《IBM-前瞻性安全解决方案--郭耀聪》由会员分享,可在线阅读,更多相关《IBM-前瞻性安全解决方案--郭耀聪(39页珍藏版)》请在金锄头文库上搜索。
1、IBM前瞻性安全解决方案 Y C Kwok郭耀聪ISS高级信息安全顾问IBM全球服务部 IBMISS简介 安全背景2 IBMISS安全解决方案介绍3 案例介绍 全球领先的独立IT安全厂商全球领先的安全智库全球领先的安全托管服务厂商1994年成立总部位于Atlanta USA1998IPO NASDAQ ISSX 2001JASDAQ在27个国家有1 200名员工全球超过12 000企业用户业界唯一超过十二年资历 整合 研究 产品 服务 的安全厂商2006年Q3被IBM公司收购 IBMISS背景 威胁无所不在 安全已成为今天信息科技最热门的话题 受保护资源Protectedresources 外
2、国政府foreigngovernment 诈骗bilk 竞争对手rival 有组织犯罪Organizedcrime 内部威胁Internalthreat 黑客攻击Hackerattack 病毒virus 恶意攻击Viciousattack 自然灾害naturaldisease 事故Accidence 人为失误Humanmistake TheStateofEvolvingThreats e crime商业利益驱动Innovationtocapturenewmarkets victims VictimsegmentationandfocusStealthisthenew black 攻击速度不断加
3、速攻击模式更加复杂多变Attacksare Designer inNature 快速变化多端的威胁LimitedITresources减少安全风险和符合法律顺从性的压力ProcesscomplexityReduceoperatingcostsSecurityprogrammustshowvalue前瞻性防护VS反应式事后修补 ITChallenges Spam AntiVirus MalwareTrojan SpyWare Etc TheSoloProblem PointSolutionsnolongerprovideaneffectivedefenseagainsttoday scomple
4、xthreats Issueof Complexity Scalability ReportingNolongeraddressescomplexsecurityissues 银联事件 现象页面被修改植入木马程序分析通过WEB程序的弱点 获得了数据库的访问权限利用数据库权限管理的缺陷获取了敏感信息 例如后台管理员帐号和密码通过直接修改数据库 发布更改后的页面 该页面含有恶意网页脚本和木马诱使用户访问 使木马植入用户个人系统中通过木马控制用户个人系统 搜索银行帐号等信息 暴露的问题应用程序存在弱点数据库配置存在弱点缺乏有效的检测方法从事后的处理来看根据日志分析定位存在弱点的应用程序 进行修复 某
5、移动公司充值卡被盗 05年8月 移动值卡被盗卖系统集成公司工程师利用三年前在T移动维护的帐号和密码 通过互联网进入了B移动的充值数据库 盗取了价值370万的充值卡数据 B移动在此前花费了上亿元进行信息安全的建设和改造问题出在什么地方 威胁无所不在 并且日新月异 您能得到保护吗 我们110个基地中的每个都要花费30 60天来安装某个特定的补丁 美国空军 没有终止的循环 设法跟上打补丁的脚步 丰田 反应式补丁无法满足企业要求 ISSX Force 最了解互联网风险 X Force是全球最大规模的安全研发组织 高风险漏洞来源 Frost Sullivan2006 Internet 专注于收集和分析安
6、全风险每年发布30次以上的安全建议和警告每月找出200多个新的攻击手法维护超过30 000个漏洞的安全数据库开发了6000多个检查项用于检测和发现攻击手法发布季度网络风险总结 IRIS 2006年 发现7247个安全漏洞及攻击手法CVE创始人之一 CVE的审核者及工具提供者之一 料敌制胜 为何唯有ISS ISSstops EnemyattheGates ISSX Forceguysare X Men ISSkeepson Revolution IBM如何实现前瞻性防护 IBM企业安全平台EnterpriseSecurityPlatform提供了四个步骤 第一阶段 漏洞映射 ProventiaN
7、etworkScannerProventiaInternetScannerProventiaNetworkAnomalyDetectionSystemProventiaManagementSiteProtector InternetScanner主要功能 资产鉴别PingSweep导入范围枚举资产指纹库设备识别操作系统识别漏洞检测1800 安全检查项快速反应X Force研发组织策略管理19种默认策略支持自定义策略FlexCheck功能控制启动 终止 暂停继续 远程 命令行报告管理层报告执行层报告技术层报告 真实扫描时间增强动态检查分配 DynamicCheckAssignment Built
8、ins Plugins并发运行可以设置不扫描打印机或未知设备发现功能 Discovery 无IP地址限制提供传统的补丁加防护的方法来消除漏洞和IPS协作采用扫描加阻断的方法为用户提供前瞻性防护 FrostandSullivanMarketLeadershipAward 1MarketShare6ConsecutiveYears 默认帐户 Mis use Send mail web mail ftp DMZ InternetScanner 第二阶段 等级防护 ProventiaSiteProtectorSecurityFusionDesignServicesProventiaNetworkADS
