《新威胁环境下的信息安全概述.ppt》由会员分享,可在线阅读,更多相关《新威胁环境下的信息安全概述.ppt(50页珍藏版)》请在金锄头文库上搜索。
1、新威胁环境下的信息安全,启明星辰 崔晓鑫,2013不缺安全话题,无线路由器系列事件,D-link 路由器后门事件 User-Agent标志修改为:xmlset_roodkcableoj28840ybtide,“Edit by 04882 Joel Backdoor” Alpha Networks 技术总监,无线安全威胁,无线安全分类,拒绝服务 解除关联 持续时间域欺骗 射频干扰攻击,泄密 流氓AP 非法外联 Ad Hoc,攻击 无线钓鱼攻击 无线中间人攻击 无线跳板攻击 。,未授权访问 无加密、WEP、WPK 无线嗅探、破解,云计算网络安全威胁,传统威胁,引入威胁,App,OS,VM,VMM
2、(OS),HW,Networks,vNetworks,安全防护,云计算网络安全威胁,OpenSSL被黑,个人信息泄漏,2013年汉庭如家酒店入住信息,移动终端,BYOD,移动终端,iOS 7.0.3破解 KeenTeam 在东京举办的全球顶级安全竞赛Pwn2Own上,国内团队碁震云计算安全研究团队在不到30秒的时间内攻破了苹果最新手机操作系统iOS 7.0.3,美国调查,78%的小偷使用Facebook、Twitter、FourSquare 来寻找、观察目标“客户”。74%的小偷会使用Google Street 看看“客户”门前的状况。,社交网络,社交网络,微信三点定位法,APT攻击,APT(
3、Advanced Persistent Threat) 高级持续性威胁顾名思义,这种攻击行为首先具有极强的隐蔽能力,通常是利用企业或机构网络中受信的应用程序漏洞来形成; 其次APT攻击具有很强的针对性,攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息,情报收集的过程更是社工艺术的完美展现;,2011:窃取RSA令牌种子,2010:震网攻击伊朗核电站,2009:极光攻击,2012:大量攻击中东多年,APT攻击特性,持续性 同发性,个人终端突破 多攻击向量 社工 0DAY,社工 跳板,可信通道 加密 缓慢长期,长期窃取 战略控制 深度渗透,有趣的攻击类型,Blackhat
4、2013 利用充电器,攻击Iphone IOS,有趣的攻击类型-国产电熨斗,据俄罗斯媒体报道, 从中国进口的电熨斗里面拆出称为“小麦克风”的芯片。据说这些芯片能够接收半径为200米以内没加密的wifi信号,大部分用于病毒传播、渗入公司网络发送垃圾邮件等,更为复杂的信息安全,新技术、新应用以及新服务带来新的安全风险 关键基础设施及工业控制系统渐成目标 有组织团体的“网上行动能力”增强 网络犯罪猖獗 网络安全问题与其他传统安全的相互交织,工业控制系统,社交网络,网络支付,需要更为全面的信息安全,“网络”的安全 “应用”的安全 “数据”的安全 信息安全是一项系统工程,从信息的空间分布、生命周期及流向
5、的每一个环节,都可能成为影响信息安全的威胁点,覆盖整个网络剖面的安全需求,边界安全,应用安全,数据安全,安全管理,终端安全,新业务、新安全,启明星辰的新安全,启明星辰新的产品布局,以信息的全生命周期流程为对象,全业务流程的安全产品布局,边界安全产品,边界安全: 提供针对接入边界的安全防护功能 包括对有线网络、无线网络的接入安全防护。,边界安全,防火墙,UTM,应用交付,入侵防御,无线安全,防火墙,UTM,IPS,无线安全,应用交付,核心价值,解决问题,网络边界安全控制,用完善的功能满足边界安全各类应用的防护 解决无线接入控制,私搭AP以及无线AP钓鱼问题 解决链路及应用的可用性问题,保证业务连
6、续,非授权AP接入控制,链路及应用可用性,终端安全产品,终端安全: 提供接入网络终端的安全管理功能,终端管理,终端管理,核心价值,解决问题,多层准入控制,确保终端状态合规、网络访问合规、应用合规,应用安全产品,应用安全: 对各类业务应用提供安全防护及检查功能,WEB 服务器,IDS,漏洞扫描,WAF Web应用防火墙,核心价值,解决问题,WEB服务器防护,保障企业Web服务的应用安全,实现Web应用可用、安全、快速 对各类威胁行为的全面检测和集中分析 对全网的弱点集中发现量化资产面临的风险并提供解决方案,关键威胁路径 入侵检测,系统脆弱性评估,数据安全产品,数据安全: 对核心数据提供监测、保护
