《客户端安全解决方案--赛门铁克(1).ppt》由会员分享,可在线阅读,更多相关《客户端安全解决方案--赛门铁克(1).ppt(89页珍藏版)》请在三一办公上搜索。
1、赛门铁克客户端安全解决方案 技术交流,最新互联网安全形势,资料来源:Symantec最新互联网安全威胁报告,混合型威胁进一步增强2004年下半年共发现1,403 个新漏洞,比前半年增长了13%。漏洞的数量和严重程度持续增加对新型可替代浏览器的漏洞显增长态势Web 应用程序安全威胁正在增长Win32 病毒和蠕虫不断增加网页仿冒确定为以后几个月中重点关注的几大威胁之一可能造成机密信息暴露的威胁数量持续增长金融业务受到的严重攻击比率最大,Microsoft SQL Server 解析服务堆栈溢出攻击(称为Slammer 攻击)是最常见的攻击,被22%的攻击者使用。企业每天受到攻击的次数从前六个月的1
2、0.6 次,上升到13.6 次。已知的Bot 网络计算机从7 月底的每天30,000多个下降到了当年年底的每天不到5,000 个。美国仍是最大的攻击来源国,其次是中国和德国。金融行业里平均每10,000 个安全事件中有16 个是严重事件,在所有行业中比率最高,最新网络攻击形势,资料来源:Symantec最新互联网安全威胁报告,安全漏洞形势,赛门铁克记录了1,403 个新漏洞,比前半年增长了13%。公布漏洞与发布相关的漏洞攻击代码之间相隔的时间从5.8 天增大到6.4 天。Web 应用程序漏洞占到了所有发现漏洞的48%,比2004年上半年的39%有所增加。所发现的漏洞中有97%的严重程度为中等或
3、较高。2004 年后半年披露的影响Mozilla 浏览器的漏洞有21 个,而影响Microsoft Internet Explorer的有13 个。所报告的漏洞中有70%被认为是易于利用的。,资料来源:Symantec最新互联网安全威胁报告,恶意代码形势,Netsky,MyDoom 和Beagle 的变种在2004 年后半年排行前10 位的恶意代码中占多数。赛门铁克记载的新Win32 病毒和蠕虫超过了7,360 个,比上半年增加了64%。暴露机密信息的恶意代码占到了前50 大恶意代码样本的54%,高出上一个报告期的44%。本报告期结束时,针对移动应用的已知恶意代码有21 个,大大高出2004
4、年6 月的一个。在排名前10 的恶意代码样本中,有2 个Bot 恶意代码,而在上一个报告期中只有一个。有4,300 个截然不同的Spybot 新变种,比前6个月增长了180%,资料来源:Symantec最新互联网安全威胁报告,间谍软件和广告软件,资料来源:Symantec最新互联网安全威胁报告,过去六个月来,广告软件在提交的前 50 名恶意代码中所占比例较 2004 年上半年有所增加2004 年上半年,广告软件占提交的前 50 名恶意代码的 4%。下半年它占到了 5%Webhancer 是 2004 年下半年报告数最多的间谍软件程序,占 10 大已报告间谍软件的 38%,新的安全挑战,蠕虫针对
5、弱点的攻击正在增加频率,攻击方式更加灵活,新的安全挑战和变化,间谍软件在2005年快速增长。,企业为间谍软件和广告软件的付出的代价,真正损失难以计算,什么是“混合型威胁”?,传播途径多样.同时使用多种方式攻击系统.最少的人为干预.包括:NimdaCode RedSlammerBlasterMydoomNetsky,满足如下特征的病毒或蠕虫:,间谍软件和广告软件,间谍软件和广告软件正在迅速成长为企业用户最关心的安全问题通过以下手段获取机密信息:记录键盘操作(keystroke)偷窥电子邮件内容和聊天软件的会话信息发送网页浏览记录和敏感信息到企业外部一旦信息被获取,间谍软件会通过各种方式发送出去,
