当前位置:文档之家 › 安天反高级威胁方案(全版本)

安天反高级威胁方案(全版本)

  • 格式:pdf
  • 大小:5.16 MB
  • 文档页数:52

下载文档原格式

  / 52

合集下载

微软最牛RPC漏洞MS08-067全解决方案

微软最牛RPC漏洞MS08-067全解决方案

微软最牛RPC漏洞MS08-067全解决方案2008-10-28 11:29:08 来源:赛迪网作者:张晓兵点击: 2744近期微软爆出四年以来最严重的安全漏洞,赛迪网安全频道特邀请安全专家张晓兵撰文,为大家解读此次微软MS08-067漏洞,并针对于此给出了全面的解决方安全案。

近期微软爆出四年以来最严重的安全漏洞,赛迪网安全频道特邀请安全专家张晓兵撰文,为大家解读此次微软MS08-067漏洞,并针对于此给出了全面的解决方安全案。

第一部分:MS08-067漏洞与趋势分析2008年10月23日,微软爆出特大安全漏洞,几乎影响所有Windows系统,强烈建议广大用户及时下载安装该漏洞补丁。

成功利用该漏洞的远程攻击者,可能会利用此问题危及基于Microsoft Windows系统的安全,并获取对该系统的控制权。

这是微软近一年半以来首次打破每月定期发布安全公告惯例而紧急发布的更新通告。

该安全漏洞可能允许远程执行代码,如果受影响的系统收到了特制伪造的RPC请求。

在Microsoft Windows 2000、Windows XP和Windows Server 2003系统,攻击者可以利用此漏洞无需通过认证运行任意代码。

这个漏洞还可能被蠕虫利用,此安全漏洞可以通过恶意构造的网络包直接发起攻击,并且攻击者可以获取完整权限,因此该漏洞很可能会被用于制作蠕虫以进行大规模的攻击。

受影响的操作系统如下:Windows XP Professional x64 EditionMicrosoft Windows 2000 Service Pack 4Windows XP Service Pack 2Windows XP Service Pack 3Windows XP Professional x64 EditionWindows XP Professional x64 Edition Service Pack 2Windows Server 2003 Service Pack 1Windows Server 2003 Service Pack 2Windows Server 2003 x64 EditionWindows Server 2003 x64 Edition Service Pack 2Windows Server 2003 SP1(用于基于 Itanium 的系统)Windows Server 2003 SP2(用于基于 Itanium 的系统)Windows Vista 和 Windows Vista Service Pack 1Windows Vista x64 Edition 和 Windows Vista x64 Edition Service Pack 1 Windows Server 2008(用于 32 位系统)Windows Server 2008(用于基于 x64 的系统)Windows Server 2008(用于基于 Itanium 的系统)Windows 7 Beta(用于 32 位系统)Windows 7 Beta x64 EditionWindows 7 Beta(用于基于 Itanium 的系统)得到此消息后,安天网络安全研究与应急处理中心(Antiy CERT)进行了紧急的研究,并制定了相应的解决方案。

信息安全产品整理汇总

信息安全产品整理汇总

信息安全产品整理汇总一、防火墙产品1. 产品名称:天融信防火墙主要功能:防御网络攻击、访问控制、入侵防御适用场景:企业内网、数据中心、云计算环境2. 产品名称:华为USG防火墙主要功能:网络层防护、应用层防护、VPN加密适用场景:中小企业、分支机构、远程办公3. 产品名称:深信服防火墙主要功能:防DDoS攻击、上网行为管理、威胁情报适用场景:教育、医疗、政府等行业二、入侵检测与防御系统(IDS/IPS)1. 产品名称:绿盟科技入侵检测系统主要功能:实时监控网络流量、发现并报警异常行为适用场景:大型企业、运营商、金融行业2. 产品名称:启明星辰入侵防御系统主要功能:阻断恶意攻击、保护关键业务系统适用场景:政府、能源、交通等行业3. 产品名称:安恒信息入侵检测与防御系统主要功能:流量分析、威胁检测、防御策略部署适用场景:互联网企业、园区网、数据中心三、加密与证书管理产品1. 产品名称:数字证书认证中心(CFCA)主要功能:数字证书发放、证书管理、加密解密适用场景:电子政务、电子商务、企业内部认证2. 产品名称:沃通SSL证书主要功能:网站加密、身份验证、数据传输安全适用场景:各类网站、移动应用、API接口3. 产品名称:吉大正元加密机主要功能:硬件加密、密钥管理、安全认证适用场景:银行、证券、保险等行业四、安全运维与管理平台1. 产品名称:奇安信安全运维平台主要功能:资产管理、漏洞扫描、日志分析适用场景:企业安全管理部门、运维团队2. 产品名称:腾讯安全管家主要功能:安全防护、病毒查杀、数据保护适用场景:个人用户、家庭网络、企业办公3. 产品名称:360企业安全卫士主要功能:终端防护、网络安全、安全态势感知适用场景:企业级用户、政府机关、教育机构本汇总文档旨在为您提供一个信息安全产品的大致了解,具体产品功能及适用场景可能因版本更新而有所变化,请以实际产品为准。

