XXXX-新威胁环境下的信息安全

新威胁环境下的信息安全启明星辰崔晓鑫2013不缺安全话题无线路由器系列事件•D-link路由器后门事件–User-Agent标志修改为：xmlset_roodkcableoj28840ybtide“Editby04882JoelBackdoor”AlphaNetworks技术总监云计算网络安全威胁传统威胁引入威胁主机安全威胁：主机操作系统漏洞利用网络安全威胁：拒绝服务攻击应用安全威胁：Web安全威胁虚拟化自身的安全威胁：Hypervisor脆弱性虚拟化引入的安全威胁：虚拟机及虚拟网络管理多租户引入的安全威胁：多租户接入及数据存储AppOSVMVMM（OS）HWNetworksvNetworks安全防护云计算网络安全威胁•OpenSSL被黑个人信息泄漏•2013年汉庭如家酒店入住信息移动终端•BYOD移动终端•iOS7.0.3破解–KeenTeam–在东京举办的全球顶级安全竞赛Pwn2Own上，国内团队碁震云计算安全研究团队在不到30秒的时间内攻破了苹果最新手机操作系统iOS7.0.3•美国调查，78%的小偷使用Facebook、Twitter、FourSquare来寻找、观察目标“客户”。74%的小偷会使用GoogleStreet看看“客户”门前的状况。社交网络社交网络•微信三点定位法APT攻击•APT（AdvancedPersistentThreat）–高级持续性威胁顾名思义，这种攻击行为首先具有极强的隐蔽能力，通常是利用企业或机构网络中受信的应用程序漏洞来形成；–其次APT攻击具有很强的针对性，攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息，情报收集的过程更是社工艺术的完美展现；2011：窃取RSA令牌种子2010：震网攻击伊朗核电站2009：极光攻击2012：大量攻击中东多年APT攻击特性持续性同发性个人终端突破多攻击向量社工0DAY社工跳板可信通道加密缓慢长期长期窃取战略控制深度渗透有趣的攻击类型Blackhat2013利用充电器，攻击IphoneIOS有趣的攻击类型-国产电熨斗据俄罗斯媒体报道，从中国进口的电熨斗里面拆出称为“小麦克风”的芯片。据说这些芯片能够接收半径为200米以内没加密的wifi信号，大部分用于病毒传播、渗入公司网络发送垃圾邮件等更为复杂的信息安全新技术、新应用以及新服务带来新的安全风险关键基础设施及工业控制系统渐成目标有组织团体的“网上行动能力”增强网络犯罪猖獗网络安全问题与其他传统安全的相互交织工业控制系统社交网络网络支付需要更为全面的信息安全“网络”的安全“应用”的安全“数据”的安全信息安全是一项系统工程，从信息的空间分布、生命周期及流向的每一个环节，都可能成为影响信息安全的威胁点覆盖整个网络剖面的安全需求策略规范接入链路操作系统应用系统核心数据•安全策略•安全过程•……•ETHER/ATM/POS•……•windows•Linux•……•Web业务•数据库•……•设计文档•系统信息•……边界安全应用安全数据安全安全管理终端安全新业务、新安全新安全新业务启明星辰的新安全新的产品布局•涵盖完整信息流程的安全产品布局新的技术方向•应对复杂攻击、未知攻击的新型检测能力策略及规范接入链路操作系统应用系统核心数据启明星辰新的产品布局以信息的全生命周期流程为对象终端安全监测管控检查度量运维安全管理全业务流程的安全产品布局边界安全应用安全数据安全数据库审计DLP/透明加密入侵检测/0day检测Web应用防火墙漏洞扫描防火墙UTM入侵防御应用交付无线安全业务安全监控应用性能管理网络行为分析身份与网络管理运维安全管控云安全管理Web核查配置核查日志审计运维审计安全指标评估安全风险评估安全运维管理统一业务安全管控终端管理边界安全产品边界安全：提供针对接入边界的安全防护功能包括对有线网络、无线网络的接入安全防护。