数据与身份安全解决方案

PresentationIdentifierGoesHere1数据与身份安全解决方案赛门铁克企业安全产品战略网络安全服务安全意识培训、渗透模拟、情报预警、安全监控、事件响应威胁防护端点数据中心网关威胁阻止、检测、修复和恢复端点、邮件、网关、数据中心本地与云上均可用统一的安全分析平台大数据安全分析；提供给客户自助服务模式遥测技术事件管理保护引擎全球情报威胁分析信息保护数据身份数据泄漏防护加密身份与密钥管理云安全代理用户数据应用云设备网络数据中心企业信息安全建设过程——IT基础设施运维管理SolvingITRiskandComplianceChallenges3IT基础设施运维管理基础设施安全数据与身份安全风险管理基础设施运维管理的目的是提高IT管理效率，它同样是IT安全的基础，IT管理措施的实施可以提高日后安全解决方案实施的效率（例如:软件分发，满足日后终端软件部署管理，简化维护），了解需要被保护的资产（通过对资产管理，了解你所需要保护的东西），Symantec向用户提供移动设备、桌面、服务器在内的IT管理解决方案。IT基础设施运维管理企业信息安全建设过程——基础安全SolvingITRiskandComplianceChallenges4基础设施安全数据与身份安全风险管理为解决企业IT中最常见的安全威胁“病毒、垃圾邮件、互联网威胁”，这些威胁是企业最先需要考虑的威胁类别，因为它们直接影响企业的IT效率，影响系统及终端的可用性，所以在这个阶段，企业考虑更多的是实施常见威胁控制，保障业务的可用性，抵御最可能发生的安全事件，Symantec提供在终端、服务器及网关的多种解决方案。IT基础设施运维管理企业信息安全建设过程——数据与身份安全SolvingITRiskandComplianceChallenges5基础设施安全数据与身份安全风险管理保护企业的核心数据及其交付方式，数据与应用的安全是企业在考虑安全核心价值时的方向，IT初期基础架构建设更多关注在数据的可用性方面，在这个阶段企业会关注数据的完整性（是否被破坏），机密性（是否只被必要的人了解），同时身份的保护做为机密性的安全基础。Symantec提供在内容感知防泄密、数据加密、身份认证方面的多种解决方案。企业信息安全建设过程——风险管理SolvingITRiskandComplianceChallenges6IT基础设施运维管理基础设施安全数据与身份安全风险管理这个阶段信息安全目标不再是直接保护资产或数据，而是分析现有的安全制度策略是否被执行，发现安全风险并根据优先级处置。找到业务与IT风险的联系，利用已有的系统日志进行威胁分析，了解安全态势变化。对安全过程指标进行度量，不以结果考核为导向。Symantec提供风险管理、事件管理、策略管理方案。为什么要保护数据与身份？威胁与要求内部员工或合作伙伴带来的威胁引起了大多数数据泄漏事件68%的事件是由于员工的疏忽大意或系统自身缺陷合规要求法律法规可能带来的罚款名誉损失HIPAA,PCI,SOX,Gramm-Leach-Bliley外部威胁APT攻击日益严峻经济或政治利益驱动的攻击客户期望名誉损失客户流失经济损失7SymantecDataLossPreventionCopyright©2014SymantecCorporation81000个邮箱地址信用卡信息护照信息游戏账号定制的恶意软件1000个社交网络粉丝云服务账号1百万个经过验证的垃圾邮件发送注册并激活的SIM卡Source:Symantec

InternetSecurity

ThreatReport2015PresentationIdentifierGoesHere9数据与身份安全内部威胁数据泄漏防护端点DLP网络DLP存储DLP加密磁盘加密文件加密邮件加密外部威胁高级威胁防御端点网络邮件身份安全双因素单点登录使用DLP建立数据泄漏防护策略SymantecDataLossPrevention10DATALOSSPREVENTION(DLP)DISCOVERPROTECTMONITOR如何阻止泄漏？它怎样被使用？机密数据在哪？HowitWorks:建立策略SymantecDataLossPrevention11检测响应警告申辩重定向阻止内容环境动作通知用户经理安全员逐级上升Who?

