客户端安全解决方案--赛门铁克

赛门铁克客户端安全解决方案 技术交流 2 2005 Sy mantec Corporation. All Rights Reserv ed 最新互联网安全形势 资料来源： Symantec最新互联网安全威胁报告 混合型威胁进一步增强 2004年下半年共发现 1,403 个新漏洞，比前半年增长了 13%。漏洞的数量和严重程度持续增加 对新型可替代浏览器的漏洞显增长态势 Web 应用程序安全威胁正在增长 Win32 病毒和蠕虫不断增加 网页仿冒确定为以后几个月中重点关注的几大威胁之一 可能造成机密信息暴露的威胁数量持续增长 金融业务受到的严重攻击比率最大 3 2005 Sy mantec Corporation. All Rights Reserv ed Microsoft SQL Server 解析服务堆栈溢出攻击（称为 Slammer 攻击）是最常见的攻击，被 22% 的攻击者使用。 企业每天受到攻击的次数从前六个月的 10.6 次，上升到 13.6 次。 已知的 Bot 网络计算机从 7 月底的每天 30,000多个下降到了当年年底的每天不到 5,000 个。 美国仍是最大的攻击来源国，其次是中国和德国。 金融行业里平均每 10,000 个安全事件中有 16 个是严重事件，在所有行业中比率最高 最新网络攻击形势 资料来源： Symantec最新互联网安全威胁报告 4 2005 Sy mantec Corporation. All Rights Reserv ed 安全漏洞形势 赛门铁克记录了 1,403 个新漏洞，比前半年增长了 13%。 公布漏洞与发布相关的漏洞攻击代码之间相隔的时间从 5.8 天增大到 6.4 天。 Web 应用程序漏洞占到了所有发现漏洞的 48%，比 2004年上半年的 39% 有所增加。 所发现的漏洞中有 97% 的严重程度为中等或较高。 2004 年后半年披露的影响 Mozilla 浏览器的漏洞有 21 个，而影响 Microsoft Internet Explorer的有 13 个。 所报告的漏洞中有 70% 被认为是易于利用的。 资料来源： Symantec最新互联网安全威胁报告 5 2005 Sy mantec Corporation. All Rights Reserv ed 恶意代码形势 Netsky, MyDoom 和 Beagle 的变种在 2004 年后半年排行前 10 位的恶意代码中占多数。 赛门铁克记载的新 Win32 病毒和蠕虫超过了 7,360 个，比上半年增加了64%。 暴露机密信息的恶意代码占到了前 50 大恶意代码样本的 54%，高出上一个报告期的 44% 。 本报告期结束时，针对移动应用的已知恶意代码有 21 个，大大高出2004 年 6 月的一个。 在排名前 10 的恶意代码样本中，有 2 个 Bot 恶意代码，而在上一个报告期中只有一个。 有 4,300 个截然不同的 Spybot 新变种，比前 6个月增长了 180% 资料来源： Symantec最新互联网安全威胁报告 6 2005 Sy mantec Corporation. All Rights Reserv ed 间谍软件和广告软件 资料来源： Symantec最新互联网安全威胁报告 过去六个月来，广告软件在提交的前 50 名恶意代码中所占比例较 2004 年上半年有所增加 2004 年上半年，广告软件占提交的前 50 名恶意代码的 4%。下半年它占到了 5% Webhancer 是 2004 年下半年报告数最多的间谍软件程序，占 10 大已报告间谍软件的 38% 7 2005 Sy mantec Corporation. All Rights Reserv ed 新的安全挑战 蠕虫针对弱点的攻击正在增加频率 ,攻击方式更加灵活 8 2005 Sy mantec Corporation. All Rights Reserv ed 新的安全挑战和变化 间谍软件在 2005年快速增长。 9 2005 Sy mantec Corporation. All Rights Reserv ed 企业为间谍软件和广告软件的付出的代价 真正损失难以计算 10 2005 Sy mantec Corporation. All Rights Reserv ed 什么是 混合型威胁” ? 传播途径多样 . 同时使用多种方式攻击系统 . 最少的人为干预 . 包括 : Nimda Code Red Slammer Blaster Mydoom Netsky 满足如下特征的病毒或蠕虫 : 11 2005 Sy mantec Corporation. All Rights Reserv ed 间谍软件和广告软件 间谍软件和广告软件正在迅速成长为企业用户最关心的安全问题 通过以下手段获取机密信息 : 记录键盘操作 (keystroke) 偷窥电子邮件内容和聊天软件的会话信息 发送网页浏览记录和敏感信息到企业外部 一旦信息被获取 ,间谍软件会通过各种方式发送出去 ,通常可以获得经济上的利益 . 因为间谍软件可以敏感信息在被加密传送之前将其捕获 , 所以他能绕过安全防护措施 ,直接这些敏感信息以文本方式外泄出去 . 