分会场一新的安全威胁趋势下的企业安全建设

新的安全威胁趋势下的企业安全建设

赛门铁克软件(北京)有限公司
首席安全解决方案顾问马蔚彦

Symantec Vision 2010 1

年月日种独特的恶意代码被
2010 年7月13日，一种独特的恶意代码被
发现——Stuxnet
其目的是企图控制全球的工业基础设施

微软在今年7月16日发布的2286198号安全公
告中建议客户访问微软提供的通用支持网站，
告中建议客户访问微软提供的通用支持网站
并联系“所在国家的执法机关”


针对工业基础设施的数据采集与监控系统(SCADA)，西门子
SIMATICWinCC和PCS7软件。

主要利用了Windows中快捷方式‘LNK/PIF’自动执行代码的
漏洞，通过U盘或者共享网络进行传播。
漏洞通过U盘或者共享网络进行传播

Stuxnet被设计出来，目标是寻找基础设施关键信息并破坏其关
Stuxnet被设计出来目标是寻找基础设施关键信息并破坏其关
键部分。

这是一种百分之百直接面向现实世界的破坏性网络攻击。


据英国《每日邮报》9月25日报道，该网络“超级武器”已经感染了全球超过

45000个网络，伊朗遭到的攻击最为严重，60%的个人电脑感染了该
病毒。
病毒

敲响警钟
• 对系统管理员而言，
对系统管理员而言，当对日益频繁的补丁，零日攻击的公告日渐麻木的情况下的一
个警示。

• 认为大多数恶意软件都以互联网为中心的认识，是否可能让我们错过或者忽视了某
些类型的威胁？

• 对企业而言，
对企业而言，传统工业专用系统（如：工业控制领域）中的传统安全防护理念——
对企业而言，传统工业专用系统（如：工业控制领域）中的传统安全防护理念
“隔离”，还能适应当前的环境吗？

• 随着传统工业与信息技术的不断融合，传统PC安全走过的弯路，是否都会在传统
工业重演？


引发的思考

1 IT环境整体的发展趋势

2 全球的安全威胁变化特点

3 如何摆脱企业安全建设的困境

4 企业安全建设的方向与重点


我们面对着一个飞速变化的IT环境
企业目标网银、网上购物、在线服务、社
业务/服务 •
降低成本 , 创新业务
创新业务开放化交性网站

提升效能 , 最大效益
• 传统工控系统的PC，转向更为廉
IT
价和通用的
价和通用的Windows-Intel平台
平台
基础设施
通用化 • 电信业核心网正在从传统的专用
的多承载网络转向开放性的IP统
一承载

终端 • 手机、上网本、智能终端；
多元化 • 终端应用多样化

• 虚拟化技术的运用
资源整合
• 数据与业务的集中化
与优化
• 云计算模式的应用
信息
膨胀化 • IDC的数据，人类一天产生的信息量为8兆万亿字节
• 企业的信息，以每年超过66%的速度在增长

Symantec Vision 2010

IT环境的变化带来的安全风险
企业目标应用安全、数据与信息安全的管
业务/服务 •
降低成本 , 创新业务
创新业务开放化理和技术控制措施提出更高要求。

提升效能 , 最大效益
IT • 传统IT系统的安全问题扩大化：
基础设施 – 设备范围扩大
通用化 – 影响范围扩大
– 安全运维能力要求扩大

终端 • 使得原本已经较难管理的终端
多元化环境，变得更加复杂

• 新模式产生新的安全问题
资源整合
• 依然存在并关注老的安全问题
与优化
• 新旧模式转变过渡期的安全管理复杂化
信息
膨胀化
• 信息和数据的安全风险，更加直接影响业务和企业信誉
信息和数据的安全风险更加直接影响业务和企业信誉


IT系统在企业中的角色变化
以“信息”为中心

以系统为中心
以“系统”为中心

驱动力：更高的生产力以及合作与
驱动力：业务自动化，如：知识共享的灵活性
ERP，功能性的应用
数据: 分散，非结构化
数据:集中化，结构化
数据:集中化结构化
基础设施：虚拟，云，外包服务
基础设施虚拟云外包服务
基础设施: 物理

