基于主机的入侵防御方案.ppt

Symantec Critical System Protection v5.0 基于主机的入侵防御产品(IPS),Presenters Name Date,议程,当前安全趋势 SCSP简介 SCSP的入侵防护功能(IPS) SCSP的入侵检测功能(IDS) SCSP的主要功能和特点 总结,5,6,当前安全趋势,如何阻截已经射出的子弹？,月,天,小时,分钟,秒,感染期,特征 响应期,被动，使我们时刻处于下风阻截飞行中的子弹,我们已经面临这样一种感染形势，即最新威胁的传播速度已经超出了我们的响应能力 如果我们想要赢得这场战争，那么我们必需改变我们的策略,1990,时间,2005,留给我们的时间真的不多箭已发出,Code Red 的感染率每 37 分钟就翻一番。 Slammer 每 8.5 秒就翻一番，在 10 分钟之内可感染 90% 未受保护的服务器！,典型的攻击步骤,基于网络的 IDS/IPS,基于主机的 IDS/IPS,Symantec 集成的IDS/IPS解决方案,SNS + SCSP 赛门铁克能提供完整的入侵检测/入侵防护解决方案,Symantec Critical System Protection(SCSP),Symantec 的主机保护产品SCSP提供完成的主机入侵防护解决方案,他能提供攻击防护、终端控制和安全事件监控和审计等功能以确认企业内部多种平台的服务器的完整性和策略依从。,Why Symantec Critical System Protection?,维持系统的策略依从 加固系统 入侵检测 入侵防护 减少管理复杂程度 提升产品的管理能力,防止零日攻击 加固日志系统, 日志转发, 和日志监控 对无法立即安装补丁程序或锁定的系统提供防护 企业级的报表功能 通过简单，集中的策略创建管理系统降低企业用于资产保护的成本,目的,提供,怀有恶意的内部用户攻击系统 未知攻击针对: 内存 文件系统 注册表 操作系统 应用 终端用户违背企业安全策略,预防,保护企业中的关键业务主机,数据中心 数据库服务器 互联网应用服务器 Web服务器 邮件服务器 后台办公系统 定制的应用系统 公司内部 文件服务器 打印服务器 远程访问网关 分布式系统,高风险的客户端 移动用户 高管的台式机 保存机密的系统 访问关键任务的系统 缺少物理安全访问的系统 信息终端(触摸屏),主机安全产品的功能覆盖,SCSP的入侵防护功能,主动式预防 攻击正在趋向简单化,主机程序,交互式程序,攻击正在趋向简单化(续.),主机程序,交互式程序,Symantec CSP Solution Overview,主机程序,.,DNS,RPC,Print Spooler,.,邮件系统,Web,数据库,操作系统服务,应用程序,.,邮件客户端,办公软件,浏览器,交互式程序,SCSP在每个程序或服务定制一个外壳(BCD),限定其访问行为,Behavior Control Descriptions (BCDs) 限定每个应用程序允许访问的资源及其访问权限,User Applications,Core OS Service,Web, Database, Mail, etc.,Server security Agent,Windows 2000/XP/2003, Solaris, Linux,文件,Pipes,注册表,网络,缓存溢出,系统调用,进程衍生,路径,Server communications Download policy & configuration updates Upload logged events,SCSP在操作系统的最底层进行防护,Behavior Control Agent,Kernel mode intercept driver,SCSP,防护能力,缓存溢出保护 操作系统加固 注册表保护 文件系统保护 定制攻击防护策略 主机防火墙功能 移动设备控帛 交互式程序控制 超级用户/管理员权限控制 操作系统审计日志的监控和响应,SCSP的入侵检测功能,Agent,主机入侵检测,Agent,安装在主机上代理程序,文件,注册表,审计信息,操作系统日志,应用系统日志,Act,Symantec IPS creates a “shell” around each program & service that defines acceptable behavior,主控台报警 邮件通知 SNMP Trap 禁用恶意帐户 