7、等安全功能,数据库审计,核心价值,解决问题,数据库关键业务 操作行为审计,保障企业关键数据库的安全 促进业务内控管理效率,确保计算环境域关键业务合规 发现通过移动存储、网络等进行的泄密行为 重要文件加密,敏感信息泄露检查,文件系统透明加密,27,管理平台技术架构,泰合安全管理平台体系,符合等级保护基本要求的安管平台,29,VenusTech Confidential,等级保护差距报告,新技术应对新威胁,安全技术的新方向,新技术之APT攻击检测,不依赖于事先设定的规则库 不需要“在线更新” 不需要人工调整即可应对新威胁,启明星辰入侵检测产品家族,传统入侵检测,恶意代码检测(0day攻击检测),异
8、常流量检测,敏感信息泄露检测,定制化检测,传统基于SandBox,很容易被具有环境学习的未知恶意代码绕过,MDS中的前置引擎基于静态的指令特征识别恶意代码,因此不存在被具有环境学习的恶意代码所绕过,文件还原,捕包,word,excel,pdf,tif,AV(已知代码库),前置引擎,Shellcode 指令库,传统 恶意代码库,文件解析(分离数据区、控制区) 提取文件数据区,检测shellcode指令 提取文件控制区,检测漏洞利用指令 产生可疑文件报警(但无法区分0day/Nday),后置引擎(VX),将可疑文件加载至SandBox打开、执行 跟踪文件打开、执行过程中的系统调用 提取文件中的可疑
9、code 确定所利用的漏洞是0day还是Nday,Nday漏洞 特征库,新技术之0day攻击检测,新技术之安全域流量监控,新技术之安全域流量监控,安全域流量监控,不同的安全域间、子域间部署 分光器或者分流器(可选);或者直接镜像口抓包,取决于试点的安全域实际要求,部署启明星辰安全域流量监控与 分析产品的流量采集和协议分析引 擎对流量进行解析,安全域,安全域,部署启明星辰安全域流量监控与分析产品的集中控制中心,对引擎上报数据进行分析、统计、展现和其它管理功能,分光器/分流器,启明星辰安全域流量监控与分析产品,其它DPI设备,其它DPI设备,端口镜像,端口镜像,安全域流量监控,安全域流量监控,难以
10、察觉防火墙策略开放过大 难以监测到非必要连接 难以判断违规的网络结构 不了解安全域间、域内真实流量,解决的问题,有助于落实安全域划分规范,协助实现防火墙策略最 小化部署,可视化直观展现互连关系 便于管理人员判断互连合规性 为安全域实际划分情况提供基础数据支撑 精确判断资产是否遵守入网规范要求 实时监控是否存在违规流量 促进核查方式从人工方式到自动化检测转变,及时规范网络结构 杜绝不必要的互连互通 规范并维护安全域的合理结构,有助于核查防火墙策略,39,新技术之管理平台创新-分布式存储,分布式事件存储,数据写入代理,Day1,Day2,DayN,事件库维护,备份/恢复,文件系统,N,压缩/加密,
11、(分布式查询/数据装配) 数据访问代理,运行监控,历史查询,数据抽取,syslog,按时间均匀分布 并创建索引,分布式事件查询 Map/Reduce,分布式事件存储,查询请求,查询请求分解与路由,查询器,查询器,查询器,查询器,查询结果装配,查询结果返回,Map,Reduce,41,面向业务的安全管理,为用户提供业务支撑拓扑地图,能够对业务进行多视角安全管理,业务拓扑,TSOC内置业务建模工具,可以构建业务拓扑,并自动构建业务健康指标体系,从业务的性能与可用性、业务的脆弱性和业务的威胁三个维度计算业务的健康度,业务健康指数度量,业务可用性分析,业务告警,业务事件,业务安全,主动化的弱点管理与预
12、警,响应与修复,检测 安全事件分析 网络监控 风险分析,攻击与违规发生,配置安全核查 漏洞扫描,安全威胁预警,被动安全管理,主动安全管理,指标化的宏观安全感知,态势分析,表征整个网络安全运行态势的指标,表征整个网络安全管理水平的指标*,44,安全管理水平评价指标,指标配置文件 支持自定义,样本,从管理的角度建立一套表征安全管理水平的评价指标体系,并通过相应的数学模型计算某个区域的安全管理建设水平,新技术之虚拟化防护导流技术,安全策略管配中心,新技术之虚拟化防护导流技术,流量操控: 捕获分流汇聚 还原安全域边界,重构边界链路,新业务,新安全,新思考,新家园、新开始、新希望,我们真正的安全需求,OR,项目经验提炼,安全产品与安全服务,感谢您的关注!,
