威脅管理戰(zhàn)略-APT

Classification10/16/20231云時代威脅管理戰(zhàn)略林義軒JayLinClassification10/16/20232威脅管理戰(zhàn)略說明國內(nèi)案例分享威脅發(fā)現(xiàn)設(shè)備詳細說明Classification10/16/20233威脅管理戰(zhàn)略說明國內(nèi)案例分享威脅發(fā)現(xiàn)設(shè)備詳細說明最近的信息安全情況進階持續(xù)性威脅具系統(tǒng)存取權(quán)限的合法人員利用系統(tǒng)弱點進行感染攻擊傳統(tǒng)的資安機制已不足以保護您重要的資產(chǎn)…Classification10/16/20236多方位的攻擊*偵查*找出可用弱點*入侵*收集資料*資料外傳*潛伏APT刻苦型攻擊手法使用者3.進行內(nèi)網(wǎng)弱點掃描、攻擊?；蚋`錄網(wǎng)路流量中的密碼等敏感資訊。2.植入後門程式1.攻擊外部伺服器的弱點4.透過弱點或竊得的密碼攻擊更多內(nèi)部電腦。5.植入後門程式，並竊取資料。SQLinjection主管管理者控制與竊密的傳輸通道竊取資料HTTPport80/8080HTTPSport443駭客外部伺服器APT惡意郵件攻擊手法郵件伺服器使用者2.寄送惡意信件到特定目標信箱，等待目標開啟信件副檔，植入後門程式。1.準備好惡意信件內(nèi)容並在郵件中夾帶含後門程式的文件檔案。5.植入後門程式，並竊取資料。駭客主管管理者控制與竊密的傳輸通道竊取資料HTTPport80/8080HTTPSport443Email+exploitDocument4.透過弱點或竊得的密碼攻擊更多內(nèi)部電腦。3.進行內(nèi)網(wǎng)弱點掃描、攻擊?；蚋`錄網(wǎng)路流量中的密碼等敏感資訊。實際案例–假造電信賬單2023/10/16Classification9看似正常的發(fā)件人看似正常的電子賬單PDF檔案開啟賬單后，會發(fā)生哪些事件？2023/10/16Classification10產(chǎn)生新的病毒檔案背景自動聯(lián)機浮動IP主機注冊機碼＆系統(tǒng)服務(wù)，讓病毒在重開機后仍會自動執(zhí)行Malware/Bot/APT威脅比較表

APT殭屍惡意代碼威脅模式計劃性的組織化攻擊區(qū)域性大量散播區(qū)域性大量散播服務(wù)中斷不會不會會散佈對象Targeted目標性(僅針對少數(shù)特定單位/組織為對象)非目標性的大量散播非目標性的大量散播攻擊目的長期竊取特定情報/資料個人交易憑證/信用卡資料/帳號密碼/隱私資料竊用運算/網(wǎng)路/儲存資源當成攻擊跳板隨機攻擊頻率不間斷的一次一次攻擊手法Zero-Dayexploit社交工程惡意信件/魚叉式釣魚植入RAT/後門程式已知Exploits

