威胁管理战略APT

威胁管理战略APTClassification3/28/20242威胁管理战略说明国内案例分享威胁发现设备详细说明Classification3/28/20243威胁管理战略说明国内案例分享威胁发现设备详细说明最近的信息安全情况進階持續性威脅具系統存取權限的合法人員利用系統弱點進行感染攻擊傳統的資安機制已不足以保護您重要的資產…Classification3/28/20246多方位的攻击*偵查*找出可用弱點*入侵*收集資料*資料外傳*潛伏APT刻苦型攻擊手法使用者3.進行內網弱點掃描、攻擊。或竊錄網路流量中的密碼等敏感資訊。2.植入後門程式1.攻擊外部伺服器的弱點4.透過弱點或竊得的密碼攻擊更多內部電腦。5.植入後門程式，並竊取資料。SQLinjection主管管理者控制與竊密的傳輸通道竊取資料HTTPport80/8080HTTPSport443駭客外部伺服器APT惡意郵件攻擊手法郵件伺服器使用者2.寄送惡意信件到特定目標信箱，等待目標開啟信件副檔，植入後門程式。1.準備好惡意信件內容並在郵件中夾帶含後門程式的文件檔案。5.植入後門程式，並竊取資料。駭客主管管理者控制與竊密的傳輸通道竊取資料HTTPport80/8080HTTPSport443Email+exploitDocument4.透過弱點或竊得的密碼攻擊更多內部電腦。3.進行內網弱點掃描、攻擊。或竊錄網路流量中的密碼等敏感資訊。实际案例–假造电信账单2024/3/28Classification9看似正常的发件人看似正常的电子账单PDF档案开启账单后，会发生哪些事件？2024/3/28Classification10产生新的病毒档案背景自动联机浮动IP主机注册机码＆系统服务，让病毒在重开机后仍会自动执行Malware/Bot/APT威脅比較表

APT殭屍惡意代碼威脅模式計劃性的組織化攻擊區域性大量散播區域性大量散播服務中斷不會不會會散佈對象Targeted目標性(僅針對少數特定單位/組織為對象)非目標性的大量散播非目標性的大量散播攻擊目的長期竊取特定情報/資料個人交易憑證/信用卡資料/帳號密碼/隱私資料竊用運算/網路/儲存資源當成攻擊跳板隨機攻擊頻率不間斷的一次一次攻擊手法Zero-Dayexploit社交工程惡意信件/魚叉式釣魚植入RAT/後門程式已知Exploits

Pack植入可供大規模控制的Bot程式視惡意程式設計而定樣本偵測率一個月內偵測率低於10%一個月內偵測率大約86%一個月內偵測率大約99%Malware/Bot/APT比較表大規模的散播針對性Malware高惡意程式變化率APTBotnets傳統Anti-Malware解決方案涵蓋低惡意程式變化率客户的现况33%入侵都是在分钟就完成,80%在1天就能完成入侵但是大部分发现时间与治理时间都要超过一周甚至于1个月--缺乏威脅的可見性與預警系統Source:Verizon2011DataBreachReport威脅入侵威脅被发现治理時間传统防治方法防病毒软件进行扫描及清除倡导员工不开起可疑电子邮件黑客透过VirusTotal掌握各家防毒厂商的侦测结果，客制化且具有自我变种能力的殭尸程序可轻易避开防病毒软件的侦测社交工程攻击日趋成熟，邮件几乎真假难辨零时差攻击造成防御的空窗期执行上的困难定期修补文件弱点常见的方式利用GSN黑名单阻挡联机名单更新不够快且没有搭配的清除机制Classification3/28/202415趋势科技威胁管理战略体系:威胁可见性阻断威胁活动威胁防护连动专杀安全网关安全网关安全网关威胁发现解决方案主动防御的发展，利用对已知病毒的知识累积来判断新的病毒把防线向前移，将病毒放在进入用户系统之前，在网络的基础设施上架设防病毒的设备，多层次的防病毒，减轻客户端的压力在不可信的客户端中构建可信的环境，例如虚拟化或者定制浏览器 ——国家防病毒应急应办主任：张健日/周/月报表分析多协议关连分析引擎云安全运算平台旁路分析设备2~7层与84多种协议

过滤已知恶意程序分析未知恶意程序分析专家技术支持高危病毒通知紧急上门处理提供对策发现风险解决问题互联网旁路设备TDA全网恶意威胁的可见性:威胁管理仪表版Classification3/28/202417结合趋势云安全提供动态/图形化数据可操作性:专业报表哈哈2024/3/2818功能提供专业分析报告优势庞大的规则数据库7*24小时专家值守价值降低管理复杂度体现IT管理绩效避免同类威胁产生阻断恶意代码活动的持续性交换机

镜像TDATDA+NVW已感染计算机侦测恶意代码活动InternetThreatsNVWE阻断Trend-Labs威胁情报网络ActiveUpdateDNS-IP声誉网络钓鱼过滤器应用声誉HTTP-URL声誉关联客户管理报告客户执行报告终端用户应用服务器核心网络网关威胁防护解决方案-WEB安全网关邮件安全网关服务器深度安全防护套件网络版防毒软件IWSA–Web安全网关5大协议扫描集成网页信誉云计算服务故障直通设计VDI-智能感知提升虚拟桌面整合率虚拟环境资源配置管理性能优化全面性防护SmartProtectionNetwork私有云技术虚拟补丁强制策略执行U盘病毒防御设备管理终端层:OfficeScan10.5

业界第一个

VDI-感知的终端安全软件5为

Windows7最佳优化认证标识支持32和64位扩展强大的管理功能扩充性基于角色管理AD域整合威胁治理服务

-威胁发现+连动专杀数据中心威胁感染…威胁发现设备控制服务器挂马网站资料窃取收集站点侦测到威胁活动连动专杀工具MOC监控与绿色通道通知专杀清除云安全关连分析报表:

