高级威胁防护方案-销售材料

解决方案部门高级威胁防护解决方案目录解决方案背景1解决方案简介2解决方案资源3目录解决方案简介2解决方案资源3解决方案背景12014年实可谓是中国信息安全元年，这一年里信息与网络安全领域里发生了很多重大事件。最重要的莫过于2014年2月27日，中央网络安全和信息化领导小组宣告成立，习近平担任组长，这个事件标志安全已经上升到国家战略高度。这也让我们看到了安全产业蓬勃发展的美好前景。从另一个角度来说，对于安全行业，2014年又是不平静的一年。2014年高危漏洞频发，安全事件比比皆是，心脏滴血（Heartbleed）漏洞，BASH漏洞等重大安全漏洞的曝光震动了整个互联网，甚至有人称这些漏洞带给互联网的是一场灭顶之灾。华讯解决方案部安全团队在2014年底收集和整理了去年一年曝光的各类惨烈安全事件，并从中选出了“2014年十大安全事件”，与大家分享。中国互联网DNS大劫难影响：★★★★☆

余震：★☆☆☆☆损失：超过85%的国内用户在事故期间不能上网，损失无法统计事件过程：2014年1月21日下午3点10分左右，国内通用顶级域的根服务器忽然出现异常，导致众多知名网站出现DNS解析故障，用户无法正常访问。虽然国内访问根服务器很快恢复，但由于DNS缓存问题，部分地区用户“断网”现象仍将持续数个小时，至少有2/3的国内网站受到影响。微博调查显示，“1·21全国DNS大劫难”影响空前。事故发生期间，超过85%的用户遭遇了DNS故障，引发网速变慢和打不开网站的情况。点评：根据多方面分析，本次事故系因DNS防护不够造成的。阿里云遭受史上最大DDoS攻击影响：★★★☆☆

余震：★★☆☆☆损失：本次攻击被成功防御，攻击流量规模全球最大事件过程：2014年12月24日阿里云计算发布声明：12月20日—21日，部署在阿里云上的一家知名游戏公司，遭遇了全球互联网史上最大的一次DDoS攻击，攻击时间长达14个小时，攻击峰值流量达到每秒453.8Gb。据了解，第一波分布式拒绝服务攻击（DDoS）从12月20日晚上19点左右开始，一直持续到21日凌晨，第二天黑客又再次组织大规模攻击，攻击共持续了14个小时。由于部署了专用的防DDoS系统并及时与运营商进行了协同防护，阿里云将本次攻击造成的损失降到了最低。此前史上最大的DDoS攻击发生在今年2月份，是针对Cloudflare的一次400G攻击。CloudFlare是美国一家提供云安全服务的公司，攻击时，包括4chan和维基解密在内的78.5万个网站安全服务受到了影响。点评：本次事件为典型的DDoS攻击，主要受冲击对象为运营商和IDC数据中心。发生时具体表现为受攻击者无法对外正常提供服务，需要专用DDoS防护解决方案来加以应对。iCloud安全漏洞泄漏名人裸照影响：★★★★☆

余震：★★☆☆☆损失：个人敏感资料严重外泄事件过程：苹果公司一向以其自身设备和服务的安全而自豪，但今年八月，随着其iCloud服务被攻破，许多的名人信息被泄露。事件造成数百张家喻户晓的名人私密照片被盗。该事件向我们敲响了警钟，那就是在云服务上存储敏感文件可能并不像我们想象的那样安全。今天的设备都非常热衷于将数据推送至各自的云服务器上，人们应该小心敏感资料不会自动上传到网上或者其他配对的设备上。点评：本次事件的主要原因是个人密码保护不当，同理企业用户在访问内网核心系统时也需要妥善保护自己的个人密码，同时可辅以令牌、证书、动态密码等多因素认证技术。携程泄露大量用户银行卡信息影响：★★★☆☆

余震：★★★☆☆损失：携程声明所有相关损失由携程负担事件过程：2014年3月22日携程出现重大安全漏洞，携程安全支付日志可遍历下载，导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。尽管漏洞仅持续了两个多小时，且漏洞发现者并不是恶意黑客而是专门研究漏洞并提交给当事单位的白帽子，不过该事件引发的恐慌仍在持续。点评：本次事件主要由于携程长时间开放线上调试功能，且系统日志明文存放，同时所存储的服务器还有目录遍历漏洞。根据行为可归类为以Web攻击为主的混合入侵。铁路订票系统12306大量用户数据遭泄露影响：★★★★☆