12 2005 Sy mantec Corporation. All Rights Reserv ed 风险影响的模型 影响类别 关键特征 性能影响 系统低速运行 /稳定性不好 弹出频率 取代浏览器主页和搜索选项 私有信息影响 机密和敏感信息的透露 发布低敏感的信息 ,比如浏览器等 结合私有策略并影响 被清除 隐藏并避免被卸载 非功能性 难以卸载 安装 静态安装 无用户界面 模糊的操作进程 (例如 . tmp001) 流行 按照自有方式或正常的软件标准流行 . 按照 Symantec响应中心定义的操作级别 . 13 2005 Sy mantec Corporation. All Rights Reserv ed 风险分类处理 新风险 /威胁被发现 分类 /风险影响分析 根据功能分类 安全风险分类 威胁分类 按破坏程度 ,流行方式等评估 完成 Spyware, Adware, Dialer, Virus, Worm, Trojan, 威胁 安全风险 14 2005 Sy mantec Corporation. All Rights Reserv ed OS 弱点 一个变化中的安全风险 弱点是软件中的缺陷 ,让攻击者威胁计算机的安全 . 蠕虫发现并利用弱点进入计算机系统 过去 ,我们被迫去等到爆发 ,然后写一个特征码 . 15 2005 Sy mantec Corporation. All Rights Reserv ed 混合型威胁防护 主动式防护 发布漏洞特征 / 发布防护措施和方法 主要的的漏洞攻击大规模爆发 发现漏洞 Time Vulnerability Activity T0 T1 T2 T3 TOO LATE BEST ROI 安装补丁 采用集成技术 补救、清除影响 安全预警 16 2005 Sy mantec Corporation. All Rights Reserv ed Spyware/Adware防护 客户端实时的 Spyware / Adware检测和处理 多种灵活的处理方式 有适当的排除，允许企业内合法的内部应用 17 2005 Sy mantec Corporation. All Rights Reserv ed 评估风险防护系统 混合型威胁 自动清除不是一直都适用 必须考虑内部允许的应用 一定要适合企业组织内的策略和业务模式 造成损失的威胁一定要被检测和清除 . Antivirus Spyware: 重要的变化 自动清除不是一直都适用 必须考虑内部允许的应用 一定要适合企业组织内的策略和业务模式 造成损失的威胁一定要被检测和清除 . 广告软件防护强调灵活的方式 允许多参数灵活配置进行检测和清除 允许必须按照企业策略进行检测 . 需要通过独特的方式改变风险的现状 . 建立驱动风险影响模型 风险影响模型必须要考虑到 应用 的行为并且制定一个风险控制目标 允许管理员或用户基于行为和其他属性对威胁事件进行响应 . 18 2005 Sy mantec Corporation. All Rights Reserv ed Intrusion Prevention Firewall 不只是防病毒 集中管理性能 配置管理并锁定 定义码和内容定义的部署 基于 MMC的企业分等级的管理网络模式 另外性能 现有的管理体系中加入防火墙策略和 IPS特征码 . 用现有的管理架构 ,加入新组件的预防护和配置管理 Symantec System Center Antivirus 保护文件系统 多种响应措施保护已知和未知的威胁 . 在进入系统的入口处提供风险保护 . 对已知和未知的威胁的预防护 Antivirus Symantec System Center Symantec AntiVirus Symantec Client Security 19 2005 Sy mantec Corporation. All Rights Reserv ed Symantec Client Security 3.0 整体的预先防护混合型威胁和安全风险 . 整合防病毒 ,防火墙和入侵防护技术 帮助建立和管理企业在不同位置的安全策略 结合管理和响应来减少损失 简单友好的管理方式 20 2005 Sy mantec Corporation. All Rights Reserv ed Antivirus Intrusion Prevention Firewall 协同防御 Firewll and Intrusion Prevention 威胁例子 : Sasser 试图 利用 WINDOWS平台的 Lsass漏洞通过相关服务 进入系统 ,并试图建立大量对外连结 . 