企业信息安全APT治理战略

1、企业信息安全APT治理战略 Custom Defense 2.0Confidential | Copyright 2013 Trend Micro Inc.不断演化的威胁The Evolving Threats280,000家公司被黑2,122 家公司被迫公开承认全球500强公司大面积沦陷涉及全球60多个国家信息安全 不堪回首往事历历在目 触目惊心2014.9 iCloud好莱坞女性艳照门2013.3 韩国银行及媒体遭APT攻击2015.1 加密勒索软件2014.11 索尼影业遭APT攻击2015.2 Anthem医疗保险用户资料外泄2013.9 Target 信用卡信息被窃2014.9 家得

2、宝信用卡信息被窃2011.3 RSASecurID 被窃案例一:全球最大的动态密码锁公司RSA遭受APT攻击RSA攻击事件：由一封以假乱真的邮件开始Excel文档Adobe Flash 零日漏洞 (CVE2011-0609)RSA 遭受APT攻击的来龙去脉根据Uni Rivner的调查，这起造成RSA史上最重大损害的源头，是2封锁定RSA公司内两小群员工的网络钓鱼信件。标题写着2011年招募计划，也夹带一个附加文档这个Excel档案其实已经包含了一个当时还没有发现、也还没有被修补的Adobe Flash漏洞该员工计算机被植入后门后，被远程遥控在内部做探测取得更高管理者权限入侵开发用服务器，加密

3、并压缩机密数据用FTP传到远程主机，清除入侵痕迹时间：2013年3月20日下午2时范围：韩国多家媒体与金融机构约48,700台计算机与服务器无法使用影响：业务运行中断 银行：ATM、网银、营业厅交易停摆媒体：媒体向外播送的内容无法更新，对外网站无法连接受感染机器上的数据无法回复8媒体银行韩国广播公司（KBS）韩国文化广播公司（MBC）韩联社新闻台（YTN）新韩银行农协银行济州银行案例二：320韩国攻击事件320韩国攻击事件：伪装成银行账单邮件伪装的三月份信用卡账单通知恶意附件，文件名为“信用卡交易记录”320韩国攻击事件过程攻击者带有恶意附件的社交工程钓鱼邮件恶意C&C站点下载监控性恶意程序植

4、入木马程序安博士（Ahnlab）更新服务器攻击者利用合法更新机制将破坏性恶意程序快速部署到终端取得终端上留存的服务器登入信息，进行远程攻击删除所有文件破坏MBR破坏MBR删除所有文件Unix/Linux服务器区Windows终端受害企业在内部控制更多机器案例三：美国Target客户信用卡信息外泄事件110,000,0001.1 亿信用卡与会员数据泄漏1,000,000,000治理成本超过 10 亿美金，包含银行重新发卡费用及更换所有 POS 终端(46)%2013 年第四季获利下降 46%消费者合作伙伴攻击者部署恶意软件收集数据9 月以社交工程钓鱼窃取凭据数据泄露11/15FTP通报11/27

5、 内部治理12/12公开道歉12/1512/19意想不到的成本影响意想不到的连带风险意想不到的企业战略影响意想不到的职业生涯影响CXOCXO意想不到的APT影响同业看法“杀毒软件已死！”“传统的杀毒软件只能探测到45%的攻击”赛门铁克信息安全高级副总裁布莱恩代伊(Brian Dye) 2014.5“基于签名的杀毒软件功能更像是在捉鬼，而不是探测和预防威胁。”“在探测到的所有恶意软件中，有82%只会保持一个小时的活跃性，70%只会出现一次。这是恶意软件作者故意经常调整软件代码，以便绕过传统杀毒软件的扫描。”安全供应商FireEye2014.5APT攻击的生命周期The Lifecycle of