What?Where?DataLossPreventionPolicyMANAGEMANAGEDISCOVER定义扫描目标发现网络和终端上的敏感数据定义策略模板补救和报告，降低泄漏风险MONITOR123PROTECT45检查正在发送的监控网络和终端上的事件阻断、移动或加密隔离或替换敏感文件通知雇员和经理HowitWorks:发现和矫正数据SymantecDataLossPrevention12DLP核心检测技术SymantecDataLossPrevention13DescribeFingerprintLearnDescribedContentMatching保护结构和非结构化数据使用关键字、数据标识符、正则表达式、文件属性VectorMachineLearning保护动态的、非结构化的数据通过样本文件建立统计模型IndexedDocumentMatching保护非结构化数据源代码、图纸ExactDataMatching保护结构化数据数据数据库、表格SymantecDLPProductSuiteDLPDemystified14ManagementPlatformSymantecDataLossPreventionEnforcePlatformSTORAGEENDPOINTNetworkDiscoverDataInsightNetworkProtectEndpointDiscoverEndpointPreventMobileNetworkMonitorNetworkPreventforEmailNetworkPreventforWebNETWORKArchitectureOverview15EndpointNetworkStorageManagementArchitectureOverviewIIMonitor:SMTPHTTPIMFTPAnyTCP-

BasedPrevent:SMTPHTTP/HTTPSFTPFileServersDatabasesCollaboration

PlatformsWebSitesDesktopsLaptopsStoragePoliciesWorkflowReportingRemediationManagementNetworkDiscoverDataMonitor/Block:USB,CD/DVDNetwork(email,Web,

FTP,IM)Print/Fax,Copy/PasteNetworkSharesAppFileAccessEndpoint例：集成邮件安全与DLPUnderstandingEmailSecurity17公司内部网络邮件服务器Exchange/Domino发件人收件人ENFORCEPLATFORMBlockQuarantineModifyNETWORKPREVENTSymantecMessagingGatewayTLS保护数据，不管它是移动的、使用中还是静止的Copyright©2014SymantecCorporation18文件加密，更安全的协作邮件加密，保护传输中的邮件端点磁盘加密，保护笔记本电脑、USB存储EmailEncryptionFile&FolderEncryptionEndpointEncryption用户管理、密钥管理、策略管理EndpointEncryptionManagementServerEncryptionManagementServer集成加密与DLPSymantecDataLossPrevention19NetworkDLP/EmailGatewayEncryption自动加密包含敏感数据的邮件实时告知员工、经理数据违反策略及加密策略StorageDLP/FileShareEncryption自动发现共享的文件的位置并加密对用户透明，减轻IT员工负担EndpointDLP/EndpointEncryption面向高风险用户，发现笔记本电脑上的敏感数据自动加密拷贝到USB设备上的敏感文件赛门铁克DLP系统优势总结从产品推出至今，一直处于所有评测机构的排名第一位置。连续8年在Gartner评比第一。全球市场份额（38%）及中国市场份额（30%）保持第一拥有国内最多的DLP客户成功实施案例，涉及金融、电信、能源、制造业等几乎所有行业。国内10万规模用户以上的案例最多。具备经验丰富的原厂本地信息防泄漏咨询、实施服务团队，拥有业界最丰富的项目建设经验技术方案在业界功能领先，最全面、最灵活，可以和Symantec及第三方产品(含国内厂家)做整合。SymantecDLP方案涵盖:内容感知信息防泄漏，加密，终端安全，移动终端信息防泄漏等多种信息防泄漏解决方案，覆盖度最广。2021赛门铁克DLP的技术优势DLP整体方案，覆盖最全面DatainMotion，Dataatrest，Datainuse支持多种语言支持多种协议支持最广泛的数据存储库终端覆盖技术多种多样专利的检测技术指纹匹配无需理解数据内容准确率高支持相似度匹配VML策略灵活、适应性强22最佳实践与丰富的项目经验Months创建例外评估策略精准度建立相适应的

规章制度和操作流程建立和业务部门及

员工的沟通和教育机制10008006004002000NumberofIncidents0BaselinePeriod1to34to67to910to12Prevention/Protection找出有缺陷的业务流程并修正RemediationBaseline发送者