余震：★★★☆☆损失：大批身份证、邮箱泄露造成2次威胁事件过程：有网友在漏洞平台乌云发表一篇题为《大量12306用户数据在互联网疯传包括用户帐号、明文密码、身份证邮箱等（泄漏途径目前未知）》的帖子，称当前有黑客获取了12306的所有用户信息并在一些黑客群体中进行流传、买卖。据了解，该样本数据的文件标题为《12306邮箱-密码-姓名-身份证-手机（售后群：31109xxxx）.txt》，共计131653条记录、文件大小14M。经过仔细分析，该批131,653条的12306用户数据是真实的。此外，该批数据基本确认为黑客通过“撞库攻击”所获得，并非从12306直接泄露。点评：本次事件虽因撞库而起，并非从12306直接泄露，但仍至少说明两个问题：1.其他第三方机构用户数据库被攻陷；2.大部分用户在多个网站使用相同用户名密码，一旦其中一个网站被脱库，其余网站均会受到影响。美国Target数据泄露，致CIO、CEO相继辞职影响：★★★★☆

余震：★★★★☆损失：超10亿美金，TargetCIO、CEO相继辞职。事件过程：美国零售巨头Target数据泄露事件影响人数多达1.1亿，信用卡数量4000万。对公司造成损失超过10亿美元，CIO贝丝·雅各布、首席董事长、总裁兼CEO格雷格·斯坦哈费尔相继辞职。数据泄露最终造成Target对业务进行重组。据了解，黑客系通过攻陷空调供暖系统供应商电脑，进一步提升权限，通过Web攻击等方式最终获取AD管理员权限，将核心信息外发至黑客手中。点评：本次事件属于典型的APT攻击，有清晰的引诱>渗透>升权>回传过程，大部分数据泄露事件均由此而起。摩根大通大批用户信息泄露影响：★★★★★

余震：★★★★☆损失：摩根大通事发当月股票跌幅5%，市值蒸发110亿美金事件过程：网络对美国最大的银行摩根大通的攻击最早发生在八月，导致联邦调查局开始调查俄罗斯政府与摩根大通被攻击之间的关联。然而，不管是谁发起的攻击，事件造成了7600万个个人账户和700万个小企业账户的户名、地址、电话和电子邮件被泄露的严重后果，摩根大通的股票2014年全年涨幅约6%，事发当月跌幅约5%。人们一般认为，被攻破的都是些安全措施薄弱的公司，然而众所周知的是，摩根大通在安全保护领域有着非常完善的安全规划并不惜投入巨资。摩根大通事件以惨痛的教训向世界做出警示，没有人是绝对安全的。点评：本次事件中入侵者使用了多种零日攻击策略，并在摩根大通的网络中放置了多层常规恶意软件。迅速识别并定位这些攻击行为是针对此类现象的重点需求。索尼影业被黑影响：★★★★☆

余震：★★★★★索尼直接损失逾1亿美金，并逐步发展为政治事件事件过程：十一月份，索尼影视娱乐受到黑客攻击，导致公司系统被迫关闭。攻击造成从包括个人信息和名人电子邮件在内的员工详细信息到未发布的影片都被公之于众。美国联邦调查局声称背后黑手是朝鲜，总统奥巴马也二次发声要打击网络攻击行为。朝鲜当局呼吁成立朝美联合调查组，并威胁如果未遂其愿的话可能导致“严重后果”。此事已经上升到国家政治层面。点评：本次事件中除常规渗透外，还存在索尼内部员工协助黑客进行攻击的现象，且后期往来攻击中出现了大流量DDoS，属于大规模混合攻击。心血漏洞&Bash漏洞曝光影响：★★★★★

余震：★★★★★损失：通用漏洞，可影响90%全球网站，损失无法预估事件过程：今年四月发现的OpenSSL核心安全漏洞心血漏洞，在整个IT行业及更广的周边行业引起了普遍的恐慌。德国程序员西格尔曼声称对导致缺陷的OpenSSL代码负责。然而，还是有人指责一些使用了OpenSSL代码的网站巨头，从未支援过开源社区的检查修复工作。据说90%的网站都使用了OpenSSL代码，但很少有人为OpenSSL做出捐献。半年后的9月25日消息，Linux用户又得到了一个“惊喜”，RedHat安全团队在Linux中广泛使用的Bashshell中发现了一个隐晦而危险的安全漏洞。该漏洞被称为“BashBug”或“Shellshock”。当用户正常访问，该漏洞允许攻击者的代码像在Shell中一样执行，这就为各种各样的攻击打开了方便之门。而且，更糟糕的是，该漏洞已经在Linux中存在很长时间了，所以修补某个Linux机器很容易，但是要全部修补，几乎不可能实现。点评：本类事件属于新曝光的协议级重大漏洞，可动辄使整个互联网经历一次大海啸。大部分用户和企业依然缺少系统的安全理念影响：∞