Pack植入可供大規(guī)?？刂频腂ot程式視惡意程式設(shè)計而定樣本偵測率一個月內(nèi)偵測率低於10%一個月內(nèi)偵測率大約86%一個月內(nèi)偵測率大約99%Malware/Bot/APT比較表大規(guī)模的散播針對性Malware高惡意程式變化率APTBotnets傳統(tǒng)Anti-Malware解決方案涵蓋低惡意程式變化率客戶的現(xiàn)況33%入侵都是在分鐘就完成,80%在1天就能完成入侵但是大部分發(fā)現(xiàn)時間與治理時間都要超過一周甚至于1個月--缺乏威脅的可見性與預警系統(tǒng)Source:Verizon2011DataBreachReport威脅入侵威脅被發(fā)現(xiàn)治理時間傳統(tǒng)防治方法防病毒軟件進行掃描及清除倡導員工不開起可疑電子郵件黑客透過VirusTotal掌握各家防毒廠商的偵測結(jié)果，客制化且具有自我變種能力的殭尸程序可輕易避開防病毒軟件的偵測社交工程攻擊日趨成熟，郵件幾乎真假難辨零時差攻擊造成防御的空窗期執(zhí)行上的困難定期修補文件弱點常見的方式利用GSN黑名單阻擋聯(lián)機名單更新不夠快且沒有搭配的清除機制Classification10/16/202315趨勢科技威脅管理戰(zhàn)略體系:威脅可見性阻斷威脅活動威脅防護連動專殺安全網(wǎng)關(guān)安全網(wǎng)關(guān)安全網(wǎng)關(guān)威脅發(fā)現(xiàn)解決方案主動防御的發(fā)展，利用對已知病毒的知識累積來判斷新的病毒把防線向前移，將病毒放在進入用戶系統(tǒng)之前，在網(wǎng)絡(luò)的基礎(chǔ)設(shè)施上架設(shè)防病毒的設(shè)備，多層次的防病毒，減輕客戶端的壓力在不可信的客戶端中構(gòu)建可信的環(huán)境，例如虛擬化或者定制瀏覽器 ——國家防病毒應(yīng)急應(yīng)辦主任：張健日/周/月報表分析多協(xié)議關(guān)連分析引擎云安全運算平臺旁路分析設(shè)備2~7層與84多種協(xié)議

過濾已知惡意程序分析未知惡意程序分析專家技術(shù)支持高危病毒通知緊急上門處理提供對策發(fā)現(xiàn)風險解決問題互聯(lián)網(wǎng)旁路設(shè)備TDA全網(wǎng)惡意威脅的可見性:威脅管理儀表版Classification10/16/202317結(jié)合趨勢云安全提供動態(tài)/圖形化數(shù)據(jù)可操作性:專業(yè)報表哈哈2023/10/1618功能提供專業(yè)分析報告優(yōu)勢龐大的規(guī)則數(shù)據(jù)庫7*24小時專家值守價值降低管理復雜度體現(xiàn)IT管理績效避免同類威脅產(chǎn)生阻斷惡意代碼活動的持續(xù)性交換機

鏡像TDATDA+NVW已感染計算機偵測惡意代碼活動InternetThreatsNVWE阻斷Trend-Labs威脅情報網(wǎng)絡(luò)ActiveUpdateDNS-IP聲譽網(wǎng)絡(luò)釣魚過濾器應(yīng)用聲譽HTTP-URL聲譽關(guān)聯(lián)客戶管理報告客戶執(zhí)行報告終端用戶應(yīng)用服務(wù)器核心網(wǎng)絡(luò)網(wǎng)關(guān)威脅防護解決方案-WEB安全網(wǎng)關(guān)郵件安全網(wǎng)關(guān)服務(wù)器深度安全防護套件網(wǎng)絡(luò)版防毒軟件IWSA–Web安全網(wǎng)關(guān)5大協(xié)議掃描集成網(wǎng)頁信譽云計算服務(wù)故障直通設(shè)計VDI-智能感知提升虛擬桌面整合率虛擬環(huán)境資源配置管理性能優(yōu)化全面性防護SmartProtectionNetwork私有云技術(shù)虛擬補丁強制策略執(zhí)行U盤病毒防御設(shè)備管理終端層:OfficeScan10.5

業(yè)界第一個

VDI-感知的終端安全軟件5為

Windows7最佳優(yōu)化認證標識支持32和64位擴展強大的管理功能擴充性基于角色管理AD域整合威脅治理服務(wù)

-威脅發(fā)現(xiàn)+連動專殺數(shù)據(jù)中心威脅感染…威脅發(fā)現(xiàn)設(shè)備控制服務(wù)器掛馬網(wǎng)站資料竊取收集站點偵測到威脅活動連動專殺工具MOC監(jiān)控與綠色通道通知專殺清除云安全關(guān)連分析報表:

實時報表

事件報表

根源分析報表

綠色通道支持威脅儀表板偵測日志上傳

無代碼專殺企業(yè)威脅管理戰(zhàn)略

威脅預警解決方案威脅發(fā)現(xiàn)設(shè)備(TDA)

威脅阻斷解決方案主要功能:

全網(wǎng)威脅預警平臺,威脅管理儀表板

定位感染源

智能分析技術(shù)

日周月報表,威脅趨勢,威脅說明與處理建議主要功能:TDA聯(lián)動

阻斷高危威脅

隔離感染電腦

斷電直通

報表網(wǎng)絡(luò)防毒墻NVW3500i/1500i威脅預警平臺TMSP威脅防護解決方案終端用戶分支網(wǎng)絡(luò)核心網(wǎng)絡(luò)網(wǎng)關(guān)分支網(wǎng)絡(luò)核心網(wǎng)絡(luò)網(wǎng)關(guān)終端用戶網(wǎng)絡(luò)安全防護威脅治理解決方案主要功能:阻斷網(wǎng)頁與郵件的威脅統(tǒng)一終端安全管理平臺4合一完整主機防護主要功能:

威脅發(fā)現(xiàn)連動專殺工具

7X24監(jiān)控運維中心MOC綠色通道根源分析IWSADS/OSCE

基于云安全-威脅管理戰(zhàn)略安全云平臺為全網(wǎng)提供云安全基礎(chǔ)設(shè)施服務(wù)安全云設(shè)施網(wǎng)絡(luò)阻斷子云文件阻斷子云提供網(wǎng)絡(luò)威脅阻斷服務(wù)提供文件威脅阻斷服務(wù)云阻斷系統(tǒng)預警系統(tǒng)聯(lián)動系統(tǒng)高危威脅流量實時預警聯(lián)動安全系統(tǒng)，實現(xiàn)協(xié)同防御云安全預警分析業(yè)務(wù)應(yīng)用服務(wù)器防護系統(tǒng)應(yīng)用系統(tǒng)防護終端云安全防護終端智能防護終端桌面終端防護系統(tǒng),設(shè)備管控Classification10/16/202327從韓國案例說起威脅管理戰(zhàn)略說明國內(nèi)案例分享威脅發(fā)現(xiàn)設(shè)備詳細說明挑戰(zhàn):分行普遍存在無專職防病毒管理人員情況，很多問題解決不及時，缺乏對系統(tǒng)運行情況的有效監(jiān)控生產(chǎn)網(wǎng)/OA/終端風險:移動存儲設(shè)備,未安裝操作系統(tǒng)補丁,通過第三方網(wǎng)絡(luò)傳播這三種病毒威脅是我行系統(tǒng)面臨的主要風險需求:全網(wǎng)防病毒系統(tǒng)采用“兩級控制、多級管理”架構(gòu)總行設(shè)立全行防病毒監(jiān)控總中心，分行設(shè)立監(jiān)控分中心，對生產(chǎn)系統(tǒng)、辦公系統(tǒng)所有防病毒產(chǎn)品進行實時統(tǒng)一監(jiān)控，及時發(fā)現(xiàn)病毒感染源并快速進行處理，避免病毒在網(wǎng)內(nèi)大規(guī)模傳播Classification10/16/202328Classification10/16/202329價值:第一階段建立生產(chǎn)網(wǎng)主動監(jiān)控機制,確保生產(chǎn)網(wǎng)的可用性.實現(xiàn)從事后被動防護到事前主動風險管控真正減少安全事件的停機時間、降低安全事件的發(fā)生頻率、縮小安全事件波及的范圍，讓安全風險可接受、安全管理可控3臺TDA3臺TDA6臺TDA客服中心數(shù)據(jù)中心1級分行運行報告Classification10/16/202330序號攻擊源所屬單位攻擊源IP發(fā)現(xiàn)次數(shù)威脅類型影響IP數(shù)1總行機關(guān)42,133檢測到高危險的漏洞攻擊行為和已知威脅1,3672上海分行0361檢測到高危險的漏洞攻擊行為3423上海分行65120檢測到高危險的漏洞攻擊行為484廣東分行08102訪問的URL存在風險15