SEC 101 ESG Security Strategy Symantec Vision 2010 9

引发的思考





Presentation Identifier Goes Here Symantec Vision 2010 10

恶意代码的增长攻击动机的转变信息风险超乎想象威胁的深度影响

演变为一种犯罪商 1.
1 广泛性针对性 1.
1 攻击的主要目标 1.
1 企业信誉和竞争力
业模式 2. 追求名誉获利 2. 防护的薄弱环节 2. 国家基础设施
3. 政治动机显露头脚

全球信息安全威胁趋势

恶意代码的趋势

数量上的爆炸式增长

传播途径和方式的多样性：欺骗性安全软件、邮件、IM、BBS等

在过去十年内，恶意病毒已经成功演变为一种犯罪商业模式，所涉金额高达

数十亿美元

恶意代码趋势 (2002 – 2009)

2009年…
•57% 恶意代码只出现在单一计算机
•57% 恶意代码只出现在单一计算机
•传统防病毒机制已力不从心!!

成长17倍！！

Symantec Vision 2010. 13

攻击动机的转变

攻击形式上，针对性攻击取代广泛性攻击

有90% 是有组织的犯罪活动，以企业信息为明确的目标

以破坏为目的，企业的关键性基础设施正在成为受关注的攻击目标


信息风险超乎想象

有88%的企业无法回答“我们的信息风险有多大？”

全球有80%的企业存在信息泄漏的风险

在日益膨胀的恶意代码中，有90-95%针对敏感信息

泄密极其容易，每400封邮件中就有1封包含敏感信息，每50份通过网络传输的

文件中就有1份包含敏感数据，每2个USB盘中就有1个包含敏感信息
个

威胁的深度影响

在发达国家，泄漏一条客户信息带来的损失高达 200美金
2009年价值超过 $1trillion的信息被窃取
Stuxnet事件被喻为一个新的时代的标志—— 网络间谍和网络阴谋的时代


引发的思考






中国企业安全建设的发展和应对
传统的思路和模式
以边界、安全域为主的被动的、防御型应对型的安全建设
“传统防护思路” 的技术手段模式

防护重点安全治理观念高效安全管理需求

逐渐转向针对： 1.加强主动防御的合规管理
.加强主动防御的合规管理通过工具化、自动化的安全
•数据内容工作。手段，应对不断扩张的IT资
•应用 2. 加强安全监控综合分析；产的管理，有效落实安全管
户身份
•用户身份 3. 通过安全指标为衡量手理要求
•行为段，推进安全治理、衡量
的安全防护。——业务化安全建设绩效。


但，依然令中国企业IT管理者感到困惑的问
但，依然令中国企业IT管理者感到困惑的问
题：
题：

安全到底应该建成什么样子？
～能否有一个标准的、可落地的安全框架，供企
业参照执行？


SYMANTEC 的思考之：有
SYMANTEC 的思考之一：～有or没有？
SYMANTEC 的思考之一：～有or没有？
的思考之有or

安全到底应该建成什么样子？
～能否有一个标准的、可落地的安全框架，供企业参照执
行？

有没有
• 标准 • 没有能够简单照搬，解决
• 理念，方法论问题的通用模式
• 最佳实践 • 没有一成不变的固定模式
• 建设思路

没有最好的安全，只有最适宜的安全
没有最好的安全只有最适宜的安全

SYMANTEC 的思考之二：最大的瓶颈所在
SYMANTEC 的思考之二：～最大的瓶颈所在
SYMANTEC

矛盾落差
• IT部门内部：生产vs安全 • 观念上的重视与实际行动支
持间的落差
• 部门之间业务 vs IT
部门之间：业务
• 理想状态与现实环境的落差


SYMANTEC 的思考之三：
SYMANTEC 的思考之三
业务/服务
整合三股共同推动的力量
～整合三股共同推动的力量开放化
IT
基础设施
通用化

终端
重点在于安全控制
• ISO 27001重点在于IT安全控制多元化

• 但没有讲如何做资源整合
与优化
信息
膨胀化
ISO 27001

• 以标准为企业建设的参照
• ITIL重点在于IT过程管理
• 强调IT支持和IT交付
• 及时了解最大的外部威胁
• 但是没有安全和开发
• 采取应对最大威胁的最新手段
• 寻求解决内部困境的最佳实践

