恶意代码监控中心V4课件

Classification12/2/20221恶意代码监控中心设计方案Classification11/30/20221恶意代码Classification12/2/20222Agenda信息安全现状分析恶意代码防范策略恶意代码防范体系设计详解Classification11/30/20222Agen社交工程-精准攻击内部威胁移动使用者与分公司多方位的攻击Source:Forrester社交工程攻击手法日趋成熟，邮件几乎真假难辨USB,3G,移動設備客制化惡意程序VPN/HTTP通道社交工程-精准攻击内部威胁移动使用者与分公司多方位的攻击SoClassification12/2/20224多方位的攻击*偵查*找出可用弱點*入侵*收集資料*資料外傳*潛伏Classification11/30/20224多方位的实际案例–假造电信账单2022/12/2Classification5看似正常的发件人看似正常的电子账单PDF档案实际案例–假造电信账单2022/11/30Classif开启账单后，会发生哪些事件？2022/12/2Classification6产生新的病毒档案背景自动联机浮动IP主机注册机码＆系统服务，让病毒在重开机后仍会自动执行开启账单后，会发生哪些事件？2022/11/30Classi多方位的攻击的差異Classification12/2/20227黑客针对企业使用APT攻击与一般网络攻击手法差异

APT攻击一般网络攻击时间长时间攻击，会隐匿行踪攻击时间长短并不一定动机窃取所需要的特定机密，包含国家安全、各种组织情报和商业机密等等窃取金融与个人资料换取实质利益，不见得具有特定动机攻击对象有针对性、小范围，通常是以政府、军事国防机构、大型能源石油天然气产业、高科技产业、金融业等无针对性、大范围，一般以金融业、在线交易业者、具有大量个资企业为主攻击武器客制化，常用单一的漏洞，经常是零时差漏洞的攻击，或者是DropEmbeddedRAT非客制化，复合多种常见漏洞在单一档案攻击，攻击范围大；URLDownloadBotnet攻击手法为了确定攻击一定成功，或同实用多种攻击手法入侵速战速决，通常以大量快速有效的单一手法入侵防病毒软件侦测率1个月内新样本侦测率约30％以下1个月内新样本侦测率约90％数据源：Xecure-Lab、RSA，iThome整理，2011年8月多方位的攻击的差異Classification11/30/客户的现况33%入侵都是在分钟就完成,80%在1天就能完成入侵但是大部分发现时间与治理时间都要超过一周甚至于1个月Source:Verizon2011DataBreachReport威脅入侵威脅被发现治理時間--缺乏威脅的可見性與預警系統客户的现况33%入侵都是在分钟就完成,80%在1客戶應用環境的轉變9移動設備分公司公司互連網原本邊界IaaSSaaS新邊界虛擬化,雲應用,移動設備客戶應用環境的轉變9移動設備分公司公司互連網原本邊界IaaSClassification12/2/202210Agenda信息安全现状分析恶意代码防范策略恶意代码防范体系设计详解Classification11/30/202210Age企業威脅管理策略資料內容安全智能时间察觉身份察觉位置察觉内容察觉本地化威脅監控預警平台存取策略加密Inside-OUTDataProtectionClassification12/2/202211SmartDataProtectionThreatManagementDataProtectionAlldatamustbeabletodefenditselffromattacksContext-AwarePolicyManagementPhysical-Virtual-Cloud全球智能化威脅監控網路郵件,網頁,文件信譽評估服務多層次立體防護體系本地化威脅監控預警平台Outside-INThreatProtectionOutside-InThreatProtectionInside-OUTDataProtection企業威脅管理策略資料內容安全智能Inside-OUTDatClassification12/2/202212管控阻断预警监测应急响应威脅生命周期管理系统实现对风险的自动化阻断实时对数据进行分析，并对高威风险进行预警展示对全网进行安全监测，实时发现已知及未知威胁建立应急响应机制，并提供应急响应保障实现对风险的可管理、可控制，一体化管控机制威脅生命周期管理Classification11/30/202212管控阻Classification12/2/202213趋势科技威胁管理战略体系:威胁可见性阻断威胁活动威胁防护连动专杀安全网关安全网关安全网关Classification11/30/202213趋势科Classification12/2/202214Agenda信息安全现状分析恶意代码防范策略恶意代码防范体系设计详解Classification11/30/202214Age一、平台建设-总体部署深圳清遠XX廣州廣東省移動威胁管理中心XXXX借助云安全、行为智能识别、病毒代码比对等多种技术针对网络通讯数据进行深度关联分析和协议分析；发现网络运行中的潜在威胁，如病毒、木马、间谍程序、僵尸网络、暴力攻击等一、平台建设-总体部署深圳清遠XX廣州XXXX借助云InternetFW/NATRouter服务器群核心交换Web/FTPSMTPDNSSegmentSwitch分公司惡意威脅預警平台威脅管理平台安全事件发生安全事件发生安全事件发生事件采集事件采集事件采集InternetFW/NATRouter服务器群核心交换We預警展示平台Classification12/2/202217預警展示平台Classification11/30/202Classification12/2/202218

