亚信安全云威胁检测和定位设备产品方案.docx

1、亚信安全云威胁检测和定位设备产品方案1. 方案概述本方案系针对企业面临越来越严重的内网安全问题所提出的全新安全解决方案，此方案全面集成亚信安全“云安全”技术，可在OSI模型的2-7层检测、清除已知和未知恶意威胁，在威胁到达企业网络之前予以拦截，弥补了传统安全解决方案无法早期识别内网安全的不足，是企业整体安全防护系统不可或缺的重要组成部分。威胁管理解决方案共由三大组件组成，包括：威胁发现（Threat Discovery Appliance-TDA）、威胁管理服务(Threat Management Service-TMS)和威胁缓解(Threat Mitigation-TM)三部分，用户可根据

2、自身状况选择完整解决方案或部分解决方案。2. 当今网络安全挑战企业网络正遭受越来越严重的来自内部的威胁。内部威胁可来自员工、承包商或其他使用者，他们不小心通过USB介质或其他存储设备或浏览受感染的网站方式感染恶意威胁，从而感染到企业网络。内部威胁增长原因有如下三种方式： 传统安全解决方案无法检测内部威胁 员工工作地点和方式的变化 内部网络威胁信息匮乏1.1 2.1 传统安全解决方案的局限性由于威胁变得更为复杂和资料泄露更为普遍，当今的安全解决方案也必须跟上这样的步伐。传统的技术，如防火墙，入侵检测系统和VPN可以防止外部威胁，但却不能保护员工从内部对网络造成的“内部威胁”。像网络准入控制（ N

3、AC ）这类安全解决方案主要专注于对终端用户的评估和认证。一旦用户身份得到验证，这些用户将不再被监控并认为不会对网络产生危害。另外，当今“无国界”组织的全球员工和合作伙伴还可以自由地共享信息。由于员工可以在家里、机场和其它不安全的非现场环境下工作，这些企业在如何平衡开放性和灵活性与安全性和风险方面将面临新的挑战。2.2 工作场所和方式变化大量远程办公和移动用户与在家和公司办公方式越来越模糊不清，这些用户更需要得到更好的保护已便使企业敏感数据和用户数据免遭损失。IT部门要保证防病毒软件和补丁更新到这些移动员工的每台计算机上，以及控制其如何连接和何时连接都变得更加困难。存储设备，如USB介质和音乐

4、播放器都是新增加的感染途径。此外，远程办公分支机构缺乏安全人员，以及宽松的策略执行都将对安全产生不利影响。根据Yankee集团的统计，美国约有40%的员工采用移动办公方式，也就是有将近5千万的移动办公员工。这向公司如何保护数据资产不受损失（无论是因员工还是因承包商所引起）提出了挑战。移动办公员工数固定台式机新的威胁也会通过未加保护的渠道如Web邮件或无线网络接踵而至。另外，员工使用有具有潜在弱点的技术（如P2P文件共享、流媒体和即时消息）都会让恶意软件进入企业网络并占用宝贵的网络带宽。基于代码对比的桌面防病毒软件作为企业网络防护的第一线，却难于检测到像零日攻击这类恶意软件的攻击。一旦恶意威胁进

5、入网络内部，可造成数据泄漏或丢失，给企业造成无法弥补的损失。当IT部门与安全解决方案供应商一起花很多时间去更新代码并处理这些问题时，随着病毒的扩散，清除成本也在不断增加。另外，当今巨量的威胁也使得更新员工电脑上的防病毒软件代码文件成为一个问题。根据AV-Test.org的统计，在2006年至2007年间，恶意软件增长了550%，光2008年一月份的第一个星期，就报告了117,000种新的恶意软件。企业需要一套更好的解决方案来防止内部威胁攻击，已减少损害清除费用和防止生产力下降。员工工作场所的变化使得恶意软件更容易进入内部网络，也使公司面临着更大的风险。被感染的电脑会通过Web向网络罪犯传送数据

6、，从而使消费者丢失机密数据，企业也会因大规模的数据泄秘而遭受无法挽回的名誉损害。对公司数据资产的威胁，无论在对业务的冲击和损失程度上都在不断增长。根据产业观察组织Attrition.org 的统计，2007年12月21日之前，美国和海外共有1.62亿记录（如信用卡和社会保障号）被泄密。身份失窃资源中心的清单显示，2007年12月18日之前美国有超过7千9百万条记录被泄密。据Forrester公司调查估计，多达85 的企业安全违规涉及内部员工与内部资源。根据Gartner的调查， “在未来两年内，企业敏感数据破坏造成的费用将以每年20速度递增”。 亚信安全公司2005年的研究表明，全球企业的最终

