搜索
构建企业终端安全标准化的蓝图和框架卜宪录CISSPCISAISO27001LA产品经理,中国区2如何构建终端安全标准化的框架2日程透视终端安全1总结33终端日益成为企业信息安全建设的短板•终端的特点-难于管理–数量众多–配置不一–用户水平参差不齐–重视和投入程度不够•终端是攻击目标和跳板–层出不穷的病毒–ARP木马盗窃机密用户信息–后门、间谍、广告和流氓软件•终端是安全威胁的源头–僵尸代理导致DDOS–ARP木马导致网络中断–蠕虫导致服务器瘫痪4用户在终端安全管理方面遇到的挑战:•风险管理和成本控制(CIO)–企业为终端安全不断采购新的安全产品,采购和运维成本如何控制?–怎样才能从根本上解决终端安全带来的风险?安全和效率的矛盾(终端用户)–威胁导致我的终端失密、断网、宕机…–安装多个软件代理导致终端运行缓慢,性能下降…如何在加强风险管理的同时降低采购和运维的成本,提高ROI?能否在一个控制台上管理所有的终端安全,生成报告?能否只安装一个客户端软件保障我的安全?•管理复杂和运维困难(安全管理员)–不断变换的信息安全威胁,从病毒、蠕虫到ARP木马,需要不断采用新的防护技术进行拦截,但是如何实现产品联动和集中管理?–同时管理多个产品令安全管理员捉襟见肘5视角1-从IT风险控制的角度看终端安全6视角2-从IT基础架构成熟度模型看终端安全Source:Gartner7视角3-从历史的发展的角度看终端安全ITandBusinessAlignment19952000200320052006应对单一的威胁网络准入控制IT策略遵从应对复杂的集成的威胁MainframeClient/ServerNetworkedMobileVirtualizationComputingevolutiontimeline2010+Newdevices•从无到有•从少到多•从乱到治8如何构建终端安全标准化的框架2日程透视终端安全1总结39终端安全标准化解决方案的四个要求强制统一的安全策略遵从为核心标准化的、自动化管理统一的方案集成多种防护技术自觉自愿的安全安全防护为核心个性化的、人工的管理单功能产品的松散组合10全面的、层次化的终端安全4网络和主机入侵防护:•阻断RPC缓冲区溢出漏洞•阻断利用Web浏览器漏洞的攻击(间谍软件最常用的安装方式)4网络和主机入侵防护:•阻断RPC缓冲区溢出漏洞•阻断利用Web浏览器漏洞的攻击(间谍软件最常用的安装方式)3防火墙•阻断进入的对开放端口的攻击•阻断病毒向外扩散的途径•阻断非法的对外通信–间谍软件数据泄漏和连接控制站点的企图3防火墙•阻断进入的对开放端口的攻击•阻断病毒向外扩散的途径•阻断非法的对外通信–间谍软件数据泄漏和连接控制站点的企图6实时防护和阻断(SAV)•自动识别并清除病毒•自动防护已知恶意软件(特别是间谍软件)的安装•如果恶意软件已经安装,在其运行时检测并阻断6实时防护和阻断(SAV)•自动识别并清除病毒•自动防护已知恶意软件(特别是间谍软件)的安装•如果恶意软件已经安装,在其运行时检测并阻断5抑制未知的恶意软件(主动防御技术)•启发式病毒扫描•根据恶意软件的行为特征发现和抑制其操作•邮件蠕虫拦截•间谍软件键盘记录、屏幕拦截、数据泄漏行为打分5抑制未知的恶意软件(主动防御技术)•启发式病毒扫描•根据恶意软件的行为特征发现和抑制其操作•邮件蠕虫拦截•间谍软件键盘记录、屏幕拦截、数据泄漏行为打分7系统加固,强身健体•关键补丁•强口令•关闭危险服务和默认共享•匿名访问限制7系统加固,强身健体•关键补丁•强口令•关闭危险服务和默认共享•匿名访问限制1SNAC网络准入控制,御毒于网络之外1SNAC网络准入控制,御毒于网络之外2外设控制防止病毒从U盘引入,防止非法外联2外设控制防止病毒从U盘引入,防止非法外联8当紧急意外事故发生后…•应急响应•专杀工具分发,自动修复8当紧急意外事故发生后…•应急响应•专杀工具分发,自动修复1111强制的终端安全•网络访问控制=通过创建一个封闭的系统来控制谁能够访问您的网络•在端点连接网络之前,确保所需的补丁、配置和保护的签名已经存在•自动化端点修复–在授权访问前强制执行策略AuthorizedUserAuthorizedEndpoint+受保护的网络安装了防病毒且在运行?9安装了防火墙且在运行?9所需的补丁有了么?9需要的配置有了么?912策略遵从为核心的终端安全网络安全持续改进安全策略13自动化的终端安全自动化修复•动态提示•绿色通道•自动连接到服务器下载最新的版本、特征库和补丁全面修复•安装缺失的安全应用•更新安全软件特征库•检查并安装系统关键安全补丁•检查并修复系统安全设置•……14全面端点安全的需要:端点保护+端点遵从升级了补丁更新了ServicePack启用了个人防火墙更新了防病毒签名启用了防病毒遵从端点安全性策略状态蠕虫未知攻击ID盗窃病毒保护10101011010101101010110101011010101101