内网安全TMD解决方案

redwolf32
0 ℃
2019-09-30

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

内网安全TMD解决方案北京网鼎芯睿201507272内容提纲2内网安全挑战:信息安全风险4象限攻击来源已知0Day漏洞邮件染毒新型攻击……弱密码病毒/木马/蠕虫……APT未知逃逸攻击防火墙漏洞社会工程攻击……扫描，渗透已发现漏洞……风险未知外网内网防火墙主动式补丁网闸杀毒软件被动式补丁云杀毒防火墙？毒霸？2内网安全挑战:高持续性威胁(APT)APT是针对明确目标所发动的以窃取核心资料为目的的网络攻击和侵袭行为，这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，是一种“网络间谍”行为。2内网安全挑战:攻击途径多样化趋势内网可移动介质不请自来的软件恶意网站网络访问2内网安全挑战：技术的复杂性&人的复杂性已经解决的安全问题没有解决的安全问题•新技术的引入•新软件的漏洞•新业务的拓展•IT技术的脆弱•人性的弱点•便利与安全的博弈•……未知风险永远大于已知2内网安全挑战:网络Top-N安全风险•未授权设备访问风险•网络配置风险•持续的脆弱性评估与修复•无线设备控制•安全日志的审计与分析•社会工程攻击--BasedonNISTSP800(NSA,USA)•未授权软件访问风险•网络访问权限管理•应用层安全•网络端口、协议及服务控制•网络工程安全•……2NSA棱镜计划2Blackhole&AnglerEK攻击套件2震网Stuxnet蠕虫病毒（超级工厂病毒）是世界上首个专门针对工业控制系统编写的破坏性病毒，能够利用对windows系统和西门子SIMATICWinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATICWinCC监控与数据采集(SCADA)系统进行攻击，由于该系统在我国的多个重要行业应用广泛，被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。传播途径：该病毒主要通过U盘和局域网进行传播。历史“贡献”：曾造成伊朗核电站推迟发电。21层攻击技术2安全软件漏洞2小结1.网络工程环节，使用环节，维护环节都可作为入侵途径2.软硬件，防火墙/杀毒软件，都存在可能被利用的漏洞3.安全厂商/非安全厂商，工业网络都存在被攻击的风险2现有安全防护机制及其问题1，互联网没有边界，企业网安全资源有限互联网内网22，基于防火墙的安全体系的固有缺陷•防火墙虽然可以过滤互联网的数据包，但却无法过滤内部网络的数据包。因此若有人从内部发起网络攻击时，防火墙没有作用。•电脑本身的操作系统亦可能因一些系统漏洞，使入侵者可以利用这些漏洞绕过防火墙过滤，从而入侵电脑。•防火墙无法有效阻挡病毒攻击，尤其是隐藏在数据中的病毒。防火墙隔离公共域与私有域现有安全防护机制及其问题2现有安全防护机制及其问题2现有安全防护机制及其问题3，安全体系的功能和价格及复杂程度成正比（Cisco安全框架）但是：安全对组织的重要性和组织规模不是比例关系2现有安全防护机制及其问题2现有安全防护机制及其问题4，攻击技术快速进化，并且趋向于集成化、多元化、快速演化2现有安全防护机制及其问题Blackhole和AnglerEK漏洞攻击包所利用的漏洞列表2现有安全防护机制及其问题2现有安全防护机制及其问题2现有安全防护机制及其问题5，无力抵御AdvancedPersistentThreat2现有安全防护机制及其问题2现有安全防护机制及其问题2现有安全防护机制及其问题6，被动防御，针对已知问题，基于特征库的不断升级2现有安全防护机制及其问题某网络安全方案提供商的URL数据库2现有安全防护机制及其问题•思科安全研究部门检查了在线连接并使用了Chrome或IE浏览器的设备的数据。