互联网安全新趋势与应对策略.ppt

1、互联网安全新趋势与应对策略,Russell Wu IronPort 大中国区总经理 2009年1月6日,日程,趋势：垃圾邮件和僵尸网络的发展趋势,策略：思科/IronPort方案,回顾： 2008年的威胁、攻击和走势,年度回顾：2008年的威胁和走势,犯罪专业化催生了更尖端的攻击,犯罪分子利用用户的信任，对传统的安全解决方案提出挑战,网络生态系统成为传播威胁的首要载体,数据和知识产权的丢失迅速增加,犯罪分子催生尖端的攻击,Your Equitable Bank account is closed, call us now at 8023544250,更加尖端 具有针对性 将电子邮件和网络相结合

2、 使用新的载体，包括SMS语音钓鱼 广泛使用社会工程,用户看不到隐藏的代码的可见指示 利用exploit代码进行的攻击数量倍增,网络生态系统成为首要的威胁传播载体,攻击 BusinessWAsprox僵尸网络实施的攻击,Asprox僵尸网络精致、有智能而且尖端 SQL 注入式攻击插入了恶意iFrame Business Week网站上有上百个页面受到感染,利用用户的信任：名誉劫持,“我们强烈推荐利用代理创建多个账户，以避免被Gmail禁止”,数据盗窃迅速上升,风险转移到了数据领域 罪犯 无意的披露 令人难以置信的利润丰厚的”多种经营” 欺诈 Deceiving consumers to pur

3、chase. 信息盗窃 Identity. Credit card numbers. Corporate information (compliance violation). My Canadian Pharmacy $150M / 年 Christopher Smith (rizler) $20M,问题：“你为什么总要抢银行？” 回答：“因为那里有的是钱!”,垃圾邮件和僵尸网络的发展趋势,垃圾邮件发展趋势2008年11月,由于僵尸网络无法访问（McColo 关闭），11月份的垃圾邮件数量下降,垃圾邮件发展趋势,McColo关闭让网络犯罪措手不及 恢复时间较长 网络犯罪现在又回来了 可访问僵

4、尸网络C&C基础架构 可能建立适当的冗余备份 见机行事的缺陷修复 垃圾邮件数量回升 僵尸网络垃圾邮件数量增加,McColo关闭的最新情况 年11月11日,McColo于2008年11月11日太平洋标准时间 1:30 pm关闭 McColo托管着： 僵尸网络C&C基础架构 恶意软件 流氓安全产品 网络犯罪分支机构付款系统 儿童色情网站,垃圾邮件数量马上减少SenderBase Perspective,SenderBase 提供无与伦比的可视性 每天300多亿B的查询量 150多个电子邮件和网络参数 全世界流量的30% Cisco 网络设备,SenderBase 全球查询,2008年11月11日,

5、垃圾邮件数量发展趋势,McColo关闭,全球垃圾邮件数量回升,僵尸网络数量发展趋势,McColo 关闭,全球来自Mailer Reactor / Srizbi僵尸网络的垃圾邮件所占的百分比,Mailer Reactor / Srizbi 僵尸网络数量回升,网络钓鱼发展趋势,IronPort Anti-Spam 网络钓鱼防护,网络钓鱼爆发的新类型 2008年12月5日开始 来自以下在线零售商的、要求提供反馈的电子邮件： 卡玛特和沃尔玛 调用实际的零售商客户满意度调查页面 询问信用卡信息，声称存入150美元作为奖励 然后，网络犯罪分子就窃取信用卡信息 调查网站链接（附屏幕截图）： IronPort

6、 电子邮件 + 网络，迅速为客户提供保护,网络钓鱼邮件示例,CISCO/IronPort 应对策略,传统方法的弊端,但是我们已经安装了防火墙, IPS, 防病毒和URL 过滤器了呀?!,防火墙 不能组织25端口或者实用于 HTTP(S)请求的协议 IPS 不能阻止社会工程 防病毒 当病毒变种出现的时候完全失效了 从2003年开始使用390 LdPinch 安全签名 多于30,000种变体 URL 过滤 不能将一个无穷的信息来源加以分类 针对一个被黑的合法网站将不能提供保护 最终用户 当漫游时 经常不顾安全而选择安装可能有问题的软件,50% 的流量是 “容易被分类的” 可预见的流量, 公认的域,

7、网站数量,流量,50% 的流量是 “不容易被分类的” 110M 网站, 12B 网页每年增长40% 混和的合法网站，钓鱼软件和恶意程序,大头,长尾,网络流量 长尾巴越来越长,假冒防间谍软件网站声称提供免费的间谍软件保护 用户下载免费的扫描产品，于是被感染一个特洛伊木马 这是一个僵尸网络使用社会型工程技术的实际案例,是的, 这是一个恶意程序!,在32家防病毒的厂商中只有 4 家发现了这个特洛伊木马,网站数量,流量,大头,长尾, 分类?,“不能分类”,“未分类的” 长尾TrustedSource,“没有加以分类”的长尾Websense,“没有加以分类”的长尾SiteAdvisor,“没有加以分类”

8、的长尾Trend Micro,“没有加以分类”的长尾WebMarshal,名誉的概念给信息安全一个“实时”的保护,名誉度成功的关键数据产生价值,通过观察电子邮件和网络共同的引人注意的信息流来提高我们的探测能力 -垃圾邮件的83% 和全部电子邮件的80%包含 URL -电子邮件黑客部署基于网络的恶意程序的关键发送手段,IronPort 电子邮件 安全网关,IronPort 网络 安全网关,IronPorts SenderBase,结合了电子邮件和网络信息流分析,SenderBase 数据,名誉度成功的关键久经考验的威胁分析是关键,实时阻挡威胁,制服长尾的唯一办法IronPort 名誉度过滤器,D

9、ETECTED: May 16, 2008 SITE: FILE: setup.exe Malicious Trojan,IronPort 的观点,安全的网络信息流 名誉度系统被证明是最有效的方式 对邮件提供预防性的保护 邮件在到达用户端之前封锁恶意程序的链接 减小企业的数据丢失 执行标准的 DLP（数据丢失防护） 解决方案 预防并阻止 “电话回呼” 行为 使用先进的扫描技术来防止数据丢失,IronPort的多层防御,C系列邮件安全 SenderBase 名誉度过滤器 病毒爆发过滤器 防病毒 (Sophos, McAfee) IronPort 防垃圾邮件 数据丢失预防 邮件加密,S系列网络安全 网络名誉度过滤器 防恶意程序(Webroot) 防病毒 (McAfee) IronPort URL 过滤器 僵尸机探测 (L4四层) 协议执行 (IM, P2P),进,出,针对2009年的建议,保持专注 按照战略安排优先工作 采用整体安全方法 - 人员、流程和技术 防御系统必须改变 网络访问控