余震：∞现象分析：尽管安全事件层出不穷，各企业单位也对安全越发重视，但相当数量的企业仍然对如何打造一个安全的信息网络环境缺少系统的认知，不能有效利用各种安全方案，造成在安全建设时出现了多个安全孤岛，采用的各类安全方案也良莠不齐——如此发展下去同类安全事件将不断重演，用户的安全思维亟待提高。点评与对策：综观上述安全事件，可分类为来自外部的APT（高级可持续性）威胁、DDoS威胁、Web安全威胁和来自内部的运维安全缺失造成的威胁。其中影响越大的事件越趋向于通过多种威胁混合实现。第三方报告移动终端社交网络/大数据云/虚拟化01.云端访问安全代理02.软件定义的信息安全03.遏制和隔离为基础的信息安全策略04.物联网的安全网关、代理及防火墙05.机器可判别威胁智能化，信誉度评定06.沙盒分析与入侵指标确认07.大数据信息安全分析08.互动式应用安全测试09.

适应性访问管控10.

端点侦测与回应01.策略合规02.新应用促使边界网关升级03.

DDOS防护04.基于大数据的安全分析05.企业级移动安全IDC：中国信息安全市场发展趋势Gartner：十大信息安全技术华讯高级威胁防护解决方案移动终端社交网络/大数据云/虚拟化DDoS攻击防护WEB攻击防护APT攻击防护华讯

高级威胁防护解决方案目录解决方案资源3解决方案简介2解决方案背景1高级威胁防护解决方案

SQLInjection

CrossSiteScripting

ParameterTamperingCookiePoisoningInternetAppServerDatabasesBackendServer/SystemPortScanningAnti-spoofingWebServerKnowvulnerabilitiesPattern-BasedAttacksWAF企业数据中心DDoS

