《互联网安全新趋势与应对策略》由会员分享,可在线阅读,更多相关《互联网安全新趋势与应对策略(42页珍藏版)》请在金锄头文库上搜索。
1、互联网安全新趋势 与应对策略Russell WuRussell Wu IronPortIronPort 大中国区总经理大中国区总经理 20092009年年1 1月月6 6日日日程趋势:垃圾邮件和僵尸网络 的发展趋势策略:思科/IronPort方案回顾: 2008年的威胁、攻击 和走势年度回顾:2008年的威胁和走势犯罪专业化催生了更尖端的 攻击犯罪分子利用用户的信任, 对传统的安全解决方案提出 挑战网络生态系统成为传播威胁 的首要载体数据和知识产权的丢失迅速 增加犯罪分子催生尖端的攻击Your Equitable Bank account is closed, call us now at 8
2、023544250 更加尖端 具有针对性 将电子邮件和网络相结合 使用新的载体,包括 SMS语音钓鱼 广泛使用社会工程 用户看不到隐藏的代码的可见指示 利用exploit代码进行的攻击数量倍增网络生态系统成为首要的威胁传播 载体攻击 BusinessW Asprox僵尸网络实施的攻击 AsproxAsprox僵尸网僵尸网络络络络精致、精致、 有智能而且尖端有智能而且尖端 SQL SQL 注入式攻注入式攻击击击击插入了插入了 恶恶恶恶意意i iFrameFrame Business WeekBusiness Week网站上网站上 有上百个有上百个页页页页面受到感染面受到感染利用用户的信任:名誉劫
3、持“我们强烈推荐利用代理创建多个账户,以避免被Gmail禁止”数据盗窃迅速上升l l 风险转移到了数据领域风险转移到了数据领域 罪犯罪犯 无意的披露无意的披露 l l 令人难以置信的利润丰厚的令人难以置信的利润丰厚的” ”多种经营多种经营” ” -欺诈 -Deceiving consumers to purchase. -信息盗窃 -Identity. -Credit card numbers. -Corporate information (compliance violation).l l My Canadian Pharmacy My Canadian Pharmacy $150M /
4、$150M / 年年 l l Christopher Smith (Christopher Smith (rizlerrizler) ) $20M $20M问题:问题:“你为什么总要抢银行?你为什么总要抢银行?” 回答:回答:“因为那里有的是钱因为那里有的是钱!”!”垃圾邮邮件和僵尸网络络 的发发展趋势趋势垃圾邮件发展趋势 2008年11月 由于僵尸网由于僵尸网络络络络无法无法访问访问访问访问 (McColoMcColo 关关闭闭闭闭),),1111月份的垃圾月份的垃圾邮邮邮邮件数量下降件数量下降垃圾邮件发展趋势 McColo关闭让网络犯罪措手不及 恢复时间较长 网络犯罪现在又回来了 可访问僵
5、尸网络C&C基础架构 可能建立适当的冗余备份 见机行事的缺陷修复 垃圾邮邮件数量回升 僵尸网络垃圾邮件数量增加McColo关闭的最新情况 年11月11日 McColo于2008年11月11日太平洋标标准 时间时间 1:30 pm关闭闭 McColo托管着: 僵尸网络络C&C基础础架构 恶恶意软软件 流氓安全产产品 网络络犯罪分支机构付款系统统 儿童色情网站垃圾邮件数量马上减少 SenderBase PerspectiveSenderBase 提供无与伦伦比的可视视 性 每天300多亿亿B的查询 量 150多个电子邮件和网络参数 全世界流量的30% Cisco 网络设备SenderBase 全球
6、查询查询2008年11月11日垃圾邮件数量发展趋势 McColo关闭闭 全球垃圾邮邮件数量回升僵尸网络数量发展趋势 McColo 关闭闭全球来自Mailer Reactor / Srizbi 僵尸网络络的垃圾邮邮件所占的百分比 Mailer Reactor / Srizbi 僵尸网络络数量回升网络钓鱼发络钓鱼发展趋势趋势IronPort Anti-Spam 网络钓鱼防护网络钓鱼络钓鱼 爆发发的新类类型 2008年12月5日开始 来自以下在线零售商的、要求提供反馈的电子邮件: 卡玛特和沃尔玛 调用实际的零售商客户满意度调查页面 询问信用卡信息,声称存入150美元作为奖励 然后,网络犯罪分子就窃取
