前行中的下一代安全-20130722-V13资料

1、前行中的下一代安全密级：限制分发绿盟科技本PPT请根据实际交流目的进行裁剪比如突出某一安全事件，或者某一安全能力等。安全的下一代来了吗？今天我们面对的世界02/1902/2503/0103/0503/2804/1002/1902/2503/0103/0503/2804/10 02/1902/2503/0103/0503/2804/10If you know the enemy and know yourself you need not fear the results of a hundred battles.Sun Tzu02/1902/2503/0103/0503/2804/10数据来源

2、：“Operation Ababil 事件分析”，2013年3月15日，绿盟科技安全研究院Operation Ababil 燕子行动02/1902/2503/0103/0503/2804/10300G1500G02/1902/2503/0103/0503/2804/10没有硝烟的战争伊朗核事件/en/downloads/vlpdfs/kaspersky-the-net-traveler-part1-final.pdf“棱镜”计划”攻击者”的显著变化经济、政治与意识形态的驱动更加明显攻击个体从追求技术突破到追逐经济利益为主攻击群体黑客行动主义松散的黑客组织攻击团队基于政治、意识形态或商战目的的有

3、组织团队攻击目标更重要、更明确 研制更为先进的攻击技术或工具 当国家力量加入这个生态系统之后由于大玩家的加入，需求和市场变得空前庞大漏洞挖掘和分析是网战时代的核心能力，其战略意义越来越重要。对关键信息基础设施防护的投入将会迅速加大。对抗特性更加明显，快速响应能力，包括感知、分析、开发、验证、部署等，更加重要。应用生命周期安全和ICT供应链安全将会获得更高的重视。2010，网络安全对抗的年代；美国的全球高薪招聘黑客、美国每年上百亿的网络空间安全预算、intel和amd等硬件厂商推出dep等防护病毒攻击芯片，网络安全也进入全新的时代。网络安全已经不是简单的网络安全，不再是人和机器的游戏，已经是人与

4、人的思想的较量，也就是网络安全对抗的年代。 - yuange, 2010安全的重视程度越来越高，但国家对抗的味道越来越重，所谓福祸相依吧。 - Flashsky 2012软件编程的失误系统构架的欠缺系统部署环节的安全缺陷、产品恶意的预留：后门、陷通道、嵌入式病毒、可恢复密钥、潜伏木马、在线监测软件受攻击的目标越来越广泛他们感兴趣的东西多了“下一代威胁”来势汹汹用户已经感知到了下一代的威胁？为了克服当前面临的问题和局限性，系统不应依赖于以下技术不能解决新的或者快速变形的威胁消耗大量的通讯用于维持和报告已知威胁的状态消耗大量的资源用于存储快速增长的威胁数据库2013美国国防预算法案欧美市场国内市场

5、大量大型企业（员工1000）已部署或考虑部署检测或防御新一代威胁的产品。Gartner 客户调查部分大客户客户认为现有安全体系不能检测到部分威胁，纷纷尝试新产品：大型金融企业大型行业用户政府省级以上信息中心计算环境变化InternetEnterprise Data CenterEmployeeIntranetTodayPublic CloudCommunity CloudInternetPrivate CloudBrowser Based Cloud ClientTomorrow3rd Party应对APT，原有安全产品逐渐钝化业务越来越复杂，新应用太多，用户位置多变，终端BYOD多样化并且很

6、难规范化端口失效 - Applications IP地址失效 - Users 数据包层面的检查失效 - Content 攻击变化太快，现有的黑名单机制更新是关键的瓶颈Advanced Malware， Zero-Day，Targeted APT AttacksAV病毒样本不胜其多，反病毒程序消耗计算机资源不胜其负病毒样本库更新太慢 “特征”匹配很容易被“躲避”上线后不管的盒子时代，将走向云安全时代安全专家/攻防团队计算 集群服务 集群页面爬取集群，页面内容分析集群，恶意代码分析集群，漏洞扫描集群智能挖掘集群IP信誉/文件信誉/域名信誉/URL信誉/恶意行为/安全漏洞/攻击手法/业务识别能力信息

