亚信安全TDA解决方案.docx

亚信安全TDA解决方案.docx

《亚信安全TDA解决方案.docx》由会员分享，可在线阅读，更多相关《亚信安全TDA解决方案.docx（15页珍藏版）》请在冰豆网上搜索。

亚信安全TDA解决方案

XXX

威胁预警系统解决方案

亚信安全

2022年3月

第1章网络安全遭遇新挑战——高级持续性威胁（APT）

Internet互联网安全正在面临前所未有的挑战，这主要就来自于有组织、有特定目标、持续时间极长的新型攻击和威胁，国际上有的称之为APT（AdvancedPersistentThreat）攻击，或者称之为“针对特定目标的攻击”。

1.1APT概念

APT（AdvancedPersistentThreat）——高级持续性威胁。

是指组织（特别是政府）或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。

APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集，在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，在这些漏洞的基础上形成攻击者所需的C&C网络，此种行为没有采取任何可能触发警报或者引起怀疑的行动，因此更接近于融入被攻击者的系统或程序。

1.2APT攻击特点

1.极强的隐蔽性

对此可这样理解，APT攻击已经与被攻击对象的可信程序漏洞与业务系统漏洞进行了融合，在组织内部，这样的融合很难被发现。

例如，2012年出现的APT攻击“火焰（Flame）”就是利用了MD5的碰撞漏洞，伪造了合法的数字证书，冒充正规软件实现了欺骗攻击。

2.潜伏期长，持续性强

APT攻击是一种很有耐心的攻击形式，攻击和威胁可能在用户环境中存在一年以上，他们不断收集用户信息，直到收集到重要情报。

他们往往不是为了在短时间内获利，而是把“被控主机”当成跳板，持续搜索，直到充分掌握目标对象的使用行为。

所以这种攻击模式，本质上是一种“恶意商业间谍威胁”，因此具有很长的潜伏期和持续性。

3.目标性强

不同于以往的常规病毒，APT制作者掌握高级漏洞发掘和超强的网络攻击技术。

发起APT攻击所需的技术壁垒和资源壁垒，要远高于普通攻击行为。

其针对的攻击目标也不是普通个人用户，而是拥有高价值敏感数据的高级用户，特别是可能影响到国家和地区政治、外交、金融稳定的高级别敏感数据持有者。

1.3APT攻击的危害

一般认为，APT攻击就是一类特定的攻击，为了获取某个组织甚至是国家的重要信息，有针对性的进行的一系列攻击行为的整个过程。

APT攻击利用了多种攻击手段，包括各种最先进的手段和社会工程学方法，一步一步的获取进入组织内部的权限。

APT往往利用组织内部的人员作为攻击跳板。

有时候，攻击者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击代码。

此外，APT攻击具有持续性，甚至长达数年。

这种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直到收集到重要情报。

更加危险的是，这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行，包括能源、电力、金融、国防等关系到国计民生，或者是国家核心利益的网络基础设施。

对于这些单位而言，尽管已经部署了相对完备的纵深安全防御体系，可能既包括针对某个安全威胁的安全设备，也包括了将各种单一安全设备串联起来的管理平台，而防御体系也可能已经涵盖了事前、事中和事后等各个阶段。

但是，这样的防御体系仍然难以有效防止来自互联网的入侵和攻击，以及信息窃取，尤其是新型攻击（例如APT攻击，以及各类利用零日漏洞的攻击）。

1.4韩国金融、媒体、政府遭受APT攻击实例

2013年3月20日，韩国多家大型银行及三家大型电视公司相继出现多台电脑丢失画面的情况，有些电脑的显示屏上甚至出现骷髅头的图像以及来自名为“WhoIs”团体的警告信息。

此攻击是韩国同一时间遭受的多起攻击之一。

亚信安全研究显示，这是一次恶意程序攻击的结果，黑客一开始假冒银行发送主题为“三月份信用卡交易明细”的钓鱼邮件，内含会清除硬盘主引导记录（MasterBootRecord，简称MBR）的恶意程序。