收到自动通知Notification业务部门风险记分板RefinePolicies创建初始策略RefinePoliciesRefinePolicies评估违规频度修正通知阻断监控23赛门铁克DLP国内部分典型成功案例广东移动，广州移动，福建移动，辽宁移动，吉林移动，河南移动，甘肃移动，四川移动，青海移动，内蒙古移动，云南移动，山东移动，中国移动（深圳）分公司，重庆移动，新疆移动，贵州移动、重庆移动、浙江移动、陕西移动云南电力四川电力定向攻击目标趋势Copyright©2014SymantecCorporation24企业规模:什么是高级威胁(AdvancedPersistentThreat：APT)定向的出于经济或政治目的，针对特定的组织或国家的隐蔽的利用未知的零日漏洞、攻击工具和规避技术持续的先进的控制系统，持续监控并从特定的目标中提取数据

识别APT攻击过程解析Copyright©2015SymantecCorporation26攻击者尝试获取目标企业中的多个可能的受害者的背景信息，分析他们经常使用的互联网公开资源（如姓名、职务、邮箱、兴趣爱好）。High-valueUsersAPT攻击分析－解析攻击过程Copyright©2015SymantecCorporation27通过各方面信息的收集，攻击者会尝试与每一个可能的受害者联系，使用社会工程及钓鱼欺骗让受害者打开邮件附件或邮件中的链接。High-valueUsers

识别

渗透APT攻击过程解析通过各方面信息的收集，攻击者会尝试与每一个可能的受害者联系，使用社会工程及钓鱼欺骗让受害者打开邮件附件或邮件中的链接。High-valueUsers

识别

渗透Copyright©2015SymantecCorporation282016年1月19日下午乌克兰当地时间16:51和16:56分，两封号称从:“Ukrenergo”发送至ikc@.ua和sp@.ua的电子邮件拉开了攻击序幕。攻击者伪装成来自乌克兰国有电力公司UKrenergo，攻击对象分别为切尔卡瑟地区电力公司Cherkasyoblenergo的信息咨询处，和Ukrenergo下属机构CentralEnergySystemofSE的KondrashovAlexander，后者的职务是分站主任（ChiefofsubstationsofCentralES)“根据乌克兰法律”运营乌克兰电力市场的原则“以及”未来十年乌克兰联合能源系统的订单准备系统运营商发展计划“，经乌克兰煤炭工业能源部批准的No.68020140929系统运营商，在其官方网站发布。主题是：“乌克兰2016年至2025年联合能源系统发展规划”。“请注意！本文件创建于新版本的Office软件中。如需展示文件内容，需要开启宏。”

识别

渗透APT攻击过程解析Copyright©2015SymantecCorporation29High-valueUsersMalware

Server随后恶意代码将利用系统中存在的0-day漏洞开始执行，并从攻击者的控制主机下载更多的恶意程序（木马）。APT攻击过程解析Copyright©2015SymantecCorporation30

识别木马会通过命令和控制通道与攻击者联系，攻击者以此盗取用户访问企业核心资源所使用的用户名及密码。

渗透High-valueUsers

凭据采集FilerDomain

ControllerLDAP

DirectoryDatabaseC&C

ServerMalware

Server“WhatshouldIdonow?”“Gatherloginsandpasswords”APT攻击过程解析Copyright©2015SymantecCorporation31