边界安全防火墙UTM应用交付入侵防御无线安全Internet办公网络防火墙办公网络UTMIPS服务器群Internet无线安全应用交付核心价值解决问题网络边界安全控制用完善的功能满足边界安全各类应用的防护解决无线接入控制，私搭AP以及无线AP钓鱼问题解决链路及应用的可用性问题，保证业务连续非授权AP接入控制链路及应用可用性终端安全产品终端安全：提供接入网络终端的安全管理功能终端安全终端管理终端管理核心价值解决问题多层准入控制确保终端状态合规、网络访问合规、应用合规应用安全产品应用安全：对各类业务应用提供安全防护及检查功能应用安全入侵检测Web应用防火墙漏洞扫描InternetWEB服务器Internet办公网络IDS漏洞扫描WAFWeb应用防火墙核心价值解决问题WEB服务器防护保障企业Web服务的应用安全，实现Web应用可用、安全、快速对各类威胁行为的全面检测和集中分析对全网的弱点集中发现量化资产面临的风险并提供解决方案关键威胁路径入侵检测系统脆弱性评估数据安全产品数据安全：对核心数据提供监测、保护等安全功能数据安全数据库审计DLP/透明加密支撑网络数据库审计核心价值解决问题数据库关键业务操作行为审计保障企业关键数据库的安全促进业务内控管理效率，确保计算环境域关键业务合规发现通过移动存储、网络等进行的泄密行为重要文件加密敏感信息泄露检查文件系统透明加密管理平台技术架构27泰合安全管理平台体系TSOC运维监测管控审计度量符合等级保护基本要求的安管平台方面类第一级第二级第三级第四级技术要求物理安全•物理安全监控与告警•物理安全监控与告警网络安全•拓扑管理•拓扑管理•设备和应用监控•IP地址管理•安全审计•拓扑管理•设备和应用监控•IP地址管理•安全审计•流量监控•地址欺骗监控•拓扑管理•设备和应用监控•IP地址管理•安全审计•流量监控•地址欺骗监控主机安全•安全审计•安全审计•资源监控•安全审计•资源监控应用安全•安全审计•安全审计•资源监控•安全审计•资源监控数据安全•信息完整性保护•信息完整性保护•信息完整性保护•信息完整性保护管理要求系统运维管理•资产管理•资产管理•设备管理•网络监控•设备配置信息监控•日志审计•告警事件存储•资产管理•物理环境监控•设备管理•网络监控•设备配置信息监控•日志审计•告警事件统计•安全管理中心•权限管理•资产管理•物理环境监控•设备管理•网络监控•设备和应用配置信息监控•日志审计•告警事件统计•安全管理中心•权限管理√√√√√√√√√√√√√√29VenusTechConfidential等级保护差距报告新技术应对新威胁安全技术的新方向新技术之APT攻击检测不依赖于事先设定的规则库不需要“在线更新”不需要人工调整即可应对新威胁启明星辰入侵检测产品家族传统入侵检测恶意代码检测(0day攻击检测)异常流量检测敏感信息泄露检测定制化检测传统基于SandBox，很容易被具有环境学习的未知恶意代码绕过，MDS中的前置引擎基于静态的指令特征识别恶意代码，因此不存在被具有环境学习的恶意代码所绕过文件还原捕包wordexcelpdftif……AV（已知代码库）前置引擎Shellcode指令库传统恶意代码库文件解析（分离数据区、控制区）提取文件数据区，检测shellcode指令提取文件控制区，检测漏洞利用指令产生可疑文件报警（但无法区分0day/Nday）后置引擎（VX）将可疑文件加载至SandBox打开、执行跟踪文件打开、执行过程中的系统调用提取文件中的可疑code确定所利用的漏洞是0day还是NdayNday漏洞特征库新技术之0day攻击检测新技术之安全域流量监控新技术之安全域流量监控负载均衡集团核心交换集团核心交换FW应用服务器数据库服务器应用服务器数据库服务器楼层交换应用服务器DMZ区域VPN二级单位内部运维威胁路径2威胁路径3外部用户攻击者威胁路径1内部用户威胁路径4内部用户威胁路径5威胁路径1服务器区交换威胁路径威胁源威胁利用点风险描述威胁程度安全措施建议路径1内部用户利用应用界面访问，对数据进行操作利用自