锦天城律师事务所TDA测试效果解读

趋势科技上海授权服务中心孙建盟2016年7月21日

锦天城律师事务所

TDA威胁发现设备测试小结2/12/20251Confidential|Copyright2013TrendMicroInc.2/12/20252Confidential|Copyright2012TrendMicroInc.Agenda威胁发现设备TDA简介测试环境说明威胁发现设备TDA检查情况测试小结3威胁来自哪里？什么种类的威胁？如何治理？威胁在攻击哪里？威胁发现设备TDA简介2/12/2025Confidential|Copyright2012TrendMicroInc.恶意行为分析技术4防病毒技术云安全技术零日攻击侦测技术威胁发现设备TDA简介Confidential|Copyright2012TrendMicroInc.2/12/2025报表系统多协议关联分析技术动态文件分析技术

（沙盒）5威胁发现设备TDA简介2/12/2025Confidential|Copyright2012TrendMicroInc.网络监控已知与未知威胁检测实时分析与报表6NetworkInspectionPlatform网络可视性、洞察与控制威胁发现设备TDAVisualizationAnalysisAlarmsReportingNetworkInspectionPlatformThreatDetectionVirtual

AnalyzerWatch

ListThreat

ConnectSIEMConnect数据中心办公网笔记本与移动装置威胁发现设备TDA简介Confidential|Copyright2012TrendMicroInc.2/12/20252/12/20257Confidential|Copyright2012TrendMicroInc.Agenda威胁发现设备TDA简介测试环境说明威胁发现设备TDA检查情况测试小结2/12/20258Confidential|Copyright2012TrendMicroInc.2.测试环境说明威胁呈现通过TDA对分析锦天城目前全网的威胁状况精确定位通过TDA精确定位攻击源并识别攻击型态未知风险检测通过TDA的沙盒检测未知的威胁定制化处理根据TDA提供的信息，提供最佳的处理方案测试时间：2016年6月29日至2016年7月18日测试数据采样时间：2016年6月29日至2016年7月18日测试目标：协助企业安全人员主动发现网络中的威胁2/12/20259Confidential|Copyright2012TrendMicroInc.2.测试环境说明部署架构在锦天城律师事务所核心交换机中，镜像网络流量到TDA的监听口上；管理口设定在锦天城律师事务所的管理IP段，以便管理；观察到的被监控的网络流量在100M/S以内；威胁发现设备TDA实时连接到Internet进行更新。2/12/202510Confidential|Copyright2012TrendMicroInc.Agenda威胁发现设备TDA简介测试环境说明威胁发现设备TDA检查情况测试小结2/12/202511Confidential|Copyright2012TrendMicroInc.3.威胁发现设备TDA检查情况前十位存在电子邮件传输恶意软件或欺诈信息的IP通过对原始威胁.csv日志的分析，可以看到目前的网络环境中存在大量通过SMTP和POP3协议进出的恶意软件或欺诈信息，严重威胁着内部的安全，我们建议在网络边界部署DeepEdge网关产品，过滤存在风险的邮件，保障内部安全。2/12/202512Confidential|Copyright2012TrendMicroInc.3.威胁发现设备TDA检查情况存在漏洞利用的主机TOP10前十位攻击源IP从原始日志中看出,外部攻击源对内部主机进行攻击，透过微软的MS02-039_SQL_SERVER_RESOLUTION_EXPLOIT漏洞进行网络传播，所以建议对上述设备进行定位并做威胁清除和补丁升级。2/12/202513Confidential|Copyright2012TrendMicroInc.3.威胁发现设备TDA检查情况上述主机均存在偷渡式下载行为，偷渡式下载是指恶意网站能够在用户毫不知情的情况下向用户的计算机中下载内容，需要在网关处做限制。2/12/202514Confidential|Copyright2012TrendMicroInc.3.威胁发现设备TDA检查情况2/12/202515Confidential|Copyright2012TrendMicroInc.3.威胁发现设备TDA检查情况建议对受感染主机进行全盘扫描，使用趋势科技杀毒U盘清除恶意软件2/12/202516Confidential|Copyright2012TrendMicroInc.3.威胁发现设备TDA检查情况从原始文件威胁.csv筛选分析，看到有27359个恶意软件被下载或者活动，其中被列举出名字的恶意软件名称的有481个，考虑到网络环境的复杂性，可以在网关处部署DeepEdge设备，将病毒恶意软件隔绝在外部，进而保障终端安全。2/12/202517Confidential|Copyright2012TrendMicroInc.3.威胁发现设备TDA检查情况恶意URL访问分析访问恶意URL主机IPtop152/12/202518Confidential|Copyright2012TrendMicroInc.3.威胁发现设备TDA检查情况从原始文件恶意URL.csv分析，网络环境中存在大量的主机访问恶意站点，严重威胁着网络安全，建议在网关处部署DeepEdge设备，开启Web信誉功能，能有效阻止内部网络对已知恶意URL的访问，进而保护其安全。2/12/202519Confidential|Copyright2012TrendMicroInc.Agenda威胁发现设备TDA简介测试环境说明威胁发现设备TDA检查情况测试小结4.测试小结通过此次威胁发现设备TDA的测试我们看到的问题：蠕虫及恶意程序在网络中流窜（透过数据可以证明）；加强终端的补丁部署（蠕虫主要透过漏洞在网络中传播）；加固WEB安全网关的防护；加强终端安全防护策略及统一管控；加强终端软件部署标准要统一；主动发现有威胁的设备需要有“有效”的处理方法及建议；Confidential|Copyright2012Trend