企業(yè)信息安全APT治理戰(zhàn)略

1、企業(yè)信息安全APT治理戰(zhàn)略 Custom Defense 2.0Confidential | Copyright 2013 Trend Micro Inc.不斷演化的威脅The Evolving Threats280,000家公司被黑2,122 家公司被迫公開承認全球500強公司大面積淪陷涉及全球60多個國家信息安全 不堪回首往事歷歷在目 觸目驚心2014.9 iCloud好萊塢女性艷照門2013.3 韓國銀行及媒體遭APT攻擊2015.1 加密勒索軟件2014.11 索尼影業(yè)遭APT攻擊2015.2 Anthem醫(yī)療保險用戶資料外泄2013.9 Target 信用卡信息被竊2014.9 家得

2、寶信用卡信息被竊2011.3 RSASecurID 被竊案例一:全球最大的動態(tài)密碼鎖公司RSA遭受APT攻擊RSA攻擊事件：由一封以假亂真的郵件開始Excel文檔Adobe Flash 零日漏洞 (CVE2011-0609)RSA 遭受APT攻擊的來龍去脈根據(jù)Uni Rivner的調(diào)查，這起造成RSA史上最重大損害的源頭，是2封鎖定RSA公司內(nèi)兩小群員工的網(wǎng)絡(luò)釣魚信件。標(biāo)題寫著2011年招募計劃，也夾帶一個附加文檔這個Excel檔案其實已經(jīng)包含了一個當(dāng)時還沒有發(fā)現(xiàn)、也還沒有被修補的Adobe Flash漏洞該員工計算機被植入后門后，被遠程遙控在內(nèi)部做探測取得更高管理者權(quán)限入侵開發(fā)用服務(wù)器，加密

3、并壓縮機密數(shù)據(jù)用FTP傳到遠程主機，清除入侵痕跡時間：2013年3月20日下午2時范圍：韓國多家媒體與金融機構(gòu)約48,700臺計算機與服務(wù)器無法使用影響：業(yè)務(wù)運行中斷 銀行：ATM、網(wǎng)銀、營業(yè)廳交易停擺媒體：媒體向外播送的內(nèi)容無法更新，對外網(wǎng)站無法連接受感染機器上的數(shù)據(jù)無法回復(fù)8媒體銀行韓國廣播公司（KBS）韓國文化廣播公司（MBC）韓聯(lián)社新聞臺（YTN）新韓銀行農(nóng)協(xié)銀行濟州銀行案例二：320韓國攻擊事件320韓國攻擊事件：偽裝成銀行賬單郵件偽裝的三月份信用卡賬單通知惡意附件，文件名為“信用卡交易記錄”320韓國攻擊事件過程攻擊者帶有惡意附件的社交工程釣魚郵件惡意C&C站點下載監(jiān)控性惡意程序植

4、入木馬程序安博士（Ahnlab）更新服務(wù)器攻擊者利用合法更新機制將破壞性惡意程序快速部署到終端取得終端上留存的服務(wù)器登入信息，進行遠程攻擊刪除所有文件破壞MBR破壞MBR刪除所有文件Unix/Linux服務(wù)器區(qū)Windows終端受害企業(yè)在內(nèi)部控制更多機器案例三：美國Target客戶信用卡信息外泄事件110,000,0001.1 億信用卡與會員數(shù)據(jù)泄漏1,000,000,000治理成本超過 10 億美金，包含銀行重新發(fā)卡費用及更換所有 POS 終端(46)%2013 年第四季獲利下降 46%消費者合作伙伴攻擊者部署惡意軟件收集數(shù)據(jù)9 月以社交工程釣魚竊取憑據(jù)數(shù)據(jù)泄露11/15FTP通報11/27

5、 內(nèi)部治理12/12公開道歉12/1512/19意想不到的成本影響意想不到的連帶風(fēng)險意想不到的企業(yè)戰(zhàn)略影響意想不到的職業(yè)生涯影響CXOCXO意想不到的APT影響同業(yè)看法“殺毒軟件已死！”“傳統(tǒng)的殺毒軟件只能探測到45%的攻擊”賽門鐵克信息安全高級副總裁布萊恩代伊(Brian Dye) 2014.5“基于簽名的殺毒軟件功能更像是在捉鬼，而不是探測和預(yù)防威脅。”“在探測到的所有惡意軟件中，有82%只會保持一個小時的活躍性，70%只會出現(xiàn)一次。這是惡意軟件作者故意經(jīng)常調(diào)整軟件代碼，以便繞過傳統(tǒng)殺毒軟件的掃描?！卑踩?yīng)商FireEye2014.5APT攻擊的生命周期The Lifecycle of

