IBM前瞻性安全解决方案.ppt

ibm 前瞻性安全解决方案,iss高级信息安全顾问 ibm全球服务部,ibm iss简介 / 安全背景 2. ibm iss安全解决方案介绍 3. 案例介绍,全球领先的独立it安全厂商 全球领先的安全智库 全球领先的安全托管服务厂商 1994年成立 总部位于 atlanta, usa 1998 ipo nasdaq: issx; 2001 jasdaq 在27个国家有1,200 名员工 全球超过12,000企业用户 业界唯一超过十二年资历，整合“研究、产品、服务”的安全厂商 2006年q3被ibm公司收购,ibm iss背景,威胁无所不在, 安全已成为今天信息科技最热门的话题,受保护资源 protected resources,外国政府 foreign government,诈骗 bilk,竞争对手 rival,有组织犯罪 organized crime,内部威胁 internal threat,黑客攻击 hacker attack,病毒 virus,恶意攻击 vicious attack,自然灾害 natural disease,事故 accidence,人为失误 human mistake,the state of evolving threats,e-crime 商业利益驱动 innovation to capture new markets (victims) victim segmentation and focus stealth is the new “black” 攻击速度不断加速 攻击模式更加复杂多变 attacks are “designer” in nature,快速变化多端的威胁 limited it resources 减少安全风险和符合法律顺从性的压力 process complexity reduce operating costs security program must show value 前瞻性防护 vs 反应式事后修补,it challenges,spam,antivirus,malware trojan,spyware,etc,the solo problem point solutions no longer provide an effective defense against todays complex threats,issue of: complexity, scalability, reporting no longer addresses complex security issues,银联事件,现象 页面被修改 植入木马程序 分析 通过web程序的弱点，获得了数据库的访问权限 利用数据库权限管理的缺陷获取了敏感信息，例如后台管理员帐号和密码 通过直接修改数据库，发布更改后的页面，该页面含有恶意网页脚本和木马 诱使用户访问，使木马植入用户个人系统中 通过木马控制用户个人系统，搜索银行帐号等信息 暴露的问题 应用程序存在弱点 数据库配置存在弱点 缺乏有效的检测方法 从事后的处理来看 根据日志分析定位存在弱点的应用程序，进行修复,某移动公司充值卡被盗,05年8月, 移动值卡被盗卖 系统集成公司工程师利用三年前在t移动维护的帐号和密码，通过互联网进入了b移动的充值数据库，盗取了价值370万的充值卡数据。 b移动在此前花费了上亿元进行信息安全的建设和改造 问题出在什么地方？,威胁无所不在 并且日新月异。 您能得到保护吗？,“我们110个基地中的每个都要花费30-60天来安装某个特定的补丁” - 美国空军,“没有终止的循环，设法跟上打补丁的脚步” - 丰田,反应式补丁无法满足企业要求,iss x-force-最了解互联网风险,x-force 是全球最大规模的安全研发组织,高风险漏洞来源: frost & sullivan 2006, internet,专注于收集和分析安全风险 每年发布30 次以上的安全建议和警告 每月找出200 多个新的攻击手法 维护超过 30,000 个漏洞的安全数据库 开发了 6000 多个检查项用于检测和发现攻击手法 发布季度网络风险总结 (iris) 2006年，发现7247个安全漏洞及攻击手法 cve创始人之一，cve的审核者及工具提供者之一,料敌制胜 为何唯有iss?,iss stops “enemy at the gates”,iss x-force guys are “x-men”,iss keeps on “revolution”,ibm如何实现前瞻性防护,ibm 企业安全平台enterprise security platform 提供了四个步骤:,第一阶段：漏洞映射,proventia network scanner proventia internet scanner proventia network anomaly detection system proventia management siteprotector,internet scanner主要功能,资产鉴别 ping sweep 导入 范围枚举 资产指纹库 设备识别 操作系统识别 漏洞检测 1800+ 安全检查项 快速反应 x-force 研发组织 策略管理 19 种默认策略 支持自定义策略 flexcheck 功能 控制 启动、终止、暂停 继续、远程、命令行 报告 管理层报告 执行层报告 技术层报告,真实扫描时间 增强动态检查分配（dynamic check assignment） builtins / plugins 并发运行 可以设置不扫描打印机或未知设备 发现功能（discovery） 无ip地址限制 提供传统的补丁加防护的方法来消除漏洞 和ips协作采用扫描加阻断的方法为用户提供前瞻性防护,frost and sullivan market leadership award,#1 market share 6 consecutive years,默认帐户,mis-use,send-mail,web, mail, ftp .,dmz,internet