恶意代码监控中心V4课件.ppt

1、Copyright 2009 Trend Micro Inc.Classification 12/22/20221恶意代码监控中心设计方案恶意代码监控中心设计方案Copyright 2009 Trend Micro Inc.Classification 12/22/20222Agenda信息安全现状分析恶意代码防范策略恶意代码防范体系设计详解Copyright 2009 Trend Micro Inc.多方位的攻击Source:Forrester社交工程攻击手法日趋成熟，邮件几乎真假难辨USB,3G,移動設備客制化惡意程序VPN/HTTP 通道Copyright 2009 Trend Micr

2、o Inc.Classification 12/22/20224多方位的攻击*偵查*找出可用弱點*入侵*收集資料*資料外傳*潛伏Copyright 2009 Trend Micro Inc.实际案例 假造电信账单2022/12/22ClassificatiClassificationon5看似正常的发件人看似正常的电子账单PDF档案Copyright 2009 Trend Micro Inc.开启账单后，会发生哪些事件？2022/12/22ClassificatiClassificationon6产生新的病毒档案背景自动联机浮动IP主机注册机码系统服务，让病毒在重开机后仍会自动执行Copyri

3、ght 2009 Trend Micro Inc.多方位的攻击的差異Classification 12/22/20227黑客针对企业使用APT攻击与一般网络攻击手法差异APT攻击一般网络攻击时间长时间攻击，会隐匿行踪攻击时间长短并不一定动机窃取所需要的特定机密，包含国家安全、各种组织情报和商业机密等等窃取金融与个人资料换取实质利益，不见得具有特定动机攻击对象有针对性、小范围，通常是以政府、军事国防机构、大型能源石油天然气产业、高科技产业、金融业等 无针对性、大范围，一般以金融业、在线交易业者、具有大量个资企业为主攻击武器客制化，常用单一的漏洞，经常是零时差漏洞的攻击，或者是Drop Embed

4、ded RAT 非客制化，复合多种常见漏洞在单一档案攻击，攻击范围大；URL Download Botnet攻击手法为了确定攻击一定成功，或同实用多种攻击手法入侵 速战速决，通常以大量快速有效的单一手法入侵防病毒软件侦测率1个月内新样本侦测率约30以下1个月内新样本侦测率约90数据源：Xecure-Lab、RSA，iThome整理，2011年8月Copyright 2009 Trend Micro Inc.客户的现况33%入侵 都是在分钟就完成,80%在1 天就能完成入侵但是大部分发现时间与治理时间都要超过一周甚至于1 个月Source:Verizon 2011 Data Breach Rep

5、ort威脅入侵威脅被发现治理時間-缺乏威脅的可見性與預警系統Copyright 2009 Trend Micro Inc.客戶應用環境的轉變客戶應用環境的轉變9移動設備移動設備分公司分公司公司公司互連網互連網原本邊界原本邊界IaaSIaaSSaaSSaaS新邊界新邊界虛擬化虛擬化,雲應用雲應用,移動設備移動設備Copyright 2009 Trend Micro Inc.Classification 12/22/202210Agenda信息安全现状分析恶意代码防范策略恶意代码防范体系设计详解Copyright 2009 Trend Micro Inc.企業威脅管理策略 資料內容安全智能时间察觉

6、身份察觉位置察觉内容察觉 本地化威脅監控預警平台 存取策略 加密Inside-OUT Data ProtectionClassification 12/22/202211Smart DataProtection 全球智能化威脅監控網路 郵件,網頁,文件信譽評估服務 多層次立體防護體系 本地化威脅監控預警平台Outside-IN Threat ProtectionOutside-In Threat ProtectionInside-OUT Data ProtectionCopyright 2009 Trend Micro Inc.Classification 12/22/202212管控阻断预警

7、监测应急响应威脅生命周期管理系统实现对风险系统实现对风险的自动化阻断的自动化阻断实时对数据进行分实时对数据进行分析，并对高威风险析，并对高威风险进行预警展示进行预警展示对全网进行安全对全网进行安全监测，实时发现监测，实时发现已知及未知威胁已知及未知威胁建立应急响应机制建立应急响应机制，并提供应急响应，并提供应急响应保障保障实现对风险的可实现对风险的可管理、可控制，管理、可控制，一体化管控机制一体化管控机制Copyright 2009 Trend Micro Inc.Classification 12/22/202213趋势科技威胁管理战略体系:威胁可见性阻断威胁活动威胁防护连动专杀安全网关安全

