亚信安全-云威胁检测和定位设备产品方案

1、TDA方案模版o I亚后安全TDA方案模版Asialnfo云威胁检测和定位设备产品方案Page 1TDA方案模版。IF詹安全TDA方案模版Asalnro目录.方案概述3.当今网络安全挑战3传统安全解决方案的局限性3工作场所和方式变化 3缺乏对本地威胁的了解5.威胁管理解决方案6威胁发现7威胁管理服务7XXXX部署示意8.工作原理8.威胁管理解决方案关键特性9威胁发现9威胁缓解10.威胁管理解决方案的价值11Page 2TDA方案模版。IF詹安全TDA方案模版Asalnro.方案概述本方案系针对企业面临越来越严重的内网安全问题所提出的全新安全解决方案，此方案全面集成亚信 安全“云安全”技术，可在

2、OSI模型的2-7层检测、清除已知和未知恶意威胁，在威胁到达企业网络之前予以 拦截，弥补了传统安全解决方案无法早期识别内网安全的不足，是企业整体安全防护系统不可或缺的重要 组成部分。威胁管理解决方案共由三大组件组成，包括：威胁发现(Threat Discovery Appliance-TDA). 威胁管理服务(Threat Management Service-TMS)和威胁缓解(Threat Mitigation-TM)m部分，用户可根据自 身状况选择完整解决方案或部分解决方案。.当今网络安全挑战企业网络正遭受越来越严重的来自内部的威胁。内部威胁可来自员工、承包商或其他使用者，他们不 小心通

3、过USB介质或其他存储设备或浏览受感染的网站方式感染恶意威胁，从而感染到企业网络。 内部威胁增长原因有如下三种方式：传统安全解决方案无法检测内部威胁员工工作地点和方式的变化内部网络威胁信息匮乏传统安全解决方案的局限性由于威胁变得更为复杂和资料泄露更为普遍，当今的安全解决方案也必须跟上这样的步伐。传统的技 术，如防火墙，入侵检测系统和VPN可以防止外部威胁，但却不能保护员工从内部对网络造成的“内部威胁”。像网络准入控制(NAC )这类安全解决方案主要专注于对终端用户的评估和认证。一旦用户身份得 到验证，这些用户将不再被监控并认为不会对网络产生危害。另外，当今“无国界”组织的全球员工和合 作伙伴还

4、可以自由地共享信息。由于员工可以在家里、机场和其它不安全的非现场环境下工作，这些企业 在如何平衡开放性和灵活性与安全性和风险方面将面临新的挑战。工作场所和方式变化大量远程办公和移动用户与在家和公司办公方式越来越模糊不清，这些用户更需要得到更好的保护已 便使企业敏感数据和用户数据免遭损失。IT部门要保证防病毒软件和补丁更新到这些移动员工的每台计算 机上，以及控制其如何连接和何时连接都变得更加困难。存储设备，如USB介质和音乐播放器都是新增加Page 3I丑层安全TDAI丑层安全2000Market Penetratmn Over Time移动办公员工数固定台式机的感染途径。此外，远程办公分支机构

5、缺乏安全人员，以及宽松的策略执行都将对安全产生不利影响。根 据Yankee集团的统计，美国约有40%的员工采用移动办公方式，也就是有将近52000Market Penetratmn Over Time移动办公员工数固定台式机新的威胁也会通过未加保护的渠道如Web邮件或无线网络接踵而至。另外，员工使用有具有潜在弱点 的技术（如P2P文件共享、流媒体和即时消息）都会让恶意软件进入企业网络并占用宝贵的网络带宽。基 于代码对比的桌面防病毒软件作为企业网络防护的第一线，却难于检测到像零日攻击这类恶意软件的攻击。 一旦恶意威胁进入网络内部，可造成数据泄漏或丢失，给企业造成无法弥补的损失。当IT部门与安全解

6、决 方案供应商一起花很多时间去更新代码并处理这些问题时，随着病毒的扩散，清除成本也在不断增加。另 外，当今巨量的威胁也使得更新员工电脑上的防病毒软件代码文件成为一个问题。根据AV-T的统计， 在2006年至2007年间，恶意软件增长了 550%，光2008年一月份的第一个星期，就报告了 117,000种新的 恶意软件。Page 4oAsalnFaIoAsalnFaI丑层宴室TDA方案模版AV-Ts Sample Collection Growth13.00 0.0 00 .00 0.0 00 CG-S 3=左 5 中-a EE 5duHbcl!Id .00 0.0 00goao.aoo3,00

7、0.0007,000.0006.000,000? CG-S 3=左 5 中-a EE 5duHbcl!Id .00 0.0 00goao.aoo3,000.0007,000.0006.000,000? .00 0,0 00.00 0.0 005.00 0.0 002.00 0,-J001.00 0,0 00 -i 川 iiiiiiiiinnnnnifflll4iiForacastiiiiimiiiiiiiiimiimiiiiiiiimiiimii SWDQh 3 占oorl EIME 2 .Woon ETA鸟 13占。口 G QTSJrl 玲匕UE roAonn InoAQ口口 胃自口 E E

