IBM-前瞻性安全解决方案--郭耀聪

IBM前瞻性安全解决方案,Y.C.Kwok郭耀聪ISS高级信息安全顾问IBM全球服务部,IBMISS简介/安全背景2.IBMISS安全解决方案介绍3.案例介绍,全球领先的独立IT安全厂商全球领先的安全智库全球领先的安全托管服务厂商1994年成立总部位于Atlanta,USA1998IPONASDAQ:ISSX;2001JASDAQ在27个国家有1,200名员工全球超过12,000企业用户业界唯一超过十二年资历，整合“研究、产品、服务”的安全厂商2006年Q3被IBM公司收购,IBMISS背景,威胁无所不在,安全已成为今天信息科技最热门的话题,受保护资源Protectedresources,外国政府foreigngovernment,诈骗bilk,竞争对手rival,有组织犯罪Organizedcrime,内部威胁Internalthreat,黑客攻击Hackerattack,病毒virus,恶意攻击Viciousattack,自然灾害naturaldisease,事故Accidence,人为失误Humanmistake,TheStateofEvolvingThreats,e-crime商业利益驱动Innovationtocapturenewmarkets(victims)VictimsegmentationandfocusStealthisthenew“black”攻击速度不断加速攻击模式更加复杂多变Attacksare“Designer”inNature,快速变化多端的威胁LimitedITresources减少安全风险和符合法律顺从性的压力ProcesscomplexityReduceoperatingcostsSecurityprogrammustshowvalue前瞻性防护VS反应式事后修补,ITChallenges,Spam,AntiVirus,MalwareTrojan,SpyWare,Etc,TheSoloProblemPointSolutionsnolongerprovideaneffectivedefenseagainsttodayscomplexthreats,Issueof:Complexity,Scalability,ReportingNolongeraddressescomplexsecurityissues,银联事件,现象页面被修改植入木马程序分析通过WEB程序的弱点，获得了数据库的访问权限利用数据库权限管理的缺陷获取了敏感信息，例如后台管理员帐号和密码通过直接修改数据库，发布更改后的页面，该页面含有恶意网页脚本和木马诱使用户访问，使木马植入用户个人系统中通过木马控制用户个人系统，搜索银行帐号等信息暴露的问题应用程序存在弱点数据库配置存在弱点缺乏有效的检测方法从事后的处理来看根据日志分析定位存在弱点的应用程序，进行修复,某移动公司充值卡被盗,05年8月,移动值卡被盗卖系统集成公司工程师利用三年前在T移动维护的帐号和密码，通过互联网进入了B移动的充值数据库，盗取了价值370万的充值卡数据。B移动在此前花费了上亿元进行信息安全的建设和改造问题出在什么地方？,威胁无所不在并且日新月异。您能得到保护吗？,“我们110个基地中的每个都要花费30-60天来安装某个特定的补丁”-美国空军,“没有终止的循环，设法跟上打补丁的脚步”-丰田,反应式补丁无法满足企业要求,ISSX-Force-最了解互联网风险,X-Force是全球最大规模的安全研发组织,高风险漏洞来源:Frost&Sullivan2006,Internet,专注于收集和分析安全风险每年发布30次以上的安全建议和警告每月找出200多个新的攻击手法维护超过30,000个漏洞的安全数据库开发了6000多个检查项用于检测和发现攻击手法发布季度网络风险总结(IRIS)2006年，发现7247个安全漏洞及攻击手法CVE创始人之一，CVE的审核者及工具提供者之一,料敌制胜为何唯有ISS?,ISSstops“EnemyattheGates”,ISSX-Forceguysare“X-Men”,ISSkeepson“Revolution”,IBM如何实现前瞻性防护,IBM企业安全平台EnterpriseSecurityPlatform提供了四个步骤:,第一阶段：漏洞映射,ProventiaNetworkScannerProventiaInternetScannerProventiaNetworkAnomalyDetectionSystemProventiaManagementSiteProtector,InternetScanner主要功能,资产鉴别PingSweep导入范围枚举资产指纹库设备识别操作系统识别漏洞检测1800+安全检查项快速反应X-Force研发组织策略管理19种默认策略支持自定义策略FlexCheck功能控制启动、终止、暂停继续、远程、命令行报告管理层报告执行层报告技术层报告,真实扫描时间增强动态检查分配（DynamicCheckAssignment）Builtins/Plugins并发运行可以设置不扫描打印机或未知设备发现功能（Discovery）无IP地址限制提供传统的补丁加防护的方法来消除漏洞和IPS协作采用扫描加阻断的方法为用户提供前瞻性防护,FrostandSullivanMarketLeadershipAward,#1MarketShare6ConsecutiveYears,默认帐户,Mis-use,Send-mail,web,mail,ftp.,DMZ,InternetScanner,第二阶段：等级防护,ProventiaSiteProtectorSecurityFusionDesignServicesProventiaNetworkADS,IBMADS异常流量检测系统,Recon检测检测slowscans,fastscans,“stealth”scans,和hostsweeps.,指纹检测(ATF)检测违背行为指纹的流量:恶意代码,钓鱼软件,僵尸流量等等.,IBMADS不断的开发新的算法精确检测内部的威胁:,蠕虫检测检测异常行为的复制:SQLSlammer蠕虫.,基于比率的异常检测检测从基准线上级别的流量:DoS攻击.,内部滥用检测特定安全策略的违背的行为:helpdesk的工作者访问payrolldatabase,有效性损耗检测在关键服务器和Link的丢弃的流量.,基于硬件,分布式的流量监控从现有的路由器和交换机收集Networkflow信息或Mirror流量创建深层,动态的网络相关模型使用N维检测技术防护零天威胁，滥用和误用强大报表功能，运维、防护一目了然。,ISSADS,服务器系统,网络层,终端用户,Internet,分支机构,第三阶段：虚拟补丁和修补,ProventiaIntrusionPreventionAppliancesProventiaIntegratedSecurityAppliancesProventiaDesktopProventiaServer,IBMIPS入侵防护系统,ISSIPS主要特点应用ISSX-Force研发结果，基于漏洞的防护，实现“前瞻性防护”VirtualPatch-虚拟补丁技术保证“零天防护”核心技术为-“HybridProtocolAnalysisModule”ISS了解逻辑流和流量的状态ISS能够提供了最精确的防护-可支持160多种协议和数据格式，可检测/防护超过2500种攻击手法超强性能-GX6116为业界最大吞吐量设备-6Gpps。全球市场份额连年第一。,ISSIPS,服务器系统,网络层,终端用户,Internet,分支机构,IBM多功能防火墙,防火墙/VPN通过地址/端口设置允许/禁止对象的名单DHCP服务器NAT,PATDHCP客户端PPPoE(DSL/cable连接)入侵防护和ProventiaIPS相同的虚拟补丁VirtualPatch技术防病毒快速的文件分析HTTP/FTP/SMTP/POP3100%Wildlist全覆盖单点管理反垃圾邮件阻断垃圾邮件多种检测算法内容过滤阻断不适当的Web内容先进的检测技术最大的站点索引,IBM防火墙系列技术特点900种漏洞阻断项可查杀超过12万种病毒可过滤超过6千万个URL2.4Billion网站!1.5Billion图片!95%的垃圾邮件过滤1/10,000的误报病毒防护系统（VPS）间谍软件防护最佳性价比可同时工作在“路由模式”和“透明模式”下,ISSMX安全网关,服务器系统,网络层,终端用户,Internet,分支机构,IBM邮件安全系统,基本功能垃圾邮件过滤病毒检测入侵检测,垃圾邮件检测引擎垃圾邮件签名数据库垃圾邮件URL垃圾邮件内部评分系统SBL贝叶斯分类统计系统垃圾邮件流检测垃圾邮件结构检测垃圾邮件关键字检测钓鱼邮件检测消息检测附件检测（支持120种以上文件类型）病毒检测（120K以上）黑名单白名单,服务器系统,网络层,Internet,分支机构,E-MailSecurity,ProventiaNetworkMailSecuritySystem,终端用户,IBM服务器安全防护,部署在重要服务器之上，广泛的平台适用性结合ISS网络入侵防护和主机保护技术对所部署的重要服务器进行全面防护可以防止渗透攻击、带宽耗尽、蠕虫和木马可以检测经SSL加密的攻击当审计事件允许时，ServerSensor可以允许内核审计而不仅仅依赖于现存的userland输出用户事件可以在任何的Logfile中创建监控(可选使用RegEx)或者在网络流量中监控自定义流量(例如URL中的dagmar),ISSServerSensor,服务器系统,网络层,终端用户,Internet,分支机构,IBM桌面安全软件,企业级桌面防火墙高速攻击检测和防护应用程序控制策略检查双引擎病毒防护ISS专利的VPS行为分析病毒引擎ICSALabs认证间谍软件防护缓冲溢出防护SiteProtector集中管理,ISS企业桌面防火墙占有率第一：IDC报告,ISS桌面安全,服务器系统,网络层,终端用户,Internet,分支机构,第四阶段：报告和分析,SiteProtectorSecurityBenchmarking,IBMSiteProtector统一管理平台,SiteProtector提供了针对漏洞评估、桌面、服务器、网络和网关防护等的统一命令控制，分析和报表功能。收益：在单一的管理系统中部署和运维节省了时间和金钱，快速分析，Fusion模块简化事件调查。,SiteProtector,服务器系统,网络层,终端用户,Internet,分支机构,ISS安全服务：PSS&SOC,PSS：安全配置及规划(Deployment)紧急事件处理(ERS)信用卡PCI认证SOC/MSS：全球最大、资历最久的MSS/SOC业者全球七座SOC，24小时不间断监控总数超过一千五百名用户每日处理事件数量超过二亿五千万笔以上全球管理超过18000设备数。每隔15分钟汇总全球安全信息到美国GTOC，X-Force专家实时、临床诊断。部署灵活可帮助用户自建、也可采用VirtualSOC模式，节省用户投资。全球最佳的MSS/SOC