在选购信息安全产品时,请结合自身需求和预算,选择合适的产品。

正中信息:虚拟世界里的“网络哨兵”

正中信息:虚拟世界里的“网络哨兵”

聚焦改革·助力发展372022年5月·山东国资正中信息:虚拟世界里的“网络哨兵”□ 本刊记者 王炜/通讯员 陈鑫我国被篡改、植入后门的政府网站高达699个,2022年2月以来我国遭受境外A P T 组织的网络攻击达400余次,攻击流量峰值达36Gbps,严重危害我国关键基础设施安全、海量个人数据安全以及商业和技术秘密。

小到个人电脑入侵,大到企业生产系统瘫痪、城乡基础设施故障、国家重要信息系统破坏和国防系统漏洞,威胁无所不在。

随着应用技术向移动互联网、物联网、产业互联网、云计算和大数据的发展,网络安全问题也呈现出一些新趋势。

为应对这些网络威胁,信息咨询设计服务业快速发展。

《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》共提到14次“网络安全”,同时明确给出网络安全发展指标。

《“十四五”国家信息化规划》提出要“以安全保发展、以发展促安全,推动网络安全与信息化发展协调一致、齐头并进,统筹提升信息化发展水平和网络安全保障能力”。

工信部、科技部等国家部委先后出台《“十四五”软件和信息技术服务业发展规划》《“十四五”大数据产业发展规划》等一系列政策规划。

“新基建”基础设施投资拉动安全市场需求,蕴藏着千亿市场蓝海机遇。

深耕廿载成为业界翘楚1999年,山东正中信息技术有限公司成立。

20余年不懈坚持,正中信息成长为国内信息化服务领域知名企业。

首批获原信息产业部授予临时监理资质的8家企业之一,信息系统工程咨询、监理、涉密三甲资质企业,山东省首家新三板挂牌信息化第三方服务高新技术企业,国家信息系统工程监理标准编制组核心成员,ITSS 国家信息技术服务标准工作组全权成员单位……移动互联网、电子政务网、工业互联网、物联网、公共服务信息平台……万物互联的时代,机遇与挑战并行,便捷和风险共生。

据统计,2021年全国信息技术服务业市场规模达9万亿元,年复合增长率保持在15%以上,预计到2025年行业市场规模可达13万亿元。

移动反病毒引擎白皮书

移动反病毒引擎白皮书

6
《AVL SDK for Mobile 反病毒引擎产品白皮书》
Overview
什么是移动恶意代码
随着移动操作系统、移动终端和移动互联网产业的高速发展,移动恶意代码也随之快速发展起来。移动互联 网操作系统和智能手机设备提供了比 PC 更丰富的通信能力和外设功能, 手机软件应用呈现出更加丰富的功能和形 态。目前,移动恶意代码通常被划分为“恶意代码应用”和“潜在有害应用” 。因此,我们对移动恶意代码的认定 采用广义的策略,即包括了“恶意代码应用”类型的 Trojan,Virus 和 Worm,也包括了“potential unwanted application”类型的 G-Ware,Tool,RiskWare,AdWare。对这些类型的移动恶意代码,它们的主要风险在下 面的表格中进行了概括。 Type Malware 类别 Trojan Worm Virus Potential Unwanted Application G-Ware RiskWare AdWare Tool 行为与风险 手机被远程控制,隐私泄露,手机资费损失,流量损失 利用手机的通信能力进行远程传播 在手机上感染其它程序并进行传播 被强行安装第三方应用,出现大量垃圾系统推送消息,出现垃圾广告 可能造成用户损失或具备较高风险的功能,例如,会在本地明文记录用户隐私,或是 可以接受远程控制强行卸载指定手机应用 包含广告件,可能导致隐私泄露风险或是其它风险 系统工具类或是黑客工具类,可能给系统带来稳定性风险
TABLE OF CONTENTS
OVERVIEW
............................................................. 1
什么是移动恶意代码 ....................................................................................................1 移动反病毒技术的高投入 ...........................................................................................1 世界顶级移动安全反病毒引擎 AVL ..........................................................................2 AVL SDK FOR MOBILE 是什么? .........................................