7、信用卡信息 调查网站链接(附屏幕截图): http:/ IronPort 电电子邮邮件 + 网络络,迅速为为客户户提供保护护网络钓鱼邮络钓鱼邮 件示例CISCO/IronPort 应对策略传统方法的弊端但是我们已经安装了防火墙, IPS, 防病毒和 URL 过滤器了呀?!防火墙 不能组织25端口或者实用于 HTTP(S)请求的协议 IPS 不能阻止社会工程 防病毒 当病毒变种出现的时候完全失效了 从2003年开始使用390 LdPinch 安全签名 多于30,000种变体 URL 过滤 不能将一个无穷的信息来源加以分类 针对一个被黑的合法网站将不能提供保护 最终用户 当漫游时 经常不顾安全而选
8、择安装可能有问题的软件50% 的流量是 “容易被分类的” 可预见的流量, 公认的域网站数量流量50% 的流量是 “不容易被分类的” 110M 网站, 12B 网页每年增长40% 混和的合法网站,钓鱼软件和恶意程序大头头长长尾网络流量 长尾巴越来越长http:/ 用户下载免费的扫描产品,于是被感染一个特洛伊木马 这是一个僵尸网络使用社会型工程技术的实际案例是的, 这是一个恶意程序!在32家防病毒的厂商 中只有 4 家发现了这 个特洛伊木马网站数量流量大头头长长尾http:/ 属于哪个URL 分类?“不能分类类”“未分类的” 长尾 TrustedSource“没有加以分类”的长尾 Websense
9、“没有加以分类”的长尾 SiteAdvisor“没有加以分类”的长尾 Trend Micro“没有加以分类”的长尾 WebMarshal名誉的概念 给信息安全一个“实时” 的保护名誉度成功的关键 数据产生价值 通过观察电子邮件和网络共同的引人注意的信息流来 提高我们的探测能力 -垃圾邮件的83% 和全部电子邮件的80%包含 URL -电子邮件黑客部署基于网络的恶意程序的关键发送手段IronPort 电子邮件 安全网关IronPort 网络 安全网关IronPorts SenderBase结合了电子邮件和网络信息流分析SenderBase 数据名誉度成功的关键 久经考验的威胁分析是关键 URL
10、黑名单单 URL 白名单单 URL 分类类数据 HTML 内容数据 URL 行为为 全球发发送量数据 Domain注册人信息 动态动态 IP地址 被入侵的主机列表 网络络爬虫数据 网络络所有人 已知的具有威胁胁的URL 离线线数据 (财财富500强强,全球2000等 ) 网站历历史数据参数实时阻挡威胁数据分析/ 安全模型网络名誉度 得分 (WBRS) -10 to +10已知和未知网站的地址制服长尾的唯一办法 IronPort 名誉度过滤器DETECTED: May 16, 2008 SITE: http:/ FILE: setup.exe Malicious TrojanIronPort 的
11、观点安全的网络信息流 名誉度系统被证明是最有效的方式 对邮件提供预防性的保护 邮件在到达用户端之前封锁恶意程序的 链接 减小企业的数据丢失 执行标准的 DLP(数据丢失防护) 解 决方案 预防并阻止 “电话回呼” 行为 使用先进的扫描技术来防止数据丢失IronPort的多层防御C系列邮件安全SenderBase 名誉度过滤器 病毒爆发过滤器 防病毒 (Sophos, McAfee) IronPort 防垃圾邮件数据丢失预防 邮件加密S系列网络安全网络名誉度过滤器 防恶意程序(Webroot) 防病毒 (McAfee) IronPort URL 过滤器僵尸机探测 (L4四层) 协议执行 (IM, P2P)进进出针对2009年的建议 保持专注 按照战略安排优先 工作 采用整体安全方法 - 人员、流 程和技术 防御系统必须改变 网络访问控制 (inside-out firewall), DLP, 动态名誉度系统, 等等. 我们可以同心协力: 用户教育和宣传Network World,“最有用的20大IT安全网站” 思科安全中心 SenderBase www.senderbase.org了解更多信息2008年思科年度安全报报告
