搜索
October1,2019IDC安全解决方案刘旭salesengineer议程•当前信息安全形势分析•金融客户IDC安全问题和需求•IDC信息安全介绍-入侵防御–风险管理McAfee入侵防御系统•McAfee安全漏洞扫描系统IDC面临的安全问题•网络攻击、黑客技术的不断发展和新型网络病毒的不断出现(服务器访问外网)•常规防火墙根本无法抵御以下威胁(4-7层威胁)•服务器遭受DoS/DDoS攻击(AD)•利用服务器漏洞实施的入侵渗透(AD)•大量的垃圾邮件,病毒邮件威胁企业的信息安全(钓鱼邮件)•服务器安全漏洞没有及时修复,导致服务器被入侵和挂马(Web应用服务)•应用的误用和滥用•安全域划分不清用户面临的问题•缺乏专业安全分析工程师(人)•缺乏先进的信息安全设备•先进安全设备的一次性投入较大,难以获得管理层的采购支持(财)•信息安全设备不能得到充分利用(管理维护)510/1/2019设定弱点管理策略清查资产种类与数量定义资产价值与重要性执行弱点扫描执行威胁比对计算风险等级、找出风险所在修补弱点、追踪进度与成效以量化方式评估弱点管理成效(报表)符合预先设定的标准实时阻断各类入侵McAfee风险管理方法:识别风险监控风险消除风险提升安全典型的安全方案•风险管理•入侵防御710/1/2019安全漏洞评估方案风险管理特点•统一部署安全漏洞扫描器•虚拟漏洞扫描服务器。•可以自行操作设置扫描策略•自动定期安全扫描(按应用业务系统)•全面安全管理:定期扫描安全漏洞,生成报告,分析报告,建议安全方案•主动了解安全漏洞,提前预防安全问题•和入侵防御系统IPS整合和IT服务系统整合入侵防御SPBackboneInternetAgg/BorderRouterMcAfee入侵防御系统IDCFirewall,VPNGigEGigE应用A应用B应用C•在适当的网络汇聚层部署入侵防御系统•物理检测端口或虚拟检测端口•完全独立的基于端口的安全防御策略•用户可以自行调整策略和生成安全报告入侵防御方案技术实现:•流量净化,防DDoS攻击•自动学习异常流量,并自动防范•虚拟IPS保证精细化的攻击防范策略•避免内部服务器成为Botnet成员•采用虚拟防火墙和虚拟IPS隔离不同安全区•虚拟补丁技术防止服务器已知漏洞被利用•在提供基本访问控制之外,同时有效防范蠕虫传播和入侵跳转McAfee入侵防御系统基于ASIC的硬件系统•可靠性–类似于核心交换机的硬件架构,不是工控机架构–基于实时操作系统–无移动部件(硬盘等)–对网络完全透明–支持HA•高性能和灵活部署–可以处理几个G的流量–支持高达100万会话数–多端口,灵活部署–端口用于IDS或IPS模式IntruShield4000EnterpriseCoreMcAfeeIntruShield:新一代的IPS•实时检测和防护(低延时)•广泛的防护–先进的代码库,异常检测和DoS检测•很好的扩展性和部署灵活性–最灵活的部署方式:In-line,Tap,SPAN,PortclusteringMcAfeeNSP:企业网络的保护神实时阻断恶意流量•对已经阻断的恶意流量进行记录和告警网络数据•Zero-Day攻击•DoS•DDoS•SYNflood•加密攻击行为•VOIP等应用程序漏洞•SQL远程攻击•Web攻击行为•Botnet恶意网络•Malware•蠕虫•特洛伊木马•钓鱼攻击•P2P威胁•黑客远程攻击•加密攻击行为•对潜在的恶意流量进行汇总和归类有效数据带宽管理实时!准确!防御!高效!141510/1/2019覆盖全球的研究机构(软实力)•遍布全球的安全威胁研究机构(AVert)•第一时间对黑客攻击实现有效防御•在中国北京、北京和香港、深圳设立研究小组,侧重对大陆地区安全威胁IPS的漏报和误报问题需要安全研究能力保证!