信息安全整体解决方案.docx

。信息安全整体解决方案1.APT攻击进入常态 APT攻击已经成为常态。苹果公司iCloud照片泄露，索尼影视被入侵，某订票网站信息疑似泄露事件，让公众有理由倍感担忧，个人隐私得不到有效保护。从政府部门，知名公司，公众人物到普通人，都是黑客的目标。被披露的部分只是APT攻击的冰山一角，还有众多APT攻击隐藏在冰山之下，不为公众所知。网络安全状况更加不容乐观。安全漏洞和攻击事件不断出现，心脏滴血漏洞、破壳漏洞，漏洞披露接踵而来。这些漏洞具有严重威胁等级，为APT攻击者制造零日攻击工具提供绝佳便利。另外，企业对IT信息系统的依赖程度越来越高，应用越来越多，IT系统越来庞大。BYOD，云计算，社交网络流行，企业已经没有了网络边界，更增加被攻击的风险。而随着0day攻击，僵尸网络，APT攻击的兴起，各种组织都笼罩在安全的“雾霾”之下。2.绿盟科技下一代威胁防御解决方案难道入侵不可避免吗？在这“魔高一尺，道高一丈的”攻防累进中，安全界早已达成共识，传统安全防护方案，如防病毒，IPS等基于签名技术的安全产品已经过时，不能有效防护APT威胁，需要新的方案来检测和防御这些未知威胁。绿盟科技为了应对以APT为代表高级持续性威胁，推出了NGTP解决方案，即“下一代威胁防御”方案。NGTP解决方案，是由多个不同功能的模块组成，包括：绿盟全球威胁信誉系统，威胁分析系统，入侵防护模块，邮件过滤模块，内网流量感知模块，以及本地的安全管理平台。其中，绿盟全球威胁信誉系统，是安全威胁信誉的收集，分析和交换的云平台，一方面接收和分析安全威胁信誉，一方面提供威胁信誉下载。 本地安全管理平台，统一管理方案中涉及到的产品和模块，也作为本地的信誉交换代理； 威胁分析系统，负责网络上的文件还原，病毒检测，静态分析和虚拟执行，并生成信誉，发送给信誉云； 入侵防护模块，负责网络和web的入侵检测和阻断； 邮件过滤模块，负责病毒邮件和垃圾邮件的过滤； 内网流量感知模块，负责内网流量的检测和预警； 威胁分析模块，入侵防护模块和邮件过滤模块，都会从本地信誉代理或者云端，下载实时的信誉信息，并根据信誉信息进行防御。3.NGTP方案的功能解决方案聚焦检测和防御APT攻击链的各个环节，尤其是在攻击尝试阶段，进入后的潜伏和扩展攻击阶段，以及最终目的阶段数据盗取。APT攻击链条介绍： 在攻击初始阶段，攻击者常用“水坑攻击”和“钓鱼邮件”方式，定向诱导用户上网下载软件或者打开邮件，以此感染恶意软件。这些精心构造的恶意软件，一般会逃逸传统防病和IPS的检测，用户稍有不慎，极易感染。攻击初始阶段的检测和防御，是NGTP解决方案的重中之重，防范于未然。 一旦攻击成功，入侵者要扩大战果，回连CnC控制服务器，下载更具威胁的攻击工具，为横向扩展攻击做准备。 最终，攻击者盗取有价值的文件和数据，并消除攻击痕迹。为适应不同的网络攻击场景和攻击链条，NGTP方案可灵活组合为“高级恶意软件防护方案”，“高级邮件安全方案”和”内网异常和敏感数据拦截防护方案“等若干子方案。NGTP方案根据APT攻击链条各个过程的特点，采用不同的子方案进行检测和防护： 攻击前 通过威胁分析模块TAC对于未知威胁的实时检测，与入侵防御模块一起联动，实现一点发现，全网警戒的效果，及时发现未知恶意软件的攻击，最大程度进行阻止。 攻击中 对于少部分漏网之鱼，当其进入到内网，并进行回连CnC服务地址，或者进行扩散攻击时，通过Web端僵尸网网络和内网流量异常变动的监控，可以发现此类攻击的蛛丝马迹，暴露出APT攻击的特点，恶意软件无可遁形。 攻击后 恶 意软件进不来和藏不住，已经能够检测和抵御绝大部分的恶意软件攻击情形。隐藏最深，具有逃逸特征的高级恶意软件，会在内网进行潜伏，但是最终还是会发作， 进行敏感信息和数据的窃取。通过流量异常变化和数据泄露防护方案，能够发现和防范最后这些最为狡诈的恶意软件行为，保护企业敏感数据的外泄。4.NGTP解决方案的价值NGTP解决方案，为企业建立安全防护的金钟罩，有效检测和防御APT攻击。在NGTP的方案的子场景中，尤其考虑了APT攻击的攻击链条，重点在于攻击前阶段的检测和防御，达到攻击“进不来“的效果；在攻击扩散阶段，达到攻击”藏不住“的效果；而在最终的攻击后解决，达到敏感数据“带不走”的效果。绿盟科技的NGTP方案，以安全信誉为中枢，恶意软件威胁分析为核心，结合网络入侵防护，Web和邮件过滤，数据泄露防护等多个模块。NGTP解决方案，有针对性