ProtectDoS

&

DDoSApplication

DoS&DDoSNGFWWebServer高级威胁防护解决方案(三个方面)依据目前国际、国内背景，当前来自外部的主要安全威胁有三点：DDoS攻击威胁DDoS攻击已由网络层攻击转变为应用层攻击发生在今年2月份的400G历史最高DDoS攻击记录在今年12月份被国内DDoS攻击刷新为450GAPT攻击威胁RSA公司，摩根大通的案例说明，对于APT要慎重对待目前的防火器，防毒墙，防病毒软件对于APT的防护效果不大Web攻击威胁对于入侵者来说，Web攻击是首选，因为很多时候企业只对外开放了Web访问Web应用的更新，升级频率高，Web漏洞不可避免高级威胁防护解决方案—DDoS防护LoadBalancerDATACENTERAttackTrafficGoodTrafficIPS耗尽带宽状态资源耗尽服务资源耗尽超带宽DDoS攻击应用层DDoS攻击高级威胁防护解决方案——DDoS防护（续）发现销售机会的几个问题（企业）：有没有发生过流量不大,但是在线业务访问很慢的现象?有没有发生过防火墙时常/偶尔会应为会话过高而死机?同行业的xx公司最近被DDoS攻击的事情您听说过吗?近几个月贵公司使用过运营商流量清洗服务吗?效果如何啊?发现销售机会的几个问题（运营商）：这几年DDoS攻击事件发生的比较频繁，你们的业务有没有受到影响？你们对你们的客户是如何进行DDoS攻击清洗的？每年你们遇到的攻击流量大概多少？xx运营商因为提供了DDoS攻击清洗服务，一年仅此收入就达到2000多万高级威胁防护解决方案——DDoS防护（续）针对DDoS威胁的防护：DDoS攻击威胁防护超带宽型DDoS攻击——采购运营商/云端DDoS清洗服务应用层DDoS攻击及其他DDoS攻击——部署DDoS防护设备运营商市场占有率第一——超过60%市场份额部署简单，技术领先含有IPS功能，不仅仅是DDoS防护性价比更高高级威胁防护解决方案——DDoS防护-ARBORArbor公司介绍（截至2014年中）：全球95%一级运营商是Arbor的客户全球有107个国家部署了Arbor产品在运营商分析&防护设备市场占有率第一，占76.6%份额当前ATLAS安全智能监控的全球总流量80Tbps–占全球互联网流量的40%Arbor产品介绍：分为运营商解决方案和企业解决方案可以检测拦截网络层DDoS攻击、应用层DDoS攻击，以及其他各种DDoS攻击部署简单，开箱即用高级威胁防护解决方案——DDoS防护-RadwareRadwareDefensePro产品介绍：结合了入侵防御系统(IPS)、网络行为分析(NBA)和拒绝服务(DoS)保护最准确的攻击检测与阻止领先、统一的监控和报告,可生成PCI、HIPAA和SOX等合规报告实时保护，抵御已知和新出现的网络攻击，比如基于弱点的攻击、基于滥用服务器资源的非弱点攻击以及滥用网络带宽资源的溢出攻击使用多达20种不同的参数，针对每个攻击模式生成实时特征码，阻止攻击，且不会阻止正常的用户流量高级威胁防护解决方案——APT防护12CVE-2011-0609354长时间摸底客户高级定制的恶意软件绕过防火墙绕过防病毒植入目标系统建立后门,隐藏自己接受指令,默默更新横向扩散,纵向挖深刺探私密,偷偷回传高级威胁防护解决方案——APT防护(续)发现销售机会的几个问题：你认为贵公司最重要的资产是什么？（人和数据）你的员工能够收到来自外部的邮件或者访问外部网页吗？很多的数据泄露都是因为内部人员引起的（有目的或是躺枪），你防护了吗？针对不同的员工，在不同地方使用公司数据有没有颗粒化管理？高级威胁防护解决方案——APT防护(续)针对APT威胁的防护：APT攻击威胁防护下一代防火墙NGFW/IPS，可以识别/检测应用层的威胁新兴的沙盒技术，可以识别/检测零日攻击,未知威胁下一代防火墙配合防病毒，IPS技术解决大部分APT威胁再配合WildFire沙盒技术完美解决剩余的APT威胁下一代防火墙配合防病毒，IPS技术解决大部分APT威胁国内下一代防火墙（NGFW）标准制定者之一国产安全产品，政策倾向高级威胁防护解决方案——APT防护-PaloAltoPaloAlto产品介绍：App-ID对5大类25个子类的750多种应用程序实施基于策略的控制每周都会新增5-10种应用程序User-ID根据用户及/或AD群组管理与实施策略调查安全事件，编制自定义报告Content-ID统一签名引擎可扫描单通道内的各种威胁，漏洞攻击、病毒、及间谍软件基于串流、而非文件的实时扫描性能Single

Pass单通道——对各数据包仅执行一次扫描平行处理P——特定功能硬件引擎，独立的数据/控制平面高级威胁防护解决方案——APT防护-深信服深信服产品介绍：可视通过可视化报表不仅能够全面呈现用户和业务的安全现状还能帮助用户快速定位安全问题没有攻击行为也可以找到业务中潜在的风险L2-7层完整威胁识别，业务漏洞可视化海量日志≠有效攻击，可以攻击与漏洞关联双向不仅仅需要防护外部攻击，并且要检查服务器/终端外发流量是否有风险弥补了传统安全设备只防外不防内的漏洞可检测服务器外发数据是否有泄密或篡改也可检测内网终端电脑是否被黑客控制国内首家发布下一代防火墙的厂商是国内下一代防火墙标准的制定者之一高级威胁防护解决方案——Web防护1发现新浪微波漏洞可以获取收益防火墙无法发现IPS无法发现Worm23编写恶意代码测试、改进、发布4发带毒私信,微博内容劲爆,引诱点击56大量加V用户感染成为新的感染源高级威胁防护解决方案——WEB防护(续)发现销售机会的几个问题：贵公司目前是否使用在线业务系统的?贵公司是否担心类似SQL注入,网站挂马这样的攻击?贵公司的业务系统是自主开发的还是外包开发的,有没有定期做过Web检测?高级威胁防护解决方案——WEB防护(续)针对Web攻击威胁的防护：Web攻击威胁防护部署Web

Application

Firewall（WAF）设备国际品牌国内品牌高级威胁防护解决方案——方案优势解决方案全面：涵盖了Gartner和IDC预测的主要威胁：包含了DDoS，APT，Web攻击防护