未知威胁整体解决方案v1.0

未知威胁整体解决方案v1.0

未知威胁整体解决方案360企业安全集团█版权说明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外。

所有版权均属360企业安全集团所有,受到有关产权及版权法保护。

任何个人、机构未经360企业安全集团的书面授权许可,不得以任何方式复制或引用本文的任何片段。

█适用性说明本模板用于撰写360企业安全集团中各种正式文件、包括技术手册、标书、白皮书、会议通知、公司制度等文档使用。

2.1.传统防护手段面临失效 (3)多变的攻击手段 (4)攻击隐蔽性强 (6)攻击目标明确 (8)2.2.免杀木马无法检测 (8)2.3.大量内网数据无法有效利用 (9)3.1.未知威胁检测思路 (10)3.2.未知威胁响应拦截思路 (12)3.3.未知威胁溯源思路 (13)3.4.整体思路 (13)4.1.方案架构 (14)云端威胁情报 (15)本地网络信息采集 (16)本地文件威胁检测 (17)本地大数据威胁分析平台 (17)终端联动响应 (17)网关联动响应 (18)专业安全服务 (19)4.2.详细设计 (20)部署拓扑图 (20)解决的问题 (20)方案清单 (21)背景近年来,具备国家和组织背景的APT攻击日益增多,例如:2010年攻击伊朗核电站的“震网病毒”、针对Google邮件服务器的“极光攻击”、2013年韩国金融和电视媒体网络被大面积入侵而瘫痪等等,2014年APT攻击的主要目标行业是金融和政府,分别高达84%和77%。

中国是APT(Advanced Persistent Threats,高级持续性威胁)攻击的受害国,国内多个省、市受到不同程度的影响,其中北京、广东是重灾区,行业上教育科研、政府机构是APT攻击的重点关注领域。

截至2015年11月底,360威胁情报中心监测到的针对中国境内科研教育、政府机构等组织机构发动APT攻击的境内外黑客组织累计29个,其中15个APT组织曾经被国外安全厂商披露过,另外14个为360独立发现并监测到的APT组织。

公安局网络安全方案

公安局网络安全方案

公安局网络安全方案目录一、前言 (3)1.1 编制目的 (3)1.2 编制依据 (4)1.3 安全目标 (5)二、网络安全现状分析 (6)2.1 网络架构概述 (7)2.2 网络安全风险点 (8)2.3 以往安全事件回顾 (9)三、网络安全策略与措施 (10)3.1 访问控制策略 (11)3.1.1 用户身份认证 (12)3.1.2 权限管理 (13)3.1.3 数据访问控制 (14)3.2 网络防护策略 (16)3.2.1 防火墙配置与管理 (17)3.2.2 入侵检测与防御系统 (18)3.2.3 虚拟专用网络安全管理 (20)3.3 数据安全策略 (21)3.3.1 数据加密 (22)3.3.2 数据备份与恢复 (23)3.3.3 数据泄露应对 (24)3.4 应用安全策略 (25)3.4.1 应用程序开发规范 (26)3.4.2 安全审计与日志管理 (28)3.4.3 恶意代码防范 (29)3.5 运行维护策略 (31)3.5.1 定期安全检查 (32)3.5.2 安全漏洞扫描与修复 (34)3.5.3 安全培训与意识提升 (35)四、网络安全管理组织体系 (36)4.1 组织结构 (37)4.2 职责划分 (38)4.3 安全团队建设 (39)五、网络安全实施计划 (40)5.1 实施步骤 (41)5.2 时间节点 (42)5.3 资源保障 (43)六、网络安全评估与持续改进 (44)6.1 定期安全评估 (45)6.2 问题跟踪与整改 (47)6.3 改进措施与效果验证 (48)一、前言随着信息技术的快速发展和普及,网络安全问题已成为社会关注的重点之一。