• COBIT重点在于IT控制和度量评落
价差
• 但是没有讲如何做

Cobit
• 也不专注在安全
Cobit IT 治理关注的域业务目标与IT目标的关系


引发的思考




安建设的方向与点


Symantec可以：
Symantec可以：

提供最佳实践，助力安全建设
提供最佳实践助力安全建设

建立“防御联盟”，共同推动安全建设


赛门铁克愿景

“Confidence in the Connected World”
Confidence in the Connected World
互联世界，满怀信心

Secure and Manage Your Information‐Driven
S dM Y I f ti D i
Enterprise, across Physical, Virtual, and Cloud

来自最佳实践的企业安全建设框架：
• 以合规管理推动安全治理常态化
– 以风险和企业策略为驱动
Risk Based and Policy Driven
Ri k B d d P li D i
– 以自动化的风险与合规管理为手段
IT Governance, Risk and Compliance
– 不断治理和改善安全状态

– 应对不断变化的挑战

• 以“信息”风险管理为核心
Information Centric – 信息的安全更针对数据的内容
Information Risk – 信息是IT系统的核心与重点
Identity Centric Management

Operationalized • 增强基础设施管理
Identity
Id tit & – 标准化、流程化、自动化
Authentication Infrastructure
Management – 更加高效、安全的IT运行管理
Management

• 以身份管理确保可信的访问 Well
Well • 提供良好的基础设施保护
– 人是IT系统使用的主体 Protected – 提供安全保护良好的基础设施
Infrastructure
– 身份的标识与认证确保主体的安全 Infrastructure – 更加安全的基础设施环境
Protection

26

最佳实践以合规促进安全治理

实现安全治理的闭环： Data
Protection
Server
Policy
Malware
Policy
Policy

• 定义风险并开发适宜的IT
策略
PCI SOX Basel FISMA

• 评估基础设施和运行流程 COBIT ISO NIST

的风险
策略管理评估与识别风险及遵从报纠正与响应
• 对问题进行应有的监控、 • Assess 告 • Remedia
上报并提供证明 • Define/m
anage technical • Report te
written & ih ik
with risk deficienc
• 问题的弥补 policies procedural weighted ies
controls model • Prioritize
• Distribute
policies & • Identify • Centralize and
track
track critical
critical view of
view of respond
respond
exception vulnerabilit procedural to
s ies controls incidents
• Detect
deviations 27
7
27


最佳实践 IT系统的主体安全——身份

确保可信的身份：
• 用户、站点、设备身份的
认证
• 提供可信的连接保证
• 交易的认证
• 访问控制
VeriSign Services
欺诈行为信任服务
用户认证设备认证加密
检测

28


最佳实践以保护“信息”为核心

方案
把业务部门引入安全管理的理念
CD/
电子
最佳切入点
最佳“切入点”：
DV
邮件
D We
USB
USB
b邮
设备
件
信息泄漏防泄漏策略
笔记
• 定义敏感信息风险管理本电监控 &预防
及时
消息
解决方案脑发现 &保护

• 监视这些数据如何被使
监视这些数据如何被使用 File
服务
Web/ftp
器
• 建立防泄漏的管理机制和流程数据库服务器

– 提升整个企业对信息安全管理的参
方法论
与度结合实际的最佳实践
– 将信息安全管理上升到业务风险管
•由下属部门的主管组成
统筹管理委员会 •负责制定战略方向，扩大覆盖范围，设定风险防范机制目标，监测标准。确
保优先权正确，资源充足，业务单位正在进行数据监测。

理的高度 •CISO,CIO应当带领指导委员会，推动业务部门参加数据指标的监控，对事件
进行补救，并增减政策规定。
进行补救并增减政策规定

IT部门风险管理部业务部
门门

• 负责DLP系统的 • 负责上报事件和统计数据 • 负责部门内的事
管理的管理件管理
–负责维护系统功 – 风险管理部门给出明确的风险等 – 一般风险由部门自己
级定义管理
能和性能，配置和
能和性能配置和
– 明确哪个等级的事件必须上报 – 高危风险需上报总部
管理策略、响应规 – 管理上报事件，进行调查和取证风险管理部门
则、用户、角色、 – 定期按统计数据进行排名，排名 – 定期提交所属部门风
工作流结果记入KPI指标险统计数据

–系统优调和扩展，
– 必要时，启动紧急响应流程。联
系公关部门，外部法律机构减小 29
或消除负面影响
监测运行指标

最佳实践加强基础设施的管理

技术手段是落实管理手段的基本保障：
• 实现更加安全的操作环境
• 分布和强制执行补丁的管理
• 通过自动化的过程简化管理，提
高效率
• 及时监控和掌握系统的运行状态 Server
Management
g