身或他人权限，进行数据违规查询、修改、删除等操作；中1、增强业务平台自身审计；2、通过旁路部署网络审计方式，加强安全操作审计；3、增强系统登录的验证方式，对关键应用增强身份认证、权限控制；路径2内部运维利用应用程序管理维护界面访问利用管理界面，进行数据违规查询、修改、删除等操作；高1、增强业务平台自身审计；2、通过旁路部署网络审计方式，加强安全操作审计；3、增强系统登录的验证方式，对关键应用增强身份认证、权限控制；4、设立运维区，对重要的业务系统的运维操作，必须来自该受控区域；利用应用服务器中间件管理权限利用中间件管理权限，私自部署应用，违规进行数据查询、修改、删除等操作；高1、严格控制中间件的访问权限；2、通过旁路部署网络审计方式，加强安全操作审计；3、集中记录中间件操作日志；安全域流量监控①不同的安全域间、子域间部署分光器或者分流器（可选）;或者直接镜像口抓包，取决于试点的安全域实际要求②部署启明星辰安全域流量监控与分析产品的流量采集和协议分析引擎对流量进行解析安全域安全域③部署启明星辰安全域流量监控与分析产品的集中控制中心，对引擎上报数据进行分析、统计、展现和其它管理功能分光器/分流器启明星辰安全域流量监控与分析产品其它DPI设备其它DPI设备端口镜像端口镜像安全域流量监控安全域流量监控产品价值：清晰的互连关系展示和监控，有效支撑安全生产！存在的问题难以察觉防火墙策略开放过大难以监测到非必要连接难以判断违规的网络结构不了解安全域间、域内真实流量解决的问题有助于落实安全域划分规范协助实现防火墙策略最小化部署可视化直观展现互连关系便于管理人员判断互连合规性为安全域实际划分情况提供基础数据支撑精确判断资产是否遵守入网规范要求实时监控是否存在违规流量促进核查方式从人工方式到自动化检测转变及时规范网络结构杜绝不必要的互连互通规范并维护安全域的合理结构有助于核查防火墙策略新技术之管理平台创新-分布式存储39分布式事件存储数据写入代理Day1Day2DayN……………………事件库维护备份/恢复文件系统N压缩/加密（分布式查询/数据装配）数据访问代理运行监控历史查询数据抽取syslog按时间均匀分布并创建索引分布式事件查询Map/Reduce分布式事件存储……………………查询请求查询请求分解与路由查询器查询器查询器查询器查询结果装配查询结果返回MapReduce面向业务的安全管理41为用户提供业务支撑拓扑地图，能够对业务进行多视角安全管理业务拓扑TSOC内置业务建模工具，可以构建业务拓扑，并自动构建业务健康指标体系，从业务的性能与可用性、业务的脆弱性和业务的威胁三个维度计算业务的健康度业务健康指数度量业务可用性分析业务告警业务事件可以钻取到资产层可以钻取到资产层主动化的弱点管理与预警响应与修复检测——安全事件分析网络监控风险分析攻击与违规发生配置安全核查漏洞扫描安全威胁预警被动安全管理主动安全管理指标化的宏观安全感知关键安全指标关键管理指标领导安全经理•掌握整体安全态势•评估安全管理绩效•建立指标体系•评估安全态势•出具态势分析报告态势分析资产信息风险信息弱点信息安全事件拓扑信息性能信息表征整个网络安全运行态势的指标表征整个网络安全管理水平的指标*安全管理水平评价指标44指标配置文件支持自定义总体安全态势网络安全态势主机安全态势终端安全态势应用安全态势数据安全态势网络设备安全监控覆盖率网络设备高风险漏洞检出率网络设备安全基线符合率互联网出口攻击阻断率主机安全监控覆盖率主机防病毒软件安装率主机病毒无法清除率主机病毒库更新率主机高风险漏洞检出率主机开放服务端口漏洞检出率主机木马后门活动检出率终端防病毒软件安装率终端病毒无法清除率终端病毒库更新率终端补丁更新达标率率终端非法接入指标终端木马后门活动检出率终端管理软件安装率PKI系统注册率违规内容检出率从管理的角度建立一套表征安全管理水平的评价指标体系，并通过相应的数学模型计算某个区域的安全管理建设水平新技术之虚拟化防护——导流技术虚拟化服务器VM