面对日益严峻的网络安全形势,公安局作为维护社会治安的重要力量,必须高度重视网络安全工作,切实加强网络安全的监管与防范。

我们编制了本网络安全方案,旨在提高公安局网络安全防护能力,确保网络系统的安全稳定运行,保障重要信息的机密性、完整性和可用性。

高级持续性威胁(APT)攻击与防范

高级持续性威胁(APT)攻击与防范随着网络的迅猛发展和互联网的广泛应用,网络安全问题变得越来越重要。

高级持续性威胁(APT)攻击是一种针对关键基础设施、政府机构、大型企业等目标进行的长期持续的攻击手法。

本文将就高级持续性威胁攻击的定义、特征、防范措施等方面进行探讨。

1. 定义和特征APT攻击是指骇客或黑客组织利用高度先进的威胁手段,通过长期持续的方式对特定目标进行攻击和渗透。

与传统的网络攻击方式相比,APT攻击具有以下几个特征:- 高度专业化和组织化:APT攻击通常由有组织的黑客组织发起,攻击手段高度专业,攻击者经过深入调查和策划,有针对性地攻击特定目标。

- 持续性和隐蔽性:APT攻击以长期的方式进行,攻击者往往通过多层次的攻击手段和躲避防御系统的手段来保持攻击的持续性和隐蔽性。

- 具有多层次攻击手段:APT攻击一般包括入侵目标网络、获取敏感信息、建立后门、数据窃取等多个层次的攻击手段。

2. 防范措施由于APT攻击具有高度专业性和持续性的特点,传统的网络安全防护手段往往难以有效应对。

为了有效防范APT攻击,以下几个方面的防范措施是至关重要的:- 多层次的网络安全防护:企业和机构需要采取多层次的网络安全防护措施,包括网络入侵检测系统(IDS)、防火墙、入侵防御系统(IPS)等,用于实时监测和预警潜在的APT攻击行为。

- 加强员工培训与意识:由于APT攻击往往以社会工程学手段进行,员工的安全意识是防范APT攻击的第一道防线。

企业和机构需要加强员工的网络安全培训,提高他们对网络安全风险的认识和警惕性。

- 数据加密和访问控制:针对重要的敏感数据,企业和机构需要采取数据加密和严格的访问控制措施,确保只有授权人员才能访问和操作相关数据。

- 安全事件监测和响应:企业和机构需要建立安全事件监测和响应机制,以便对潜在的APT攻击进行实时监测,并迅速做出应对和处理。

- 与国内外相关机构的合作:面对APT攻击,企业和机构应与国内外相关机构进行合作,及时获取最新的APT攻击信息和防范技术,提高对APT攻击的响应能力。

乌克兰电力系统遭受攻击事件综合分析报告


附录一:鸣谢 .............................................................................................................................................................28 附录二:相关样本 HASH ............................................................................................................................................28 附录三:部分样本追影分析报告 ...............................................................................................................................29 附录四:事件分析跟进时间点 ...................................................................................................................................29 附录五:参考资料 ......................................................................................................................................................30 附录六:事件时间链与相关链接 ...............................................................................................................................32 附录七:安天在工控领域进行的相关研究 ................................................................................................................36 附录八:关于安天 ......................................................................................................................................................43

如何应对APT持续性高级威胁攻击

如何应对APT持续性高级威胁攻击在当今数字化的时代,网络安全面临着诸多挑战,其中 APT (Advanced Persistent Threat,持续性高级威胁)攻击成为了企业和组织的重大威胁之一。