6、Targeted Attack1. 情报收集使用公共信息资源（网络社交工具，如微信，微博，朋友圈等）收集并研究目标对象的相关信息，准备实施定制化攻击2. 单点突破利用社交工程学等手段（Email/IM或隐藏式下载等）将恶意代码推送给目标个体，创建后门，实施单点攻击突破，准备进一步网络渗透3. 命令与控制 （C&C 通信）被入侵的计算机通过部署在互联网的C&C服务器与攻击者保持通讯，获取攻击者的指令及更多攻击工具，用于后续阶段的使用4. 横向移动攻击者立足之后，会渗透更多的内部设备，收集凭证、提升权限级别，实现持久控制5.资产/资料发掘攻击者使用一些技术和工具手段识别有价值的服务器及存放在这些服

7、务器上的重要信息资产6.资料窃取在收集了敏感信息之后，攻击者将把数据归集起来进行压缩和加密，再通过外部暂存服务器将数据外传出去APT攻击的6个阶段趋势科技“演化的APT治理战略”TrendMicro “Custom Defense 2.0”20“螺旋迭代”的威胁响应周期The Interconnected Threat Response (ITR) Cycle21Midsize & Enterprise Business“螺旋迭代”的威胁响应周期（一个中心四个过程）监控通过数据发掘、加密、防泄漏、应用控制、APT追踪等技术，防止信息资产被非法访问或外泄阻止检测攻击者所使用的，传统防御无法识别的

8、恶意对象、通讯及行为等威胁侦测制定治理策略，执行补救措施，清除威胁、实施联动保护，适应防护变化的要求响应确认威胁是否发生，分析威胁，判断攻击和攻击者的本质，回溯攻击场景，评估威胁的影响和范围分析监控阻止侦测响应分析ITR - 监控作用：治理战略的中控系统，贯穿整个治理周期的始终目的：使用统一管理平台，汇总威胁信息，共享威胁情报，制定治理策略，展示治理成果组件：Trend Micro Control Manager特点：基于本地及云端的混合管理全面的威胁情报共享集中的用户可视化实时的关注点分析灵活的策略管理自动的更新机制统一的日志和报告全球SPN本地SPN工作机制：获取威胁信息威胁侦测日志全球/

9、本地威胁特征下发全球/本地威胁特征反馈最新威胁TMCM监控阻止侦测响应分析ITR - 监控DS Saas数据中心DDAN深度威胁分析Deep EdgeIWSATDA（DDI）网络与网关IMSAScanMailDDEI邮件与通讯OSCEDLPDDES服务器与终端Deep Security数据中心监控阻止侦测响应分析作用：治理战略的神经系统目的：检测攻击者所使用的，传统防御无法识别的恶意程序、通讯及行为等威胁组件：Deep Discovery产品系列构成网络神经中枢趋势科技全线产品构成网络神经元特点：全面的侦测体系（从物理架构到虚拟化架构，从本地到云端，从网络到服务器再到终端，趋势科技全线产品参与

10、其中）缜密的威胁侦测（侦测内容包括文件、URL、通讯，以及行为等可疑对象）高级的威胁分析（使用DD系列相关产品对各个网络神经元所侦测到的可疑对象做进一步深度威胁分析，确认新的威胁以及威胁的本质）实时的威胁情报共享（DD系列相关产品将确认的新的威胁通过TMCM共享到各个网络神经元，以提高新威胁的侦测能力）ITR - 侦测全球SPN本地SPN工作机制：威胁侦测通过全球/本地特征侦测已知威胁通过高级扫描引擎侦测可疑威胁分析可疑威胁提交新威胁特征（本地/全球）下发新威胁特征新一轮威胁侦测TMCM监控阻止侦测响应分析可疑威胁对象新型威胁特征 (文件Hash、 IP、 URL、域) 以及OpenIOC信息

11、C&C黑名单DDAN深度威胁分析Deep EdgeIWSATDA（DDI）网络与网关IMSAScanMailDDEI邮件与通讯OSCEDLPDDES服务器与终端ITR - 侦测DS Saas数据中心Deep Security数据中心监控阻止侦测响应分析作用：治理战略的取证分析系统目的：确认威胁是否发生，分析风险、攻击和攻击者的本质，回溯攻击场景，评估威胁的影响和范围组件：Deep Discovery Endpoint Sensor（终端取证及行为分析）特点：详尽的终端活动记录（对于部署在本地、远程及云端的终端，采用轻量化代理程序长期记录其内核层次的重要活动与通讯事件）灵活丰富的调查条件（包括O

