威胁管理战略-A

Classification12/31/20221云时代威胁管理战略林义轩JayLinClassification12/31/20222威胁管理战略说明国内案例分享威胁发现设备详细说明Classification12/31/20223威胁管理战略说明国内案例分享威胁发现设备详细说明最近的信息安全情况進階持續性威脅具系統存取權限的合法人員利用系統弱點進行感染攻擊傳統的資安機制已不足以保護您重要的資產…Classification12/31/20226多方位的攻击*偵查*找出可用弱點*入侵*收集資料*資料外傳*潛伏APT刻苦型攻擊手法使用者3.進行內網弱點掃描、攻擊。或竊錄網路流量中的密碼等敏感資訊。2.植入後門程式1.攻擊外部伺服器的弱點4.透過弱點或竊得的密碼攻擊更多內部電腦。5.植入後門程式，並竊取資料。SQLinjection主管管理者控制與竊密的傳輸通道竊取資料HTTPport80/8080HTTPSport443駭客外部伺服器APT惡意郵件攻擊手法郵件伺服器使用者2.寄送惡意信件到特定目標信箱，等待目標開啟信件副檔，植入後門程式。1.準備好惡意信件內容並在郵件中夾帶含後門程式的文件檔案。5.植入後門程式，並竊取資料。駭客主管管理者控制與竊密的傳輸通道竊取資料HTTPport80/8080HTTPSport443Email+exploitDocument4.透過弱點或竊得的密碼攻擊更多內部電腦。3.進行內網弱點掃描、攻擊。或竊錄網路流量中的密碼等敏感資訊。实际案例–假造电信账单2022/12/319看似正常的发件人看似正常的电子账单PDF档案开启账单后，会发生哪些事件？2022/12/3110产生新的病毒档案背景自动联机浮动IP主机注册机码＆系统服务，让病毒在重开机后仍会自动执行Malware/Bot/APT威脅比較表

APT殭屍惡意代碼威脅模式計劃性的組織化攻擊區域性大量散播區域性大量散播服務中斷不會不會會散佈對象Targeted目標性(僅針對少數特定單位/組織為對象)非目標性的大量散播非目標性的大量散播攻擊目的長期竊取特定情報/資料個人交易憑證/信用卡資料/帳號密碼/隱私資料竊用運算/網路/儲存資源當成攻擊跳板隨機攻擊頻率不間斷的一次一次攻擊手法Zero-Dayexploit社交工程惡意信件/魚叉式釣魚植入RAT/後門程式已知Exploits

Pack植入可供大規模控制的Bot程式視惡意程式設計而定樣本偵測率一個月內偵測率低於10%一個月內偵測率大約86%一個月內偵測率大約99%Malware/Bot/APT比較表大規模的散播播針對性Malware高惡意程式變化率APTBotnets傳統Anti-Malware解決方案涵蓋蓋低惡意程式變化率客户的现况33%入侵都是在在分钟就完成成,80%在1天就能完成入入侵但是大部分发发现时间与治治理时间都要要超过一周甚甚至于1个月--缺乏威脅的可可見性與預警警系統Source:Verizon2011DataBreachReport威脅入侵威脅被发现治理時間传统防治方法法防病毒软件进进行扫描及清清除倡导员工不开开起可疑电子子邮件黑客透过VirusTotal掌握各家防毒厂商的侦测结果，客制化且具有自我变种能力的殭尸程序可轻易避开防病毒软件的侦测社交工程攻击日趋成熟，邮件几乎真假难辨零时差攻击造成防御的空窗期执行上的困难定期修补文件弱点常见的方式利用GSN黑名单阻挡联联机名单更新不够快且没有搭配的清除机制Classification12/23/202215趋势科技威胁管理战略略体系:威胁可见性阻断威胁活动威胁防护连动专杀安全网关安全网关安全网关威胁发现解决方案主动防御的发发展，利用对已知知病毒的知识识累积来判断断新的病毒把防线向前移移，将病毒放在在进入用户系系统之前，在在网络的基础础设施上架设设防病毒的设设备，多层次次的防病毒，，减轻客户端端的压力在不可信的客户户端中构建可可信的环境，例如虚拟化化或者定制浏浏览器——国家防病毒应应急应办主任任：张健日/周/月报表分析多协议关连分析引擎云安全运算平台旁路分析设备2~7层与84多种协议