預警平台-IP地理化展示Classification11/30/202218

預警Classification12/2/202219

預警平台-威脅地理化展示Classification11/30/202219

預警區域威脅管理平台:威胁管理仪表版Classification12/2/202220公司风险指标:公司目前的风险等级定位感染原与攻击源威胁内容与解决说明实时高危风险事件说明威胁统计数据區域威脅管理平台:威胁管理仪表版Classification业务风险表受影响的资产威胁统计感染源威胁变化趋势干扰性应用全網預警评估报告业务风险表受影响的资产威胁统计感染源威胁变化趋势干扰性应用全每日/周/月的Executive摘要了解全公司的安全态势事件审查和比较报告安全策略建议SmartProtection

Network每日/周/月的Executive摘要了解全公司的安全态势Sm每日通報報表:定位恶意程序客户端与威胁信息进行高效处理每日通報報表:定位恶意程序客户端与威胁信息进行高效处理云安全技术云安全技术3年半—研发时间1,200位—

TrendLab专职安全专家7X24

—全球5个数据中心34,000台—全球服务器1,500万美金—每年维护费用约4亿多美金—投入成本趋势科技云安全投入成本3年半1,200位7X2434,000台1,500万美金4備份PPTClassification12/2/202226備份PPTClassification11/30/2022威胁发现解决方案主动防御的发展，利用对已知病毒的知识累积来判断新的病毒把防线向前移，将病毒放在进入用户系统之前，在网络的基础设施上架设防病毒的设备，多层次的防病毒，减轻客户端的压力在不可信的客户端中构建可信的环境，例如虚拟化或者定制浏览器 ——国家防病毒应急应办主任：张健日/周/月报表分析多协议关连分析引擎云安全运算平台旁路分析设备2~7层与84多种协议

过滤已知恶意程序分析未知恶意程序分析专家技术支持高危病毒通知紧急上门处理提供对策发现风险解决问题互联网旁路设备TDA威胁发现解决方案主动防御的发展，利用对已知病毒的知识累积来判威脅發現設備—多层次识别各种威胁网络蠕虫/零时差攻击僵尸网络各种已知病毒/病毒变种（文件型病毒、蠕虫、灰色软件、间谍软件、黑客工具等）病毒下载器扫描引擎识别威胁网络层各种路由协议及IP协议传输层TCP、UDP协议应用层HTTP、FTP、POP3、SMTP、DHCP、DNS等协议网络流量后门/木马威脅發現設備—多层次识别各种威胁网络蠕虫/零时差攻击僵尸网络威脅發現設備TDA主要针对应用层内容分析旁路部署根据特征码识别已知恶意程序根据恶意行为引擎识别僵尸网络以及潜在木马快速响应服务本地日志管理服务连动专杀工具IPS侦测外部黑客攻击(DDOS阻断式攻击,异常封包侦测)传统防病毒产品主要针对网络数据包分析串联部署为主/旁路部署为辅识别网络攻击数据包、网络蠕虫识别DoS攻击主要已知威胁防護根据特征码识别已知恶意程序基于主机的文件检测需要在每台主机上面安装低配置机器难部署侦测内网威胁活動网络层各种路由协议及IP协议传输层TCP/UDP协议应用层HTTP、FTP、POP3、SMTP、DHCP、DNS等协议IPS工作层TDS工作层威脅發現設備TDA主要针对应用层内容分析IPS侦测外部黑客攻威胁管理平台TMSPClassification12/2/202230智能化:威胁管理平台将客户环境中海量的日志,抽丝剥茧找出环境中的威胁事件專家化:告知威胁的本质,风险的含量與處理建議可視化:让客户环境中威胁数据化,图形化达到威胁的可见性威胁管理平台TMSPClassification11/30威脅管理平台:架构内容*接收层:前端应用服务器，负责提供门户网站,威胁仪表板和日志接收等功能*应用层:数据分析服务器，內建智能分析引擎,负责提供数据分析,报表生成,通知*数据层:后台数据库，负责提供数据存储和优化威脅管理平台:架构内容*接收层:前端应用服务器，负责提供威脅管理平台的功能模块账户管理设备管理日志管理报表管理威胁仪表板风险指标感染原与攻击源威胁排行榜威胁内容与解决说明实时高危风险事件说明日,周,双周,月威胁统计数据事件关连分析图