8、H S3E rfmnnE EID0_lr1 rrDqJ口 s,卬昌 手?若民 玲若口E 与小昌 IPMO口口 rcE 3若g mDo口 c ?ll-iQ 口ri TlIgcl口 口丁岩总 E?岩 M 号LnnnrM fnclrl 90法鸟 5UU-.WE 苫mMC 由省n EO1none roino口 G nrTnuE md-CKK企业需要一套更好的解决方案来防止内部威胁攻击，已减少损害清除费用和防止生产力下降。员工工 作场所的变化使得恶意软件更容易进入内部网络，也使公司面临着更大的风险。被感染的电脑会通过Web 向网络罪犯传送数据，从而使消费者丢失机密数据，企业也会因大规模的数据泄秘而遭受无

9、法挽回的名誉 损害。对公司数据资产的威胁，无论在对业务的冲击和损失程度上都在不断增长。根据产业观察组织 A的统计，2007年12月21日之前，美国和海外共有1.62亿记录（如信用卡和社会保障号）被 泄密。身份失窃资源中心的清单显示，2007年12月18日之前美国有超过7千9百万条记录被泄密。据 Forrester公司调查估计，多达85 %的企业安全违规涉及内部员工与内部资源。根据Gartner的调查，“在 未来两年内，企业敏感数据破坏造成的费用将以每年20%速度递增”。亚信安全公司2005年的研究表明， 全球企业的最终用户在工作时比在家时更可能做出危险的网络操作（如打开不知情的电子邮件附件或点

10、击 恶意链接）。显然，员工错误地认为工作场所的电脑更为安全。缺乏对本地威胁的了解缺乏可见的准确定位和感染原因，将妨碍IT部门决定最适合的补救措施。为实现更全面的覆盖，安全 管理员需要更多的信息，以更好地了解威胁如何产生以及这些威胁如何进入企业网络？大多传统安全防护系统可显示恶意威胁被发现，比如说IRC BOT活动行为，但是却没有信息能够提供 这些威胁是如何产生以及在哪里产生的？这就造成缺乏可见的全面威胁状态，从而妨碍IT人员确定网络的 故障点以及最初的威胁来源在哪里，例如是公司的营销部门还是远程分支机构，来自哪台机器、哪个网段 等等信息，公司需要更多关于威胁的详细资料，如网络环境中的威胁类型，

11、恶意软件、黑客入侵或破坏程 序的百分比。确定这些威胁进入网络的根源能够很好的帮助IT管理员准确的制定更好的安全策略。但目前Page 5TDA方案模版o田敌全TDA方案模版Aszalnre的现实是，IT人员不知道感染的确切位置和原因，就无法确定最为合适的补救措施。例如，如果IT人员知 道大多数威胁发生在网关，就会采取合适的网关防护保护系统。从根本上说，这需要一个“预警系统”来 准确地指示新的和已知的恶意软件并估量所导致的损害。而且，各组织都在寻求一种能够自动修补并管理 威胁的、能够确保从事故中实现快速完全恢复的、能生成易于采取行动的报表并能防止未来威胁的全新系 统。3.威胁管理解决方案面对上述的

12、企业内部网络安全状况，亚信安全已经准备好了一种全新的应对办法。威胁管理解决方案， 目的是识别和应对下一代网络威胁。通过监控网络，检测传统的安全产品无法侦测的隐藏恶意威胁和破坏 性的应用，威胁管理解决方案集成亚信安全“云安全”技术，在恶意威胁到达网络之前予以拦截，同时对 威胁环境提供更详细的分析，从而对感染终端提供更广泛的清除和强制策略解决方案。威胁管理解决方案(Threat Discovery Appliance-简称TDA)包括下面两大功能： 威胁发现一检测企业内部网络中的安全威胁和破坏应用威胁管理服务一先进的威胁相关性服务，发现隐藏威胁，提供个性化的威胁报告，事故分析以及威胁建议。Solu

13、tion Flow forT 亚信安全o Threat Discovery SuiteThreat Management ServicesCustomer reports Incident Review& RemediationSpan PoiSwitchreat Discovery ApplianceLink-upSolution Flow forT 亚信安全o Threat Discovery SuiteThreat Management ServicesCustomer reports Incident Review& RemediationSpan PoiSwitchreat Disc

14、overy ApplianceLink-upPage 6田H*TDA方案模版威胁发现作为亚信安全威胁管理解决方案关键的第一步，部署在各个网络层次交换机上执行综合的全面覆盖， 通过监控网络层的可疑活动定位恶意程序，威胁发现设备Threat Discovery Appliance-简称TDA）集成亚 信安全“云安全”技术，可全面支持检测2-7层的恶意威胁，以识别和应对下一代网络威胁。这是传统的、基 于代码比对方式的安全产品所无法办到的。与亚信安全“云安全”技术配合，TDA可检测基于Web威胁或邮件内容的攻击，如Web攻击、跨站点 脚本攻击和网络钓鱼。另外，当恶意程序在网络中传播感染其它用户时，它们

