积极防御混合型威胁

积极防御混合型威胁-构建可信边界欧阳威CISSPCISAouyang.wei@纲要混合型威胁网络安全生态环境KSG构建可信边界冠群金辰公司介绍IntranetInternet后门漏洞蠕虫WormCoderedSQLSlammerMSBlaster

普通病毒Virus

CIH邮件病毒EmailvirusMydoomMelissaSobig入侵Router集成多种方法与技术，传播扩散攻击行为Bugbear：邮件群发蠕虫,能通过文件共享网络进行传播感染特定清单上的可执行文件包含键盘记录和预留后门功能试图中断各种处于活动状态的防病毒或防火墙程序会利用IE的异常处理MIME头漏洞导致系统自动执行蠕虫程序不能正确处理网络共享资源类型，会在共享打印机上泛滥，导致大量打印乱码影响正常的打印工作混合型威胁日趋严重混合型威胁一览病毒名称时间传播方式造成危害蠕虫莫里斯蠕虫(Moris)1988Unix漏洞，网络入侵大面积数据堵塞、死机红色代码(CodeRed)2001IIS漏洞，网络入侵。DDoS攻击，网络瘫痪尼姆达(Nimda)2001IE漏洞、CodeRed后门、电子邮件DDoS攻击蠕虫王(Slammer)2003SQL漏洞，扫描端口，远程攻击。网络大面积瘫痪。冲击波(Blaster)2003Windows/DCOMRPC漏洞,远程攻击。OS异常、重启、崩溃，网络大面积瘫痪。震荡波(Lsass)2004WindowsRPC漏洞网络大面积瘫痪Zobot病毒2005WindowsP&P漏洞限制访问/后门/系统异常邮件病毒美丽杀手(Sircam)1999电子邮件网络堵塞、文件破坏求职信(Klez)2001电子邮件邮件病毒堵塞服务器Sobig2002电子邮件大量垃圾邮件MyDoom2004电子邮件大量垃圾邮件，网络阻塞。特征：传播危害迅速攻击手法多样造成损失巨大产生和蔓延通过漏洞实现入侵，且从被入侵的计算机发起新一轮攻击通过Email、Internet大量复制和传播，突破防火墙限制混合型威胁特征“OneThreat,OneCure”isoutdate网络的大范围普及电子邮件等通讯方式广泛应用存在大量系统漏洞可以被利用产生原因黑客的选择边界接入安全得到很大发展，FW广泛应用FW技术不断进步，简单网络层面攻击愈加困难黑客的选择：利用“合法”通道内网主机、系统、应用数量众多，漏洞管理难免疏漏电子邮件、web应用日趋丰富，而用户大都不是“IT”人员，有机可乘发作机制利用系统漏洞

主动传播（系统漏洞、网络共享）例如：利用RPC漏洞、IIS漏洞、IE漏洞、SQL漏洞利用社会工程学（SocialEngineering）欺骗传播（Email、Web）例如：电子邮件欺骗、程序下载欺骗2.攻击

–通过网络或Email传播IntranetInternet1.扫描

–探测存在漏洞的计算机（或发送Email欺骗）4.继续攻击

–利用漏洞继续运行攻击代码，传播蔓延3.复制

–复制到目标计算机1234混合型威胁形成过程数据破坏或泄露系统异常或毁坏网络阻塞甚至瘫痪获取被入侵服务器的权限设置木马后门，留下更大的安全隐患破坏后果互联网网络传输设施主机边界路由网络边界Kill终端安全管理KILL入侵检测系统KILL漏洞扫描系统KILL防火墙KILL过滤网关KILL防病毒系统1.切断传播途径2.发现传染源3.保护易感人群Kill混合型威胁解决之道关键词切断传播途径边界过滤发现传染源网络监测保护易感人群防病毒资产管理信息内容过滤恶意代码过滤防火墙控制切断传播途径：安全控制模型主体安全参考监视器非法连接恶意代码非法信息合法信息目标目标客体访问KSG可信边界安全

接入安全FW=边防检查护照KSG=海关检查行李谁进入或者离开网络?什么数据进入或者离开网络？什么方式?到哪里?NotonlyButalso内容/行为安全“入关”检查内容接入安全合法的终端内容安全垃圾邮件过滤,内容过滤行为安全恶意代码过滤病毒、蠕虫IntranetInternetKILL过滤网关Worm蠕虫Virus普通病毒Emailvirus邮件病毒垃圾邮件SpamKILL过滤网关边界过滤网关级安全控制，保障合法数据通过。输入网络层传输层应用层过滤输出Anti-WormAnti-VirusAnti-SpamContentInspectionSMTP,POP3,HTTP,FTPKSG主要功能全面的过滤功能蠕虫过滤病毒过滤垃圾邮件过滤内容过滤邮件处理过程流量预处理认证授权邮件IPS黑白名单流量整形邮件行为分析深度内容分析防病毒防垃圾邮件防欺诈策略控制合法邮件非法邮件可疑邮件图例初始邮件多因素关联垃圾邮件判别方法接入行为内容垃圾邮件疑似疑似疑似WEBServer邮件服务器DMZ区FTPServer办公系统业务系统业务系统内部网INTERNETFirewallKSGKSG串联在需要重点防护的网络中KSG典型部署-保护关键网段邮件服务器FirewallInternet办公终端办公终端SMTPKSG-MSMTPSMTPKSG-M典型部署-保护邮件系统过滤特征码自动升级

实时过滤及报警

灵活的过滤操作

双机容错

应用协议的完整支持

自保护

蠕虫过滤内容过滤病毒过滤垃圾邮件过滤NewNewNewNew友好的系统管理界面接入方式灵活，透明(Bridge模式)接入

强大的访问控制，支持用户认证

采用专用安全操作系统，杜绝安全隐患高性能

强大的NIPS功能能够抵动态攻击完整的日志记录，丰富的报表

NewNewNewKSG的特点总结KSG-荣誉公安部双重认证：国内唯一具有反病毒和反垃圾邮件认证的专业安全服务供应商赛迪顾问《2004年中国安全网关产品市场研究报告》同类产品市场销售排名第一2004年/2005年计算机世界编辑选择奖网管员世界：最受网管员欢迎奖2004年计算机安全推荐奖信息产业部电子信息产品管理司与计算机安全杂志社2005年电脑商报最佳产品卖点奖2006年电脑商报中小企业编辑推荐奖用户推荐的网络信息内容安全产品2004中国网络信息内容安全技术研究会编辑推荐奖-E制造冠群金辰北京冠群金辰软件有限公司成立于1998年，是由美国CA公司和公安部原中国金辰安全技术实业公司共同出资成立