《构建主动安全防护》课件

1、构建主动安全防护,构建主动安全防护,何兴伟技术顾问,2021/3/3,构建主动安全防护,2,McAfee公司,全球最大的纯安全公司 全球技术、市场领先的安全厂商 在纽约证交所上市 前身是被评为“世界网络公司前十强” 的Network Associates Inc. （美国网络联盟） 2004年8月正式改名为McAfee Inc. McAfee在中国的分支机构安网（上海）软件有限公司（全资子公司,2021/3/3,构建主动安全防护,3,内容,面临的威胁的变化 传统的安全方法 构建主动安全防护 主动的安全管理 总结,2021/3/3,构建主动安全防护,4,威胁统计,PrimaryInfection

2、 Vector,AdditionalPropagation Vectors & Actions,90%Mass Mailer(Email Worm,10% Vulnerability-based Worm,Email Remote Access P2PTerminate Process Share Hopper Download Remote Key Logger Exploit Registry Delete DOS Application Spoof,2021/3/3,构建主动安全防护,5,从弱点到受到威胁的Timeline,Risk Exposure for Critical Asset

3、s,Discovery,Remediation,Stop counting attacks and start managing vulnerabilities.” John Pescatore, Gartner,ThreatExposure,As vulnerabilities become exploited and made public the risk to critical assets increases,2021/3/3,构建主动安全防护,6,从弱点到出现相应的蠕虫的时间变化,Foundstone, 2004 (represents automated worms Januar

4、y 1999 through May 2004,Melissa Sadmind,Sonic,Bugbear Code Red Nimda,Spidar Slammer Slapper,Blaster Welchia Nachi,Witty Sasser,2021/3/3,构建主动安全防护,7,威胁在变化和演变 攻击比以前更快和更聪明 攻击更省力，成功机率更高 变化总是存在 因果循环 绕过现有的“安全标准,安全威胁的不断变化,2021/3/3,构建主动安全防护,8,对抗威胁的传统安全方法,防火墙 无法阻挡利用系统弱点的攻击 网络入侵 只能报警，无法实施阻断；误报率高 防病毒软件 依赖于病毒特征码

5、 传统安全方法的最大薄弱环节：被动安全,2021/3/3,构建主动安全防护,9,防火墙无法阻挡利用系统弱点的攻击,Apache mod_ssl Off-By-One HTAccess Buffer Overflow,运行服务器中 的任何命令,2021/3/3,构建主动安全防护,10,防病毒软件的“漏洞之窗,3 Months,6 Months,0 发现病毒,3 Hours,6 Hours,Time,3 Days,漏洞之窗,发布补丁,AVERT,客户,2021/3/3,构建主动安全防护,11,McAfee 主动安全防护,ANTI-Malware,FIREWALL,INTRUSIONPREVENTI

6、ON,由被动到主动,由物理边界到虚拟边界,由探测到实时防护,McAfee主动防护对抗新的威胁和将来的威胁,Policy Enforcer,2021/3/3,构建主动安全防护,12,下一代技术不需要病毒签名情况下提供前瞻性威胁防护,访问 防护策略,缓冲区溢出防护,使用规则 进行端口 阻断,使用 VirusScan Enterprise 8.0i 进行前瞻性防护,提供Zero-day防护,2021/3/3,构建主动安全防护,13,从入侵探测到入侵防护,Inline模式，实时阻断攻击(dropping attacks) 技术先进 采用专用ASIC技术的硬件设计 深层封包检测 混和型检测技术 灵活的策

7、略配置 IPS系统也可以用作IDS,2021/3/3,构建主动安全防护,14,阻止 Zero-Day 攻击,数据隐私保护,实时阻止已知攻击,访问授权控制,保护关键应用,主机入侵防护,System Call、RPC调用、API调用拦截 综合保护应用、数据和系统 主动、自动和继承的策略强制,2021/3/3,构建主动安全防护,15,学校网络,主动防护阻止Exploits和Vulnerability-based Worms,WindowsPC,Windows中存在的安全弱点 被利用 “A Crack in the Window,Sales Force,Customers,eStore,eServer

8、,Internet,Internet,SystemFile,Memory,NIPS or HIPS可以block, prevent & reduce these exploits,Remote Workers,Internet,2021/3/3,构建主动安全防护,16,主动安全技术,McAfee Solutions Blocked or Contained 100 Percent at Day Zero (Pre-exploit,Blocked Day 1,Contained,Contained,Netsky,Blocked,Blocked,Sasser,Blocked Day 1,Conta

9、ined,MyDoom,Blocked,Blocked,Zotob,攻击,McAfee IntruShield,McAfee Entercept,McAfee VirusScan Enterprise,Contained,Blocked,Blocked,出色的阻挡能力,2021/3/3,构建主动安全防护,17,主动安全管理McAfee Policy Enforcer 策略强制,1. 定义定义系统 compliance policies,2021/3/3,构建主动安全防护,18,1. 定义定义系统 compliance policies,主动安全管理McAfee Policy Enforcer

10、策略强制,2. 探测当计算机连接到网络,2021/3/3,构建主动安全防护,19,3. 评估实时评估 compliance - McAfee 和第三方安全应用 微软补丁 High risk infections & more,1. 定义定义系统 compliance policies,2. 探测当计算机连接到网络,主动安全管理McAfee Policy Enforcer 策略强制,2021/3/3,构建主动安全防护,20,4. 强制Non-compliant 系统 被阻挡或隔离到VLAN,3. 评估实时评估 compliance - McAfee 和第三方安全应用 微软补丁 High risk

11、 infections & more,1. 定义定义系统 compliance policies,2. 探测当计算机连接到网络,主动安全管理McAfee Policy Enforcer 策略强制,2021/3/3,构建主动安全防护,21,5. 补救Non-compliant系统被重订向到补救portal,主动安全管理McAfee Policy Enforcer 策略强制,3. 评估实时评估 compliance - McAfee 和第三方安全应用 微软补丁 High risk infections & more,1. 定义定义系统 compliance policies,2. 探测当计算机连接到网络,4. 强制Non-compliant 系统 被阻挡或隔离到VLAN,2021/3/3,构建主动安全防护,22,主动安全管理,Policy Enforcer Scanne