6、通常可以获得经济上的利益.因为间谍软件可以敏感信息在被加密传送之前将其捕获,所以他能绕过安全防护措施,直接这些敏感信息以文本方式外泄出去.,风险影响的模型,风险分类处理,新风险/威胁被发现,分类/风险影响分析,根据功能分类,安全风险分类,威胁分类,按破坏程度,流行方式等评估,完成,Spyware,Adware,Dialer,Virus,Worm,Trojan,威胁,安全风险,OS 弱点 一个变化中的安全风险,弱点是软件中的缺陷,让攻击者威胁计算机的安全.蠕虫发现并利用弱点进入计算机系统过去,我们被迫去等到爆发,然后写一个特征码.,混合型威胁防护主动式防护,Time,Vulnerability
7、Activity,T0,T1,T2,T3,TOO LATE,BEST ROI,Spyware/Adware防护,客户端实时的Spyware/Adware检测和处理多种灵活的处理方式有适当的排除,允许企业内合法的内部应用,评估风险防护系统,混合型威胁自动清除不是一直都适用必须考虑内部允许的应用一定要适合企业组织内的策略和业务模式造成损失的威胁一定要被检测和清除.Antivirus Spyware:重要的变化自动清除不是一直都适用必须考虑内部允许的应用一定要适合企业组织内的策略和业务模式造成损失的威胁一定要被检测和清除.广告软件防护强调灵活的方式允许多参数灵活配置进行检测和清除允许必须按照企业策略
8、进行检测.需要通过独特的方式改变风险的现状.建立驱动风险影响模型风险影响模型必须要考虑到应用的行为并且制定一个风险控制目标允许管理员或用户基于行为和其他属性对威胁事件进行响应.,IntrusionPrevention,Firewall,不只是防病毒,集中管理性能配置管理并锁定定义码和内容定义的部署基于MMC的企业分等级的管理网络模式,另外性能现有的管理体系中加入防火墙策略和IPS特征码.用现有的管理架构,加入新组件的预防护和配置管理,Symantec System Center,Antivirus,保护文件系统多种响应措施保护已知和未知的威胁.,在进入系统的入口处提供风险保护.对已知和未知的威
9、胁的预防护,Symantec AntiVirus,Symantec Client Security,Symantec Client Security 3.0,整体的预先防护混合型威胁和安全风险.整合防病毒,防火墙和入侵防护技术帮助建立和管理企业在不同位置的安全策略结合管理和响应来减少损失简单友好的管理方式,Antivirus,IntrusionPrevention,Firewall,协同防御,Firewll and Intrusion Prevention威胁例子:Sasser试图利用WINDOWS平台的 Lsass漏洞通过相关服务进入系统,并试图建立大量对外连结.流量被IPS检测到并阻断在本
10、机上的衍生体在本机的生成和安装,通知防火墙阻断对该端口流量的传递.,Antivirus and Firewall威胁例子:Blaster端口扫描试图发现机器的弱点.Firewall 阻断TCP 端口135,通知 AV 清除在该端口进入的信息.,Symantec System Center,Antivirus 威胁例子:MyDoom被AV引擎检测到邮件发送的行为特征.AV阻止由蠕虫攻击生成的SMTP引擎外发邮件.,Symantec Client Security,SCS 3.0 组件,Symantec System Center 6.0Symantec Client Security serve
11、r 10.0Symantec Client Security client 10.0Symantec Client Firewall Administrator 8.5.0LiveUpdate 2.6.14Central Quarantine 3.4.0,Symantec网络防病毒解决方案(SAVEE),管理层级 Symantec System Center 6.0网关层级 Symantec Antivirus For Smtp 4.1 Symantec Web Security 3.0工作站和服务器 Symantec Antivirus Corporate Edition 10.0群件服务器