保存事件信息供进一步分析 转发日志到管理服务器供报表和分析 基于策略的自定义响应动作,智能报警,事件信息,数据库,-资产数据,-策略,-运行状态,事件数据,管理服务器,SCSP入侵检测的工作模式,SCSP一般通过监视系统、事件、安全日志和端口调用来判别是否有攻击发生 SCSP一旦发现攻击，会立即作出相应的响应动作，基于主机入侵检测系统提供的响应方式比NIDS的要丰富 SCSP还可以通过监视可编辑的文件系统列表、注册表的变化来判别是否有攻击事件发生 可以监视、响应针对某台系统的任何存取、修改、配置等动作,SCSP策略，默认按操作系统归类 未授权的系统配置更改 未授权的管理权限更改及滥用 失败登录 重要文件未授权访问和更改 注册表的更改（针对Windows平台) ,SCSP的入侵检测功能是基于监控策略,实时监控,日志的转发和合并,日志文件及其归档是完成，准确和可验证的，所以这些日志可用于计算机犯罪的取证调证 日志文件被保存在Agent本地，也可以被转发 可以设定过滤规则，只转发相关的安全事件到管理服务器 在Agent本地的完整日志文件也能通过SSL方式被转发到管理服务器，用于归档 日志文件的完整性在日志转发和归档时完成 日志文件在被转发到管理服务器时均被压缩 每条日志记录都是唯一的，可识别的,SCSP的主要功能和特点,SCSP 5.0 支持的系统平台,* The management server is currently supported on Windows platform only.,Symantec Critical System Protection 5.0 产品框架,Behavior Control Agents,Behavior Control Agents,服务器,管理服务器,管理控制端,HTTPS,JDBC,代理注册,策略配置,事件记录,策略配置,代理配置,实时监控,用户和角色管理,SQL Data Store,配置数据,日志,运行状态,事件数据,HTTPS,产品框架,26,SCSP代理程序(Behavior Control Agent)功能,对于系统调用提供内核层的截获分析 不用重启就能加载策略 验证进程间衍生关系 强制贯彻策略 缓存溢出保护 收集具体日志信息,User Applications,Core OS Service,CSP Agent,文件,Named Pipes,注册表 (Win only),网络控制,内存 (缓存溢出),操作系统调用,设备,Behavior Control Agent,Kernel mode intercept driver,Windows 2000/XP/2003, Solaris, Linux,HTTPS,Web, DB, Mail, etc.,SCSP管理服务器,注册表,网络,文件,只读,读-写,不能访问,所有其它程序,操作系统核心功能应用程序,明确允许的行为,明确禁止的行为,程序 子程序/进程 指令参数 用户,模块化策略架构,进程集合,进程,进程绑定的规则,Behavior Control Descriptions (BCDs),资源,行为控制描述(BCD) 的组件,行为控制描述(BCD) 的组件定义的了进程访问系统资源时的权限 A BCD 包括如下的资源控制: 文件访问 注册表访问 网络连接 (接受 和 连接) Syscall 缓存溢出,行为控制描述 (BCDs):,SCSP提供两种类型的行为控制描述(Behavior Control Descriptions BCDs): 用于限定服务或应用程序的定制BCDs 定义哪些行为是允许的 其他所有行为都被限制的 比如IIS服务只需要提供最基本的Web服务,不需要调用cmd.exe指令. 通用 BCDs 定义哪些行为被禁止 其他所有行为都不受约束 这样可以限定一般程序对于系统关键信息的修改(比如:并不是所有的程序都需要对外网连接),拦截零日攻击,有效的入侵防御技术，终止针对系统和应用的不断恶意攻击 防止由于没有及时安装补丁引发的可疑代码传入和扩散,防止攻击 缓存溢出保护 应用程序的防护/隔离 各个操作系统功能的防护/隔离 注册表和文件夹的保护 “最小权力” 的贯彻 集成的防火墙隔离入埠和出埠通讯,操作系统加固,通过缺省策略锁定操作系统，应用和数据库 预防未授权的可执行程序的传入和运行,Operating System Protection Microsoft Windows SUSE Linux Sun Solaris