• 通过自动化的过程简化管理，
提高效率
• 及时监控和掌握系统的运行状 Client
态 Management
g



提高效率
Service Desk
• 及时监控和掌握系统的运行
状态



提高效率 IT Asset
• 及时监控和掌握系统的运行 Management
状态



技术手段是落实管理手段的基本保障： Workflow
Management
提高效率
• 及时监控和掌握系统的运行
状态


最佳实践提供更加全面的基础设施保护

针对当前威胁的发展
提供整合的应对手段
• 通过统一的Portal，实现对安全状况和
操作的可视化能力的提升
• 提供多层次更加完整的保护能力
提供多层次、更加完整的保护能力
（从端点—网关—服务器）
• 统一化的管理，简化管理，有效抑制
安全的开销
• 自动化的备份与恢复、监控、更新和
安全策略的强制执行


企业安全工作落实和推进的最佳实践

管理目标
管标落实工作
落实作
（风险）（考核）

逐步提升
可知准确可知
可管全面可管
可控精细可控抓三类指标

覆盖率——建设规模/内容
管落地执行技
合规率
合规率——管理的执行力/持续效果
管理的执行力/持续效果
理术
措支撑手精细度——管理的精细度
施促进段
限制


Symantec可以：
Symantec可以：

提供最佳实践，助力安全建设
提供最佳实践助力安全建设

建立“防御联盟”，共同推动安全建设

Targeted Attacks on Intellectual Property Symantec Vision 2010 37

Global Intelligence Network
Identifies more threats, takes action faster & prevents impact

Calgary, Alberta Dublin, Ireland
Reading, England

San Francisco, CA Alexandria, VA Tokyo, Japan
Mountain View, CA Chengdu, China
Austin, TX
Culver City, CA
City
Taipei, Taiwan
Chennai, India
Pune, India

Sydney, AU

Worldwide Coverage Global Scope and Scale 24x7 Event Logging

Rapid Detection

Attack Activity Malware Intelligence Vulnerabilities Spam/Phishing
• 240,000 sensors • 130M client, server, • 32,000+ vulnerabilities • 2.5M decoy accounts
• 200+ countries g
gateways monitored
y • 11,000 vendors • 8B+ email messages/day
g y
• Global coverage • 72,000 technologies • 1B+ web requests/day

Preemptive Security Alerts Symantec Vision 2010
Copyright © 2009 Symantec Corporation. All rights reserved. Protection
Information Threat Triggered Actions 38

Building a Community of Defense with Businesses
Building a “Community of Defense” with Businesses

> Customers from businesses around the world

Who
> Symantec Security Leadership and Experts on
Threat Research

> Ongoing discussions about the types of IT risks
Ongoing discussions about the types of IT risks
What businesses face today
> Share information about security incidents, impact
, p p
assessment, and best practices to prevent

> Today’s targeted attacks characterized by
mend

organization, covert nature and patience
g , p
Recomm
Key

> Strong consensus these attacks represent a
significant risk to intellectual property
> Suggestions ……
gg


共同努力，构建中国企业安全的防护联盟
共同努力构建中国企业安全的“防护联盟”

• 强烈呼吁建立”首席信息安全官
“的管理岗位，或类似的管理机构。
• 加强业界通行的最佳安全实践的应
用推广。
• 加强企业之间解决内部困境的经验
分享。


Thank you!
y
马蔚彦
Weiyan_ma@symantec.com
y @y
13601394620

Copyright © 2010 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in
the U.S. and other countries. Other names may be trademarks of their respective owners.

This document is provided for informational purposes only and is not intended as advertising. All
Thi d ti id d f i f ti l l di ti t d d d ti i All warranties relating to the information in this document, either express or implied,
ti l ti t th i f ti i thi d t ith i li d
are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.

Presentation Identifier Goes Here 41

分会场一新的安全威胁趋势下的企业安全建设

Recommended

Recommended

More Related Content

Similar to 分会场一新的安全威胁趋势下的企业安全建设

Similar to 分会场一新的安全威胁趋势下的企业安全建设 (13)

More from ITband

More from ITband (20)

分会场一新的安全威胁趋势下的企业安全建设