12、 Symantec Mail Security 4.6 for Microsoft Exchange Symantec Mail Security 4.1 for Lotus Domino,SCS 3.0 技术特性,结合防病毒,防火墙和入侵防护技术预先防护混合型威胁和安全风险数字免疫系统 预防未知病毒的专利技术BloodHound 检测多变形病毒的专利技术 扩展扫描引擎 NAVEX专利技术,升级简单 SSL通讯和数字证书认证集中化隔离和告警功能LiveUpdate增量在线式更新集中的管理平台,集成的客户端安全,Symantec Client Security 3.0 集成:防病毒客户端防火墙入
13、侵防护隐私控制广告禁止统一的管理平台集成的分发机制集成的更新机制,数字免疫系统,针对未知病毒的防护,Symantec免费提供扫描和传送(Scan&Deliver)自动防毒解毒机制,通过Symantec 病毒防治中心(Symantec AntiVirus Research Center),于最短时间內将文件解毒传回贵公司收到病毒样本后的几十分钟內自动完成解毒利用Internet,Intranet,Extranet 迅速更新全球客戶的病毒定义码,Bloodhound 启发式技术,赛门铁克专利的启发性技术(Heuristic Technology)来检测疑似病毒的行为。可检测 95%的未知宏型病毒可
14、检测 90%的未知引导型病毒(集成了来自 IBM 的技术)可检测 80%的未知程序型病毒,Strike检测多变形病毒,一般的防病毒软件对每一个变形病毒采用一个病毒特征码,这样会造成病毒库非常巨大,而且检测效率低 Strike可检测最复杂的多变形病毒或自我变异的病毒。Striker 通过创建一个虚拟的计算机,给病毒提供一个虚拟的发作环境来抓获病毒,同时不使病毒对系统造成任何损失。,NAVEX扩展扫描引擎技术,将扫描引擎从扫描软件中分离,与病毒定义文件同时通过LiveUpdate更新所有赛门铁克防病毒软件均共用同一个升级模块扫描引擎更新后无须重新启动电脑。,SSL通讯和数字证书认证,管理平台、服务
15、器、客户端基于SSL通讯和数字证书认证,为SAV和SCS带来安全可靠部件通讯机制.认证:只有授权用户能够登录和作更改完整性:配置,命令和数据(病毒定义文件,防火墙策略,日志记录)不会在传输中被修改机密型:配置,命令和数据不会被窃听,SCS认证证书怎样建立信任链,一级服务器创建并管理自己签署的根证书所有服务器拥有末端证书每个服务器提交CSR到一级服务器一级服务器签署并传递证书给其他的服务器客户端将配置服务器的证书和存储在客户端上的服务器组的根证书进行比较,验证途径和方法,集中化隔离和告警,提供集中隔离服务,被隔离的威胁将不会继续感染其它机器,并允许配置发送到数字免疫系统对威胁的发现,提供多种集中
16、告警方式,LiveUpdate增量在线式更新,Liveupdate 可以使用户叠加式更新病毒定义码、IPS特征库、防火墙策略,Liveupdate Server设置定时对网络内所有Symantec产品所需要之语言、版本,让用户更新时可以一次完成软件、病毒定义码所有更新。LiveUpdate实现在线更新的同时,还是增量式的,每次只下载新增部分,不但提高速度、减少下载时间,还提高稳定性。,集中的管理平台,管理员通过控制台,集中地实现所有节点上SCS的监控、配置、查询等管理工作。负责病毒定义、扫描引擎、IPS特征库、防火墙策略的更新,并能将此更新文件自动提供给各种服务器和工作站。提供多种软件远程安装
17、和软件升级的手段。多级中心管理,各子网可以有单独的控制中心来管理,事项管理任务分担。而有一个控制中心监控整个企业网。,SCS 3.0客户端防护功能,SAV 10.0病毒防护功能客户端防火墙和入侵防护功能,实时的Spyware/Adware防护自动防护检测和清除排除,简单的排除企业允许的应用自动清除:文件,注册表,服务和 进程易于管理,简单和友好的集中管理,Spyware/Adware防护增强,基于角色的管理权限,SCS 3.0提供四种管理员权限防止非授权用户对SAV配置的更改,防篡改保护,提供对SAV自身的防护,防止威胁对SAV的进程、文件、注册表的非授权篡改保证SAV自身安全可靠的运行,快速