6、Targeted Attack1. 情報收集使用公共信息資源（網(wǎng)絡(luò)社交工具，如微信，微博，朋友圈等）收集并研究目標(biāo)對象的相關(guān)信息，準(zhǔn)備實施定制化攻擊2. 單點突破利用社交工程學(xué)等手段（Email/IM或隱藏式下載等）將惡意代碼推送給目標(biāo)個體，創(chuàng)建后門，實施單點攻擊突破，準(zhǔn)備進一步網(wǎng)絡(luò)滲透3. 命令與控制 （C&C 通信）被入侵的計算機通過部署在互聯(lián)網(wǎng)的C&C服務(wù)器與攻擊者保持通訊，獲取攻擊者的指令及更多攻擊工具，用于后續(xù)階段的使用4. 橫向移動攻擊者立足之后，會滲透更多的內(nèi)部設(shè)備，收集憑證、提升權(quán)限級別，實現(xiàn)持久控制5.資產(chǎn)/資料發(fā)掘攻擊者使用一些技術(shù)和工具手段識別有價值的服務(wù)器及存放在這些服

7、務(wù)器上的重要信息資產(chǎn)6.資料竊取在收集了敏感信息之后，攻擊者將把數(shù)據(jù)歸集起來進行壓縮和加密，再通過外部暫存服務(wù)器將數(shù)據(jù)外傳出去APT攻擊的6個階段趨勢科技“演化的APT治理戰(zhàn)略”TrendMicro “Custom Defense 2.0”20“螺旋迭代”的威脅響應(yīng)周期The Interconnected Threat Response (ITR) Cycle21Midsize & Enterprise Business“螺旋迭代”的威脅響應(yīng)周期（一個中心四個過程）監(jiān)控通過數(shù)據(jù)發(fā)掘、加密、防泄漏、應(yīng)用控制、APT追蹤等技術(shù)，防止信息資產(chǎn)被非法訪問或外泄阻止檢測攻擊者所使用的，傳統(tǒng)防御無法識別的

8、惡意對象、通訊及行為等威脅偵測制定治理策略，執(zhí)行補救措施，清除威脅、實施聯(lián)動保護，適應(yīng)防護變化的要求響應(yīng)確認威脅是否發(fā)生，分析威脅，判斷攻擊和攻擊者的本質(zhì)，回溯攻擊場景，評估威脅的影響和范圍分析監(jiān)控阻止偵測響應(yīng)分析ITR - 監(jiān)控作用：治理戰(zhàn)略的中控系統(tǒng)，貫穿整個治理周期的始終目的：使用統(tǒng)一管理平臺，匯總威脅信息，共享威脅情報，制定治理策略，展示治理成果組件：Trend Micro Control Manager特點：基于本地及云端的混合管理全面的威脅情報共享集中的用戶可視化實時的關(guān)注點分析靈活的策略管理自動的更新機制統(tǒng)一的日志和報告全球SPN本地SPN工作機制：獲取威脅信息威脅偵測日志全球/

9、本地威脅特征下發(fā)全球/本地威脅特征反饋最新威脅TMCM監(jiān)控阻止偵測響應(yīng)分析ITR - 監(jiān)控DS Saas數(shù)據(jù)中心DDAN深度威脅分析Deep EdgeIWSATDA（DDI）網(wǎng)絡(luò)與網(wǎng)關(guān)IMSAScanMailDDEI郵件與通訊OSCEDLPDDES服務(wù)器與終端Deep Security數(shù)據(jù)中心監(jiān)控阻止偵測響應(yīng)分析作用：治理戰(zhàn)略的神經(jīng)系統(tǒng)目的：檢測攻擊者所使用的，傳統(tǒng)防御無法識別的惡意程序、通訊及行為等威脅組件：Deep Discovery產(chǎn)品系列構(gòu)成網(wǎng)絡(luò)神經(jīng)中樞趨勢科技全線產(chǎn)品構(gòu)成網(wǎng)絡(luò)神經(jīng)元特點：全面的偵測體系（從物理架構(gòu)到虛擬化架構(gòu)，從本地到云端，從網(wǎng)絡(luò)到服務(wù)器再到終端，趨勢科技全線產(chǎn)品參與