黑客设定该恶意程序在2013年3月20日同步爆发。

一旦爆发，即使银行电脑系统完全瘫痪，必须逐一重装系统才能恢复。

2013年6月25日，韩国最高政治中心青瓦台网站于昨日遭受黑客攻击，导致网页被置换并瘫痪，引发全球关注。

根据亚信安全全球病毒防治中心TrendLabs的最新研究发现，韩国云端储存服务软件“SimDiskInstaller”服务器在此波攻击中疑似遭受黑客攻击并被植入名为“SimDiskInstallerexe.”的恶意软件，其通过自动更新系统分发至用户端，试图造成大量的感染，成为受黑客控制的网络“僵尸军团”，进一步发动DDoS攻击以令更多政府网站瘫痪。

1.5技术标准规范/要求

针对企业或政府机关单位，国家已有很多相关文件要求，特别是工信部下发的《木马和僵尸网络监测与处置机制》要求，明确要求电信运营商、互联网域名注册管理机构等要加强对木马和僵尸网络监测，而对于政府部门、军队以及银行、海关、税务、能源、铁路、证券、保险、民航等关系国计民生的重要行业使用的信息系统重点监测，一旦被发现存在木马和僵尸网络就将责令整改。

此文件已于2009年6月1日正式实行，已发现有企事业单位已被通报并要求限期整改。

同时，2009年中国银行业监督委员会发布《商业银行信息科技风险管理指引》，在第一章总则第五条明确提出，“信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

”

针对韩国攻击事件，中国银监会发布的通知：

2013年8月，国家发改委发布《2013年国家信息安全专项有关事项》通知，明确要求在安全体系内要具有高级可持续威胁（APT）安全监测产品。

第2章总体方案

“信息就是财富，安全才有价值”。

XXX信息系统一旦投入运行，要求能每天24小时不间断运行，其安全问题就成为系统能否持续正常运行的关键。

目前XXX数百台计算机同时运行，支持各方面的管理和业务运作，很难继续依靠人力实现对整个XXX管理信息系统的持续监控和管理。

本方案书即根据XXX安全现状，结合亚信安全安全解决方案的特性和在整个XX行业安全领域的经验，为XXX提供的APT发现、威胁管理解决方案。

2.1需求概述

基于对XXXTDA使用情况及威胁管理需求分析，现将本项目的产品定位、产品实现形式、产品设计目标和基本要求等概述如下：

（一）产品定位

将本项目设计的产品定位为：

国际知名品牌，行业内广泛成功案例，7×24小时不间断管理网络内的威胁。

（二）产品实现形式

基于现有TDA设备进行软件层面升级，不需要XXX额外产生任何软硬件资源投入，不对XXX网络产生任何改变。

（三）产品设计目标

1、降低部署风险：

由于XXX的日常工作依赖于业务系统的连续运行，不希望因任何原因导致业务出现中断，因此在部署此方案中涉及的产品时对XXX的整个网络和应用无任何影响。

2、安全与效率兼顾：

要求APT发现及威胁管理系统，在满足提升XXX风险管理能力的同时，还能降低终端维护人员的工作复杂度，提升工作效率；

3、最优人性化设计：

服务使用应以为本，操作简单。

2.2整体方案设计思想

基于XXX的需求，在方案设计中我们贯彻了如下几点整体威胁管理的基本思想：

1、方案必须依照智能网络安全生命周期进行管理。

鉴于上述我们分析XXX当前防毒状况存在的问题，我们知道：

若要从根本上防止APT攻击及新型病毒对企业构成威胁，必须从侦测、分析、加固及响应等四个步骤对这些威胁进行管理。

2、控制爆发次数、降低威胁对业务的影响。

我们知道，病毒从感染单台客户机扩散爆发，均需要一段空窗期。

一般情况，管理员都是在病毒爆发时才会发现问题，但为时已晚。

如果能够有方案能够在病毒扩散期就发现问题根源，对于XXX来讲，就是彻底消除病毒爆发的概率。

3、防毒不能完全依靠反病毒代码，要实现对病毒整个生命周期的管理。

在XXX的方案中，当一个恶性病毒入侵时，整个防毒系统有完善的预警机制、清除机制、修复机制来保障病毒的高效处理，特别是对那些利用系统漏洞、端口攻击为手段瘫痪整个网络的新型病毒具有很好的防护手段。