Application Protection Microsoft Exchange Server Microsoft Internet Information Server Microsoft SQL Server Apache Web Server Sendmail Postfix,预定义的应用程序安全策略，针对交互式程序策略 Microsoft Office Microsoft Outlook Internet Explorer 预定义的应用程序安全策略，针对后台服务 Microsoft Exchange IIS SQL Server as well as Sendmail, Apache, and Postfix 预定义的审计监控策略,预定义的应用程序策略,维持策略依从,对于交互式程序可以进行强制的行为控制 预防由于用户失误引发的意外事件，比如不小心运行的邮件附件 对于移动存贮设备采用基于策略的控制，防止机密信息的外泄,交互式程序控制 Microsoft Outlook and Outlook Express Microsoft Office Programs Microsoft Internet Explorer I/O 设备管理 预防 U盘 访问 预防 CD-ROM 刻录 预防没有VPN加密保护的无线连接,维持策略依从将书面策略付诸行动,策略可以通过开关选项设备 选项可以在多个层次设定 可以针对某一个具体应用进行控制 如图所示：当Outlook打开邮件附件时，将会依照上述选项执行,减少管理复杂程度,单一的管理控制界面进行配置、部署和管理 统一的报表和报警功能 策略将按照Agent所在的操作系统和应用程序类型自动配置加载,采用单一策略: Web, Database, Mail Servers 所有的应用程序安全配置 相同OS“家族”的各个版本 采用简单的选项: 分布式系统的集中控制 基于目录的内部用户权限设定 允许特定的网络访问控制,IIS 通常有权使用图示中特定的系统资源 取消这些选项将限制IIS每个功能模块能访问的资源 如果在IIS配置界面上配置,则需要在每台运行IIS的服务器上单独配置. SCSP只需要配置一个策略,应用到每台IIS服务器上,管理员只需要通过开关选项目配置安全策略,SCSP的功能小结,防止零日攻击,加固系统,维持策略依从,减少管理复杂程度,减少系统宕机时间 降低清除攻击 确保业务的持续性 不依赖于基于特征的策略,附软件提供多种保护策略 控制特权用户 默认策略即可有效保护系统和各种应用,可信的安全系统 系统安全策略的强制贯彻,SCSP服务器版和客户端版本的采用相同的安全策略 跨平台统一管理 降低管理员负担,附注,狙击波病毒特征(W32.zotob.A/B/C/D/E),利用微软于今年8月9日公布的安全漏洞 Microsoft Security Bulletin MS05-039 Vulnerability in Plug and Play Could Allow Remote Code Execution and Elevation of Privilege (899588) 电脑会不断重启 中毒电脑主动连接到IRC服务器(),就会通过IRC被病毒传播者控制 随机查找B类网址范围的其它可被感染主机 修改系统中的hosts文件,将知名防病毒厂商的网址指向,阻止用户从防病毒网站下载最新的病毒定义码和移除工具.,通过基于主机的IPS产品,保护关键主机不受病毒影响,SCSP在默认情况,就能保护主机不受狙击波的攻击 限制系统服务可以访问的资源(无法向系统目录添加病毒程序) 禁止系统服务随意对外建立连接(无法开启后门) 禁止系统服务任意修改系统文件(无法修改注册表).,针对狙击波的有效防御,Windows 2000/XP/2003 Kernel,文件,注册表,设备,系统资源,端口,Plug and Play Service,入站连接 (端口 135),连接远程主机 (端口 8888),Plug and Play Service,运行角本,下载病毒,修改注册表键值,在系统目录下添加病毒文件,Plug and Play Service,启运后门程序,允许被远程操纵,内存 (缓存溢出),Windows 2000/XP/2003 Kernel,RPC Service,RPC Service,RPC Service,Open Backdoor for Remote Access,Sample Expl