10、其中）縝密的威脅偵測（偵測內(nèi)容包括文件、URL、通訊，以及行為等可疑對象）高級的威脅分析（使用DD系列相關(guān)產(chǎn)品對各個網(wǎng)絡(luò)神經(jīng)元所偵測到的可疑對象做進一步深度威脅分析，確認新的威脅以及威脅的本質(zhì)）實時的威脅情報共享（DD系列相關(guān)產(chǎn)品將確認的新的威脅通過TMCM共享到各個網(wǎng)絡(luò)神經(jīng)元，以提高新威脅的偵測能力）ITR - 偵測全球SPN本地SPN工作機制：威脅偵測通過全球/本地特征偵測已知威脅通過高級掃描引擎?zhèn)蓽y可疑威脅分析可疑威脅提交新威脅特征（本地/全球）下發(fā)新威脅特征新一輪威脅偵測TMCM監(jiān)控阻止偵測響應(yīng)分析可疑威脅對象新型威脅特征 (文件Hash、 IP、 URL、域) 以及OpenIOC信息

11、C&C黑名單DDAN深度威脅分析Deep EdgeIWSATDA（DDI）網(wǎng)絡(luò)與網(wǎng)關(guān)IMSAScanMailDDEI郵件與通訊OSCEDLPDDES服務(wù)器與終端ITR - 偵測DS Saas數(shù)據(jù)中心Deep Security數(shù)據(jù)中心監(jiān)控阻止偵測響應(yīng)分析作用：治理戰(zhàn)略的取證分析系統(tǒng)目的：確認威脅是否發(fā)生，分析風(fēng)險、攻擊和攻擊者的本質(zhì)，回溯攻擊場景，評估威脅的影響和范圍組件：Deep Discovery Endpoint Sensor（終端取證及行為分析）特點：詳盡的終端活動記錄（對于部署在本地、遠程及云端的終端，采用輕量化代理程序長期記錄其內(nèi)核層次的重要活動與通訊事件）靈活豐富的調(diào)查條件（包括O

12、penIOC 、Yara、DD分析結(jié)果，如文件的哈希值、文件名、文檔路徑、文件類型；系統(tǒng)注冊表活動、執(zhí)行的處理程序、使用者賬號活動等）多層次內(nèi)容關(guān)聯(lián)分析（從點線面多個層面關(guān)聯(lián)分析惡意軟件實際執(zhí)行的行為和結(jié)果，分析攻擊和攻擊者的本質(zhì)及意圖，以及威脅所產(chǎn)生的風(fēng)險）完整的攻擊場景回溯全面的威脅影響及范圍評估ITR 分析TMCM Console監(jiān)控阻止偵測響應(yīng)分析DDI (TDA)DDEI、DDAN深度威脅檢測及分析OSCEDLPDDES服務(wù)器與終端DDES ConsoleIOC工作機制：一旦DD識別出發(fā)送給終端的惡意程序，DD會通過嵌入在TMCM的DDES控制臺向DDES終端發(fā)起查詢確認并調(diào)查終端威

13、脅滲透情況通過相似的IOC掃描其他終端繪制時間軸線及入侵路徑回溯攻擊場景，評估影響和范圍制定隔離及補救計劃ITR - 分析From ToTo監(jiān)控阻止偵測響應(yīng)分析ITR - 分析影響和范圍監(jiān)控阻止偵測響應(yīng)分析作用：治理戰(zhàn)略的聯(lián)動治理及防護系統(tǒng)目的：制定治理策略，執(zhí)行補救措施，清除威脅、實施聯(lián)動保護，適應(yīng)防護變化的要求組件：Trend Micro Control Manager（負責(zé)制定及分發(fā)治理策略）OSCE & DS（威脅清除或隔離），趨勢科技全線產(chǎn)品及其他第三方安全產(chǎn)品（參與聯(lián)動保護）特點：靈活的策略定制便捷的策略分發(fā)及時的補救措施有效的威脅清理全面的聯(lián)動保護自適應(yīng)的安全防護ITR - 響應(yīng)