342064規(guī)則56總行機關(guān)48已知威脅77廣東分行806灰色軟件18廣東分行042訪問的URL存在風險19廣東分行131檢測到高危險的漏洞攻擊行為1序號攻擊源IP所屬單位攻擊源IP發(fā)現(xiàn)次數(shù)威脅類型被攻擊單位被攻擊次數(shù)1總行機關(guān)4961檢測到高危險的漏洞攻擊行為南方客服中心上海131檢測到高危險的漏洞攻擊行為三農(nóng)客服中心成都384檢測到高危險的漏洞攻擊行為北方客服中心天津4462

3420可疑的堆棧溢出8總行機關(guān)20多種類型威脅事件跨區(qū)威脅事件31證券案例背景：2009年某周日下午，上海某個證券公司接到證監(jiān)會的通報，交易網(wǎng)感染了“飛客”病毒，要求其進行處理，否則將停止下周一的交易。過程：用戶在咨詢了幾個安全廠商沒有解決問題后，向趨勢科技尋求幫助，我司工程師接到電話后立即調(diào)動一臺TDA（威脅發(fā)現(xiàn)和管理設(shè)備）趕赴客戶現(xiàn)場。設(shè)備在到達現(xiàn)場后10分鐘上線，1小時內(nèi)完成網(wǎng)絡(luò)威脅檢測，精準的定位了病毒的源頭和攻擊目標。結(jié)果：根據(jù)TDA的報表分析后，根據(jù)定位的結(jié)果和解決方案在1小時內(nèi)解決了客戶的問題。保證了周一的正常交易，客戶對TDA解決方案表示非常滿意，對趨勢的技術(shù)服務(wù)非常認可。2023/10/1632Classification證券安裝示意圖Classification10/16/202333Classification10/16/202334威脅管理戰(zhàn)略說明國內(nèi)案例分享威脅發(fā)現(xiàn)設(shè)備詳細說明布署架構(gòu)TDA偵測引擎VSAPIEngineKnownMalwareVSAPIxTrapEngineZero-dayMalwareNetworkContentInspectionEngineMalwareActivityNetworkVirusEngineNetwork-basedThreatsWebReputationServicesWebthreatsTHREATENGINESVSAPIEngine已知病毒掃瞄VSAPIxTrapEngine變種與加殼惡意程序掃瞄NetworkContentInspectionEngine惡意程序與未知威脅行為分析NetworkVirusEngine網(wǎng)路蠕蟲病毒掃瞄WebReputationServices網(wǎng)頁信譽服務(wù)TDA—多層次識別各種威脅VSAPIEngine已知病毒掃描VSAPIxTrapEngine變種與加殼惡意程序掃描NetworkContentInspectionEngine惡意程序行為分析引擎/關(guān)聯(lián)性分析NetworkVirusEngine網(wǎng)絡(luò)蠕蟲病毒掃描CloudReputationServices云安全信譽服務(wù)網(wǎng)絡(luò)蠕蟲/零時差攻擊僵尸網(wǎng)絡(luò)各種已知病毒/病毒變種（文件型病毒、蠕蟲、灰色軟件、間諜軟件、黑客工具等）病毒下載器掃描引擎識別威脅網(wǎng)絡(luò)層各種路由協(xié)議及IP協(xié)議傳輸層TCP、UDP協(xié)議應(yīng)用層HTTP、FTP、POP3、SMTP、DHCP、DNS等協(xié)議網(wǎng)絡(luò)流量后門/木馬Feb2009郵件信譽評估中心網(wǎng)頁信譽評估中心文件信譽評估中心TDA云安全的中心概念TDA傳送可疑威脅事件日志:ThreatlogData

IPAddress,Hostname,MACThreatDetectedDetailsofthethreatTimestamp殭尸病毒檢測ParamountQ120