18、扫描和全盘扫描,提供客户端不同级别的扫描级别,自动保护功能-丰富的选项,当实时防护关掉,AutoProtect会重新启动防护功能不仅仅是在文件被创建和修改时才检测,邮件客户端保护,提供Lotus Note和Exchange邮件客户端防护。,客户端互联网邮件安全防护,提供客户端Internet电子邮件自动防护扫描,进行扫描的POP3和SMTP通讯端口是可完全配置的。(Outlook Express,Netscape,Foxmail)出站电子邮件扫描启发式扫描。可以有效防御诸如可以使用电子邮件分发他们自己的蠕虫等威胁,防止大规模的威胁扩散。,提供自动的工具修复新混合型威胁,Spyware,Adwa
19、re的影响.和定义文件和入侵特征同时更新.不需要单独的修复工具,副作用修复,清除,检测:文件目录进程注册表批处理文件INI 文件服务快捷方式,修复类型:文件清除终止进程暂停进程清除注册表键值增加注册表键值修改注册表键值修改INI和batch文件,客户端管理员专用选项,为客户端的设置的管理员权限,服务器微调选项,调整客户端跟踪选项,如客户端登录时间、同时分发的客户端数目等,漫游客户端,企业有大量的互联网防病毒服务器,每当客户端网络地址发生更改时,它都会连接距离最近的适当父服务器。如果当前父服务器变为不可用,就会连接到另一台父服务器。在选择父服务器时,尝试平衡一批同等服务器间的负载。,集中隔离,集
20、中隔离服务器、客户端无法修复的感染项。被隔离的威胁不能继续感染其他机器。配置传递到数字免疫系统。,集中告警,提供对威胁事件的集中告警,告警方式:,广播在配置操作的计算机上显示消息框发送寻呼消息互联网邮件运行一个程序写入 Windows NT事件日志发送SNMP trap将可加载模块加载(NLM)到NetWare服务器上,支持Cisco NAC,NAC整合使用SymSentry的API,为Cisco NAC 提供如下信息的检测:Symantec AntiVirus:软件名,Id,版本扫描引擎版本病毒定义文件的版本定义文件的日期自动防护要可用Symantec Client Security:所有如
21、上的防病毒软件信息,另外:软件版本,Id(Firewall/IDS)防护要可用(Firewall/IDS),完善的客户端防火墙、入侵检测防护,灵活、有效的管理SCF,为客户端防火墙、入侵防护提供集中管理平台,整合到SSC,位置感知,管理员根据客户端的网络位置控制赋予客户端防火墙的安全控制策略确保公司的安全策略得到遵守,不管客户端所处物理位置以及如何接入网络,都将执行相应的检查,位置感知的Prules,假设在Prules部署到相应的位置 确定该Prules阻止或允许应用到该位置内的具体位置,细化对的Prule的管理.,Windows安全中心和Windows防火墙配置,可以屏蔽WinXP SP2所
22、带的安全中心和防火墙增强对Window自带安全性的管理,端口状态测试,允许在策略部署前进行端口测试,并生成报告,说明端口可用性避免部署策略是因端口不可用而带来的网络带宽消耗,客户端档案配置,客户端防火墙记录新的应用和Internet连接,管理员可以通过查看日志记录来确定是否需要创建新的应用程序规则(pRules)或新的连接规则管理员可以在创建新规则后关闭客户端配置以减少不必要的报警信息,策略导入导出和合并,允许同时导入导出锁定和非锁定规则允许管理员合并已经创建或的规则或者对现有规则进行修改,区域设置,允许管理员设置网络访问“白名单”、“黑名单”,安全端口,保护所有在特洛依木马规则中定义的端口W
