《构建主动安全防护》PPT课件

构建主动安全防护,何兴伟技术顾问joho_he,5/16/2020,2,McAfee公司,全球最大的纯安全公司全球技术、市场领先的安全厂商在纽约证交所上市前身是被评为“世界网络公司前十强”的NetworkAssociatesInc.（美国网络联盟）2004年8月正式改名为McAfeeInc.McAfee在中国的分支机构安网（上海）软件有限公司（全资子公司）,5/16/2020,3,内容,面临的威胁的变化传统的安全方法构建主动安全防护主动的安全管理总结,5/16/2020,4,威胁统计,PrimaryInfectionVector,AdditionalPropagationVectors&Actions,90%MassMailer(EmailWorm),10%Vulnerability-basedWorm,EmailRemoteAccessP2PTerminateProcessShareHopperDownloadRemoteFileCopyKeyLoggerExploitRegistryDeleteFileInfectorDOSApplicationSpoofFileDeletion,5/16/2020,5,从弱点到受到威胁的Timeline,RiskExposureforCriticalAssets,Discovery,Remediation,“Stopcountingattacksandstartmanagingvulnerabilities.”JohnPescatore,Gartner,ThreatExposure,Asvulnerabilitiesbecomeexploitedandmadepublictherisktocriticalassetsincreases,5/16/2020,6,从弱点到出现相应的蠕虫的时间变化,Foundstone,2004(representsautomatedwormsJanuary1999throughMay2004),MelissaSadmind,Sonic,BugbearCodeRedNimda,SpidarSlammerSlapper,BlasterWelchiaNachi,WittySasser,5/16/2020,7,威胁在变化和演变攻击比以前更快和更聪明攻击更省力，成功机率更高变化总是存在因果循环绕过现有的“安全标准”,安全威胁的不断变化,5/16/2020,8,对抗威胁的传统安全方法,防火墙无法阻挡利用系统弱点的攻击网络入侵只能报警，无法实施阻断；误报率高防病毒软件依赖于病毒特征码传统安全方法的最大薄弱环节：被动安全,5/16/2020,9,防火墙无法阻挡利用系统弱点的攻击,Apachemod_sslOff-By-OneHTAccessBufferOverflow,运行服务器中的任何命令,5/16/2020,10,防病毒软件的“漏洞之窗”,3Months,6Months,0发现病毒,3Hours,6Hours,Time,3Days,漏洞之窗,发布补丁,AVERT,客户,5/16/2020,11,McAfee主动安全防护,ANTI-Malware,FIREWALL,INTRUSIONPREVENTION,由被动到主动,由物理边界到虚拟边界,由探测到实时防护,McAfee主动防护对抗新的威胁和将来的威胁,PolicyEnforcer,5/16/2020,12,下一代技术不需要病毒签名情况下提供前瞻性威胁防护,访问防护策略,缓冲区溢出防护,使用规则进行端口阻断,使用VirusScanEnterprise8.0i进行前瞻性防护,提供Zero-day防护！,5/16/2020,13,从入侵探测到入侵防护,Inline模式，实时阻断攻击(droppingattacks)技术先进采用专用ASIC技术的硬件设计深层封包检测混和型检测技术灵活的策略配置IPS系统也可以用作IDS,5/16/2020,14,阻止Zero-Day攻击,数据隐私保护,实时阻止已知攻击,访问授权控制,保护关键应用,主机入侵防护,SystemCall、RPC调用、API调用拦截综合保护应用、数据和系统主动、自动和继承的策略强制,5/16/2020,15,学校网络,主动防护阻止Exploits和Vulnerability-basedWorms,WindowsPC,Windows中存在的安全弱点被利用“ACrackintheWindow”,SalesForce,Customers,eStore,eServer,Internet,Internet,SystemFile,Memory,NIPSorHIPS可以block,prevent&reducetheseexploits,RemoteWorkers,Internet,5/16/2020,16,主动安全技术,McAfeeSolutionsBlockedorContained100PercentatDayZero(Pre-exploit),BlockedDay1,Contained,Contained,Netsky,Blocked,Blocked,Sasser,BlockedDay1,Contained,MyDoom,Blocked,Blocked,Zotob,攻击,McAfeeIntruShield,McAfeeEntercept,McAfeeVirusScanEnterprise,Contained,Blocked,Blocked,出色的阻挡能力,5/16/2020,17,主动安全管理McAfeePolicyEnforcer策略强制,1.定义定义系统compliancepolicies,5/16/2020,18,1.定义定义系统compliancepolicies,主动安全管理McAfeePolicyEnforcer策略强制,2.探测当计算机连接到网络,5/16/2020,19,3.评估实时评估compliance-McAfee和第三方安全应用微软补丁Highriskinfections&more,1.定义定义系统compliancepolicies,2.探测当计算机连接到网络,主动安全管理McAfeePolicyEnforcer策略强制,5/16/2020,20,4.强制Non-compliant系统被阻挡或隔离到VLAN,3.评估实时评估compliance-McAfee和第三方安全应用微软补丁Highriskinfections&more,1.定义定义系统compliancepolicies,2.探测当计算机连接到网络,主动安全管理McAfeePolicyEnforcer策略强制,5/16/2020,21,5.补救Non-compliant系统被重订向到补救portal,主动安全管理McAfeePolicyEnforcer策略强制,3.评估实时评估compliance-McAfee和第三方安全应用微软补丁Highriskinfections&more,1.定义定义系统compliancepolicies,2.探测当计算机连接到网络,4.强制Non-compliant系统被阻挡或隔离到VLAN,5/16/2020,22,主动安全管理,PolicyEnforcerScanner,P