该数据显示，64%的Chrome请求源自该浏览器的最新版本。至于IE用户，则只有10%的请求来自最新版本。•Heartbleed高危安全漏洞使得OpenSSL处于不设防状态。然而，却有56%的OpenSSL版本超过50个月未更新，因而仍十分脆弱。7，有时候打补丁是一件很困难的事情2小结1，裱糊匠式的网络安全2，尽力而为的网络安全3，标准化安全，无法体现用户安全需求的个性4，缺乏系统的网络入侵后方案5，技术门槛较高，对管理的要求很高6，缺乏0～7层FullStack的安全考虑日志清除行为欺骗...漏洞攻击Rootkit缓冲区溢出C&C…Root网络扫描端口扫描漏洞识别…AET/APT社会工程防火墙漏洞钓鱼与欺骗管理漏洞…2网络攻击模型分析横向渗透发现高价值信息单点突破获得攻击跳板痕迹清除伪装及自我保护控制目标感染与控制2入侵防御链2基于行为的安全防护vs基于特征的安全防护攻击跳板敏感资源攻击路径防护思路：•干扰横向渗透行为•为横向渗透设置伪装与陷阱•识别C&C行为、预警及切断•对敏感资源集中火力重点防护目标：•对接触敏感资源的权限实施0～7层更严格的控制•安全资源的投入目标更明确•以可视化、智能化、自动化手段减少安全管理的难度2Stuxnet攻击方式解析2一，保护敏感资源：重点防御简化交换模型，识别关键交换路径向关键交换路径投入更多安全资源被动防御结合主动防御攻击对抗结合网络伪装已知0Day漏洞邮件染毒新型攻击……弱密码病毒/木马/蠕虫……未知逃逸攻击防火墙漏洞社会工程攻击……扫描，渗透已发现漏洞……未知外网内网防火墙主动式补丁网闸杀毒软件被动式补丁云杀毒防火墙？毒霸？攻击对抗2二，主动防御互联网内网敏感资源•在敏感资源的边界建立严格准入制度•对敏感资源进行伪装•设置动态陷阱网络保险箱•基于源/目的地址访问控制•基于应用的访问控制•基于用户身份的访问控制•基于权限的访问控制网络伪装•智能DHCP/DNS•智能地址映射2网络伪装与欺骗：来自南斯拉夫战争的启示用旧汽车来模拟坦克，吸引热感武器的火力用木头和塑料搭的假飞机2网络伪装与欺骗：来自南斯拉夫战争的启示米格-29航模做的伪装把老破的坦克和飞机弄来作为诱饵吸引火力2网络伪装与欺骗：隐真&示假隐真示假也是一种防御方式！Controller2三，以SDN的思想实现可信交换OF/SDN行为分析及建模预警及报警……ServiceAAASwitch业务控制平面SDN控制平面网络交换平面事件上报安全控制策略下发从最底层解决问题2四，统一管理：优化网络管理2小结内网安全存在的问题解决之道互联网没有边界，企业网安全资源有限安全资源应向关键信息资产倾斜安全体系的功能和价格及复杂程度成正比了解企业自身网络特点，掌控自身网络的交换行为；选择适用的安全技术，为什么要为用不到的技术埋单？攻击技术快速进化，并且趋向于集成化、多元化、快速演化避免防御体系被动跟随攻击技术，我们需要思考难道网络安全只能依赖于漏洞特征吗？无力抵御AdvancedPersistentThreat网络迟早会被攻破是一个不应该被回避的事实，入侵后的主动防御策略是非常值得尝试的安全思路基于防火墙的安全体系的固有缺陷防火墙是一种尽力而为的安全技术，我们不应该满足于现状，换个思路考虑网络安全针对已知问题，基于特征库的不断升级不依赖于特征库，还能为网络安全做些什么？有时候打补丁是一件很困难的事情网络安全还需要不依赖于打补丁的防御方式2安全交换：SDN如何改善LAN的安全态势？