APT 攻击具有高度的复杂性、隐蔽性和持续性,给目标带来了巨大的损失。

因此,了解如何应对 APT 持续性高级威胁攻击至关重要。

首先,我们需要清楚地认识什么是 APT 攻击。

APT 攻击并非一般的网络攻击,它是由专业的黑客团队或者有组织的犯罪集团精心策划和实施的。

这些攻击者通常具有丰富的资源、高超的技术和充足的时间,其目标往往是获取敏感信息、破坏关键基础设施或者对特定目标造成长期的损害。

APT 攻击的特点包括以下几个方面。

一是高度的隐蔽性,攻击者会采用各种手段来隐藏自己的行踪和攻击行为,使其难以被发现。

二是针对性强,他们会对目标进行深入的研究和分析,了解其网络架构、业务流程和安全防护措施,从而制定出专门的攻击策略。

三是持续性,APT 攻击不是一次性的,而是长期潜伏在目标系统中,不断地窃取信息或者进行破坏。

那么,面对如此复杂和危险的 APT 攻击,我们应该如何应对呢?加强网络安全意识培训是第一步。

员工往往是网络安全的第一道防线,也是最容易被攻击者突破的环节。

因此,要对员工进行定期的网络安全培训,让他们了解常见的网络攻击手段、如何识别钓鱼邮件和恶意链接、如何保护个人和企业的敏感信息等。

只有提高员工的网络安全意识,才能有效地减少因人为疏忽而导致的安全漏洞。

建立完善的网络安全防御体系是关键。

这包括部署防火墙、入侵检测系统、防病毒软件等传统的安全设备,同时也要引入先进的威胁情报分析平台、沙箱技术和行为分析系统等。

这些技术手段可以帮助我们及时发现和阻止潜在的 APT 攻击,同时对已经发生的攻击进行溯源和分析。

进行实时的网络监测和预警也非常重要。

通过安装网络流量监测设备和日志分析工具,对网络中的数据流量和系统日志进行实时监控,一旦发现异常行为,能够及时发出警报并采取相应的措施。

APT高级威胁攻击入侵检测与防范

APT高级威胁攻击入侵检测与防范APT(Advanced Persistent Threat)高级威胁攻击对于企业互联网安全来说是一个持续的威胁,它具有高度的针对性、隐蔽性和持久性。

为了保护企业网络免受APT攻击的侵害,必须加强入侵检测与防范措施。

首先,APT高级威胁攻击的入侵检测是防御的重中之重。

传统的安全防护体系主要依靠边界防火墙、入侵检测系统(IDS)等边界安全设备进行防御,但APT攻击往往能够规避这些传统的安全防护手段。

因此,组织应该部署具备高级威胁检测能力的设备,如专业的APT检测系统和高级威胁入侵检测系统(ATIDS)。

其次,APT高级威胁攻击的入侵防范需要从多个方面入手。

一方面,有效的用户权限和访问控制是防止恶意入侵的基础。

组织应该实施最小权限原则,确保用户只能获得必要的权限,并定期审查和更新用户权限。

另一方面,网络安全教育和培训对于员工意识的提高至关重要。

通过定期进行安全意识培训,教育员工如何识别和应对各类威胁,可以大大减少恶意攻击的成功率。

此外,组织应该采用高级的威胁情报平台来及时获取、分析和应对APT高级威胁攻击。

威胁情报可以提供关于攻击者的行为模式、攻击方法和最新威胁情报的信息,帮助组织及时发现和应对潜在的威胁。

通过与各大安全厂商、安全社区的合作,组织可以建立一个强大的威胁情报共享体系,从而提高整体的安全防御能力。

APT高级威胁攻击的入侵检测与防范还需要依靠先进的日志和事件管理系统。

这些系统可以收集、分析和记录网络设备、主机和应用程序的日志和事件信息,从中检测到异常行为和攻击活动。

同时,建立一套完善的事件响应机制,及时响应并处置威胁事件,以减少攻击造成的损失。

最后,网络安全技术的不断更新和完善也是APT高级威胁攻击入侵检测与防范的重要环节。

组织应该密切关注最新的安全威胁和攻击技术,及时引入先进的防御技术和解决方案。

例如,人工智能技术在入侵检测和防范中的应用越来越重要,可以通过分析大规模的网络流量数据,快速发现和应对潜在的APT攻击。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

安天多年来持续跟踪分析的APT事件
6
APT主要攻击方式
7
0Day漏洞 商用攻击平台 失巨大
威胁≠ 攻击 威胁> 攻击
反APT重点要防恶意代码
恶意代码是APT攻击中的必用“武器”
8
通过恶意代码管控和防御,对APT攻击 手段进行高效打击: 远控 回传 僵尸 暴力破解 网络扫描 主机探测 黑客工具 文档溢出 DNS劫持 木马 提权 横向移动 暴力破解
11
1
2 3 4 5 6 7
建立连接 内部侦查 保持存在
标星的是恶意代码传输和活跃的步骤
安天APT解决方案
12
发现是防御的前提
数据包检测 数据流检测
文件还原
文件检测 恶意URL
APT 解决方案
探海——入口与内网枢纽高速检测
初次接触 提升权限 横向移动 完成任务
13
1 2 3 4 5 6 7
建立连接 内部侦查 保持存在
产品价值—发现威胁
恶意代码(木马等)进入网络 恶意代码在网内横向移动 未知威胁捕获,向分析设备提交 威胁追溯(IP、URL、域名)
产品功能
协议解析、文件还原 威胁五元组记录 已知恶意代码检测 未知恶意代码联动
探海——性能特点
14
入口和枢纽节点要求高速高精度检测
用户认证服务器
业务服务器
基于时间、地点、身份、内容的权限管理
镇关—链路负载均衡
公网服务器 电信 公网用 户 网通 教育 网
24
DNS
电信

