恶意代码监控中心方案_V4

Copyright2009TrendMicroInc.Classification12/30/20191恶意代码监控中心设计方案Copyright2009TrendMicroInc.Classification12/30/20192Agenda信息安全现状分析恶意代码防范策略恶意代码防范体系设计详解Copyright2009TrendMicroInc.社交工程-精准攻击内部威胁移动使用者与分公司多方位的攻击Source:Forrester社交工程攻击手法日趋成熟，邮件几乎真假难辨USB,3G,移動設備客制化惡意程序VPN/HTTP通道Copyright2009TrendMicroInc.Classification12/30/20194多方位的攻击*偵查*找出可用弱點*入侵*收集資料*資料外傳*潛伏Copyright2009TrendMicroInc.实际案例–假造电信账单2019/12/30Classification5看似正常的发件人看似正常的电子账单PDF档案Copyright2009TrendMicroInc.开启账单后，会发生哪些事件？2019/12/30Classification6产生新的病毒档案背景自动联机浮动IP主机注册机码＆系统服务，让病毒在重开机后仍会自动执行Copyright2009TrendMicroInc.多方位的攻击的差異Classification12/30/20197黑客针对企业使用APT攻击与一般网络攻击手法差异APT攻击一般网络攻击时间长时间攻击，会隐匿行踪攻击时间长短并不一定动机窃取所需要的特定机密，包含国家安全、各种组织情报和商业机密等等窃取金融与个人资料换取实质利益，不见得具有特定动机攻击对象有针对性、小范围，通常是以政府、军事国防机构、大型能源石油天然气产业、高科技产业、金融业等无针对性、大范围，一般以金融业、在线交易业者、具有大量个资企业为主攻击武器客制化，常用单一的漏洞，经常是零时差漏洞的攻击，或者是DropEmbeddedRAT非客制化，复合多种常见漏洞在单一档案攻击，攻击范围大；URLDownloadBotnet攻击手法为了确定攻击一定成功，或同实用多种攻击手法入侵速战速决，通常以大量快速有效的单一手法入侵防病毒软件侦测率1个月内新样本侦测率约30％以下1个月内新样本侦测率约90％数据源：Xecure-Lab、RSA，iThome整理，2011年8月Copyright2009TrendMicroInc.客户的现况33%入侵都是在分钟就完成,80%在1天就能完成入侵但是大部分发现时间与治理时间都要超过一周甚至于1个月Source:Verizon2011DataBreachReport威脅入侵威脅被发现治理時間--缺乏威脅的可見性與預警系統Copyright2009TrendMicroInc.客戶應用環境的轉變9移動設備分公司公司互連網原本邊界IaaSSaaS新邊界虛擬化,雲應用,移動設備Copyright2009TrendMicroInc.Classification12/30/201910Agenda信息安全现状分析恶意代码防范策略恶意代码防范体系设计详解Copyright2009TrendMicroInc.企業威脅管理策略•資料內容安全智能»时间察觉»身份察觉»位置察觉»内容察觉•本地化威脅監控預警平台•存取策略•加密Inside-OUTDataProtectionClassification12/30/201911SmartDataProtection•全球智能化威脅監控網路•郵件,網頁,文件信譽評估服務•多層次立體防護體系•本地化威脅監控預警平台Outside-INThreatProtectionCopyright2009TrendMicroInc.Classification12/30/201912管控阻断预警监测应急响应威脅生命周期管理系统实现对风险的自动化阻断实时对数据进行分析，并对高威风险进行预警展示对全网进行安全监测，实时发现已知及未知威胁建立应急响应机制，并提供应急响应保障实现对风险的可管理、可控制，一体化管控机制威脅生命周期管理Copyright2009TrendMicroInc.Classification12/30/201913趋势科技威胁管理战略体系:威胁可见性阻断威胁活动威胁防护连动专杀安全网关安全网关安全网关Copyright2009TrendMicroInc.Classification12/30/201914Agenda信息安全现状分析恶意代码防范策略恶意代码防范体系设计详解Copyright2009TrendMicroInc.一、平台建设-总体部署廣東省移動威胁管理中心XXXX借助云安全、行为智能识别、病毒代码比对等多种技术针对网络通讯数据进行深度关联分析和协议分析；发现网络运行中的潜在威胁，如病毒、木马、间谍程序、僵尸网络、暴力攻击等Copyright2009TrendMicroInc.InternetFW/NATRouter服务器群核心交换Web/FTPSMTPDNSSegmentSwitch分公司惡意威脅預警平台威脅管理平台安全事件发生安全事件发生安全事件发生事件采集事件采集事件采集Copyright2009TrendMicroInc.