2安全交换:应用层访问控制，深度理解LAN端口类：SSH，Telnet，8583等ALG类：SIP，FTP，OPC等特征类：HTTP，RTSP，Modbus，Goose数据库等超过200种应用，支持按照行业定制将交换掌控在自己手中！2安全交换:网络伪装与隐藏主动使用ARP欺骗，配合网络地址变换+VLAN变换+MAC变换的方法，实现网络地址伪装和隐藏使用端口变换(PAT)的方法实现地址伪装加密以防止中间人攻击ARP欺骗是一种臭名昭著的LAN攻击技术，但是其原理同样可以用于网络安全防御！2安全交换:蜜罐的虚拟化，提升陷阱效能支持蜜罐的动态多地址支持以下多地址策略：•基于IP/MAC地址•基于应用层逻辑端口号•基于Vlan•基于以上组合广泛的使用陷阱，让攻击者自动现形！2安全交换:主机地址的虚拟化，对抗内网扫描主机伪装1，合法客户端和主机间的访问没有影响2，合法客户端和主机无感知，不需要任何配置3，扫描者扫描到的主机网络指纹信息随机可变4，伪装动态可变，有效阻止非法客户端连接5，伪装目标动态可替换，引导攻击流量跳入陷阱对网络进行伪装，让侦查者摸不到北！2安全交换:基于行为的攻击识别，不需要补丁1，可疑主机扫描2，可疑主机访问3，可疑陷阱访问4，攻击取证5，简单，可靠，非侵入，无感知，不依赖于升级动态变换拓扑，让非法流量自动落入陷阱！2安全交换:会话级加密，防止中间人攻击1，支持2层承载的协议加密，如Goose、Profinet等2，支持TCP/IP承载的会话级数据加密3，一次性密钥，密钥传输全程加密4，可支持客户端控制的加密5，支持多种加密算法，应用层无感知SDN配合一次性秘钥技术，在交换机上实现线速加密，终端无感知！2安全交换:支持SDPGateway模式软件定义边界(SoftwareDefinedPerimeter，SDP)是云安全联盟(CSA)推出的一个安全框架，要求端点在获取对受保护的服务器的网络访问之前，必须进行身份验证以及获得授权，然后，在请求系统和应用程序基础设施之间会实时创建加密连接。请求系统可以是移动设备，例如智能手机、计算机或者甚至是传感器。该计划包括来自美国国家标准技术研究所和国防部的安全概念和标准。融入SDP定义的高强度数据加密技术，完美保护服务器2安全交换:网络态势感知，主动中断问题连接安全态势感知平台可以360度全方位感知网络。综合网络安全形势、威胁程度、客户端安全级别、客户端可疑行为、客户端主动侦查等多维和多来源的信息，基于大数据分析，智能发现疑似被控主机，对其做出提升入侵检测级别、向管理员告警、控制或降低网络接入权限、甚至直接阻断连接等防护动作。当能够明确终端正常行为的边界时，判断其行为是否可疑就会容易很多2安全交换:WiFI安全管理，深度融合WLAN1，无线设备智能VLAN划分2，会话超时判断，无需AC参与3，基于身份的接入控制4，基于设备标识的接入控制5，基于应用的接入控制当交换机也智能化后，可以改变很多事情2内网安全TMD解决方案内网安全被动防御主动防御统一管理可信交换重点防御内网安全TMD解决方案2内网安全TMD解决方案被动防御重点防御主动防御可信交换统一管理基于数据特征的攻击识别(防火墙，IPS，IDS)最佳网络管理实践IT架构逐步演进流量混淆加密安全运维中心……基于行为模式的攻击识别应用层NAC动态拓扑伪装智能陷阱……国外IP识别攻击模式识别DNS管理流量混淆加密应用层NAC……安全运维中心WIFINAC最佳网络管理实践……2某友商内网安全解决方案我司内网安全解决方案内网安全解决方案比较2使命与愿景让IT更简单网络安全数据SDN/NFV业务感知网络运维以网络安全和运维为切入点，简化企业网IT！2产品及技术2校园网内网攻击检测解决方案2第三方集成方案2NoSilverBullet谢谢