网通
DNS
出站方 向流量
入站方 向流量
办公网络
数据中心
办公网络 网通
内部用户DNS设置为电信 DNS
智 能
移动应用 Internet 娱乐 IM P2P 视频 应用 电信
威胁阻断
智能流量控制 基于用户与应用的多级策略 专业入侵防护
多引擎一体化扫描(AV/IDP/恶意软件/URL)
镇关—防火墙需要更新换代
网 络 威 胁
Web威胁 僵尸网络 木马 蠕虫
18
6X
APT 移动威胁
WEB
+
+
手段多样&隐蔽 难以管控
威胁激增
高级持续性威胁(APT)攻击越来越复杂, 越来越隐蔽,方法也越来越多。 许多威胁依附在应用之中传播肆虐 Gartner报告:75%的攻击来自应用层
高 效
办公/网银
扩大的网络边界--私接无线AP、随身Wifi
25
内网探针检测
内部网络扫描与移动探针相结 合的方式
26
无线检测探针
快速检测及自动阻断BYOD
27
边界检查系统
检测到有非法AP 接入,违规 BYOD设备接入
根据应急策略定 义,自动完成IPMAC-SwitchPort 定位
根据响应策略要 求,确认是否自 动阻断
双万兆线速检测能力 • 高速多级别检测:包级别引擎/流级别引擎/文件级别引擎 • 家族化特征匹配,提升检测效率 • 专用硬件加速,实现20G高速处理 高精度检测 • 2千万条检测规则,可检测恶意代码超670万类 • 事件风险吸收体系,避免管理者被告警淹没 • 精确定位病毒事件源头
探海亮点——自主反病毒引擎
目录
32
多维静态扫描
动态模拟分析 发现0Day漏洞
发现免杀木马
APT 解决方案
判定未知威胁
追影——全网未知文件深度分析
初次接触 提升权限 横向移动 完成任务
33
1 2 3 4 5 6 7
建立连接 内部侦查 保持存在
1. 可疑文件异步分析
2. 发现未知恶意文件
3. 发现0day/1day漏洞
目录
28
四级策略保护 安全基线自定义 恶意代码云查杀 全网定点追溯
APT 解决方案
保护终端信息安全
智甲——终端和主机上的全面的防护
初次接触 提升权限 横向移动 完成任务
29
1 2 3 4 5 6 7
建立连接 内部侦查 保持存在
1. 阻止恶意代码的入侵和启动
2. 确认鉴定可疑文件的属性
事件回顾
高速信息采集(流量、文件)
恶意代码全面检测(病毒、木马、蠕虫)
本地化行为分析能力 APT检测能力
国内最早的态势感知可视化系统
视频
QQ
镇关—精细化权限安全
内网用户 外网用户 允许访问业务系统 允许下载内部服务器文件 禁止外发敏感内容邮件、非法 信息 允许访问指定业务系统 禁止下载内部特定文件 对发到内部邮件、上传内部的 文件进行安全过滤
内部网络 ASG
23
互联网
下一代应用安全网关可实现同一用户在不同 时间地点、访问相同目标对象,给予不同的 内容及行为控制 在浏览、搜索、发布、邮件、文件传输等多 途径控制基础上,结合病毒过滤和入侵防御, 阻断涉密、非法、有害内容传递
安天反高级威胁方案

