近期安全威胁的发展动向和技术应对措施

近期平安威胁的开展动向

和技术应对措施北京冠群金辰软件.威胁.目前的几大严重威胁垃圾邮件DDoSPhishing蠕虫.时代变迁类型：多数病毒，少数木马行为：明显破坏行为或引人注意的特征目的：恶作剧或成心破坏成果：获得“成就感〞类型：大局部是潜伏的恶意代码行为：力求不被注意目的：信息窃取、远程控制成果：获取经济利益.危害程度监听篡改广告软件蠕虫间谍软件木马后门病毒Bot主动传播可控图例快速增长.恶意代码的财富之道僵尸网络(Zombienetwork，botnet)按时段出租散布垃圾邮件执行DDoS攻击广告软件〔Adware〕按点击率计价身份窃取信用卡和银行信息获取间谍行为.2005年某月恶意代码流行度.Mytob和ZotobMytob基于Mydoom源代码，通过电子邮件传播也可以通过LSASS漏洞传播具有Bot的功能Mydoom+tob〔bot逆序〕Zotob利用五天前公布的系统严重漏洞〔WindowsPlugandPlay效劳漏洞(MS05-039)〕具有Bot的功能.恶意Bot的功能和特点安装、运行文件简单的DoS攻击创立后门程序创立代理程序转发邮件键盘记录获取口令、信用卡号码及其他信息个别会停止个人防火墙、防病毒软件等平安软件的进程一般会加壳自保护升级到新版本恶意Bot的传播途径攻击手段弱口令和弱口令网络共享其它恶意代码留下的漏洞攻击漏洞并将Bot植入利用Worm自动化攻击和植入过程社会工程欺骗用户访问恶意网站特洛伊木马：P2P网络恶意共享软件欺骗性邮件即时通讯网络.Botnet的用途DDoS攻击垃圾邮件扫描、攻击，建立新的BotnetIRC服务器IRC服务器BOTBOTBOTBOTBOTBOTBOTBOTBOT攻击者受害者DHA攻击和垃圾邮件.网络欺诈的过程.网络欺诈价值链.防范.主要威胁途径HTTPE-mailIM/P2P/IRCWindows漏洞攻击.防范措施主要技术防范手段网关恶意代码和攻击的防范邮件平安垃圾邮件病毒邮件欺诈邮件策略管理终端的平安管理防病毒/防间谍软件/终端防火墙补丁管理终端应用监管和审计注意：双向防范对网络外部的网络连接和信息传递终端计算机的行为监控..冠群金辰威胁控制传染病控制理论模型网关平安隔离双向隔离隔离通过HTTP、邮件以及其它协议的内容威胁隔离蠕虫动态攻击和传播邮件平安防御三向隔离降低电子邮件系统可能引入的风险终端平安管理支持终端生命周期管理策略的实现平安效劳.传染病控制理论模型传染源易感人群传播途径影响成为防治原那么：控制传染源切断传播途径保护易感人群防治措施：预防为主，防治结合综合措施，群防群治加强监测，制止疫情隔离，治疗预防.参考模型的应用网络客户端效劳器互联网网络边界网络边界KILL主机入侵检测系统KILL入侵检测系统KILL漏洞扫描器KILLVDSKILL防火墙KILL过滤网关KILL防病毒系统KSMS反间谍软件1.切断传播途径2.监控传染源3.保护易感人群.KILL过滤网关〔KSG〕

——预防外部威胁保护内部网络保护关键网段DNS服务器邮件服务器内部服务器KSGINTERNETKSG业务效劳器业务效劳器文件效劳器内部网INTERNET.KILL过滤网关〔KSG〕

——内部网络平安隔离Cell-based平安防御体系WEB效劳器业务效劳器邮件效劳器关键网络办公网络KSG隔离.KSG:领先的蠕虫过滤技术IntranetInternetWormKSGWorm①蠕虫代码传播〔SMTP,POP3,HTTP,FTP〕②蠕虫动态攻击〔数据包〕过滤！阻断！Trojan③蠕虫种植的木马活动阻止！蠕虫特征码入侵阻断特征码.KSG-M：专业邮件平安网关KSG-M是一款专业的邮件平安设备，具有强大的反垃圾邮件、反病毒邮件、防欺诈以及策略监管和依从性保障功能，适用于保护各种规模组织的电子邮件根底设施KSG-M能够有效帮助用户降低电子邮件系统管理负担、有效保障邮件系统投资，降低电子邮件系统可能引入的风险.KSG-M.终端生命周期管理

EndpointLifecycleManagement〔ELM〕终端生命周期(EndpointLifecycle)的定义：当计算机终端参加组织机构后，就开始了其生命周期，直到其业务使命终止。终端对信息的存储、处理、传输过程代表了其生命活动。由于业务需要，这台终端可能会接入不同的网络环境中，包括独立运行。终端生命周期管理〔EndpointLifecycleManagement,ELM〕是在计算机终端的全生命周期中，将计算机终端的平安、管理和维护工作同其业务目标相结合，并保障计算机终端持续有效运行的一种策略。.终端生命周期管理

EndpointLifecycleManagement〔ELM〕业务目标资产管理终端保护应用监管审计分析ELM理论：终端的使命是完成企业的业务目标业务目标分解后形成每台终端的业务目的当一台终端参加网络，就开始了其生命周期终端的软硬件资产需要管理终端需要被保护不受外来的干扰终端的具体业务目的决定其行为模式完善的审计制度是落实策略的保障、并且构成闭环反响.KSMS介绍主要模块功能描述资产管理1.设备管理（收集设备信息及变更情况）2.软件管理（收集软件安装及变更情况）3.用户管理（标识终端用户、IP/MAC/硬件绑定）终端保护1.基础架构保护a)终端访问控制（避免黑客攻击和非法网络访问）b)网络准入（网络准入控制，防止未经授权电脑接入内部网络）c)保护的扩展：KILL防病毒；防间谍2.资产保护设备使用控制（USB、磁盘、打印机、网卡等设备使用控制）应用监管1.程序限制（网络程序、应用程序限制）2.远程协作（屏幕监视、远程维护）3.Web/IM限制（Web访问、QQ聊天、游戏等限制）审计分析1.管理审计2.用户审计3.策略审计..信息平安保障体系建设方法论.用户/事件源运作支持部门内部信息平安事件响应小组业务部门及外部相关组织准备阶段平安事件检测