scanner,第二阶段：等级防护,proventia siteprotector securityfusion design services proventia network ads,ibm ads异常流量检测系统,recon 检测 检测 slow scans, fast scans, “stealth” scans, 和host sweeps.,指纹检测 (atf) 检测违背行为指纹的流量: 恶意代码, 钓鱼软件, 僵尸流量等等.,ibm ads 不断的开发新的 算法精确检测内部的威胁:,蠕虫检测 检测异常行为的复制: sql slammer 蠕虫.,基于比率的异常检测 检测从基准线上级别的流量: dos 攻击.,内部滥用 检测特定安全策略的违背的行为: helpdesk 的工作者访问 payroll database,有效性损耗 检测在关键服务器和link的丢弃的流量.,基于硬件, 分布式的流量监控 从现有的路由器和交换机收集 network flow 信息或mirror流量 创建深层, 动态的网络相关模型 使用n维检测技术防护零天威胁，滥用和误用 强大报表功能，运维、防护一目了然。,iss ads,服务器系统,网络层,终端用户,internet,分支机构,第三阶段：虚拟补丁和修补,proventia intrusion prevention appliances proventia integrated security appliances proventia desktop proventia server,ibm ips入侵防护系统,iss ips主要特点 应用iss x-force研发结果，基于漏洞的防护，实现“前瞻性防护” virtual patch-虚拟补丁技术保证“零天防护” 核心技术为-“hybrid protocol analysis module” iss了解逻辑流和流量的状态 iss能够提供了最精确的防护 - 可支持160多种协议和数据格式，可检测/防护超过2500种攻击手法 超强性能- gx6116为业界最大吞吐量设备 - 6gpps。 全球市场份额连年第一。,iss ips,服务器系统,网络层,终端用户,internet,分支机构,ibm 多功能防火墙,防火墙 / vpn 通过地址/端口设置允许/禁止 对象的名单 dhcp 服务器 nat, pat dhcp 客户端 pppoe (dsl/cable连接) 入侵防护 和proventia ips相同的虚拟补丁virtual patch 技术 防病毒 快速的文件分析 http / ftp / smtp / pop3 100% wildlist 全覆盖 单点管理 反垃圾邮件 阻断垃圾邮件 多种检测算法 内容过滤 阻断不适当的web内容 先进的检测技术 最大的站点索引,ibm防火墙系列技术特点 900 种漏洞阻断项 可查杀超过12万种病毒 可过滤超过 6千万个 url 2.4 billion 网站! 1.5 billion 图片! 95% 的垃圾邮件过滤 1/10,000 的误报 病毒防护系统（vps） 间谍软件防护 最佳性价比 可同时工作在“路由模式”和“透明模式”下,iss mx安全网关,服务器系统,网络层,终端用户,internet,分支机构,ibm邮件安全系统,基本功能 垃圾邮件过滤 病毒检测 入侵检测,垃圾邮件检测引擎 垃圾邮件签名数据库 垃圾邮件url 垃圾邮件内部评分系统 sbl 贝叶斯分类统计系统 垃圾邮件流检测 垃圾邮件结构检测 垃圾邮件关键字检测 钓鱼邮件检测 消息检测 附件检测（支持120种以上文件类型） 病毒检测（120k以上） 黑名单 白名单,服务器系统,网络层,internet,分支机构,e-mail security,proventia network mail security system,终端用户,ibm 服务器安全防护,部署在重要服务器之上，广泛的平台适用性 结合iss网络入侵防护和主机保护技术 对所部署的重要服务器进行全面防护 可以防止渗透攻击、带宽耗尽、蠕虫和木马 可以检测经ssl加密的攻击 当审计事件允许时， server sensor可以允许内核审计而不仅仅依赖于现存的user land输出 用户事件可以在任何的log file中创建监控 (可选使用 regex) 或者在网络流量中监控自定义流量 (例如 url中的dagmar),iss server sensor,服务器系统,网络层,终端用户,internet,分支机构,ibm桌面安全软件,企业级桌面防火墙 高速攻击检测和防护 应用程序控制 策略检查 双引擎病毒防护 iss专利的vps行为分析病毒引擎 icsa labs认证 间谍软件防护 缓冲溢出防护 site protector集中管理,iss 企业桌面防火墙占有率第一：idc 报告,iss 桌面安全,服务器系统,网络层,终端用户,internet,分支机构,第四阶段：报告和分析,siteprotector security benchmarking,ibm site protector 统一管理平台,siteprotector 提供了针对漏洞评估、桌面、服务器、网络和网关防护等的统一命令控制，分析和报表功能。 收益：在单一的管理系统中部署和运维节省了时间和金钱，快速分析，fusion 模块简化事件调查。,site protector,服务器系统,网络层,终端用户,internet,分支机构,iss安全服务：pss & soc,pss： 安全配置及规划(deployment) 紧急事件处理(ers) 信用卡 pci 认证 soc/mss： 全球最大、资历最久的 mss/soc 业者 全球七座 soc，24 小时不间断监控 总数超过一千五百名用户 每日处理事件数量超过二亿五千万笔以上 全球管理超过18000设备数。 每隔15分钟汇总全球安全信息到美国gtoc，x-force专家实时、临床诊断。 部署灵活 可帮助用户自建、也可采用virtual soc模式，节省用户投资。 全球最佳的 mss/soc