《《构建主动安全防护》PPT课件》由会员分享,可在线阅读,更多相关《《构建主动安全防护》PPT课件(23页珍藏版)》请在金锄头文库上搜索。
1、构建主动安全防护构建主动安全防护何兴伟何兴伟技术顾问技术顾问McAfee公司公司全球最大的纯安全公司全球技术、市场领先的安全厂商在纽约证交所上市前身是被评为“世界网络公司前十强” 的Network Associates Inc. (美国网络联盟)_年_月正式改名为McAfee Inc.McAfee在中国的分支机构安网(上海)软件有限公司(全资子公司)9/9/20242内容内容面临的威胁的变化传统的安全方法构建主动安全防护主动的安全管理总结9/9/20243威胁统计威胁统计PrimaryInfection VectorAdditionalPropagation Vectors & Actions
2、100%45%23%10%10%5%8%73%42%17%12%10%10%2%66 Threats 66 Threats Rated Medium Rated Medium or Higher*or Higher*(AVERT01/03 10/04)90%90%Mass MailerMass Mailer(Email Worm)(Email Worm)10%10%Vulnerability-Vulnerability-based Wormbased WormEmail Remote AccessP2PTerminate ProcessShare Hopper DownloadRemote F
3、ile CopyKey LoggerExploit Registry DeleteFile InfectorDOSApplication SpoofFile DeletionExploitRemote AccessDownloadDOS100%83%33%17%9/9/20244从弱点到受到威胁的从弱点到受到威胁的TimelineRisk Exposure for Critical Assets DiscoveryDiscoveryRemediationRemediation“Stop counting attacks and start managing vulnerabilities.”
4、John Pescatore, GartnerVulnerability DiscoveredAutomatedExploitExploitPublicVulnerabilityAnnouncedThreatThreatExposureExposureAs vulnerabilities become exploited and made public the risk to critical assets increases9/9/20245从弱点到出现相应的蠕虫的时间变化从弱点到出现相应的蠕虫的时间变化 Foundstone, 2004 (represents automated worm
5、s January 1999 through May 2004)MelissaSadmindSonicBugbearCode RedNimdaSpidarSlammerSlapperBlasterWelchiaNachiWittySasser9/9/20246威胁在变化和演变攻击比以前更快和更聪明攻击更省力,成功机率更高变化总是存在 因果循环绕过现有的“安全标准”安全威胁的不断变化安全威胁的不断变化9/9/20247对抗威胁的传统安全方法对抗威胁的传统安全方法防火墙无法阻挡利用系统弱点的攻击网络入侵只能报警,无法实施阻断;误报率高防病毒软件依赖于病毒特征码传统安全方法的最大薄弱环节:被动安全9
6、/9/20248防火墙无法阻挡利用系统弱点的攻击防火墙无法阻挡利用系统弱点的攻击Apache module 2.8.9 Fireware:Open TCP:443Apache mod_ssl Off-By-One HTAccess Buffer Overflow运行服务器中的任何命令9/9/20249防病毒软件的防病毒软件的“漏洞之窗漏洞之窗”3 Months6 Months0发现病毒发现病毒3 Hours6 HoursTime3 Days漏洞之窗发布补丁AVERT客户客户9/9/202410McAfee 主动安全防护主动安全防护ANTI-MalwareFIREWALLINTRUSIONPRE
7、VENTION由被动到主动由被动到主动由物理边界到虚拟由物理边界到虚拟边界边界由探测到实时防护由探测到实时防护nMcAfee主动防护对抗新的威胁和将来的威胁PolicyEnforcer9/9/202411下一代技术下一代技术不需要病毒签名不需要病毒签名情况下提供前瞻性威胁防护情况下提供前瞻性威胁防护访问访问防护策略防护策略缓冲区溢出防护缓冲区溢出防护使用规则使用规则进行端口进行端口阻断阻断使用传统使用传统使用传统使用传统防病毒产品的防病毒产品的防病毒产品的防病毒产品的响应式防护响应式防护响应式防护响应式防护使用使用使用使用 i i 进行前瞻进行前瞻进行前瞻进行前瞻性防护性防护性防护性防护提供提
8、供提供提供提供提供Zero-dayZero-dayZero-day防护!防护!防护!防护!防护!防护!9/9/202412从入侵探测到入侵防护从入侵探测到入侵防护Inline模式,实时阻断攻击(dropping attacks)技术先进采用专用ASIC技术的硬件设计深层封包检测混和型检测技术灵活的策略配置IPS系统也可以用作IDS9/9/202413阻止 Zero-Day 攻击数据隐私保护实时阻止已知攻击访问授权控制保护关键应用主机入侵防护主机入侵防护System Call、RPC调调用、用、API调用拦截调用拦截综合保护应用、数据和综合保护应用、数据和系统系统主动、自动和继承的策主动、自动和