最早发现很多高危的安全威胁:MyDoom,Sasser,BlasterNSS测试:99.7准确率行业平均92%McAfee全球信息安全研究团队—AVERT漏洞研究合规研究主机和网络入侵研究恶意代码研究垃圾邮件研究Web安全研究•50,000样本/日•自2007年到2008年增长453%•评估超过二千一百万站点•覆盖Internet95%的内容•TrustedSourceURL分析技术•1100亿邮件/月•TrustedSourceIP信誉技术•5000万企业节点•2亿用户节点•每天监控100+信息源•每天监控分析一千万IPS报警•每天监控分析1000T流量Internet分布在全球26个国家1710/1/2019McAfeeIPS设计先进的逻辑处理架构(硬实力)•危险识别要求设备硬件•有软件一样的灵活性•交换机一样高速、极低延时•intelPC构架无法满足要求McAfee不是工控机架构!1810/1/2019技术独特的Asic芯片(硬实力)McAfee参与设计的Asic技术;全面提升协议分析处理速度;由多块Asic组成的处理芯片组,确保了NSP硬件平台的极高处理性能;Asic架构也能够确保NSP具有很长的产品使用周期。McAfeeIPS不是工控机架构!1910/1/2019FPGA芯片(硬实力)FPGA芯片具有灵活可靠的特点;可以根据软件要求改变运算逻辑;可以快速稳定的进行协议分析策略的变更,并添加新的检测协议;在Asic架构确保检测速度的情况下,为NSP提供无以伦比的灵活性.McAfeeIPS不是工控机架构!202019年10月1日星期二业界第一个具备风险识别功能的入侵防御解决方案根据Foundstone或Nessus的扫描数据,IntruShieldAlertViewer告警查看器提供告警&风险关联优先级的风险管理提供‘有关联’,‘不可适用’或‘未知’等多个关联级别212019年10月1日星期二IntruShield网络入侵防护与风险管理集成工作为实时风险识别IPS功能提供保障•自动导入Foundstone的扫描报告•“立即扫描”功能自动调用Foundstone按需扫描,实时关联风险状况实时风险识别IPS功能•集中精力处理关键事件•自动,准确的进行关联•实时更新每个特定主机的漏洞信息•有效利用Foundstone及IntruShield的投资实时风险识别IPS的优势主动识别风险,有针对性的安全防御222019年10月1日星期二IntruShield与ePO集成极大地提高了运营效率系统感知IPS优势•“信息密集型”—可视性、高效性和相关性•利用客户的ePO投资进行安全风险管理协作•更快的获得保护•包含ePO主机数据的系统感知IPS•右键单击即可获得实时防病毒警报“主机详细信息”•提供主机名称、用户名、OS、补丁级别、MAC地址、上次扫描日期以及其他防护策略•前十位HIPS/AV/Spyware事件和第三方的安全事件管理系统集成(如Arcsight)第三方的IT服务管理系统集成(HPSM,BMC)232019年10月1日星期二基于协议的流量管理速率限制与速率分类,按用户或用户群分类-增值服务Web-30%Email-30%IM-15%P2P–25%您的有效带宽基于协议的速率限制&QoS•Allowseasy,granularbandwidthcontrol(application,protocoltypeandport-based)•Reclaimsbandwidthandstopsapplicationhijacking•Easilycontrolsnon-missioncriticalorriskyapplications(P2P/IM)//HelpscomplywithCorporatePolicy•Helpsprioritizebusiness-criticaltrafficoverunwantedtraffic242019年10月1日星期二实时加密攻击保护Step1将Web服务器或SSL终端加密的私钥导入IntruShield管理服务器传感器在启动时收到加密的私钥Step3Step2IntruShield管理服务器用传感器的公钥地这些私钥进行加密Step4传感器将SSL密钥保存在内在中,检查SSL流量中的攻击IntruShieldManagerIntruShield可解密并检查SSL流量中一系列的攻击FirewallRouterSwitchCIntruShield™WebServersDatabaseServerFinance?DropYWebServerDMZ252019年10月1日星期二高可靠性--失效开放和失效关闭•可以进行预配置,以实现失效开放和失效关闭•内嵌于内部,用于快速以太网•用于千兆光纤连接的外部失效开放工具262019年10月1日星期二高可用性•传感器通过所指定的监控端口之间的链路实现通信–I4000:使用2A-2B端口进行通信。–I2700:使用4A端口进行通信。过去发现DDoS的方法•确定基线–确定DDoS相关流量并了解流量的大小–测量不同流量并设定基线(DMZ,Webserver,emailserver,or不同内部部门)–必须经常进行测量以适应网络的变化•设定阈值–阈值需要经常手动调整先进的DoS/DDoS发现方法-自动学习模式1.按短期(2天)或长期(2周)学习流量2.基于学习结果自动调整检测3.可以查看学习状态精细的策略管理•每探测器同时执行多个策略–单策略难以适应复杂环境–安全策略可以应用于特定的端口,子网•基于攻击的定制•策略应用于VLAN/CIDR/接口•策略有丰富的属性选项VirtualIDSWindows2000Unix虚拟IPS普通IPS技术仅能支持单一的安全政策,结果造成许多的假警報,并迫使客户安装过多的安全传感器以前如今创新的虚拟IPS功能可以在单一传感器上针对不同网段使用不同安全策略,有效降低假警報以及部署成本基于VLAN/CIDR/Interface的虚拟IPS定义每设备高达1000个虚拟IPS每个虚拟IPS附带一个策略多种响应攻击方式丢弃数据包中断会话主机隔离和修复重设防火墙抓数据包发送告警灵活的部署模式适应各种网络结构October1,2019管理界面和报告功能IntruShield安全管理控制台—清晰、简洁的界面强大,易用的报告和图表管理易用的界面整合的统一仪表盘清晰,简单及直观的用户界面集中的,一体的系统监控和管理面对用户的安装向导3分钟完成IntruShield的初始配置实时的报警管理和汇总带有数据挖掘能力的报警分析和汇总McAfeeIPS优势、国际奖项及市场份额对MS漏洞的攻击检测覆盖率对MS漏洞的攻击检测覆盖率3810/1/201910-Gigabit处理性能、高可靠性的网络安全设备•可靠性–IntruShield的高可靠性满足任何国际标准及要求–高可用性配置•客户的认可–衡量IPS产品的最好标准:被全球近100个国家的客户所认可–在NSSGroup对于Multi-GigabitIPS的权威评测中,唯一一个获得认证的网络入侵防护产品•不断获奖的产品–2007年获得多个奖项–成熟稳定的IDS/IPS系统McAfeeNetworkIPSLeadership#1inCertifiedPerformance#1inCertifiedDetectionAccuracy#1inIDS/IPSApplianceMarketShareOctober1,2019McAfee优势总结技术优势–ASIC硬件架构,性能优异–高密度的端口,部署灵活–加密流量检测能力–灵活的中文报告–中文攻击资料说明–日志融和能力,减少日志量–虚拟的IPS功能–自学异常流量–管理员多级权限划分–与McAfee其它安全系统集成McAfee风险管理系统4310/1/2019设定弱点管理策略清查资产种类与数量定义资产价值与重要性执行弱点扫描执行威胁比对计算风险等级、找出风险所在修补弱点、追踪进度与成效以量化方式评估弱点管理成效(报表)符合预先设定的标准实时阻断各类入侵McAfee风险管理方法:识别风险监控风险消除风险提升安全44