过滤已知恶意程序分析未知恶意程序分析专家技术支持高危病毒通知紧急上门处理提供对策发现风险解决问题互联网旁路设备TDA全网恶意威胁胁的可见性:威胁管理仪表表版Classification12/23/202217结合趋势云安安全提供动态/图形化数据可操作性:专业报表哈哈2022/12/2318功能提供专业分析报告优势庞大的规则数据库7*24小时专家值守价值降低管理复杂度体现IT管理绩效避免同类威胁产生阻断恶意代码活动的持续性交换机

镜像TDATDA+NVW已感染计算机侦测恶意代码活动InternetThreatsNVWE阻断Trend-Labs威胁情报网络络ActiveUpdateDNS-IP声誉网络钓鱼过滤滤器应用声誉HTTP-URL声誉关联客户管理报告客户执行报告终端用户应用服务器核心网络网关威胁防护解解决方案-WEB安全网关邮件安全网关关服务器深度安安全防护套件件网络版防毒软软件IWSA––Web安全网关5大协议扫描集成网页信誉誉云计算服务务故障直通设计VDI-智能感知提升虚拟桌面整合率虚拟环境资源配置管理性能优化全面性防护SmartProtectionNetwork私有云技术虚拟补丁强制策略执行U盘病毒防御设备管理终端层:OfficeScan10.5业界第一个VDI-感知的终端安安全软件5为

Windows7最佳优化认证标识支持32和64位扩展强大的管理功能扩充性基于角色管理AD域整合威胁治理服务务-威胁发现+连动专杀数据中心威胁感染…威胁发现设备备控制服务器挂马网站资料窃取收集集站点侦测到威胁活活动连动专杀工具具MOC监控与绿色通道通知专杀清除除云安全关连分析报表:

实时报表

事件报表

根源分析报表

绿色通道支持威胁仪表板侦测日志上传传

无代码专杀企业威胁管理战略威胁预警解决方案威胁发现设备(TDA)

威胁阻断解决方案主要功能:全网威胁预警警平台,威胁管理仪表表板定位感染源智能分析技术术日周月报表,威胁趋势,威胁说明与处处理建议主要功能:TDA联动阻断高危威胁隔离感染电脑断电直通报表网络防毒墙NVW3500i/1500i威胁预警平台TMSP威胁防护解决方案终端用户分支网络核心网络网关分支网络核心网络网关终端用户网络安全防护威胁治理解决方案主要功能:阻断网页与邮邮件的威胁统一终端安全全管理平台4合一完整主机机防护主要功能:威胁发现连动动专杀工具7X24监控运维中心心MOC绿色通道根源分析IWSADS/OSCE基于云安全-威胁管理战略略安全云平台为全网提供云安全基础设施服务安全云设施网络阻断子云文件阻断子云提供网络威胁阻断服务提供文件威胁阻断服务云阻断系统预警系统联动系统高危威胁流量实时预警联动安全系统，实现协同防御云安全预警分析业务应用服务器防护系统应用系统防护终端云安全防护终端智能防护终端桌面终端防护系统统,设备管控Classification12/23/202227从韩国案例说说起威胁管理战略略说明国内案例分享享威胁发现设备备详细说明挑战:分行普遍存在在无专职防病病毒管理人员员情况，很多多问题解决不不及时，缺乏乏对系统运行行情况的有效效监控生产网/OA/终端风险:移动存储设备,未安装操作系系统补丁,通过第三方网网络传播这三种病毒威胁是我行系统面临的主要要风险需求:全网防病毒系系统采用“两两级控制、多多级管理”架架构总行设立全行行防病毒监控控总中心，分行设立监控分中中心，对生产产系统、办公公系统所有防防病毒产品进进行实时统一一监控，及时发现病毒感感染源并快速速进行处理，避免病毒在网内大大规模传播Classification12/23/202228Classification12/23/202229价值:第一阶段建建立生产网网主动监控控机制,确保生产网网的可用性性.实现从事后后被动防护护到事前主主动风险管管控真正减少安安全事件的的停机时间间、降低安安全事件的的发生频率率、缩小安安全事件波波及的范围围，让安全全风险可接接受、安全全管理可控控3台TDA3台TDA6台TDA客服中心数据中心1级分行运行报告Classification12/23/202230序号攻击源所属单位攻击源IP发现次数威胁类型影响IP数1总行机关42,133检测到高危险的漏洞攻击行为和已知威胁1,3672上海分行0361检测到高危险的漏洞攻击行为3423上海分行65120检测到高危险的漏洞攻击行为484广东分行08102访问的URL存在风险15