7、用户在工作时比在家时更可能做出危险的网络操作（如打开不知情的电子邮件附件或点击恶意链接）。显然，员工错误地认为工作场所的电脑更为安全。2.3 缺乏对本地威胁的了解缺乏可见的准确定位和感染原因，将妨碍IT部门决定最适合的补救措施。为实现更全面的覆盖，安全管理员需要更多的信息，以更好地了解威胁如何产生以及这些威胁如何进入企业网络？大多传统安全防护系统可显示恶意威胁被发现，比如说IRC BOT活动行为，但是却没有信息能够提供这些威胁是如何产生以及在哪里产生的？这就造成缺乏可见的全面威胁状态，从而妨碍IT人员确定网络的故障点以及最初的威胁来源在哪里，例如是公司的营销部门还是远程分支机构，来自哪台机器、

8、哪个网段等等信息，公司需要更多关于威胁的详细资料，如网络环境中的威胁类型，恶意软件、黑客入侵或破坏程序的百分比。确定这些威胁进入网络的根源能够很好的帮助IT管理员准确的制定更好的安全策略。但目前的现实是，IT人员不知道感染的确切位置和原因，就无法确定最为合适的补救措施。例如，如果IT人员知道大多数威胁发生在网关，就会采取合适的网关防护保护系统。从根本上说，这需要一个“预警系统”来准确地指示新的和已知的恶意软件并估量所导致的损害。而且，各组织都在寻求一种能够自动修补并管理威胁的、能够确保从事故中实现快速完全恢复的、能生成易于采取行动的报表并能防止未来威胁的全新系统。3. 威胁管理解决方案面对上述

9、的企业内部网络安全状况，亚信安全已经准备好了一种全新的应对办法。威胁管理解决方案，目的是识别和应对下一代网络威胁。通过监控网络，检测传统的安全产品无法侦测的隐藏恶意威胁和破坏性的应用，威胁管理解决方案集成亚信安全“云安全”技术，在恶意威胁到达网络之前予以拦截，同时对威胁环境提供更详细的分析，从而对感染终端提供更广泛的清除和强制策略解决方案。威胁管理解决方案（Threat Discovery Appliance-简称TDA）包括下面两大功能： 威胁发现检测企业内部网络中的安全威胁和破坏应用 威胁管理服务先进的威胁相关性服务，发现隐藏威胁，提供个性化的威胁报告，事故分析以及威胁建议。亚信安全3.1

10、 威胁发现作为亚信安全威胁管理解决方案关键的第一步，部署在各个网络层次交换机上执行综合的全面覆盖，通过监控网络层的可疑活动定位恶意程序，威胁发现设备（Threat Discovery Appliance-简称TDA）集成亚信安全“云安全”技术，可全面支持检测2-7层的恶意威胁，以识别和应对下一代网络威胁。这是传统的、基于代码比对方式的安全产品所无法办到的。与亚信安全“云安全”技术配合，TDA可检测基于Web威胁或邮件内容的攻击，如Web攻击、跨站点脚本攻击和网络钓鱼。另外，当恶意程序在网络中传播感染其它用户时，它们就会被打上标记，其中就包括向外界传送信息或从恶意的来源（如僵尸网络）接收命令的隐

11、藏型恶意软件。TDA还能识别违反安全策略、中断网络以及消耗大量带宽的或构成潜在安全威胁的XX应用程序和服务程序。这些应用程序和服务程序包括如即时通讯（Bittorrent, Kazaa, eDonkey, msn, Yahoo Messenger ）、P2P文件共享、流媒体，以及未授权服务如SMTP中继和DNS欺骗。TDA利用网络内容检测技术侦测网络流量以及亚信安全病毒扫描引擎对其进行内容分析，并采用在网络交换机上使用端口扫描并以创建网络数据包的镜像方式进行内容检查，确保网络服务不会被中断。企业管理员可根据TDA收集提供的反馈报告信息制订相应的企业网络安全规划。3.2 威胁管理服务威胁管理服务

12、利用强大的“云安全”技术进行关联分析，以提高威胁检测及根源分析效率。先进的相关性逻辑分析日志文件将减少误报，从而发现隐藏的恶意威胁，确保更高的检测准确性。与亚信安全智能保护网络技术的整合将确保能对最新的恶意威胁行为进行分析，从而发现恶意软件行为的最新趋势。智能保护网络将提供众多服务，如DNS，HTTP、文件信誉检查、网络钓鱼过滤等，从而可捕捉到多种威胁。通过亚信安全的全球安全情报中心可获取亚信安全二十年来的威胁研究成果以及详细、实时的最新威胁信息。TDA生成企业网络内部安全状况的报表，通过集中式的威胁管理界面可帮助IT人员管理这些报表并组织事件信息。例如，管理日报表将说明事件响应并提供交互式的

