威胁管理战略_APT.pptx

云时代威胁管理战略林义轩Jay Lin Classification 威胁管理战略说明国内案例分享威胁发现设备详细说明Classification 威胁管理战略说明国内案例分享威胁发现设备详细说明Classification 最近的信息安全情况傳統的資安機制已不足以保護您重要的資產…具系統存取權限的合法人員進階持續性威脅利用系統弱點進行感染攻擊多方位的攻击*偵查*找出可用弱點*入侵*收集資料*資料外傳*潛伏Classification SQL injection5.植入後門程式，並竊取資料。3.進行內網弱點掃描、攻擊。或竊錄網路流量中的密碼等敏感資訊。4.透過弱點或竊得的密碼攻擊更多內部電腦。2. 植入後門程式APT刻苦型攻擊手法控制與竊密的傳輸通道主管HTTP port 80/8080HTTPS port 443使用者管理者竊取資料外部伺服器駭客1.攻擊外部伺服器的弱點2.寄送惡意信件到特定目標信箱，等待目標開啟信件副檔，植入後門程式。4.透過弱點或竊得的密碼攻擊更多內部電腦。3.進行內網弱點掃描、攻擊。或竊錄網路流量中的密碼等敏感資訊。APT惡意郵件攻擊手法控制與竊密的傳輸通道主管HTTP port 80/8080HTTPS port 443使用者管理者竊取資料Email + exploit Document郵件伺服器5.植入後門程式，並竊取資料。駭客1.準備好惡意信件內容並在郵件中夾帶含後門程式的文件檔案。实际案例 – 假造电信账单看似正常的发件人看似正常的电子账单PDF档案Classification开启账单后，会发生哪些事件？产生新的病毒档案背景自动联机浮动IP主机注册机码＆系统服务，让病毒在重开机后仍会自动执行ClassificationMalware/Bot/APT 威脅比較表 APT殭屍惡意代碼威脅模式計劃性的組織化攻擊區域性大量散播區域性大量散播服務中斷不會不會會散佈對象Targeted 目標性 (僅針對少數特定單位/組織為對象)非目標性的大量散播非目標性的大量散播攻擊目的長期竊取特定情報/資料個人交易憑證/信用卡資料/帳號密碼/隱私資料竊用運算/網路/儲存資源當成攻擊跳板隨機攻擊頻率不間斷的一次一次攻擊手法Zero-Day exploit社交工程惡意信件/魚叉式釣魚植入RAT / 後門程式已知 Exploits Pack植入可供大規模控制的Bot 程式視惡意程式設計而定樣本偵測率一個月內偵測率低於10%一個月內偵測率大約86%一個月內偵測率大約99%Malware/Bot/APT 比較表大規模的散播傳統 Anti-Malware 解決方案涵蓋MalwareBotnets高惡意程式變化率低惡意程式變化率APT針對性客户的现况威脅入侵威脅被发现治理時間33% 入侵 都是在分钟就完成 , 80% 在1 天就能完成入侵但是大部分发现时间与治理时间都要超过一周甚至于1 个月-- 缺乏威脅的可見性與預警系統Source: Verizon 2011 Data Breach Report传统防治方法常见的方式执行上的困难定期修补文件弱点零时差攻击造成防御的空窗期防病毒软件进行扫描及清除黑客透过Virus Total掌握各家防毒厂商的侦测结果，客制化且具有自我变种能力的殭尸程序可轻易避开防病毒软件的侦测倡导员工不开起可疑电子邮件利用GSN黑名单阻挡联机名单更新不够快且没有搭配的清除机制社交工程攻击日趋成熟，邮件几乎真假难辨安全网关安全网关安全网关趋势科技威胁管理战略体系: 威胁可见性阻断威胁活动威胁防护连动专杀Classification 互联网旁路设备 TDA威胁发现解决方案日/周/月报表分析提供对策解决问题多协议关连分析引擎专家技术支持云安全运算平台紧急上门处理2~7层与84多种协议 过滤旁路分析设备已知恶意程序分析未知恶意程序分析高危病毒通知发现风险主动防御的发展，利用对已知病毒的知识累积来判断新的病毒把防线向前移，将病毒放在进入用户系统之前，在网络的基础设施上架设防病毒的设备，多层次的防病毒，减轻客户端的压力在不可信的客户端中构建可信的环境，例如虚拟化或者定制浏览器 —— 国家防病毒应急应办主任：张健全网恶意威胁的可见性:威胁管理仪表版结合趋势云安全提供动态/图形化数据Classification 可操作性:专业报表哈哈功能提供专业分析报告优势庞大的规则数据库7*24小时专家值守价值降低管理复杂度体现IT管理绩效避免同类威胁产生阻断恶意代码活动的持续性客户执行报告客户管理报告 侦测恶意代码活动已感染计算机TDA+NVWTrend-Labs威胁情报网络DNS-IP声誉应用声誉HTTP-URL声誉网络钓鱼过滤器ActiveUpdate关联TDAInternet Threats镜像阻断交换机NVWE网关核心网络应用服务器