預警展示平台Classification12/30/201917Copyright2009TrendMicroInc.Classification12/30/201918預警平台-IP地理化展示Copyright2009TrendMicroInc.Classification12/30/201919預警平台-威脅地理化展示Copyright2009TrendMicroInc.區域威脅管理平台:威胁管理仪表版Classification12/30/2019201.公司风险指标:公司目前的风险等级2.定位感染原与攻击源3.威胁内容与解决说明4.实时高危风险事件说明5.威胁统计数据Copyright2009TrendMicroInc.业务风险表受影响的资产威胁统计感染源威胁变化趋势干扰性应用全網預警评估报告Copyright2009TrendMicroInc.每日/周/月的Executive摘要•了解全公司的安全态势•事件审查和比较报告•安全策略建议SmartProtectionNetworkCopyright2009TrendMicroInc.每日通報報表:定位恶意程序客户端与威胁信息进行高效处理Copyright2009TrendMicroInc.云安全技术Copyright2009TrendMicroInc.3年半—研发时间1,200位—TrendLab专职安全专家7X24—全球5个数据中心34,000台—全球服务器1,500万美金—每年维护费用约4亿多美金—投入成本趋势科技云安全投入成本Copyright2009TrendMicroInc.備份PPTClassification12/30/201926Copyright2009TrendMicroInc.威胁发现解决方案主动防御的发展，利用对已知病毒的知识累积来判断新的病毒把防线向前移，将病毒放在进入用户系统之前，在网络的基础设施上架设防病毒的设备，多层次的防病毒，减轻客户端的压力在不可信的客户端中构建可信的环境，例如虚拟化或者定制浏览器——国家防病毒应急应办主任：张健日/周/月报表分析多协议关连分析引擎云安全运算平台旁路分析设备2~7层与84多种协议过滤已知恶意程序分析未知恶意程序分析发现风险解决问题互联网旁路设备TDACopyright2009TrendMicroInc.威脅發現設備—多层次识别各种威胁VSAPIEngine已知病毒扫描VSAPIxTrapEngine变种与加壳恶意程序扫描NetworkContentInspectionEngine恶意程序行为分析引擎/关联性分析NetworkVirusEngine网络蠕虫病毒扫描CloudReputationServices云安全信誉服务网络蠕虫/零时差攻击僵尸网络各种已知病毒/病毒变种（文件型病毒、蠕虫、灰色软件、间谍软件、黑客工具等）病毒下载器扫描引擎识别威胁网络层各种路由协议及IP协议传输层TCP、UDP协议应用层HTTP、FTP、POP3、SMTP、DHCP、DNS等协议网络流量后门/木马Copyright2009TrendMicroInc.威脅發現設備TDA•主要针对应用层内容分析•旁路部署•根据特征码识别已知恶意程序•根据恶意行为引擎识别僵尸网络以及潜在木马•快速响应服务•本地日志管理服务•连动专杀工具IPS侦测外部黑客攻击(DDOS阻断式攻击,异常封包侦测)传统防病毒产品•主要针对网络数据包分析•串联部署为主/旁路部署为辅•识别网络攻击数据包、网络蠕虫•识别DoS攻击主要已知威胁防護•根据特征码识别已知恶意程序•基于主机的文件检测•需要在每台主机上面安装•低配置机器难部署侦测内网威胁活動网络层各种路由协议及IP协议传输层TCP/UDP协议应用层HTTP、FTP、POP3、SMTP、DHCP、DNS等协议IPS工作层TDS工作层Copyright2009TrendMicroInc.威胁管理平台TMSPClassification12/30/201930•智能化:威胁管理平台将客户环境中海量的日志,抽丝剥茧找出环境中的威胁事件•專家化:告知威胁的本质,风险的含量與處理建議•可視化:让客户环境中威胁数据化,图形化达到威胁的可见性Copyright2009TrendMicroInc.威脅管理平台:架构内容*接收层:前端应用服务器，负责提供门户网站,威胁仪表板和日志接收等功能*应用层:数据分析服务器，內建智能分析引擎,负责提供数据分析,报表生成,通知*数据层:后台数据库，负责提供数据存储和优化Copyright2009TrendMicroInc.威脅管理平台的功能模块账户管理设备管理日志管理报表管理威胁仪表板•风险指标•感染原与攻击源•威胁排行榜•威胁内容与解决说明•实时高危风险事件说明•日,周,双周,月威胁统计数据•事件关连分析图•设备状态监控•设备分组设定•配置管理员•TDA监控设备日志接收•高危日志接收•实时日志接收•日志储存管理•日誌智能分析引擎•周期性报表:日周月报表•按需报表•实时报表•排行榜报表•总体报表•分组报表•管理员账号•客户账号•联系人讯息•TDA监控设备注册账号•预警通知设定•智能分析引擎升级Copyright2009TrendMicroInc.威脅預警平台Classification12/30/20193333數據流威脅管理平台分析引擎威脅管理平台分析引擎威脅管理平台分析引擎數據接收服務IP轉換地理位置程序地圖展示程序威脅展示配置程序A分公司B分公司C分公司