Your SlideShare is downloading. ×
分会场四使用赛门铁克安全防护套件来发现安全事件
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

分会场四使用赛门铁克安全防护套件来发现安全事件

451
views

Published on

Symentec 2010 @BJ

Symentec 2010 @BJ

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
451
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 赛门铁克安全防护套件建立安全风险视图 刘志刚 Lawrence Liu 资深系统工程师Symantec Protection Suite Family 1
  • 2. Agenda• 威胁与攻击• 防御要素• 开始评估-示例• 实现集中事故查看的步骤• 综述 SYMANTEC VISION 2010 2
  • 3. 威胁趋势 爆发式增长的恶意代码 7000000 In 2009 6000000 >15,000 signatures a day 5000000Traditional Signatures 4000000 3000000 In 2007 2000000 In 2000 1,431 signatures a day 5 signatures a day 1000000 0 SYMANTEC VISION 2010 3
  • 4. 常见的攻击模式– Hydraq 非授权的服务器访问 木马保存控制信息 Database 更改用户权限和账号 Server File Server 应用攻击获取访问权限 Domain Email Controller 文件改变 Server Server Web Server 以邮件附件或文件链接方 式进入 Application IE 漏洞攻击 Server 通过后门允许非授权访问 InternetSymantec Protection Suite Family SYMANTEC VISION 2010 4
  • 5. Symantec Protection Suite 防护 √ 监控访问权限变更 非授权的服务器访问 √ 隔离/删除恶意代码 木马保存控制信息 √ 监控和防止访问授权变 更改用户权限和账号 更 Database Server √ File Server 监控和锁定应用程序行为 应用攻击获取访问权限 Domain Email Controller √ 文件改变 监控和锁定文件系统 Server Server Web Server √以邮件附件或文件链接方 扫描并阻止感染文件 式进入 Application √ 防止零日威胁 IE 漏洞攻击 Server √ 通过后门允许非授权访问 阻止不适当的访问 InternetSymantec Protection Suite Family SYMANTEC VISION 2010 5
  • 6. 开始一个评估 SYMANTEC VISION 2010 6
  • 7. 评估的好处• 发现未知漏洞和存在的威胁• 标识有缺陷或缺失的控制措施• 发现内部风险的外部表象• 评估现有防护措施的有效性• 建立跨网络层面和技术层面的集中视图 SYMANTEC VISION 2010 7
  • 8. 范例: 恶意活动评估• 3 天的过程• 利用Symantec Security Information Manager• 收集3-5个高价值日志或数据源• 借助全球智能网络• 生成报警、报告和分析结果• 根据发现的问题和分析的结果产生结论 Day 1 Day 2 Day 3 • 确定需求 • 数据收集 • 确定目标范围 • 数据分析 • 合并发现的问题 • 安装部署 • 讨论结果 • 展现结果 • 配置和调整 • 保存结果数据 • 方案制定 • 开始数据收集 SYMANTEC VISION 2010 8
  • 9. Day 1: 部署和事件收集• 配置关键数据源• 针对有代表性的案例• 理解需要关联的事件间的关系• 预测怎样得出结论 SYMANTEC VISION 2010 9
  • 10. Day 2: 管理完善吗? SYMANTEC VISION 2010 10
  • 11. Day 2: 调查研究 SYMANTEC VISION 2010 11
  • 12. Day 2: 调查研究 SYMANTEC VISION 2010 12
  • 13. Day 2: 情况变得更复杂了… SYMANTEC VISION 2010 13
  • 14. Day 2: 牵涉到其他主机 SYMANTEC VISION 2010 14
  • 15. Day 2: 初步统计 SYMANTEC VISION 2010 15
  • 16. Day 2: 初步统计 SYMANTEC VISION 2010 16
  • 17. Day 2: 细节的细化 SYMANTEC VISION 2010 17
  • 18. End of Day 2: 建议• 发布Hydraq规则• SPS组件更新,加强控制• 为DNS、URL、已知文件修改自定义规则• 为当晚工作人员报警 SYMANTEC VISION 2010 18
  • 19. Day 2: 设置报警 SYMANTEC VISION 2010 19
  • 20. Day 3: 回顾发现的问题• 我们看到的事件 – 在几台内部主机上的可执行文件下载 – 紧跟着网络扫描的登录邮件服务器和其他不常使用的服务器的行为 – 疑似感染主机上的未知文件执行• 我们采取的动作 – 将可疑的URL添加到监控列表 – 对可疑主机的DNS查询 – 设置登录模式规则 – 监控%temp%目录下添加或修改可执行文件 – 提交可疑文件到Symantec进行分析 SYMANTEC VISION 2010 20
  • 21. Hydraq 评估案例• 目标: 评估Hydraq事件和危害• 评估范围: – Endpoint Protection – Brightmail – DLP – Vulnerability scanner – Firewall• 发现问题统计: – 数百个木马事件 – 发现其他的感染和键盘记录软件 – 系统日志被改写 – 网络中来自恶意IP的访问 – 试图扫描网络的行为 – 不合理的管理员账户使用• 成果: – 对所有受害主机的单一仪表板视图查看 – 提供工作流和整改建议 – 为CIO定制的查询和报告 – 定制用户环境下安全问题统计的仪表板视图 SYMANTEC VISION 2010 21
  • 22. 产生安全事故视图 Data Loss Prevention Database Servers Brightmail File GatewayEndpoint ServersProtection Domain Email Controller Web Servers Servers Web Gateway Critical Servers System Protection Application Servers Desktops/ Laptops Internet Global Intelligence:  Malicious IPs  Botnet IPs  Worm IPs Symantec Protection Suite Family SYMANTEC VISION 2010 22
  • 23. Hydraq 防御 Symantec Protection Suite Hydraq 能做到: Family以邮件附件方式进入 √针对Acrobat漏洞攻击 √在已攻陷主机获取信息 √清除所有系统日志 √改变权限 √获取进程和服务状态,控制、强制结束进程和服务 √建立、修改和删除注册表键值 √重启和关闭主机 √对文件读、写、执行、复制、更改属性、删除 √获取逻辑驱动器列表 √ SYMANTEC VISION 2010 23
  • 24. 产生安全事故视图…Step by Step STEP 1: 评估 STEP 2: 智能化分析 定义目标范围和数据源 产生结论和优先级分配Managing Protection in IT Security SYMANTEC VISION 2010 24
  • 25. 产生安全事故视图…Step by Step STEP 1: 评估 STEP 2: 智能化分析 Step 3: 整改 定义目标范围和数据源 产生结论和优先级分配 响应和消除风险Managing Protection in IT Security SYMANTEC VISION 2010 25
  • 26. 综述• 开始一个评估• 缺失的控制 vs 有效的控制• 有效的整改建议• 集中视图 vs 当前视图• 促使其他项目流程的改变 SYMANTEC VISION 2010 26
  • 27. 其他资源• NEW! Symantec Internet Security Threat Report available http://www.symantec.com/business/them e.jsp?themeid=threatreport• Symantec Protection Suite Family: – Enterprise Edition Servers – Enterprise Edition for Endpoints – Enterprise Edition for Gateways – Enterprise Edition – Symantec Protection Center for intelligent management integration SYMANTEC VISION 2010 27
  • 28. Thank you!Questions and Comments ? 刘志刚 Lawrence_Liu@symantec.comCopyright © 2010 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates inthe U.S. and other countries. Other names may be trademarks of their respective owners.This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied,are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. 28