恶意代码监控中心方案_V4全解.ppt

每日/周/月的Executive摘要 了解全公司的安全态势 事件审查和比较报告 安全策略建议 Smart Protection Network 每日通報報表:定位恶意程序客户端与威胁信息进行高效处理 云安全技术 3年半 — 研发时间 1,200位 — TrendLab专职安全专家 7X24 — 全球5个数据中心 34,000台 — 全球服务器 1,500万美金 — 每年维护费用约 4亿多美金 — 投入成本 趋势科技云安全投入成本 備份PPT Classification * * 威胁发现解决方案 主动防御的发展，利用对已知病毒的知识累积来判断新的病毒 把防线向前移，将病毒放在进入用户系统之前，在网络的基础设施上架设防病毒的设备，多层次的防病毒，减轻客户端的压力 在不可信的客户端中构建可信的环境，例如虚拟化或者定制浏览器 —— 国家防病毒应急应办主任：张健 日/周/月报表分析 多协议关连分析引擎 云安全运算平台 旁路分析设备 2~7层与84多种协议 过滤 已知恶意程序分析 未知恶意程序分析 专家技术支持 高危病毒通知 紧急上门处理 提供对策 发现风险 解决问题 互联网 旁路设备 TDA 威脅發現設備—多层次识别各种威胁 网络蠕虫/零时差攻击 僵尸网络 各种已知病毒/病毒变种（文件型病毒、蠕虫、灰色软件、间谍软件、黑客工具等） 病毒下载器 扫描引擎 识别威胁 网络流量 后门/木马 威脅發現設備 TDA 主要针对应用层内容分析 旁路部署 根据特征码识别已知恶意程序 根据恶意行为引擎识别僵尸网络以及潜在木马 快速响应服务 本地日志管理服务 连动专杀工具 IPS 侦测外部黑客攻击 (DDOS阻断式攻击,异常封包侦测) 传统 防病毒产品 主要针对网络数据包分析 串联部署为主/旁路部署为辅 识别网络攻击数据包、网络蠕虫 识别DoS攻击 主要已知威胁防護 根据特征码识别已知恶意程序 基于主机的文件检测 需要在每台主机上面安装 低配置机器难部署 侦测内网威胁活動 IPS工作层 TDS工作层 威胁管理平台TMSP Classification * * 智能化:威胁管理平台将客户环境中海量的日志,抽丝剥茧找出环境中的威胁事件 專家化:告知威胁的本质,风险的含量與處理建議 可視化: 让客户环境中威胁数据化,图形化达到威胁的可见性 威脅管理平台 : 架构内容 *接收层:前端应用服务器，负责提供门户网站,威胁仪表板和日志接收等功能 *应用层:数据分析服务器，內建智能分析引擎,负责提供数据分析,报表生成,通知 *数据层:后台数据库，负责提供数据存储和优化 威脅管理平台的功能模块 账户管理 设备管理 日志管理 报表管理 威胁仪表板 风险指标 感染原与攻击源 威胁排行榜 威胁内容与解决说明 实时高危风险事件 说明 日,周,双周,月威胁统计数据 事件关连分析图 设备状态监控 设备分组设定 配置管理员 TDA 监控设备日志接收 高危日志接收 实时日志接收 日志储存管理 日誌智能分析引擎 周期性报表 :日周月报表 按需报表 实时报表 排行榜报表 总体报表 分组报表 管理员账号 客户账号 联系人讯息 TDA监控设备注册账号 预警通知设定 智能分析引擎升级 威脅預警平台 Classification * * * 數據流 威脅管理平台 分析引擎 威脅管理平台 分析引擎 威脅管理平台 分析引擎 數據接收服務 IP 轉換地理位置程序 地圖展示程序 威脅展示配置程序 A 分公司 B 分公司 C 分公司 Advanced targeted threats can easily evade conventional perimeter and content security, software vulnerabilities are rampant, insider threats are a constant, and consumerization and mobility open the network even further to exploitation. Stuxnet, Wikileaks, RSA, Epsilon breaches are the latest demonstration of the advanced exploits and damages facing the modern enterprise * APTs不是一种新的攻击手法，也不是可以藉由阻止或破坏一次攻击就让问题消失。APTs可以被视为更像是一个网络攻击活动而不是单一类型的威胁;可以想成是进行中的过程。防病毒程序可能会阻止APT攻击所使用的恶意软件，但并不意味着停止攻击。就其性质而言，一个APT是一段