23、indows将无法尝试使用这些被保护的端口,从这些端口发出的出站通讯永远不会触发防火墙的规则库检查,新的IPS引擎,支持两个版本的IPS引擎,分别是:v1.x signatures和v2.x signatures.其中当前的版本使用v2.x,早期版本使用v1.x,增强的入侵防护 Generic Exploit Blocking,通过 Generic Exploit Blocking,为弱点编写特征代码,防护针对该弱点的潜在攻击,在弱点被利用前提供保护防护来自无需驻留硬盘和快速移动的网络蠕虫的攻击动态减少“时间差”造成的破坏.包括在 Symantec Client Security 3.0,协议
24、过滤,可以有选择的阻止所有IP协议,可定制的隐私控制,现在管理员可以设定策略来控制哪些Web站点是客户端可以访问的可以选择审计阻断或模式,提供灵活性使管理员可以控制用户可以访问的网页内容。,可以控制列表中Web站点的内容,设置用户上网的内容控制,适用于Symantec Client Security,禁止广告,客户端防火墙提供在使用浏览器打开网页时进行过滤,从而自动禁止广告信息的能力。提高用户的工作效率,减少被隐藏在脚本程序或网页图像中的恶意代码感染的可能性。,防护墙客户端允许级别,细化每个特性和组件的客户端访问权限提高对客户端运行权限的管理,用户告警级别,细化客户端告警级别提高客户端告警级别
25、管理,VPN遵循状况检查,确保尝试通过VPN连接公司网络的计算机符合公司的安全策略。检查包括安装Symantec防病毒,实时防护是否打开,病毒定义是否最新以及近期有没有进行病毒扫描。同时,也会检查是否安装了Symantec Client Firewall以及是否启动。支持 Checkpoint,Nortel,Symantec,Microsoft,Aventail,iPass VPN clients and Cisco等VPN客户端。使管理员能够有效控制远程或者移动的客户在接入公司网络的时候必须符合公司的安全策略,阻止混合式威胁通过不安全的可信客户端经由VPN渗透到公司网络。,集中事件管理,Sy
26、mantec Client Security 3.0每个组件的事件都将集成到Symantec事件管理器里,进行集中的日志,报警以及图形化的报告提供易于理解的企业客户端安全状况视图,有助于将安全数据转化为可控信息。提供了企业客户端安全的整体视图,使管理员能及时的获得严重安全事件的警告并且生成相关报告。,统计数据,对入站和出站的信息进行统计提供异常流量信息的分析,扩展的报表处理能力,结合SESA进行报表处理,集中管理 图形报表,Symantec Client Security 3.0 的管理模式,SCS Client客户端,1.Primary SCS Server(一级服务器)2.SSC,SCS服
27、务器组,SCS Client客户端,可根据需要在一个组内划分多个客户逻辑组,管理方式:集中、自动化、分布式以及强制执行管理机制,强大的管理中心控制台SSC,单一的管理控制台,高扩展 数十万的节点分层的架构设置为锁定的策略管理逻辑组的管理产品的分发事件管理更新管理,对SCS包含的所有功能做集中控制,逻辑组管理,根据企业组织架构,管理员制定客户端逻辑组管理,拖放操作,通过简单的拖放(Drag&Drop)操作在不同服务器间移动客户端管理员可以灵活的管理客户环境,尤其是客户端在不同的服务器之间切换的时候.,客户端强制执行策略,可以锁定客户端所有防病毒策略,强制执行降低客户端违反防病毒策略造成的威胁传播
28、,客户端强制升级,强制客户端立即执行在线升级使管理员在紧急威胁出现时,能迅速强制客户端升级,集中的网络审核,通过控制台确定网络中哪些节点没有防病毒系统保护能够检测Symantec AntiVirus、McAfee VirusScan、Trend Micro Office Scan、Computer Assoicates或其他第三方防病毒产品,LiveUpdate更新特性,扫描引擎和病毒定义码独立于操作系统平台,单独更新所有 Windows平台同时更新防病毒定义、IPS特征、防火墙策略所有更新都可以预定义为定期自动或手动方式 Liveupdate叠加式更新,最小的升级流量 Liveupdate自