设备状态监控设备分组设定

配置管理员

TDA监控设备日志接收高危日志接收

实时日志接收

日志储存管理

日誌智能分析引擎周期性报表:日周月报表按需报表实时报表排行榜报表总体报表分组报表

管理员账号客户账号联系人讯息

TDA监控设备注册账号

预警通知设定

智能分析引擎升级威脅管理平台的功能模块账户管理设备管理日志管理报表管理威胁仪威脅預警平台Classification12/2/20223333數據流威脅管理平台分析引擎威脅管理平台分析引擎威脅管理平台分析引擎數據接收服務IP轉換地理位置程序地圖展示程序威脅展示配置程序A分公司B分公司C分公司威脅預警平台Classification11/30/202人有了知识，就会具备各种分析能力，明辨是非的能力。所以我们要勤恳读书，广泛阅读，古人说“书中自有黄金屋。”通过阅读科技书籍，我们能丰富知识，培养逻辑思维能力；通过阅读文学作品，我们能提高文学鉴赏水平，培养文学情趣；通过阅读报刊，我们能增长见识，扩大自己的知识面。有许多书籍还能培养我们的道德情操，给我们巨大的精神力量，鼓舞我们前进。人有了知识，就会具备各种分析能力，恶意代码监控中心V4课件Classification12/2/202236恶意代码监控中心设计方案Classification11/30/20221恶意代码Classification12/2/202237Agenda信息安全现状分析恶意代码防范策略恶意代码防范体系设计详解Classification11/30/20222Agen社交工程-精准攻击内部威胁移动使用者与分公司多方位的攻击Source:Forrester社交工程攻击手法日趋成熟，邮件几乎真假难辨USB,3G,移動設備客制化惡意程序VPN/HTTP通道社交工程-精准攻击内部威胁移动使用者与分公司多方位的攻击SoClassification12/2/202239多方位的攻击*偵查*找出可用弱點*入侵*收集資料*資料外傳*潛伏Classification11/30/20224多方位的实际案例–假造电信账单2022/12/2Classification40看似正常的发件人看似正常的电子账单PDF档案实际案例–假造电信账单2022/11/30Classif开启账单后，会发生哪些事件？2022/12/2Classification41产生新的病毒档案背景自动联机浮动IP主机注册机码＆系统服务，让病毒在重开机后仍会自动执行开启账单后，会发生哪些事件？2022/11/30Classi多方位的攻击的差異Classification12/2/202242黑客针对企业使用APT攻击与一般网络攻击手法差异

APT攻击一般网络攻击时间长时间攻击，会隐匿行踪攻击时间长短并不一定动机窃取所需要的特定机密，包含国家安全、各种组织情报和商业机密等等窃取金融与个人资料换取实质利益，不见得具有特定动机攻击对象有针对性、小范围，通常是以政府、军事国防机构、大型能源石油天然气产业、高科技产业、金融业等无针对性、大范围，一般以金融业、在线交易业者、具有大量个资企业为主攻击武器客制化，常用单一的漏洞，经常是零时差漏洞的攻击，或者是DropEmbeddedRAT非客制化，复合多种常见漏洞在单一档案攻击，攻击范围大；URLDownloadBotnet攻击手法为了确定攻击一定成功，或同实用多种攻击手法入侵速战速决，通常以大量快速有效的单一手法入侵防病毒软件侦测率1个月内新样本侦测率约30％以下1个月内新样本侦测率约90％数据源：Xecure-Lab、RSA，iThome整理，2011年8月多方位的攻击的差異Classification11/30/客户的现况33%入侵都是在分钟就完成,80%在1天就能完成入侵但是大部分发现时间与治理时间都要超过一周甚至于1个月Source:Verizon2011DataBreachReport威脅入侵威脅被发现治理時間--缺乏威脅的可見性與預警系統客户的现况33%入侵都是在分钟就完成,80%在1客戶應用環境的轉變44移動設備分公司公司互連網原本邊界IaaSSaaS新邊界虛擬化,雲應用,移動設備客戶應用環境的轉變9移動設備分公司公司互連網原本邊界IaaSClassification12/2/202245Agenda信息安全现状分析恶意代码防范策略恶意代码防范体系设计详解Classification11/30/202210Age企業威脅管理策略資料內容安全智能时间察觉身份察觉位置察觉内容察觉本地化威脅監控預警平台存取策略加密Inside-OUTDataProtectionClassification12/2/202246SmartDataProtectionThreatManagementDataProtectionAlldatamustbeabletodefenditselffromattacksContext-AwarePolicyManagementPhysical-Virtual-Cloud全球智能化威脅監控網路郵件,網頁,文件信譽評估服務多層次立體防護體系本地化威脅監控預警平台Outside-INThreatProtectionOutside-InThreatProtectionInside-OUTDataProtection企業威脅管理策略資料內容安全智能Inside-OUTDatClassification12/2/202247管控阻断预警监测应急响应威脅生命周期管理系统实现对风险的自动化阻断实时对数据进行分析，并对高威风险进行预警展示对全网进行安全监测，实时发现已知及未知威胁建立应急响应机制，并提供应急响应保障实现对风险的可管理、可控制，一体化管控机制威脅生命周期管理Classification11/30/202212管控阻Classification12/2/202248趋势科技威胁管理战略体系:威胁可见性阻断威胁活动威胁防护连动专杀安全网关安全网关安全网关Classification11/30/202213趋势科Classification12/2/202249Agenda信息安全现状分析恶意代码防范策略恶意代码防范体系设计详解Classification11/30/202214Age一、平台建设-总体部署深圳清遠XX廣州廣東省移動威胁管理中心XXXX借助云安全、行为智能识别、病毒代码比对等多种技术针对网络通讯数据进行深度关联分析和协议分析；发现网络运行中的潜在威胁，如病毒、木马、间谍程序、僵尸网络、暴力攻击等一、平台建设-总体部署深圳清遠XX廣州XXXX借助云InternetFW/NATRouter服务器群核心交换Web/FTPSMTPDNSSegmentSwitch分公司惡意威脅預警平台威脅管理平台安全事件发生安全事件发生安全事件发生事件采集事件采集事件采集InternetFW/NATRouter服务器群核心交换We預警展示平台Classification12/2/202252預警展示平台Classification11/30/202Classification12/2/202253