一个典型的APT攻击
2
陆续曝光的APT(高级持续性威胁)攻击
3
Aurora(极光) 2010年1月12日,Google在它的官方博客上披露了遭到了极 光攻击。Google的一名雇员点击即时消息中的一条恶意链接, 引发一系列事件导致这个搜索引擎巨人的网络被渗入数月, 并且造成各种系统的数据被窃取。这次攻击以Google和其它 大约20家公司为目标。
APT是一种有计划、 有目标、有实力、有 策略、有耐心的综合 手段的进行的攻击, 一般都是组织的黑客
行为。
GrayFish
硬 盘 固 件 重 新 编 利用硬盘厂商的升级指令,篡改硬盘固件,获取用户数据于无形 程 安天2014年3月4日对此事件形成V1版报告:/response/EQUATION_ANTIY_REPORT.html
防火墙需要更新换代
•传统的防火墙基于包头信息 •可是却无法分辨应用及其内容
•也不能区分用户
•更无法分析记录用户的行为
镇关—与传统防火墙对比
19
端口 VS.
应用
传统FW(基于端口、IP)
镇关 (基于应用、用户、内容)
传统FW无法根据端口识别和控制应用。无法应对APT攻击。 镇关的进步在于更精细的访问控制,最佳使用原则: 基于应用 + 白名单控制 + 最小授权
自我保护
自我学习
网络模拟 行为触发
卖家秀与买家秀
智能消重
诱饵文件
追影是唯一被公安部认定为“增强级”反APT产品
37
解决方案价值
38
APT 解决方案
解决方案价值——快速响应能力
39
发现
评估
上传样本
确认
处置
分析样本,提取病毒特征 获取升级包
本地化 分析
本地化分析
升级包下发
闭环时间缩短为以分计 无需将涉密样本上传云端,样 本无需人工干预 样本行为和威胁详细报告
目录
9
APT 解决方案
安天APT解决方案
10
追影威胁分析系统 关键信息记录 网络枢纽
流量捕获、高速检测 网络边界 探海威胁检测系统
修改入口策略 镇关威胁阻断系统
智甲终端防御系统
重点保护 核心资产 智甲终端防御系统 威胁追溯、处置 终端边界
发现&防御APT新威胁的关键点
APT一般的攻击步骤:
初次接触 提升权限 横向移动 完成任务
镇关—一体化框架
全识
1000+ 应用特征
20
细管
基于对象的多级嵌套
深查
AV/IDP/恶意软件/URL 四大特征库 AV 引擎 一 体 化 并 行 查 杀 IDP引擎
应用分析 内容过滤
Ports ≠ 应用 Packet ≠ 内容
应用分级 服务保障 内容监管
单次解析 深度并行扫描 精细高效
镇关—智能识别
超级工厂病毒 在2010年7月开始爆发。它利用了微软操作系统中至少4个 漏洞,其中有3个全新的0day漏洞,据赛门铁克公司的统计, 目前全球已有约45000个网络被该蠕虫感染,其中60%的受 害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核 电站遭到攻击。
传统威胁正在向持续、高级的新威胁(APT)演进,对传统安全产品来说新威胁难以检测
RSA SecurID EMC公司下属的RSA公司遭受入侵,部分SecurID技术及客户资料 被窃取。使用SecurID作为认证凭据的VPN网络的相关公司重要资 料后续也被窃取。
安天APT事件库已分析整理APT攻击事件超过80起
安天对一个APT事件的追踪分析
方程式
5
方程式组织(Equation Group)是2015年2月发现的超级网络攻击团体。该组织使用的“方程 式”攻击平台已经持续开发了20余年,该组织拥有一套用于植入恶意代码的超级制式信息武 器库,包含7-8款攻击程序,每个程序又包含大量的攻击组件。方程式组织总能比其他组织 早发现漏洞,使用大量漏洞进行传播,在安全攻防对抗中具有绝对的优势。到目前为止,方 程式组织”已经在伊朗、俄罗斯、叙利亚、阿富汗、阿拉伯、中国(含香港)、英国、印度 等全球超过30个国家感染了数千主机,受害者可能上万。
国产独立引擎
15
工程化病毒分析,自有病毒分析 工具,日处理病毒样本上报>20万 件
庞大的病毒家族库及特征识别, 准确命名病毒才能正确应对威胁
准确分类 关键网络探针部署/分布式 蜜罐/诱饵信箱/用户上报 等全面捕获渠道 病毒分析流水线 研究机构情报共享 自身海量病毒捕获能力
与全球主要病毒研究机构建 立情报共享机制,实时掌握 最新病毒特征
21
IPS库
病毒库