29、动实现全网服务器、客户端更新,无需人工干预 更新后,系统无需重启 一级SCS服务器更新后,整个群组的二级SCS服务器和SCS客戶端在 3-10 分钟內全部自动后台更新完毕,快速、集成、自动的升级响应,Respond,采用增量式的定义更新同时更新防病毒、IPS引擎、防火墙策略“推送”技术支持客户端漫游数字免疫系统(Digital Immune SystemTM)可以自动提交潜在的病毒威胁,并自动将解决方案发送到出现问题的计算机或整个企业,快速、集成、自动的升级响应,允许采用多台LiveUpdate服务器分担服务器负载当移动用户离开公司时,可直接上互联网更新定义码,1、SCS管理服务器2、管理中心
30、,总公司局域网,客户端,1、SCS服务器2、管理中心,省域网,客户端,1、SCS服务器2、管理中心,省域网,客户端,区域网,客户端,区域网,客户端,区域网,客户端,区域网,客户端,企业广域网内SSC更新方式,1、客户端主动来找:“拉的方式”2、服务器主动发下去:“推的方式”3、叠加式更新,1、SCS服务器2、管理中心,1、SCS服务器2、管理中心,1、SCS服务器2、管理中心,1、SCS服务器2、管理中心,Symantec客户端防护优势,提供最全面的企业安全风险管理和防护的解决方案整合桌面防病毒、防火墙、入侵防护和Spyware的防护,提高安全性,减少管理复杂性,节省企业IT资源安全响应中心和
31、LiveUpdate技术提供持续的病毒、混合型威胁、安全威胁的防护完整的防护来自可信任的世界安全和可用性领域的领导者 Symantec,Question?,MajpjMVcyzj21HLfrvy96dv02lPPfYgxUS7IYmZkyEmZ0kGeYZS3bpLCkYH1lt4EK7CxmUX3ijoYSOer7ZuaVWYgz4EpZrUirVpMzzvNtf1XZw5oswSXOtFaejnOcmfE1lZgnN1RSXg8wLCG8CVQ3XPJMvodPFWcpiYJgZazNSEPNIaklYSu7qSd1UpaxmZDlpN9zW7kljfsLCLi26Yv109ffbnDH8
32、LbUN1G6ACURQ39eG12KHL9tXsZ1jzgoCK8g1kuNOh5eFvcmVT5ZYVQt9zk3rp3qLnf02FovEXxVRxjCcFRNppiJljNiOuk6fONnyX7fyGg7sXZ49BmCN5oy9VesHpKzdjTKwjrkCEQCFDehVmGax3lrOEbw63VscA3YSijtUKoCyiLzAlVRp7l4QgPNHxvJFFDyjUVN3oHlMah0XBd4uTbkfPIhHtw0evPmYOrdhEDoPwvYhzlGplU1AU9mpyiCXH8gpPCBRYjq77VcnbXumNE1yGfyTsbSj89J63kRTKDkK
33、Ug3mdS5sJ4X5cQ8dK7oW9IkScssECQdz2O9UTlpRjAFPChjhLdzopQzwxQf8ozdzOhogwAooXpUF83BX4C3jRgjDJiiXEUDMaNz4vQ4n164vspddHvOIVuBBdMA4xp1YhiHk0vOJ8TL1BxogzVlMpmod6ianYGmksQq6NWCEd56hZF4wfaNyZcrGfNxnPiG6ZAxSkfmhJAKtNmCqbRmppeXp8inz4eq3HkWCMSORyMMX522xpHG6basNr6KQfbZsFbHjzyNlJrruLolKFcC84dqfijBO5Dy2NaBcNEBPgQrT12PgpcKx2or2YChN5DPjs80zzdtdAdTKuW4uVv9bbZu3K2SZ2aEhTlIC1UqrIWibkzwHh6p8gLv26zr01mJybfOzFc4T7kQH1IpPwOzMDnAKPLsLrznXGjFNIA9bSWWms6ibKZwQIKrMzalwbFrQJvOP1rPH8rx2KkyYqrtQk5VRwM1HSX,