流量被 IPS检测到并阻断在本机上的衍生体在本机的生成和安装 ,通知防火墙阻断对该端口流量的传递 . Antivirus and Firewall 威胁例子 : Blaster 端口扫描试图发现机器的弱点 . Firewall 阻断 TCP 端口 135, 通知 AV 清除在该端口进入的信息 . Symantec System Center Antivirus 威胁例子 : MyDoom 被 AV引擎检测到邮件发送的行为特征 . AV阻止由蠕虫攻击生成的 SMTP引擎外发邮件 . Symantec Client Security 21 2005 Sy mantec Corporation. All Rights Reserv ed SCS 3.0 组件 Symantec System Center 6.0 Symantec Client Security server 10.0 Symantec Client Security client 10.0 Symantec Client Firewall Administrator 8.5.0 LiveUpdate 2.6.14 Central Quarantine 3.4.0 22 2005 Sy mantec Corporation. All Rights Reserv ed Symantec网络防病毒解决方案（ SAVEE） 管理层级 Symantec System Center 6.0 网关层级 Symantec Antivirus For Smtp 4.1 Symantec Web Security 3.0 工作站和服务器 Symantec Antivirus Corporate Edition 10.0 群件服务器 Symantec Mail Security 4.6 for Microsoft Exchange Symantec Mail Security 4.1 for Lotus Domino 23 2005 Sy mantec Corporation. All Rights Reserv ed SCS 3.0 技术特性 结合防病毒 ,防火墙和入侵防护技术预先防护混合型威胁和安全风险 数字免疫系统 预防未知病毒的专利技术 BloodHound 检测多变形病毒的专利技术 扩展扫描引擎 NAVEX专利技术，升级简单 SSL通讯和数字证书认证 集中化隔离和告警功能 LiveUpdate增量在线式更新 集中的管理平台 24 2005 Sy mantec Corporation. All Rights Reserv ed 集成的客户端安全 Symantec Client Security 3.0 集成 : 防病毒 客户端防火墙 入侵防护 隐私控制 广告禁止 统一的管理平台 集成的分发机制 集成的更新机制 25 2005 Sy mantec Corporation. All Rights Reserv ed 数字免疫系统 针对未知病毒的防护， Symantec免费提供扫描和传送 (Scan & Deliver)自动防毒解毒机制，通过 Symantec 病毒防治中心 (Symantec AntiVirus Research Center)， 于最短时间內将文件解毒传回贵公司 收到病毒 样本后 的 几十分钟 內自 动 完成解毒 利用 Internet, Intranet, Extranet 迅速更新全球客戶的病毒 定义码 26 2005 Sy mantec Corporation. All Rights Reserv ed Bloodhound 启发 式 技术 赛门铁克专利的启发性技术 (Heuristic Technology) 来检测疑似病毒的行为。 可 检测 95% 的未知宏型病毒 可 检测 90% 的未知引导型病毒 (集成 了 来 自 IBM 的 技术 ) 可 检测 80% 的未知程序型病毒 27 2005 Sy mantec Corporation. All Rights Reserv ed Strike检测多变形病毒 一般的防病毒软件对每一个变形病毒采用一个病毒特征码，这样会造成病毒库非常巨大，而且检测效率低 Strike可检测最复杂的多变形病毒或自我变异的病毒。 Striker 通过创建一个虚拟的计算机，给病毒提供一个虚拟的发作环境来抓获病毒，同时不使病毒对系统造成任何损失。 28 2005 Sy mantec Corporation. All Rights Reserv ed NAVEX扩展扫描引擎技术 将扫描引擎从扫描软件中分离，与病毒定义文件同时通过LiveUpdate更新 所有赛门铁克防病毒软件均共用同一个升级模块 扫描引擎更新后无须重新启动电脑。 29 2005 Sy mantec Corporation. All Rights Reserv ed SSL通讯和数字证书认证 管理平台、服务器、客户端基于 SSL通讯和数字证书认证 ,为 SAV和SCS带来安全可靠部件通讯机制 . 认证 : 只有授权用户能够登录和作更改 完整性 : 配置 , 命令和数据 (病毒定义文件 , 防火墙策略 , 日志记录 ) 不会在传输中被修改 机密型 : 配置 , 命令和数据不会被窃听 30 2005 Sy mantec Corporation. All Rights Reserv ed SCS认证证书怎样建立信任链 一级服务器创建并管理自己签署的根证书 所有服务器拥有末端证书 每个服务器提交 CSR到一级服务器 一级服务器签署并传递证书给其他的服务器 客户端将配置服务器的证书和存储在客户端上的服务器组的根证书进行比较 31 2005 Sy mantec Corporation. All Rights Reserv ed 验证途径和方法 S y m a n t e cS y s t e m C