12、penIOC 、Yara、DD分析结果，如文件的哈希值、文件名、文档路径、文件类型；系统注册表活动、执行的处理程序、使用者账号活动等）多层次内容关联分析（从点线面多个层面关联分析恶意软件实际执行的行为和结果，分析攻击和攻击者的本质及意图，以及威胁所产生的风险）完整的攻击场景回溯全面的威胁影响及范围评估ITR 分析TMCM Console监控阻止侦测响应分析DDI (TDA)DDEI、DDAN深度威胁检测及分析OSCEDLPDDES服务器与终端DDES ConsoleIOC工作机制：一旦DD识别出发送给终端的恶意程序，DD会通过嵌入在TMCM的DDES控制台向DDES终端发起查询确认并调查终端威

13、胁渗透情况通过相似的IOC扫描其他终端绘制时间轴线及入侵路径回溯攻击场景，评估影响和范围制定隔离及补救计划ITR - 分析From ToTo监控阻止侦测响应分析ITR - 分析影响和范围监控阻止侦测响应分析作用：治理战略的联动治理及防护系统目的：制定治理策略，执行补救措施，清除威胁、实施联动保护，适应防护变化的要求组件：Trend Micro Control Manager（负责制定及分发治理策略）OSCE & DS（威胁清除或隔离），趋势科技全线产品及其他第三方安全产品（参与联动保护）特点：灵活的策略定制便捷的策略分发及时的补救措施有效的威胁清理全面的联动保护自适应的安全防护ITR - 响应

14、全球SPN本地SPN工作机制：制定并下发威胁治理策略隔离被渗透的终端与服务器清除驻留在终端与服务器上的恶意程序物理设备 (OSCE-Mutex/Hash)虚拟化设备 (DS-NSX标签)共享新威胁特征，加固网络神经元趋势科技全线产品第三方安全产品TMCM监控阻止侦测响应分析DS Saas数据中心ITR - 响应共享威胁特征(文件Hash/URL/IP/域)HillStoneHPPalo AltoIBM XGSBluecoat第三方安全产品共享威胁特征DDAN深度威胁分析Deep EdgeIWSATDA（DDI）网络与网关IMSAScanMailDDEI邮件与通讯OSCEDLPDDES服务器与终

15、端Deep Security数据中心文件Mutex/HashNSX Tagging监控阻止侦测响应分析作用：治理战略的预防系统，主要针对APT攻击的第5步和第6步实施安全防御目的：通过数据发掘了解信息资产的分布，通过数据加密、防泄漏、应用控制、APT追踪等技术，防止信息资产被非法访问或外泄组件：Data Discovery 、Data Encryption、 DLP、 Application Control 特点：发掘并定位敏感数据制定并下发敏感数据访问策略实施应用控制，减少系统漏洞以及接触敏感数据的风险ITR阻止监控阻止侦测响应分析工作机制：数据发掘及加密通过TMCM制定并部署Data Di

16、scovery策略给终端和服务器敏感文件信息通过OSCE服务器上传给TMCM，并通过TMCM的日志/关注点/报告展现如果安装了趋势科技文件加密插件，可使用密码或用户/组信息对敏感文件加密系统加固通过禁止执行新的应用程序加固系统根据不同系统和用户设置层次化的应用管理策略，如禁用所有浏览器、P2P 以及在线存储应用等允许OS自动更新、允许使用IE, Office, Adobe 以及SafeSync等应用ITR阻止策略关注点日志报告扫描配置扫描策略&命令扫描报告扫描报告扫描引擎匹配引擎策略引擎Data Discovery 工作原理TMCMOSCE ServerOSCE Client全球SPN本地SP