实时报表

事件报表

根源分析报表

绿色通道支持威胁仪表板侦测日志上传

无代码专杀企业威胁管理战略

威胁预警解决方案威胁发现设备(TDA)

威胁阻断解决方案主要功能:

全网威胁预警平台,威胁管理仪表板

定位感染源

智能分析技术

日周月报表,威胁趋势,威胁说明与处理建议主要功能:TDA联动

阻断高危威胁

隔离感染电脑

断电直通

报表网络防毒墙NVW3500i/1500i威胁预警平台TMSP威胁防护解决方案终端用户分支网络核心网络网关分支网络核心网络网关终端用户网络安全防护威胁治理解决方案主要功能:阻断网页与邮件的威胁统一终端安全管理平台4合一完整主机防护主要功能:

威胁发现连动专杀工具

7X24监控运维中心MOC绿色通道根源分析IWSADS/OSCE

基于云安全-威胁管理战略安全云平台为全网提供云安全基础设施服务安全云设施网络阻断子云文件阻断子云提供网络威胁阻断服务提供文件威胁阻断服务云阻断系统预警系统联动系统高危威胁流量实时预警联动安全系统，实现协同防御云安全预警分析业务应用服务器防护系统应用系统防护终端云安全防护终端智能防护终端桌面终端防护系统,设备管控Classification3/28/202427从韩国案例说起威胁管理战略说明国内案例分享威胁发现设备详细说明挑战:分行普遍存在无专职防病毒管理人员情况，很多问题解决不及时，缺乏对系统运行情况的有效监控生产网/OA/终端风险:移动存储设备,未安装操作系统补丁,通过第三方网络传播这三种病毒威胁是我行系统面临的主要风险需求:全网防病毒系统采用“两级控制、多级管理”架构总行设立全行防病毒监控总中心，分行设立监控分中心，对生产系统、办公系统所有防病毒产品进行实时统一监控，及时发现病毒感染源并快速进行处理，避免病毒在网内大规模传播Classification3/28/202428Classification3/28/202429价值:第一阶段建立生产网主动监控机制,确保生产网的可用性.实现从事后被动防护到事前主动风险管控真正减少安全事件的停机时间、降低安全事件的发生频率、缩小安全事件波及的范围，让安全风险可接受、安全管理可控3台TDA3台TDA6台TDA客服中心数据中心1级分行运行报告Classification3/28/202430序号攻击源所属单位攻击源IP发现次数威胁类型影响IP数1总行机关42,133检测到高危险的漏洞攻击行为和已知威胁1,3672上海分行0361检测到高危险的漏洞攻击行为3423上海分行65120检测到高危险的漏洞攻击行为484广东分行08102访问的URL存在风险15

342064规则56总行机关48已知威胁77广东分行806灰色软件18广东分行042访问的URL存在风险19广东分行131检测到高危险的漏洞攻击行为1序号攻击源IP所属单位攻击源IP发现次数威胁类型被攻击单位被攻击次数1总行机关4961检测到高危险的漏洞攻击行为南方客服中心上海131检测到高危险的漏洞攻击行为三农客服中心成都384检测到高危险的漏洞攻击行为北方客服中心天津4462

3420可疑的堆栈溢出8总行机关20多种类型威胁事件跨区威胁事件31证券案例背景：2009年某周日下午，上海某个证券公司接到证监会的通报，交易网感染了“飞客”病毒，要求其进行处理，否则将停止下周一的交易。过程：用户在咨询了几个安全厂商没有解决问题后，向趋势科技寻求帮助，我司工程师接到电话后立即调动一台TDA（威胁发现和管理设备）赶赴客户现场。设备在到达现场后10分钟上线，1小时内完成网络威胁检测，精准的定位了病毒的源头和攻击目标。结果：根据TDA的报表分析后，根据定位的结果和解决方案在1小时内解决了客户的问题。保证了周一的正常交易，客户对TDA解决方案表示非常满意，对趋势的技术服务非常认可。2024/3/2832Classification证券安装示意图Classification3/28/202433Classification3/28/202434威胁管理战略说明国内案例分享威胁发现设备详细说明布署架构TDA侦测引擎VSAPIEngineKnownMalwareVSAPIxTrapEngineZero-dayMalwareNetworkContentInspectionEngineMalwareActivityNetworkVirusEngineNetwork-basedThreatsWebReputationServicesWebthreatsTHREATENGINESVSAPIEngine已知病毒扫瞄VSAPIxTrapEngine变种与加壳恶意程序扫瞄NetworkContentInspectionEngine恶意程序与未知威胁行为分析NetworkVirusEngine网路蠕虫病毒扫瞄WebReputationServices网页信誉服务TDA—多层次识别各种威胁VSAPIEngine已知病毒扫描VSAPIxTrapEngine变种与加壳恶意程序扫描NetworkContentInspectionEngine恶意程序行为分析引擎/关联性分析NetworkVirusEngine网络蠕虫病毒扫描CloudReputationServices云安全信誉服务网络蠕虫/零时差攻击僵尸网络各种已知病毒/病毒变种（文件型病毒、蠕虫、灰色软件、间谍软件、黑客工具等）病毒下载器扫描引擎识别威胁网络层各种路由协议及IP协议传输层TCP、UDP协议应用层HTTP、FTP、POP3、SMTP、DHCP、DNS等协议网络流量后门/木马Feb2009邮件信誉评估中心网页信誉评估中心文件信誉评估中心TDA云安全的中心概念TDA传送可疑威胁事件日志:ThreatlogData

IPAddress,Hostname,MACThreatDetectedDetailsofthethreat