342064规则56总行机关48已知威胁77广东分行806灰色软件18广东分行042访问的URL存在风险19广东分行131检测到高危险的漏洞攻击行为1序号攻击源IP所属单位攻击源IP发现次数威胁类型被攻击单位被攻击次数1总行机关4961检测到高危险的漏洞攻击行为南方客服中心上海131检测到高危险的漏洞攻击行为三农客服中心成都384检测到高危险的漏洞攻击行为北方客服中心天津4462

3420可疑的堆栈溢出8总行机关20多种类型威威胁事件跨区威胁事事件31证券案例背景：2009年某周日下午，，上海某个个证券公司司接到证监监会的通报报，交易网网感染了““飞客”病病毒，要求求其进行处处理，否则则将停止下下周一的交交易。过程：用户在咨询询了几个安全全厂商没有有解决问题题后，向趋势科技寻寻求帮助，，我司工程师接到到电话后立立即调动一台TDA（威胁发现现和管理设设备）赶赴客户现场。设备在到达现场后后10分钟上线，1小时内完成网络络威胁检测测，精准的的定位了病病毒的源头头和攻击目目标。结果：根据TDA的报表分析析后，根据据定位的结结果和解决决方案在1小时内解决了客客户的问题题。保证了了周一的正正常交易，，客户对TDA解决方案表示非常满满意，对趋趋势的技术术服务非常认可。。2022/12/2332证券安装示示意图Classification12/23/202233Classification12/23/202234威胁胁管管理理战战略略说说明明国内内案案例例分分享享威胁胁发发现现设设备备详详细细说说明明布署署架架构构TDA侦测测引引擎擎VSAPIEngineKnownMalwareVSAPIxTrapEngineZero-dayMalwareNetworkContentInspectionEngineMalwareActivityNetworkVirusEngineNetwork-basedThreatsWebReputationServicesWebthreatsTHREATENGINESVSAPIEngine已知病毒扫瞄VSAPIxTrapEngine变种与加壳恶意程序扫瞄NetworkContentInspectionEngine恶意程序与未知威胁行为分析NetworkVirusEngine网路蠕虫病毒扫瞄WebReputationServices网页信誉服务TDA——多层层次次识识别别各各种种威威胁胁VSAPIEngine已知病毒扫描VSAPIxTrapEngine变种与加壳恶意程序扫描NetworkContentInspectionEngine恶意程序行为分析引擎/关联性分析NetworkVirusEngine网络蠕虫病毒扫描CloudReputationServices云安全信誉服务网络络蠕虫虫/零时时差差攻攻击击僵尸尸网网络络各种种已知知病病毒毒/病毒毒变变种种（（文文件件型型病病毒毒、、蠕蠕虫虫、、灰灰色色软软件件、、间间谍谍软软件件、、黑黑客客工工具具等等））病毒毒下下载载器器扫描描引擎擎识别别威威胁胁网络层各种路由协议及IP协议传输层TCP、UDP协议应用层HTTP、FTP、POP3、SMTP、DHCP、DNS等协议网络络流流量量后门门/木马马Feb2009邮件信誉评估中心网页信誉评估中心文件信誉评估中心TDA云安安全全的的中中心心概概念念TDA传送送可可疑疑威威胁胁事事件件日日志志:ThreatlogDataIPAddress,Hostname,MACThreatDetectedDetailsofthethreatTimestamp殭尸尸病病毒毒检检测测ParamountQ12008-39ExtractembeddedURLsandperformWebReputationcheck分析析殭殭尸尸控控制制服服务务器器的的主主机机查查询询检查查殭殭尸尸使使用用IRC昵称称/通道道网页页殭殭尸尸行行为为分分析析,恶意意代代码码具具有有回回复复通通讯讯比对对僵僵尸尸病病毒毒黑黑名名单单IP与端端口口含有有文文件件传传送送到到已已知知病病毒毒引引擎擎进进行行分分析析扫描描漏漏洞洞攻攻击击封封包包,网络络蠕蠕虫虫封包包组组合合Performsingle-sessioncorrelationonthetrafficstream39恶意意代代码码行行为为说说明明TDA扫描描引引擎擎协协议议TDS&IPS&防病病毒毒软软件件TDA主要要针针对对应应用用层层内内容容分分析析旁路路部部署署根据据特特征征码码识识