即防毒系统在反病毒代码到来之前，就可以通过可疑信息过滤、端口屏蔽、共享控制、重要文件/文件夹写保护、专杀工具等多种手段来对病毒进行有效控制，使得新病毒无法入侵、已入侵的无法扩散、已感染的快速清除，将企业因遭受APT或新型威胁攻击产生的损失降到最低。

4、没有管理的防毒系统是无效的防毒系统。

在XXX的方案中，我们构建了跨网段的集中管理系统，保证了整个威胁管理系统可以从管理系统中及时得到更新，同时又使得管理人员可以在任何时间、任何地点通过浏览器对整个防毒系统进行管理，使整个系统中任何一个节点都可以被管理人员随时管理，保证整个防毒系统有效、及时地拦截病毒。

5、服务是整体防毒系统中极为重要的一环。

防病毒系统建立起来之后，能不能对病毒进行有效的防范，与病毒厂商能否提供及时、全面的服务有着极为重要的关系。

这一方面要求厂商要有全球化的防毒体系为基础，另一方面也要求厂商能有精良的本地化技术人员作依托，不管是对系统使用中出现的问题，还是用户发现的可疑文件，都能进行快速的分析和方案提供。

亚信安全作为网络防毒及互联网安全与服务的领导厂商，可以全面满足XXX的整体服务要求。

2.3产品部署建议

亚信安全建议XXX在XXX网的核心交换机上旁路部署亚信安全威胁发现设备（TDA），同时将该TDA设备通过互联网接入亚信安全在上海设立的威胁监测中心，从而构建基于协议分析的APT发现及威胁管理系统，提供对于新生/未知威胁的识别，快速定位威胁源头的能力。

部署示意图：

…

2.4TDA3.8版本新增功能说明

功能

描述

深度威胁发现设备控制器支持

深度威胁发现设备支持与深度威胁发现设备控制器集成

网络服务诊断

深度威胁发现设备通过提供网络服务综合诊断窗口，使网络服务更加易于管理

CheckPointSAM认证

深度威胁发现设备支持与第三方CheckPointOPSEC产品建立安全连接，以共享检测信息

沙盒平台增强功能

内部沙盒平台提供Internet连接测试，以确保进行彻底的示例分析

增强的勒索软件情报

增强的“威胁概览”小组件提供网络中勒索软件检测结果的摘要

增强的检测功能

深度威胁发现设备通过改善其检测功能，提供增强保护。

此版本支持部署运行Windows10操作系统的沙盒分析镜像

2.5TDA威胁响应服务内容说明

威胁响应服务（以下简称TDAforEOG）是以7×24小时监控为中心的主动式威胁管理服务，提供24x7不间断的威胁监控与响应支持,通过主动式安全告警、威胁管理报表、威胁事件分析报表、主动上门巡检等服务，帮助企业客户及时处理威胁事件、减少业务损失，并提高威胁侦测设备的利用率。

EOGforTDA服务内容包括:

●7*24小时专家响应支持

通过专署服务通道，提供7*24不间断的专属专家在线咨询，帮助客户快速有效的解决TDA监测到的威胁和产品方面的疑难杂症。

●定期上门巡检服务

通过定期上门对客户的TDA设备和防毒体系进行巡检,尽早发现并处理潜在的威胁。

亚信安全威胁监测中心专家工程师会根据现场工程师所反馈的信息撰写巡检报告。

报告中包含产品运行状态、威胁处理情况、综合建议等信息，以提供用户专业的威胁防治检疫，确保企业防毒体系运转正常。

●应急上门支持服务

应对客户的紧急威胁事件支持需求，接到用户服务请求后，通过分析TDA原始日志，定位威胁主机，同时协调服务工程师上门处理问题，帮助客户完成必要的使用评估、病毒查杀、安全问题处理等相关事宜。