e n t e rS A V / S C S S e r v e rS A V / S C S C l i e n tS A V / S C S C l i e n tS A V / S C S S e r v e rS y m a n t e cS y s t e m C e n t e rS A V / S C S C l i e n tS A V / S C S S e r v e rT C P c o n n e c t i o nS S L c o n n e c t i o nT C P c o n n e c t i o nS S L c o n n e c t i o nT C P c o n n e c t i o nS S L c o n n e c t i o nT C P c o n n e c t i o nS S L c o n n e c t i o no p t i o n a l32 2005 Sy mantec Corporation. All Rights Reserv ed 集中化隔离和告警 提供集中隔离服务，被隔离的威胁将不会继续感染其它机器，并允许配置发送到数字免疫系统 对威胁的发现，提供多种集中告警方式 33 2005 Sy mantec Corporation. All Rights Reserv ed LiveUpdate增量在线式更新 Liveupdate 可以使用户叠加式更新病毒定义码、 IPS特征库、防火墙策略， Liveupdate Server设置定时对网络内所有 Symantec产品所需要之语言、版本，让用户更新时可以一次完成软件、病毒定义码所有更新。 LiveUpdate实现在线更新的同时，还是增量式的，每次只下载新增部分，不但提高速度、减少下载时间，还提高稳定性。 34 2005 Sy mantec Corporation. All Rights Reserv ed 集中的管理平台 管理员通过控制台，集中地实现所有节点上 SCS的监控、配置、查询等管理工作。 负责病毒定义、扫描引擎、 IPS特征库、防火墙策略的更新，并能将此更新文件自动提供给各种服务器和工作站。 提供多种软件远程安装和软件升级的手段。 多级中心管理，各子网可以有单独的控制中心来管理，事项管理任务分担。而有一个控制中心监控整个企业网。 35 2005 Sy mantec Corporation. All Rights Reserv ed SCS 3.0客户端防护功能 SAV 10.0病毒防护功能 客户端防火墙和入侵防护功能 36 2005 Sy mantec Corporation. All Rights Reserv ed 实时的 Spyware/Adware防护 自动防护检测和清除 排除，简单的排除企业允许的应用 自动清除：文件 , 注册表 , 服务和 进程 易于管理，简单和友好的集中管理 Spyware/Adware防护增强 37 2005 Sy mantec Corporation. All Rights Reserv ed 基于角色的管理权限 SCS 3.0提供四种管理员权限 防止非授权用户对 SAV配置的更改 38 2005 Sy mantec Corporation. All Rights Reserv ed 防篡改保护 提供对 SAV自身的防护，防止威胁对 SAV的进程、文件、注册表的非授权篡改 保证 SAV自身安全可靠的运行 39 2005 Sy mantec Corporation. All Rights Reserv ed 快速扫描和全盘扫描 提供客户端不同级别的扫描级别 40 2005 Sy mantec Corporation. All Rights Reserv ed 自动保护功能 - 丰富的选项 当实时防护关掉，AutoProtect会重新启动防护功能 不仅仅是在文件被创建和修改时才检测 41 2005 Sy mantec Corporation. All Rights Reserv ed 邮件客户端保护 提供 Lotus Note和Exchange邮件客户端防护。 42 2005 Sy mantec Corporation. All Rights Reserv ed 客户端互联网邮件安全防护 提供客户端 Internet电子邮件自动防护扫描，进行扫描的 POP3和 SMTP通讯端口是可完全配置的。 (Outlook Express, Netscape,Foxmail) 出站电子邮件扫描启发式扫描。 可以有效防御诸如可以使用电子邮件分发他们自己的蠕虫等威胁，防止大规模的威胁扩散。 43 2005 Sy mantec Corporation. All Rights Reserv ed 提供自动的工具修复新混合型威胁 ,Spyware,Adware的影响 . 和定义文件和入侵特征同时更新 . 不需要单独的修复工具 副作用修复 44 2005 Sy mantec Corporation. All Rights Reserv ed 清除 检测 : 文件 目录 进程 注册表 批处理文件 INI 文件 服务 快捷方式 修复类型 : 文件清除 终止进程 暂停进程 清除注册表键值 增加注册表键值