识别通过盗取的用户企业凭证信息，攻击者可以逐步绘制出网络拓扑结构并识别到关键服务器。

渗透High-valueUsers

凭据采集FilerDomain

ControllerLDAP

DirectoryDatabase

发现C&C

ServerMalware

ServerDrop

ServerAPT攻击过程解析Copyright©2015SymantecCorporation32

识别攻击者复制所需的数据至一个临时的企业内部中转主机，然后将数据传输至外网攻击者的控制主机。

渗透High-valueUsers

凭据采集FilerDomain

ControllerLDAP

DirectoryDatabase

发现

数据窃取Staging

ServerC&C

ServerMalware

Server即使采用最好的阻止技术，能阻止APT攻击吗？33阻止阻断攻击准备了解重要的数据在哪，谁可以访问到检测发现入侵响应抑制和修复问题恢复恢复运营如果已经被黑，能多快发现，多快响应并恢复运营？Copyright©2014SymantecCorporation34准备了解重要的数据在哪，谁可以访问到阻止阻断攻击检测发现入侵响应抑制和修复问题恢复恢复运营检测已经变得很难Copyright©2015SymantecCorporation35当前的安全产品是孤立的，没有集成化威胁可以逃逸传统的检测技术KnownBadContentDetectedSuspiciousNetworkBehaviorKnownMalwareBlockedSuspiciousFileBehavior即使检测到高级威胁，要完全清除威胁对整个企业造成的影响也非易事MaliciousAttachmentBlockedMaliciousURLDetectedNetworksEndpointsEmail事件响应、清除威胁耗时耗力Copyright©2015SymantecCorporation36安全响应分析必须接触端点的用户，而且只能手动检查每个端点上的文件安全策略必须分别更新到每个独立的安全产品上，以此删除所有的恶意文件或阻断攻击NetworksKnownBadContentDetectedSuspiciousNetworkBehaviorEndpointsKnownMalwareBlockedSuspiciousFileBehaviorEmailMaliciousAttachmentBlockedMaliciousURLDetected威胁可视和智能情报是必要的Copyright©2015SymantecCorporation37网络连接已阻断病毒已检测到恶意邮件已隔离传统的情报每一台机器的每一个网络连接每一个文件的hash、来源、受影响的端点每一个可疑程序的行为、信誉、URL、IP丰富的情报SYMANTEC™ADVANCEDTHREATPROTECTION

解决这些问题Copyright©2015SymantecCorporation38优先

什么是最需要的关注的修复

更快利用

已有投资的价值可见

跨越端点、网络、邮件的高级威胁看见跨越端点、网络、邮件的高级威胁Copyright©2015SymantecCorporation39部署简单，一个小时内即可实现威胁可视只需一个按键即可搜索IT基础设施中任何的攻击痕迹，根据文件名、hash、注册表键值、IP、URL……一个控制台即可看到端点、网络、邮件中的攻击优先化什么是最需要关心的

WITHSYMANTECSYNAPSE™Copyright©2015SymantecCorporation40聚合与关联端点、网络、邮件中的所有的可疑活动融合赛门铁克全球智能情报网络的数据未处理、处理中、关闭影响优先一个界面观察所有控制点上的所有攻击活动可视化和修复所有相关攻击痕迹，如文件、电子邮件地址或IP统一调查减少安全人员需要调查的事件数量不需要额外的客户端程序，或者复杂的SIEM规则有形结果“赛门铁克ATP的事件流操作减少了高达70%的多余的电子邮件和网络安全告警，这节省了我们很多时间。”——大型服务提供商.”更快检测到高级威胁

WITHSYMANTECCYNIC™Copyright©2015SymantecCorporation41覆盖度:Officedocs,PDF,Java,containers,portableexecutables快速、准确地分析几乎所有类型的潜在恶意内容使用虚拟机和物理机检测虚拟机逃逸威胁揪出虚拟机感知恶意程序，执行>分析结果结合了赛门铁克全球智能情报的高级机器学习分析Sandbox,Skeptic,SONAR,Insight,Vantage人机交互模拟检测传统技术无法发觉的隐蔽持续型威胁“Cynicdetectedatrojanizedversionofalegitimatesoftwarepackagethatamemberofmysecurityteamdownloaded.Itsavedusfromamassivesecuritybreach.”–leadingfoodprovider“SymantecCynicdetectedatargetedattack

fromanationstateasitcameinandenabled

oursecurityoperationsteamtorespondtoitquickly.”–internationalelectriccompany在几分钟内拿出证据和情报云服务支持快速更新，避免恶意软件进化，逃逸检测弹性扩展、无需维护、永不宕机几分钟内抑制、修复复杂攻击一键修复所有控制点在造成不可恢复的损失前发现和修复攻击影响集中观察攻击影响，无需手工查找，无需手工恢复更快修复Copyright©2015SymantecCorporation42无缝集成Symantec™EndpointProtection12.1，无需安装新的客户端，提升SEP的价值监控withSymantec™ManagedSecurityServicesAPI支持与第三方防火墙、SIEM集成联动利用已有投资Copyright©2015SymantecCorporation43关联网络邮件和端点事件withSymantec™EmailSecurity.cloudSymantecAdvancedThreatProtection:ModulesCopyright©2015SymantecCorporation44端点可见性：大多数攻击的立足点端点环境上下文、可疑事件、修复集成SEP一体机部署网络可见性：网内所有的设备自动提交可疑文件到沙盒执行一体机旁路镜像部署邮件可见性：最多采用的攻击方式邮件趋势、定向攻击识别基于EmailSecurity.cloudSymantecAdva