9、继承的策略强制略强制9/9/202414学校网络学校网络学校网络学校网络主动防护阻止主动防护阻止Exploits和和Vulnerability-based WormsWindowsPC Windows中存在的安全弱中存在的安全弱点点 被利用被利用“A Crack in the Window”Sales ForceSales ForceCustomersCustomersExploit导致系统崩溃导致系统崩溃4Exploit利用利用Windows 弱点写入系统弱点写入系统1eStoreeStoreeServereServerInternetInternetInternetInternetSyst
10、emSystemFileFile感染文件感染文件2写入内存写入内存3MemoryMemory传播、远程操作传播、远程操作例如:非授权下载例如:非授权下载 安装后门安装后门5NIPS or HIPS可以可以block, prevent & reduce these exploitsRemote Remote WorkersWorkersInternetInternet9/9/202415主动安全技术主动安全技术McAfee Solutions Blocked or Contained McAfee Solutions Blocked or Contained 100 Percent at Day
11、 Zero (Pre-exploit)100 Percent at Day Zero (Pre-exploit)BlockedDay 1ContainedContainedNetskyBlockedBlockedSasserBlockedDay 1ContainedMyDoomBlockedBlockedZotob攻击McAfeeIntruShieldMcAfeeEnterceptMcAfeeVirusScanEnterpriseContainedBlockedBlocked出色的阻挡能力9/9/202416主动安全管理主动安全管理McAfee Policy Enforcer 策略强制策略强制
12、1. 定义定义系统 compliance policies9/9/2024171. 定义定义系统 compliance policies主动安全管理主动安全管理McAfee Policy Enforcer 策略强制策略强制2. 探测探测当计算机连接到网络9/9/2024183. 评估评估实时评估 compliance - McAfee 和第三方安全应用微软补丁 High risk infections & more1. 定义定义系统 compliance policies2. 探测当计算机连接到网络主动安全管理主动安全管理McAfee Policy Enforcer 策略强制策略强制9/9/2
13、024194. 强制Non-compliant 系统 被阻挡或隔离到VLAN3. 评估实时评估 compliance - McAfee 和第三方安全应用微软补丁 High risk infections & more1. 定义定义系统 compliance policies2. 探测当计算机连接到网络主动安全管理主动安全管理McAfee Policy Enforcer 策策略强制略强制9/9/2024205. 补救补救Non-compliant系统被重订向到补救portal主动安全管理主动安全管理McAfee Policy Enforcer 策略强制策略强制3. 评估实时评估 complian
14、ce - McAfee 和第三方安全应用微软补丁 High risk infections & more1. 定义定义系统 compliance policies2. 探测当计算机连接到网络4. 强制Non-compliant 系统 被阻挡或隔离到VLAN9/9/202421主动安全管理主动安全管理 Policy Enforcer ScannerPolicy Enforcer Sensor241ePO Policy ServerRemote ScanDHCP ResponseDefine system compliance policies定义定义定义定义1Policy Enforcer Sc
15、anner remotely scans for compliance评估评估评估评估33Policy Enforcer Sensor detects when systems connect to the network (Broadcasts, ARP, DHCP)探测探测探测探测2Non-compliant systems are redirected to Quarantine VLAN强制强制强制强制4Non-compliant systems redirected to Remediation Portal 补救补救补救补救5Unmanaged System3Heterogeneous Network公司网络公司网络隔离网络隔离网络/VPN5Non-CompliantCompliant9/9/202422总结总结传统被动安全防护不再有效McAfee 提供主动安全防护和管理威胁不断变化9/9/202423