郵件中夾帶含後門程式的文件檔案。5.植入後門程式，並竊取資料。駭客主管管理者控制與竊密的傳輸通道竊取資料HTTPport80/8080HTTPSport443Email+exploitDocument4.透過弱點或竊得的密碼攻擊更多內部電腦。3.進行內網弱點掃描、攻擊。或竊錄網路流量中的密碼等敏感資訊。Copyright2009TrendMicroInc.实际案例–假造电信账单2019/9/8Classification9看似正常的发件人看似正常的电子账单PDF档案Copyright2009TrendMicroInc.开启账单后，会发生哪些事件？2019/9/8Classification10产生新的病毒档案背景自动联机浮动IP主机注册机码＆系统服务，让病毒在重开机后仍会自动执行Copyright2009TrendMicroInc.Malware/Bot/APT威脅比較表APT殭屍惡意代碼威脅模式計劃性的組織化攻擊區域性大量散播區域性大量散播服務中斷不會不會會散佈對象Targeted目標性(僅針對少數特定單位/組織為對象)非目標性的大量散播非目標性的大量散播攻擊目的長期竊取特定情報/資料•個人交易憑證/信用卡資料/帳號密碼/隱私資料•竊用運算/網路/儲存資源•當成攻擊跳板隨機攻擊頻率不間斷的一次一次攻擊手法•Zero-Dayexploit•社交工程•惡意信件/魚叉式釣魚•植入RAT/後門程式•已知ExploitsPack•植入可供大規模控制的Bot程式視惡意程式設計而定樣本偵測率一個月內偵測率低於10%一個月內偵測率大約86%一個月內偵測率大約99%Copyright2009TrendMicroInc.Malware/Bot/APT比較表大規模的散播針對性高惡意程式變化率傳統Anti-Malware解決方案涵蓋低惡意程式變化率Copyright2009TrendMicroInc.客户的现况33%入侵都是在分钟就完成,80%在1天就能完成入侵但是大部分发现时间与治理时间都要超过一周甚至于1个月--缺乏威脅的可見性與預警系統Source:Verizon2011DataBreachReport威脅入侵威脅被发现治理時間Copyright2009TrendMicroInc.传统防治方法防病毒软件进行扫描及清除倡导员工不开起可疑电子邮件黑客透过VirusTotal掌握各家防毒厂商的侦测结果，客制化且具有自我变种能力的殭尸程序可轻易避开防病毒软件的侦测社交工程攻击日趋成熟，邮件几乎真假难辨零时差攻击造成防御的空窗期执行上的困难定期修补文件弱点常见的方式利用GSN黑名单阻挡联机名单更新不够快且没有搭配的清除机制Copyright2009TrendMicroInc.Classification9/8/201915趋势科技威胁管理战略体系:威胁可见性阻断威胁活动威胁防护连动专杀安全网关安全网关安全网关Copyright2009TrendMicroInc.威胁发现解决方案主动防御的发展，利用对已知病毒的知识累积来判断新的病毒把防线向前移，将病毒放在进入用户系统之前，在网络的基础设施上架设防病毒的设备，多层次的防病毒，减轻客户端的压力在不可信的客户端中构建可信的环境，例如虚拟化或者定制浏览器——国家防病毒应急应办主任：张健日/周/月报表分析多协议关连分析引擎云安全运算平台旁路分析设备2~7层与84多种协议过滤已知恶意程序分析未知恶意程序分析发现风险解决问题互联网旁路设备TDACopyright2009TrendMicroInc.全网恶意威胁的可见性:威胁管理仪表版Classification9/8/201917结合趋势云安全提供动态/图形化数据Copyright2009TrendMicroInc.可操作性:专业报表1.哈哈2019/9/818功能提供专业分析报告优势庞大的规则数据库7*24小时专家值守价值降低管理复杂度体现IT管理绩效避免同类威胁产生Copyright2009TrendMicroInc.阻断恶意代码活动的持续性Copyright2009TrendMicroInc.交换机镜像TDATDA+NVW已感染计算机侦测恶意代码活动InternetThreatsNVWE阻断Trend-Labs威胁情报网络ActiveUpdateDNS-IP声誉网络钓鱼过滤器应用声誉HTTP-URL声誉关联客户管理报告客户执行报告Copyright2009TrendMicroInc.终端用户应用服务器核心网络网关威胁防护解决方案-WEB安全网关邮件安全网关服务器深度安全防护套件网络版防毒软件Copyright2009TrendMicroInc.IWSA–Web安全网关5大协议扫描集成网页信誉云计算服务故障直通设计Copyright2009TrendMicroInc.VDI-智能感知•提升虚拟桌面整合率•虚拟环境资源配置管理•性能优化全面性防护•SmartProtectionNetwork•私有云技术•虚拟补丁•强制策略执行•U盘病毒防御•设备管理终端层:OfficeScan10.5业界第一个VDI-感知的终端安全软件5为Windows7最佳优化•认证标识•支持32和64位扩展强大的管理功能•扩充性•基于角色管理•AD域整合Copyright2009TrendMicroInc.