9、 IBMADS异常流量检测系统 Recon检测检测slowscans fastscans stealth scans 和hostsweeps 指纹检测 ATF 检测违背行为指纹的流量 恶意代码 钓鱼软件 僵尸流量等等 IBMADS不断的开发新的算法精确检测内部的威胁 蠕虫检测检测异常行为的复制 SQLSlammer蠕虫 基于比率的异常检测检测从基准线上级别的流量 DoS攻击 内部滥用检测特定安全策略的违背的行为 helpdesk的工作者访问payrolldatabase 有效性损耗检测在关键服务器和Link的丢弃的流量 基于硬件 分布式的流量监控从现有的路由器和交换机收集Networkflow
10、信息或Mirror流量创建深层 动态的网络相关模型使用N维检测技术防护零天威胁 滥用和误用强大报表功能 运维 防护一目了然 ISSADS 服务器系统 网络层 终端用户 Internet 分支机构 第三阶段 虚拟补丁和修补 ProventiaIntrusionPreventionAppliancesProventiaIntegratedSecurityAppliancesProventiaDesktopProventiaServer IBMIPS入侵防护系统 ISSIPS主要特点应用ISSX Force研发结果 基于漏洞的防护 实现 前瞻性防护 VirtualPatch 虚拟补丁技术保证 零天防
11、护 核心技术为 HybridProtocolAnalysisModule ISS了解逻辑流和流量的状态ISS能够提供了最精确的防护 可支持160多种协议和数据格式 可检测 防护超过2500种攻击手法超强性能 GX6116为业界最大吞吐量设备 6Gpps 全球市场份额连年第一 ISSIPS 服务器系统 网络层 终端用户 Internet 分支机构 IBM多功能防火墙 防火墙 VPN通过地址 端口设置允许 禁止对象的名单DHCP服务器NAT PATDHCP客户端PPPoE DSL cable连接 入侵防护和ProventiaIPS相同的虚拟补丁VirtualPatch技术防病毒快速的文件分析HTT
12、P FTP SMTP POP3100 Wildlist全覆盖单点管理反垃圾邮件阻断垃圾邮件多种检测算法内容过滤阻断不适当的Web内容先进的检测技术最大的站点索引 IBM防火墙系列技术特点900种漏洞阻断项可查杀超过12万种病毒可过滤超过6千万个URL2 4Billion网站 1 5Billion图片 95 的垃圾邮件过滤1 10 000的误报病毒防护系统 VPS 间谍软件防护最佳性价比可同时工作在 路由模式 和 透明模式 下 ISSMX安全网关 服务器系统 网络层 终端用户 Internet 分支机构 IBM邮件安全系统 基本功能垃圾邮件过滤病毒检测入侵检测 垃圾邮件检测引擎垃圾邮件签名数据库
13、垃圾邮件URL垃圾邮件内部评分系统SBL贝叶斯分类统计系统垃圾邮件流检测垃圾邮件结构检测垃圾邮件关键字检测钓鱼邮件检测消息检测附件检测 支持120种以上文件类型 病毒检测 120K以上 黑名单白名单 服务器系统 网络层 Internet 分支机构 E MailSecurity ProventiaNetworkMailSecuritySystem 终端用户 IBM服务器安全防护 部署在重要服务器之上 广泛的平台适用性结合ISS网络入侵防护和主机保护技术对所部署的重要服务器进行全面防护可以防止渗透攻击 带宽耗尽 蠕虫和木马可以检测经SSL加密的攻击当审计事件允许时 ServerSensor可以允许
14、内核审计而不仅仅依赖于现存的userland输出用户事件可以在任何的Logfile中创建监控 可选使用RegEx 或者在网络流量中监控自定义流量 例如URL中的 dagmar ISSServerSensor 服务器系统 网络层 终端用户 Internet 分支机构 IBM桌面安全软件 企业级桌面防火墙高速攻击检测和防护应用程序控制策略检查双引擎病毒防护ISS专利的VPS行为分析病毒引擎ICSALabs认证间谍软件防护缓冲溢出防护SiteProtector 集中管理 ISS企业桌面防火墙占有率第一 IDC报告 ISS桌面安全 服务器系统 网络层 终端用户 Internet 分支机构 第四阶段 报
15、告和分析 SiteProtectorSecurityBenchmarking IBMSiteProtector统一管理平台 SiteProtector提供了针对漏洞评估 桌面 服务器 网络和网关防护等的统一命令控制 分析和报表功能 收益 在单一的管理系统中部署和运维节省了时间和金钱 快速分析 Fusion模块简化事件调查 SiteProtector 服务器系统 网络层 终端用户 Internet 分支机构 ISS安全服务 PSS SOC PSS 安全配置及规划 Deployment 紧急事件处理 ERS 信用卡PCI认证 SOC MSS 全球最大 资历最久的MSS SOC业者全球七座SOC 2
16、4小时不间断监控总数超过一千五百名用户每日处理事件数量超过二亿五千万笔以上全球管理超过18000设备数 每隔15分钟汇总全球安全信息到美国GTOC X Force专家实时 临床诊断 部署灵活 可帮助用户自建 也可采用VirtualSOC模式 节省用户投资 全球最佳的MSS SOC业者SC连续两年BestManagedSecurityServiceGartner MSSPMagicQuadrantLeader ISSSOC功能模块 VirtualSOC功能模块 Resource 最先进最全面的安全体系架构 提供前瞻性安全解决方案 IBM企业安全平台 整合安全智囊完整的专业安全服务网络安全的统一视图提供强大的平台和服务不同数据源之间的整合和关联分析最强大的设备24 7托管安全服务保障防护服务 IBMISS企业安全平台总结 CaseStudy部分中国用户列表 谢谢