7、获取能力处理逻辑和规则分离快速升级能力灵活部署能力应对下一代威胁的安全能力！如何开展研究下一代安全的分析研究模型下一代安全研究的关联角色模型下一代安全的分析研究模型各角色技术与服务能力的变化都可能改变网络安全的攻防态势；进而对被保护的IT系统带来新的安全威胁，并对信息安全提供商的技术与服务能力提出新的挑战；然后基于新挑战的应对策略分析，提出下一代安全研究的重要方向。下一代安全研究的推理分析模型安全应对之七种武器什么是下一代安全为对抗新的安全威胁，所提出的新技术、新模式的集合武器一：异常检测基于行为模型与安全信誉的异常检测异常检测及时识别新的未知威胁利用该技术的相关产品与安全检测与防护相关的全系

8、列产品案例：APT攻击如何识别通过社交工程，诱使对方使用含恶意软件的文件利用系统漏洞得到系统权限恶意软件在被攻击系统运行出局连接C&C服务器窃取内部数据外传攻击者在内网横向传播123456无签名检测技术高级恶意软件攻击高级持续威胁内网异常检测用户行为控制用户行为控制案例：知黑而守白InternetWhoWhatWhenwhomHowWhere李明结算业务Sev1t1起始时间t2结束时间P1持续时间下载xx.dat地点/逻辑区域ssh /PC/首次出现李明OA-Servt1起始时间t2结束时间地点/逻辑区域PC、Ipadpermit李明结算业务Sev1t1起始时间t2结束时间P1持续时间下载xx

9、.dat地点/逻辑区域ftp /PC/首次出现/频率/威胁程度武器二：威胁感知基于产品协同及智能分析的威胁感知威胁感知主动发现潜在安全风险利用该技术的相关产品安全运营产品系列企业安全中心、网站安全监测服务、云监护抗拒绝服务系统、云监护Web应用防护系统企业安全防御产品系列网络入侵防御系统、威胁分析中心案例：威胁感知从用户角度呈现安全态势武器三：安全协同面向攻防生态环境的协同能力安全协同人人为我，我为人人利用该技术的相关产品安全运营产品系列企业安全中心、网站安全监测服务、云监护抗拒绝服务系统、云监护Web应用防护系统互联网基础设施安全产品系列 & 风险及合规产品系列抗拒绝服务系统与Web应用防护

10、系统Web应用漏洞扫描系统与Web应用防护系统案例：提供商和用户之间、不同设备之间的安全协同NSFOCUSSecurity Cloud规则:.规则:用户A用户B用户C发现异常特征: 虚拟化，分身有术企业安全防御产品系列、风险及合规产品系列、互联网基础设施安全产品系列虚拟化，虚拟化环境应用部署远程安全评估系统、安全配置核查系统武器四：虚拟化虚拟化面向云计算环境的安全产品虚拟化分身有术虚拟化环境应用部署利用该技术的相关产品监视和控制VM接收和发送的网络流量如使用传统网络工具，管理虚拟网络活动控制和监控所有VM网络活动定制单个VM的网络安全策略高效监控更多网络案例：虚拟化安全AB保护云绿盟科技全系列

11、安全产品使用云（向用户提供安全能力）企业安全中心、网站安全监测服务、云监护抗拒绝服务系统、云监护Web应用防护系统武器五：安全云安全云基于云计算环境的安全云保护云，也使用云利用该技术的相关产品案例：保护云也使用云Security From the CloudSecurity for the CloudSOA/App Security应用安全生命周期安全ADSLWeb SecurityWeb漏洞扫描Web应用防火墙安全配置核查抗拒绝服务攻击Virtualization Security虚拟化漏洞和配置核查虚拟化入侵检测虚拟化风险评估服务抗拒绝服务WEB应用防火墙云安全和SaaS安全照料服务云安全指南v3.0随身携带的安全能力云安全中心（Google&apple应用商店可下载）苹果版本安卓版本武器六：闭环运营闭环运营提供小时级的安全保障基于威胁感知、态势评估、快速响应及主动预防的安全状态持续改善闭环利用该技术的相关产品安全运营产品系列绿盟企业安全中心、网站安全监测服务、云监护抗拒绝服务系统、云监护Web应用防护系统案例：“云管端”的WEB解决方案安全扫描，发现安全隐患更新安全防护规则，防御新兴安全威胁本地设备（WAF）和云端设备（Cleaning c