威胁治理服务-威胁发现+连动专杀数据中心威胁感染…威胁发现设备控制服务器挂马网站资料窃取收集站点侦测到威胁活动连动专杀工具MOC监控与绿色通道通知专杀清除云安全关连分析报表:•实时报表•事件报表•根源分析报表•绿色通道支持威胁仪表板侦测日志上传•无代码专杀Copyright2009TrendMicroInc.企业威胁管理战略威胁预警解决方案威胁发现设备(TDA)威胁阻断解决方案主要功能:•全网威胁预警平台,威胁管理仪表板•定位感染源•智能分析技术•日周月报表,威胁趋势,威胁说明与处理建议主要功能:•TDA联动阻断高危威胁•隔离感染电脑•断电直通•报表网络防毒墙NVW3500i/1500i威胁预警平台TMSP威胁防护解决方案终端用户分支网络核心网络网关分支网络核心网络网关终端用户网络安全防护威胁治理解决方案主要功能:•阻断网页与邮件的威胁•统一终端安全管理平台•4合一完整主机防护主要功能:•威胁发现连动专杀工具•7X24监控运维中心•MOC绿色通道•根源分析IWSADS/OSCECopyright2009TrendMicroInc.基于云安全-威胁管理战略安全云平台为全网提供云安全基础设施服务安全云设施网络阻断子云文件阻断子云提供网络威胁阻断服务提供文件威胁阻断服务云阻断系统预警系统联动系统高危威胁流量实时预警联动安全系统，实现协同防御云安全预警分析业务应用服务器防护系统应用系统防护终端云安全防护终端智能防护终端桌面终端防护系统,设备管控Copyright2009TrendMicroInc.Classification9/8/201927从韩国案例说起威胁管理战略说明国内案例分享威胁发现设备详细说明Copyright2009TrendMicroInc.挑战:分行普遍存在无专职防病毒管理人员情况，很多问题解决不及时，缺乏对系统运行情况的有效监控生产网/OA/终端风险:移动存储设备,未安装操作系统补丁,通过第三方网络传播这三种病毒威胁是我行系统面临的主要风险需求:全网防病毒系统采用“两级控制、多级管理”架构总行设立全行防病毒监控总中心，分行设立监控分中心，对生产系统、办公系统所有防病毒产品进行实时统一监控，及时发现病毒感染源并快速进行处理，避免病毒在网内大规模传播Classification9/8/201928Copyright2009TrendMicroInc.Classification9/8/201929价值:第一阶段建立生产网主动监控机制,确保生产网的可用性.实现从事后被动防护到事前主动风险管控真正减少安全事件的停机时间、降低安全事件的发生频率、缩小安全事件波及的范围，让安全风险可接受、安全管理可控3台TDA3台TDA6台TDA客服中心数据中心1级分行Copyright2009TrendMicroInc.运行报告Classification9/8/201930序号攻击源所属单位攻击源IP发现次数威胁类型影响IP数1总行机关10.229.72.542,133检测到高危险的漏洞攻击行为和已知威胁1,3672上海分行10.5.80.80361检测到高危险的漏洞攻击行为3423上海分行10.5.237.165120检测到高危险的漏洞攻击行为484广东分行10.11.142.208102访问的URL存在风险15172.26.140.1342064规则56总行机关10.228.64.948已知威胁77广东分行10.11.100.1806灰色软件18广东分行10.9.211.1042访问的URL存在风险19广东分行10.9.10.2131检测到高危险的漏洞攻击行为1序号攻击源IP所属单位攻击源IP发现次数威胁类型被攻击单位被攻击次数1总行机关10.229.72.54961检测到高危险的漏洞攻击行为南方客服中心上海131检测到高危险的漏洞攻击行为三农客服中心成都384检测到高危险的漏洞攻击行为北方客服中心天津4462172.26.140.13420可疑的堆栈溢出8总行机关20多种类型威胁事件跨区威胁事件Copyright2009TrendMicroInc.31Copyright2009TrendMicroInc.证券案例背景：2009年某周日下午，上海某个证券公司接到证监会的通报，交易网感染了“飞客”病毒，要求其进行处理，否则将停止下周一的交易。过程：用户在咨询了几个安全厂商没有解决问题后，向趋势科技寻求帮助，我司工程师接到电话后立即调动一台TDA（威胁发现和管理设备）赶赴客户现场。设备在到达现场后10分钟上线，1小时内完成网络威胁检测，精准的定位了病毒的源头和攻击目标。结果：根据TDA的报表分析后，根据定位的结果和解决方案在1小时内解决了客户的问题。保证了周一的正常交易，客户对TDA解决方案表示非常满意，对趋势的技术服务非常认可。2019/9/832ClassificationCopyright2009TrendMicroInc.证券安装示意图Classification9/8/201933Copyright2009TrendMicroInc.Classification9/8/201934威胁管理战略说明国内案例