14、全球SPN本地SPN工作機制：制定并下發(fā)威脅治理策略隔離被滲透的終端與服務(wù)器清除駐留在終端與服務(wù)器上的惡意程序物理設(shè)備 (OSCE-Mutex/Hash)虛擬化設(shè)備 (DS-NSX標(biāo)簽)共享新威脅特征，加固網(wǎng)絡(luò)神經(jīng)元趨勢科技全線產(chǎn)品第三方安全產(chǎn)品TMCM監(jiān)控阻止偵測響應(yīng)分析DS Saas數(shù)據(jù)中心ITR - 響應(yīng)共享威脅特征(文件Hash/URL/IP/域)HillStoneHPPalo AltoIBM XGSBluecoat第三方安全產(chǎn)品共享威脅特征DDAN深度威脅分析Deep EdgeIWSATDA（DDI）網(wǎng)絡(luò)與網(wǎng)關(guān)IMSAScanMailDDEI郵件與通訊OSCEDLPDDES服務(wù)器與終

15、端Deep Security數(shù)據(jù)中心文件Mutex/HashNSX Tagging監(jiān)控阻止偵測響應(yīng)分析作用：治理戰(zhàn)略的預(yù)防系統(tǒng)，主要針對APT攻擊的第5步和第6步實施安全防御目的：通過數(shù)據(jù)發(fā)掘了解信息資產(chǎn)的分布，通過數(shù)據(jù)加密、防泄漏、應(yīng)用控制、APT追蹤等技術(shù)，防止信息資產(chǎn)被非法訪問或外泄組件：Data Discovery 、Data Encryption、 DLP、 Application Control 特點：發(fā)掘并定位敏感數(shù)據(jù)制定并下發(fā)敏感數(shù)據(jù)訪問策略實施應(yīng)用控制，減少系統(tǒng)漏洞以及接觸敏感數(shù)據(jù)的風(fēng)險ITR阻止監(jiān)控阻止偵測響應(yīng)分析工作機制：數(shù)據(jù)發(fā)掘及加密通過TMCM制定并部署Data Di

16、scovery策略給終端和服務(wù)器敏感文件信息通過OSCE服務(wù)器上傳給TMCM，并通過TMCM的日志/關(guān)注點/報告展現(xiàn)如果安裝了趨勢科技文件加密插件，可使用密碼或用戶/組信息對敏感文件加密系統(tǒng)加固通過禁止執(zhí)行新的應(yīng)用程序加固系統(tǒng)根據(jù)不同系統(tǒng)和用戶設(shè)置層次化的應(yīng)用管理策略，如禁用所有瀏覽器、P2P 以及在線存儲應(yīng)用等允許OS自動更新、允許使用IE, Office, Adobe 以及SafeSync等應(yīng)用ITR阻止策略關(guān)注點日志報告掃描配置掃描策略&命令掃描報告掃描報告掃描引擎匹配引擎策略引擎Data Discovery 工作原理TMCMOSCE ServerOSCE Client全球SPN本地SP

17、NTMCM監(jiān)控阻止偵測響應(yīng)分析DS SaaS數(shù)據(jù)中心ITR - 完整工作機制本地新型威脅特征HPPalo AltoIBM XGSBluecoatHillStone第三方安全產(chǎn)品共享威脅特征DDAN深度威脅分析Deep EdgeIWSATDA（DDI）網(wǎng)絡(luò)與網(wǎng)關(guān)IMSAScanMailDDEI郵件與通訊OSCEDLPDDES服務(wù)器與終端Deep Security數(shù)據(jù)中心文件Mutex/HashNSX Tagging獲取全球威脅特征上傳本地威脅特征本地新型威脅特征：文件Hash、 IP、 URL、域以及OpenIOC信息C&C黑名單獲取本地威脅情報下發(fā)全球威脅特征可疑威脅對象本地安全情報回路全球安

18、全情報回路“螺旋迭代”的威脅響應(yīng)周期適應(yīng)性每經(jīng)歷一個響應(yīng)周期，都會偵測、分析、識別、阻止到新的威脅，使整個系統(tǒng)不斷適應(yīng)并提高針對新型威脅的預(yù)防和治理全面性全面的網(wǎng)絡(luò)部署全面的威脅治理監(jiān)控阻止偵測響應(yīng)分析開放性在這個體系中， SPN/TMCM/DD是體系的核心，體系中既有趨勢科技的各種類型產(chǎn)品，又有第三方的安全產(chǎn)品戰(zhàn)略核心構(gòu)成Core Components361. 趨勢科技云安全智能防護網(wǎng)絡(luò) (SPN)TrendMicro Smart Protection Network (SPN)37個人及家庭終端服務(wù)器虛擬化郵件網(wǎng)絡(luò)SaaS網(wǎng)關(guān)中小企業(yè)大型企業(yè)合作伙伴及OEM政府機構(gòu)寬泛的用戶及產(chǎn)品覆蓋全球