15、就会被打上标记，其中就包 括向外界传送信息或从恶意的来源（如僵尸网络）接收命令的隐藏型恶意软件。TDA还能识别违反安全策 略、中断网络以及消耗大量带宽的或构成潜在安全威胁的未经授权应用程序和服务程序。这些应用程序和 服务程序包括如即时通讯（Bittorrent, Kazaa, eDonkey, MSN, Yahoo Messenger）、P2P文件共享、流媒 体，以及未授权服务如SMTP中继和DNS欺骗。TDA利用网络内容检测技术侦测网络流量以及亚信安全 病毒扫描引擎对其进行内容分析，并采用在网络交换机上使用端口扫描并以创建网络数据包的镜像方式进 行内容检查，确保网络服务不会被中断。企业管理员

16、可根据TDA收集提供的反馈报告信息制订相应的企业 网络安全规划。威胁管理服务威胁管理服务利用强大的“云安全”技术进行关联分析，以提高威胁检测及根源分析效率。先进的相 关性逻辑分析日志文件将减少误报，从而发现隐藏的恶意威胁，确保更高的检测准确性。与亚信安全智能保护网络技术的整合将确保能对最新的恶意威胁行为进行分析，从而发现恶意软件行 为的最新趋势。智能保护网络将提供众多服务，如DNS，HTTP、文件信誉检查、网络钓鱼过滤等，从而 可捕捉到多种威胁。通过亚信安全的全球安全情报中心可获取亚信安全二十年来的威胁研究成果以及详细、 实时的最新威胁信息。TDA生成企业网络内部安全状况的报表，通过集中式的威

17、胁管理界面可帮助IT人员管理这些报表并组 织事件信息。例如，管理日报表将说明事件响应并提供交互式的更详细的报表，可以浏览事件信息并提供 详细的威胁情报，该报表还将包括采取何种适合的补救措施和响应建议。另外，每周或每月的执行总结可 反映公司整体的安全状况。详细的报表包括事件查看报表、比较报表和改进安全策略的建议。Page 7。1业危安全AsalnroTDA方案模版NervieW同tB 一。1业危安全AsalnroTDA方案模版NervieW同tB 一问.2朝 L 口 _ _一一一C?朝ft*1威胁管理解决方案事件报表的实例3.3 XXXX部署示意鉴于XXXX两个分支公司的实际状况，亚信安全建议采

18、用软件方式来部署TDA，即在4.工作原理员工将内部网络网线插入终端计算机，一旦符合策略则终端计算机将连入内部网络，用户不知不 觉地插入一个被感染的USB介质到计算机中。THREAT DI 5 COW ERV APPLIANCEMH I GATORSMART PPfOTEeTIOM NETWORKTHREAT MANAGEMENT SERVICEDSPNMiTil6ATldklPage 8THREAT DI 5 COW ERV APPLIANCEMH I GATORSMART PPfOTEeTIOM NETWORKTHREAT MANAGEMENT SERVICEDSPNMiTil6ATldkl

19、Page 8TDA万案模版由于此恶意程序为最新的恶意攻击，而防病毒软件还未来得及升级代码，所以无法检测到此恶意 程序。USB恶意程序将自动感染员工的终端计算机，此恶意程序可自动与后台恶意服务器之间建立联系并 记录员工键盘操作，当员工键入用户名和密码或其他一些私有信息时，这些信息将被保存并发送到后台的 恶意服务器。 亚信安全TDA设备部署在网络中可检测恶意程序通讯连接并产生日志到威胁管理服务。与先进的 亚信安全智能网络防护技术协同工作，可准确的判断外发的所有信息是否为可疑信息。结果将发送至威胁管理服务，威胁管理服务将执行详细的事件分析并确定事件根源以及产生可执 行的简明摘要信息：.哪一台主机被感

20、染.什么恶意行为被发现.主机最初如何被感染5.威胁管理解决方案关键特性威胁发现 检测网络层的恶意行为，如：企图传播或传染其它用户的恶意软件往外泄漏信息或接受命令的隐藏恶意软件基于Web或电子邮件内容的攻击，女DWeb攻击、跨站点脚本攻击和网络钓鱼检测烂用网络资源的应用程序和服务程序：检测非工作内容的网络使用，如即时消息、P2P文件共享和流媒体识别构成安全威胁的未授权服务，如被滥用的SMTP匿名转发和篡改的DNS服务 基于网络内容检测技术的分析：支持从网络层至应用层的多种综合协议网络流量检测确定相关事件的可疑威胁Page 9TDA方案模版0 1亚危安全TDA方案模版Asalnra利用亚信安全先进的病毒扫描引擎分析文件内容与亚信安全威胁管理服务整合：结合“云安全”技术与先进的相关性分析引擎，以改进威胁检测、根源 识别和威胁分析利用亚信安全智能网络防护技术确保可对最新的威胁数据进行访问并进行分析访问亚信安全的安全情报中心，以获得详细的、当前及时的威胁信息和 最新威胁状况。威胁分析和报表功能：形成反映全公司安全形势的总体视图通过集中管理界面管理报表和事件信息生成事件响应的管理日报表、周/月执行总结以方便查看整体安全状况，以及事件查看和报表比较通过事件信息浏览更