010115SNAC11.0SNAC11.0SEP11.0的功能模块防病毒及防间谍软件网络威胁防护主动性威胁防护网络访问控制Symantec端点安全管理器防病毒及防间谍软件检测、拦截和移除病毒间谍软件Rootkits其他恶意软件主动性威胁防护针对零时差攻击提供保护基于策略拦截对设备的访问网络威胁防护检测和拦截外部威胁进出数据访问控制位置感知的策略网络访问控制强制端点遵守安全策略拦截未授权的端点的访问行为防护来自远程办公员工带来的危害1616新品上市SymantecEndpointProtectionv11.0SymantecEndpointProtection11.0无可匹敌的全面保护降低管理的复杂性集成网络访问控制17无可匹敌的全面保护...无需额外的端点解决方案防病毒反间谍软件防火墙(主机)入侵防御设备控制网络准入控制应用控制(网络)入侵防御所需的端点技术●●●●●●●●◔○◒◔○○◒○○○○○○○○○●●●●●●○○SymantecEndpointProtectionv11.0竞争产品BAC集成SNAC•内置到代理•简单许可便可实现全面保护•一流的技术•本地创建与购买●*1818只需一个单一代理防病毒反间谍软件防火墙(主机)入侵防御设备控制网络准入控制应用控制(网络)入侵防御所需的端点技术●●●●●●●◔○◒◔○○◒○○○○○○○○○●●●●●●○○SymantecEndpointProtectionv11.0竞争产品BAC单一代理集成SNAC便于部署全面防护●**同一代理,不同授权1919…所占空间较小…●●●●●●●●◔○◒◔○○◒○○○○○○○○○●●●●●●○○SymantecEndpointProtectionv11.0A竞争产品BC21MB75MB50MB25MB单一代理优化资源利用集成SNAC便于部署全面保护2020…由单一控制台管理优化资源利用集成SNAC便于部署全面保护便于管理2121SymantecEndpointSecurityManager功能概览监控及报告邮件报告发布集中式的事件日志可定制的报告过滤器实时事件视图命令系统网络安装状态视图通知视图事件导出到SSIM及第三方SIEM嵌入式及MSSQL支持管理基于web的集中式控制台中小企业和大型企业简化了用户界面基于角色的访问管理域按用户或用户组分配权限用户定义的,多层的用户组RSASecurID认证策略实施对所有代理组件进行全面管理单一控制台,定义和管理AV,FW,NAC及其他策略基于组的策略应用可重用的策略对象exclusions和exceptions的集中设置部署和集成客户端安装包构建器补丁及更新远程代理安装导入和同步AD用户和组织机构通过AD鉴别管理用户可定制的代理软件包安装设置从SAV,SCS,SSEP及SNAC移植22SEP11.0的系统架构LaptopsDesktopsSQL数据库-Policies-Events&Logs-SecurityContent-ReportingData-StateInformation-UpdatesandPatchesJava控制台-PolicyManagement-AgentManagement-RolesandAdministration-LaunchReports-ViewAlertsServers客户端SymantecEndpointClient管理服务器SymantecEndpointSecurityManager(SESM)HTTPStoApacheHTTPtoIISforReports23Symantec端点遵从步骤检测终端接入第2步针对策略检查配置的遵从性第3步✗持续监控,遵守当前的策略第5步基于策略检查的结果采取措施第4步补丁隔离自动修复定义策略第1步24SymantecEndpointSecurityManagerSNAC解决方案的组成Symantec执行代理+SymantecEnterpriseProtectionAgent(Self-Enforcement方法)MicrosoftSQLServer数据库端点强制器管理使用802.1x的交换机Symantec局域网强制器Symantec网关强制器DHCP服务器SymantecDHCP强制器25Symantec全面的网络准入控制网关强制器局域网强制器DHCP强制器26总结•全面的、层次化的终端安全–多达8层的立体防御体系–尤其是采用了多种主动的安全技术,帮助客户从容应对各种安全威胁。•以安全策略为核心的终端安全–以安全策略为核心,可以灵活的定义细粒度的安全策略–统一定义防病毒、防火墙、入侵检测、外设控制、程序管理等的策略•强制的终端安全–以NAC为强制手段,可以用技术的手段保证安全策略的落实–实现了终端安全策略的遵从性•自动化的终端安全–自动防御已知和未知的威胁,–包括实现“连接之际,安全之时”的梦想–自动修复,无需人工干预ThankYouBrian_bu@symantec.com