17、NTMCM监控阻止侦测响应分析DS SaaS数据中心ITR - 完整工作机制本地新型威胁特征HPPalo AltoIBM XGSBluecoatHillStone第三方安全产品共享威胁特征DDAN深度威胁分析Deep EdgeIWSATDA（DDI）网络与网关IMSAScanMailDDEI邮件与通讯OSCEDLPDDES服务器与终端Deep Security数据中心文件Mutex/HashNSX Tagging获取全球威胁特征上传本地威胁特征本地新型威胁特征：文件Hash、 IP、 URL、域以及OpenIOC信息C&C黑名单获取本地威胁情报下发全球威胁特征可疑威胁对象本地安全情报回路全球安

18、全情报回路“螺旋迭代”的威胁响应周期适应性每经历一个响应周期，都会侦测、分析、识别、阻止到新的威胁，使整个系统不断适应并提高针对新型威胁的预防和治理全面性全面的网络部署全面的威胁治理监控阻止侦测响应分析开放性在这个体系中， SPN/TMCM/DD是体系的核心，体系中既有趋势科技的各种类型产品，又有第三方的安全产品战略核心构成Core Components361. 趋势科技云安全智能防护网络 (SPN)TrendMicro Smart Protection Network (SPN)37个人及家庭终端服务器虚拟化邮件网络SaaS网关中小企业大型企业合作伙伴及OEM政府机构宽泛的用户及产品覆盖全球

19、威胁智能使用大数据分析（数据挖掘、机器学习、建模、关联），快速精确分析并识别威胁：威胁发现和更新的速度是行业平均水平的50倍使用大数据分析及威胁鉴定，每天分析100TB的关联数据，识别出30万种新型威胁全球网络神经元收集全球各地的威胁情报：全球超过1.5亿个网络神经元部署每天有10多亿次云端威胁查询涵盖文件、URL、域、IP、App、漏洞等主动保护实时威胁防护:500,000+ 核心业务上百万家企业用户每天阻止2.5亿次威胁入侵利用SPN的“回路机制”，将全球威胁特征分发给趋势科技以及合作伙伴的各种终端、服务器、网关等安全产品，用于威胁侦测及安全防护。云安全智能防护网络2. 趋势科技控制管理中

20、心 (TMCM)TrendMicro Control Manager (TMCM)40互联网新企业边界企业边界企业分行了解安全信息共享威胁情报下发安全策略 企业员工威胁分析SIEMDeep SecurityOSCETMMSDLPDDESIWSADeep EdgeTDA(DDI)IMSASMEXDDEISafesyncTMPSSharepoint数据中心终端与移动网络与网关邮件与通讯专业应用终端与移动OSCETMMSDLPDDESDS Saas数据中心IWSADeep EdgeTDA网络与网关数据安全TMCMTMCM完整的企业控制管理中心3. 趋势科技深度威胁发现平台 (DD)TrendMicr

21、o Deep Discovery Platform (DD)42深度威胁发现产品平台深度威胁安全网关 Deep Edge基于下一代防火墙，提供APT防护、恶意程序防护、虚拟补丁、零日漏洞防护、Web及邮件信誉等多种高级内容安全深度威胁邮件网关 DDEI阻止社交工程钓鱼邮件导致的网络攻击及数据泄漏深度威胁分析设备 DDAN与现有安全产品联动，使用定制化沙箱提升未知威胁的识别能力，保护现有安全投资深度威胁发现设备 TDA识别高级恶意软件，C&C通讯，全方位监控攻击者的活动 深度威胁终端取证与行为分析系统 DDES调查发生在服务器和终端的网络攻击和恶意行为深度威胁发现平台Gartner“2014年信息安全趋势与总结”APT解决方案的五种产品类型：网络流量分析型 (TDA/DDEI)网络取证型 (TDA/DDEI)威胁有效负荷分析型 (DDAN)终端行为分析型 (DDES)终端取证型 (DDES)4. 趋势科技APT治理专属咨询服务PSPTrendMicro APT Defense Service451. 侦测2. 告警3. 分析4. 找到方案5. 采取措施侦测可疑威胁向管理员发出告警管理员查证并分析原因管理员需要从AV厂商拿到解决方案，或手工提交样本给AV厂商管理员下发策略APT治理服务大多数用户在第3和第4步会遇到资源及技能方面的问