19、威脅智能使用大數(shù)據(jù)分析（數(shù)據(jù)挖掘、機器學(xué)習(xí)、建模、關(guān)聯(lián)），快速精確分析并識別威脅：威脅發(fā)現(xiàn)和更新的速度是行業(yè)平均水平的50倍使用大數(shù)據(jù)分析及威脅鑒定，每天分析100TB的關(guān)聯(lián)數(shù)據(jù)，識別出30萬種新型威脅全球網(wǎng)絡(luò)神經(jīng)元收集全球各地的威脅情報：全球超過1.5億個網(wǎng)絡(luò)神經(jīng)元部署每天有10多億次云端威脅查詢涵蓋文件、URL、域、IP、App、漏洞等主動保護實時威脅防護:500,000+ 核心業(yè)務(wù)上百萬家企業(yè)用戶每天阻止2.5億次威脅入侵利用SPN的“回路機制”，將全球威脅特征分發(fā)給趨勢科技以及合作伙伴的各種終端、服務(wù)器、網(wǎng)關(guān)等安全產(chǎn)品，用于威脅偵測及安全防護。云安全智能防護網(wǎng)絡(luò)2. 趨勢科技控制管理中

20、心 (TMCM)TrendMicro Control Manager (TMCM)40互聯(lián)網(wǎng)新企業(yè)邊界企業(yè)邊界企業(yè)分行了解安全信息共享威脅情報下發(fā)安全策略 企業(yè)員工威脅分析SIEMDeep SecurityOSCETMMSDLPDDESIWSADeep EdgeTDA(DDI)IMSASMEXDDEISafesyncTMPSSharepoint數(shù)據(jù)中心終端與移動網(wǎng)絡(luò)與網(wǎng)關(guān)郵件與通訊專業(yè)應(yīng)用終端與移動OSCETMMSDLPDDESDS Saas數(shù)據(jù)中心IWSADeep EdgeTDA網(wǎng)絡(luò)與網(wǎng)關(guān)數(shù)據(jù)安全TMCMTMCM完整的企業(yè)控制管理中心3. 趨勢科技深度威脅發(fā)現(xiàn)平臺 (DD)TrendMicr

21、o Deep Discovery Platform (DD)42深度威脅發(fā)現(xiàn)產(chǎn)品平臺深度威脅安全網(wǎng)關(guān) Deep Edge基于下一代防火墻，提供APT防護、惡意程序防護、虛擬補丁、零日漏洞防護、Web及郵件信譽等多種高級內(nèi)容安全深度威脅郵件網(wǎng)關(guān) DDEI阻止社交工程釣魚郵件導(dǎo)致的網(wǎng)絡(luò)攻擊及數(shù)據(jù)泄漏深度威脅分析設(shè)備 DDAN與現(xiàn)有安全產(chǎn)品聯(lián)動，使用定制化沙箱提升未知威脅的識別能力，保護現(xiàn)有安全投資深度威脅發(fā)現(xiàn)設(shè)備 TDA識別高級惡意軟件，C&C通訊，全方位監(jiān)控攻擊者的活動 深度威脅終端取證與行為分析系統(tǒng) DDES調(diào)查發(fā)生在服務(wù)器和終端的網(wǎng)絡(luò)攻擊和惡意行為深度威脅發(fā)現(xiàn)平臺Gartner“2014年信息安全趨勢與總結(jié)”APT解決方案的五種產(chǎn)品類型：網(wǎng)絡(luò)流量分析型 (TDA/DDEI)網(wǎng)絡(luò)取證型 (TDA/DDEI)威脅有效負荷分析型 (DDAN)終端行為分析型 (DDES)終端取證型 (DDES)4. 趨勢科技APT治理專屬咨詢服務(wù)PSPTrendMicro APT Defense Service451. 偵測2. 告警3. 分析4. 找到方案5. 采取措施偵測可疑威脅向管理員發(fā)出告警管理員查證并分析原因管理員需要從AV廠商拿到解決方案，或手工提交樣本給AV廠商管理員下發(fā)策略APT治理服務(wù)大多數(shù)用戶在第3和第4步會遇到資源及技能方面的問