8、网关安全网关Copyright 2009 Trend Micro Inc.Classification 12/22/202214Agenda信息安全现状分析恶意代码防范策略恶意代码防范体系设计详解Copyright 2009 Trend Micro Inc.一、平台建设一、平台建设-总体部署总体部署深圳深圳清遠清遠廣州廣州廣東省移動廣東省移動威胁管理中心威胁管理中心 借助云安全、借助云安全、行为智能识别、行为智能识别、病毒代码比对病毒代码比对等多种技术针等多种技术针对网络通讯数对网络通讯数据进行深度关据进行深度关联分析和协议联分析和协议分析；分析；发现网络运行发现网络运行中的潜在威胁，中的潜在

9、威胁，如病毒、木马、如病毒、木马、间谍程序、僵间谍程序、僵尸网络、暴力尸网络、暴力攻击等攻击等Copyright 2009 Trend Micro Inc.InternetFW/NATRouter服务器群核心交换Web/FTPSMTP DNSSegment Switch分公司惡意威脅預警平台威脅管理平台安全事件发生安全事件发生安全事件发生事件采集事件采集事件采集Copyright 2009 Trend Micro Inc.預警展示平台Classification 12/22/202217Copyright 2009 Trend Micro Inc.Classification 12/22/20

10、2218預警平台-IP 地理化展示Copyright 2009 Trend Micro Inc.Classification 12/22/202219預警平台-威脅地理化展示Copyright 2009 Trend Micro Inc.區域威脅管理平台:威胁管理仪表版Classification 12/22/2022201.公司风险指标:公司目前的风险等级2.定位感染原与攻击源3.威胁内容与解决说明4.实时高危风险事件 说明5.威胁统计数据Copyright 2009 Trend Micro Inc.业务风险表业务风险表受影响的资产受影响的资产威胁统计威胁统计感染源感染源威胁变化趋势威胁变化趋

11、势干扰性干扰性应用应用全網預警全網預警评估报告评估报告Copyright 2009 Trend Micro Inc.每日每日/周周/月月的的ExecutiveExecutive摘要摘要 了解全公司的安全态势 事件审查和比较报告 安全策略建议Smart Protection NetworkCopyright 2009 Trend Micro Inc.每日通報報表每日通報報表:定位恶意程序客户端与威胁信息进行高效处理定位恶意程序客户端与威胁信息进行高效处理Copyright 2009 Trend Micro Inc.云安全技术云安全技术Copyright 2009 Trend Micro Inc.

12、3年半年半 研发时间1,200位位 TrendLab专职安全专家7X24 全球5个数据中心34,000台台 全球服务器1,500万美金万美金 每年维护费用约4亿多美金亿多美金 投入成本趋势科技云安全投入成本趋势科技云安全投入成本Copyright 2009 Trend Micro Inc.備份備份PPTClassification 12/22/202226Copyright 2009 Trend Micro Inc.威胁发现威胁发现解决方案解决方案主动防御的发展，利用对已知病毒的知识累积来判断新的病毒把防线向前移，将病毒放在进入用户系统之前，在网络的基础设施上架设防病毒的设备，多层次的防病毒，

13、减轻客户端的压力在不可信的客户端中构建可信的环境，例如虚拟化或者定制浏览器 国家防病毒应急应办主任：张健日/周/月报表分析多协议关连分析引擎云安全运算平台旁路分析设备27层与84多种协议 过滤已知恶意程序分析未知恶意程序分析专家技术支持高危病毒通知紧急上门处理提供对策发现风险解决问题互联网互联网旁路设备 TDACopyright 2009 Trend Micro Inc.威脅發現設備多层次识别各种威胁VSAPI Engine已知病毒扫描VSAPI xTrap Engine变种与加壳恶意程序扫描Network Content Inspection Engine恶意程序行为分析引擎/关联性分析Ne