●全球/区域高危病毒警报

通过检查用户感染病毒的情况，找出传播广泛和难以清除，并对用户有潜在威胁的病毒信息，并提供及早的主动式预警通知和解决方案，帮助用户尽早控制该病毒，避免病毒扩散而带来的病毒爆发。

2.6运维管理保障

XXX的APT发现及威胁管理系统不是一次性产品投放，而是要提供给用户持续的病毒和威胁风险监测管理能力。

项目成功与否关键在于：

产生升级上线保障：

项目上线测试及上线需要服务工程师技术保障。

病毒码持续更新：

原厂应具备持续维护定制病毒码的能力，以保持服务的有效性。

技术支持支撑到位：

医院的应用场景千差万别，一旦出现可能影响医院信息系统风险的安全事件，要求原厂运用成熟的流程体系最及时有效地进行技术支持。

紧急案件快速应急：

当出现新的病毒和风险爆发时，原厂具备快速应急的能力，在指定时间给出解决方案。

程序持续维护：

XXX的计算机和网络环境不断变化，如新操作系统、新应用、新型攻击、新型病毒不断出现，威胁管理系统都要能及时支持。

2.7解决方案价值

通过在XXX信息系统内部署最新版本的TDA设备并将设备连入趋势威胁监测中心，构建其基于协议分析和文件分析的APT发现、威胁管理系统，提供XXXX对于APT攻击及未知威胁的识别能力，快速定位新生威胁源头，同时能够对于内部感染源、传播源进行处理。

✓提供XXXX信息网络安全可见性：

1.全面威胁侦测能力

2.智能分析平台,自动分析海量日志

3.威胁可见性,感染源可见性,重点事件可见性

✓提供XXX信息网络安全的可控性：

1.精准定位,精准分析

2.即时阻断高危威胁,提高业务网路的可用性

3.层层过滤威胁攻击,确保网络安全性

✓提供XXX信息网络安全的可操作性：

1.威胁治理方案,专家治理提供前瞻性解决方案

2.7X24中国病毒实验中心结合全球资源,提供最快速的威胁响应覆盖全国服务商网络,提供现场服务。

✓变被动响应为主动管理

1.提前预警网络的安全威胁，将其控制在萌芽状态，信息技术部门的信息安全管理工作将从事后响应变为主动出击，开创信息安全管理工作新的模式。

2.建立起完善的风险管理机制，对于发现的新威胁、新病毒，还可以通过流程的配合得到厂家的专业支持，以实现早发现早处理，进而螺旋式提升信息安全管理水平。

✓有效地满足相关监管要求

满足工信部提出的《木马和僵尸网络监测与处置机制》要求，以及中国银行业监督委员会发布的《商业银行信息科技风险管理指引》等监管要求。

第3章各行业典型案例介绍

3.1典型案例列表

行业

客户名称

银行

中国农业银行，深圳发展银行、中信银行、交通银行股份有限公司,交通银行河北分行,交通银行上海分行,交通银行国际信托有限公司,吉林银行,齐鲁银行,济宁商行,无锡锡洲银行,张家港农村商业银行,江苏江阴农村商业银行,江苏宜兴农村合作银行,吴江农村商业银行,安信农保,中融国际信托有限公司，无锡锡洲银行

证券

光大证券,海通证券,方正证券,江海证券,财通证券，财达证券,广发证券,广发华福证券、中天证券,中信金通证券,渤海证券,浙商证券,东吴证券,太平洋保險,易方达基金管理有限公司,