預警平台-IP地理化展示Classification11/30/202218

預警Classification12/2/202254

預警平台-威脅地理化展示Classification11/30/202219

預警區域威脅管理平台:威胁管理仪表版Classification12/2/202255公司风险指标:公司目前的风险等级定位感染原与攻击源威胁内容与解决说明实时高危风险事件说明威胁统计数据區域威脅管理平台:威胁管理仪表版Classification业务风险表受影响的资产威胁统计感染源威胁变化趋势干扰性应用全網預警评估报告业务风险表受影响的资产威胁统计感染源威胁变化趋势干扰性应用全每日/周/月的Executive摘要了解全公司的安全态势事件审查和比较报告安全策略建议SmartProtection

Network每日/周/月的Executive摘要了解全公司的安全态势Sm每日通報報表:定位恶意程序客户端与威胁信息进行高效处理每日通報報表:定位恶意程序客户端与威胁信息进行高效处理云安全技术云安全技术3年半—研发时间1,200位—

TrendLab专职安全专家7X24

—全球5个数据中心34,000台—全球服务器1,500万美金—每年维护费用约4亿多美金—投入成本趋势科技云安全投入成本3年半1,200位7X2434,000台1,500万美金4備份PPTClassification12/2/202261備份PPTClassification11/30/2022威胁发现解决方案主动防御的发展，利用对已知病毒的知识累积来判断新的病毒把防线向前移，将病毒放在进入用户系统之前，在网络的基础设施上架设防病毒的设备，多层次的防病毒，减轻客户端的压力在不可信的客户端中构建可信的环境，例如虚拟化或者定制浏览器 ——国家防病毒应急应办主任：张健日/周/月报表分析多协议关连分析引擎云安全运算平台旁路分析设备2~7层与84多种协议

过滤已知恶意程序分析未知恶意程序分析专家技术支持高危病毒通知紧急上门处理提供对策发现风险解决问题互联网旁路设备TDA威胁发现解决方案主动防御的发展，利用对已知病毒的知识累积来判威脅發現設備—多层次识别各种威胁网络蠕虫/零时差攻击僵尸网络各种已知病毒/病毒变种（文件型病毒、蠕虫、灰色软件、间谍软件、黑客工具等）病毒下载器扫描引擎识别威胁网络层各种路由协议及IP协议传输层TCP、UDP协议应用层HTTP、FTP、POP3、SMTP、DHCP、DNS等协议网络流量后门/木马威脅發現設備—多层次识别各种威胁网络蠕虫/零时差攻击僵尸网络威脅發現設備TDA主要针对应用层内容分析旁路部署根据特征码识别已知恶意程序根据恶意行为引擎识别僵尸网络以及潜在木马快速响应服务本地日志管理服务连动专杀工具IPS侦测外部黑客攻击(DDOS阻断式攻击,异常封包侦测)传统防病毒产品主要针对网络数据包分析串联部署为主/旁路部署为辅识别网络攻击数据包、网络蠕虫识别DoS攻击主要已知威胁防護根据特征码识别已知恶意程序基于主机的文件检测需要在每台主机上面安装低配置机器难部署侦测内网威胁活動网络层各种路由协议及IP协议传输层TCP/UDP协议应用层HTTP、FTP、POP3