13、更详细的报表 ，可以浏览事件信息并提供详细的威胁情报，该报表还将包括采取何种适合的补救措施和响应建议。另外，每周或每月的执行总结可反映公司整体的安全状况。详细的报表包括事件查看报表、比较报表和改进安全策略的建议。威胁管理解决方案事件报表的实例3.3 XXXX部署示意鉴于XXXX两个分支公司的实际状况，亚信安全建议采用软件方式来部署TDA，即在4. 工作原理 员工将内部网络网线插入终端计算机，一旦符合策略则终端计算机将连入内部网络，用户不知不觉地插入一个被感染的USB介质到计算机中。 由于此恶意程序为最新的恶意攻击，而防病毒软件还未来得及升级代码，所以无法检测到此恶意程序。USB恶意程序将自动感

14、染员工的终端计算机，此恶意程序可自动与后台恶意服务器之间建立联系并记录员工键盘操作，当员工键入用户名和密码或其他一些私有信息时，这些信息将被保存并发送到后台的恶意服务器。 亚信安全TDA设备部署在网络中可检测恶意程序通讯连接并产生日志到威胁管理服务。与先进的亚信安全智能网络防护技术协同工作，可准确的判断外发的所有信息是否为可疑信息。 结果将发送至威胁管理服务，威胁管理服务将执行详细的事件分析并确定事件根源以及产生可执行的简明摘要信息：1. 哪一台主机被感染2. 什么恶意行为被发现3. 主机最初如何被感染5. 威胁管理解决方案关键特性5.1 威胁发现 检测网络层的恶意行为，如： 企图传播或传染其

15、它用户的恶意软件 往外泄漏信息或接受命令的隐藏恶意软件 基于Web或电子邮件内容的攻击，如Web攻击、跨站点脚本攻击和网络钓鱼 检测烂用网络资源的应用程序和服务程序： 检测非工作内容的网络使用，如即时消息、P2P文件共享和流媒体 识别构成安全威胁的未授权服务，如被滥用的SMTP匿名转发和篡改的DNS服务 基于网络内容检测技术的分析： 支持从网络层至应用层的多种综合协议网络流量检测 确定相关事件的可疑威胁 利用亚信安全先进的病毒扫描引擎分析文件内容 与亚信安全威胁管理服务整合： 结合“云安全”技术与先进的相关性分析引擎，以改进威胁检测、根源识别和威胁分析 利用亚信安全智能网络防护技术确保可对最新

16、的威胁数据进行访问并进行分析 访问亚信安全的安全情报中心，以获得详细的、当前及时的威胁信息和最新威胁状况。 威胁分析和报表功能： 形成反映全公司安全形势的总体视图 通过集中管理界面管理报表和事件信息 生成事件响应的管理日报表、周月执行总结以方便查看整体安全状况，以及事件查看和报表比较 通过事件信息浏览更详细的交互式报表 显示颗粒化的综合威胁信息 安全策略改进、可控的补救措施和响应的建议事件报表实例5.2 威胁缓解 安全事件的根源分析： 确定导致端点被感染的事件链 确定恶意软件进入系统的渠道和方式（如通过USB，恶意链接等） 识别恶意软件在端点上所做的系统更改 端点状态评估和策略实施： 检查端点

17、上已更新操作系统安全补丁，确保最低的安全级别 自动检查所安装的防病毒软件并提供最新的签名，可支持来自不同防病毒厂商的产品 对不符合策略的端点进行隔离，防止其访问网络 灵活的部署方式： 在网络交换机上通过创建网络数据包的镜像方式进行内容检查-确保网络服务不会中断 网内及网外部署实现策略实施6. 威胁管理解决方案的价值反应更快使用先进的行为检测和相关性算法，TDA可在早期检测到已知和未知的恶意威胁。自动的、无需代码的清除方法可以快速地移除已知和未知的恶意威胁，企业能在恶意威胁传播之前将其捕获。前瞻性的安全规划威胁管理解决方案能帮助IT管理员创建一个更为清晰的网络安全状况视图，增加对网络安全弱点和威胁的根源了解，有助于进行前瞻性的基础设施规划。节省成本自动清除能够节省时间、改善IT资源分配并且节约相关成本。节省带宽和资源威胁发现和威胁缓解能在早期检测并阻止网络中可能对商业应用和服务造成破坏的恶意行为，从而节约带宽资源。管理更方便通过集中管理界面，可以方便地管理威胁和事件信息，还能提供事件报表、补救方案和执行总结报表。不会中断服务选择灵活的网外部署，确保不会中断现有的服务。