公安

徐州市公安局,镇江市公安局,广州市公安局网络警察支队

能源

淄博矿业集团有限公司，淮南矿务,阳煤集团开元公司，中煤秦皇岛公司，广东电网肇庆公司

医疗

友谊医院,龙华医院,江阴人民医院,浙江肿瘤医院,中医科学院西苑医院,第一人民医院,瑞金医院,胸科医院,无锡妇幼保健医院,厦门第一医院,福建省立医院,张家港人民医院,山东省济南市济阳县人民医院

电信

黑龙江移动,江西联通,广东联通,内蒙移动,山西移动

政府

全国工会,吉林财政,四川出入境检验检疫局,惠州地税,张家港社保局,江苏省国土资源厅,余姚市政府,上海出入境检验检疫局,厦门社保,安徽人大，哈尔滨市人民政府办公厅，江苏省交通运输厅，闽清县人民政府，张家港市卫生局，重庆市气象局，常熟市地方税务局，上海市教育局，鄂尔多斯教育局

3.2典型案例简述

某国有大型商业银行，经过充分调研和测试评估，已在全国完成一期试点，2011年年底前完成全国余下38个分支单位推广工作。

一期试点涉及12台TDA，分布在分行、客服、数据中心、总行机关等单位。

通过总行集中监控管理和安全事件通报，结合当地亚信安全工程师资源的上门处理，已经让下属单位从被动配合到积极主动开展安全管理工作。

不到一年时间，全行单台计算机每月病毒感染率从15个/台下降到10个/台，某分行最高单台计算机感染9654个病毒日志下降为361个，进一步改善了安全管理工作局面和提升了安全治理效果。

第4章附录

4.1亚信安全威胁发现设备（TDA）

威胁发现设备可提供准确、及时和可操作的情报，用于管理网络安全。

威胁发现设备部署在各级网络交换机处，在访问层、分布层和核心层中运行以保护各个网段。

威胁发现设备与受亚信安全云安全智能防护网络支持的云端威胁管理服务相结合，监控网络层的可疑活动，进而发现传统的基于特征码的安全应用程序无法检测到的恶意软件。

一旦传播或感染其他用户，这些恶意软件就会被标记，通过外部通信泄漏信息或接收违法源（如僵尸网络）所发出命令的隐藏式恶意软件也不例外。

此外，威胁发现设备可以检测到基于Web或电子邮件内容的攻击，例如Web漏洞利用、跨站脚本攻击和网络钓鱼。

威胁发现设备还可以识别出违反政策、破坏网络使其消耗过量网络带宽或造成潜在安全风险的XX的应用程序和服务。

目标应用程序包括即时通讯、P2P文件共享、流媒体和XX的服务（如经常滥用的SMTP开放转发和欺诈性DNS服务）。

此外，威胁发现设备利用网络内容检查技术，借助大量协议和应用情报检查网络通信。

通过全面支持2至7协议层，威胁发现设备可以检测到范围很广的潜在破坏性应用程序，例如P2P和即时通讯（Bittorrent、Kazaa、eDonkey、MSN、YahooMessenger）。

此技术提取嵌入网络层应用程序中的文件，然后将数据交予亚信安全病毒扫描引擎进行内容分析。

此外，威胁发现设备使用网络交换机上的端口镜像功能对要进行内容检查的网络数据包进行镜像，从而确保网络服务不会中断。

4.2亚信安全专家服务团队

亚信安全2005年在上海建立威胁监测中心（MOC-MonitoringOperationCenter）。

MOC是亚信安全专家服务体系中的核心运营单位，负责专家服务用户的技术支持以及监测客户方的信息安全事件。

根据SOP（StandardOperatingProcedure标准操作程序）适时作出相应，直接解决问题或是根据情况将问题分派到其他技术部门进行处理。

MOC后台技术资源包括：

-中国研发中心（CDC）：

设立于南京

-病毒响应中心（TrendLabChina）：

设立于天津

-中国网络安全监测实验室（CRTL）：

设立于上海

-80家趋势授权服务商