14、twork Virus Engine网络蠕虫病毒扫描Cloud Reputation Services云安全信誉服务网络蠕虫/零时差攻击僵尸网络各种已知病毒/病毒变种（文件型病毒、蠕虫、灰色软件、间谍软件、黑客工具等）病毒下载器扫描引擎识别威胁网络层各种路由协议及IP协议传输层TCP、UDP协议应用层HTTP、FTP、POP3、SMTP、DHCP、DNS等协议网络流量后门/木马Copyright 2009 Trend Micro Inc.威脅發現設備主要针对应用层内容分析旁路部署根据特征码识别已知恶意程序根据恶意行为引擎识别僵尸网络以及潜在木马快速响应服务本地日志管理服务连动专杀工具侦测外部黑

15、客攻击(DDOS阻断式攻击,异常封包侦测)主要针对网络数据包分析串联部署为主/旁路部署为辅识别网络攻击数据包、网络蠕虫识别DoS攻击 主要已知威胁防護根据特征码识别已知恶意程序基于主机的文件检测需要在每台主机上面安装低配置机器难部署侦测内网威胁活動网络层各种路由协议及IP协议传输层TCP/UDP协议应用层HTTP、FTP、POP3、SMTP、DHCP、DNS等协议IPS工作层TDS工作层Copyright 2009 Trend Micro Inc.威胁管理平台TMSPClassification 12/22/202230 智能化:威胁管理平台将客户环境中海量的日志,抽丝剥茧找出环境中的威胁事件

16、 專家化:告知威胁的本质,风险的含量與處理建議 可視化:让客户环境中威胁数据化,图形化达到威胁的可见性Copyright 2009 Trend Micro Inc.威脅管理平台:架构内容*接收层:前端应用服务器，负责提供前端应用服务器，负责提供门户网站门户网站,威胁仪表板威胁仪表板和日志接收等功能和日志接收等功能*应用层:数据分析服务器，数据分析服务器，內建智能分析引擎內建智能分析引擎,负责提供数据分析负责提供数据分析,报表生成报表生成,通知通知*数据层:后台数据库，负责提供数据存储和优化后台数据库，负责提供数据存储和优化Copyright 2009 Trend Micro Inc.威脅管理平

17、台的功能模块账户管理设备管理日志管理报表管理威胁仪表板 风险指标 感染原与攻击源 威胁排行榜 威胁内容与解决说明 实时高危风险事件 说明 日,周,双周,月威胁统计数据 事件关连分析图 设备状态监控 设备分组设定 配置管理员 TDA 监控设备日志接收 高危日志接收 实时日志接收 日志储存管理 日誌智能分析引擎周期性报表:日周月报表按需报表 实时报表排行榜报表总体报表分组报表 管理员账号 客户账号 联系人讯息 TDA监控设备注册账号 预警通知设定 智能分析引擎升级Copyright 2009 Trend Micro Inc.威脅預警平台Classification 12/22/20223333數據

18、流數據流威脅管威脅管理平台理平台分析分析引擎引擎威脅管威脅管理平台理平台分析分析引擎引擎威脅管威脅管理平台理平台分析分析引擎引擎數據接收服務數據接收服務IP 轉換地理位置程序轉換地理位置程序地圖展示程序地圖展示程序威脅展示配置程序威脅展示配置程序A 分分公司公司B 分分公司公司C 分分公司公司Copyright 2009 Trend Micro Inc.人有了知识，就会具备各种分析能力，人有了知识，就会具备各种分析能力，明辨是非的能力。明辨是非的能力。所以我们要勤恳读书，广泛阅读，所以我们要勤恳读书，广泛阅读，古人说古人说“书中自有黄金屋。书中自有黄金屋。”通过阅读科技书籍，我们能丰富知识，通过阅读科技书籍，我们能丰富知识，培养逻辑思维能力；培养逻辑思维能力；通过阅读文学作品，我们能提高文学鉴赏水平，通过阅读文学作品，我们能提高文学鉴赏水平，培养文学情趣；培养文学情趣；通过阅读报刊，我们能增长见识，扩大自己的知识面。通过阅读报刊，我们能增长见识，扩大自己的知识面。有许多书籍还能培养我们的道德情操，有许多书籍还能培养我们的道德情操，给我们巨大的精神力量，给我们巨大的精神力量，鼓舞我们前进鼓舞我们前进。Copyright 2009 Trend Micro Inc.