Symentec 2010 @BJ

1. 赛门铁克安全防护套件建立安全风险视图
刘志刚 Lawrence Liu
资深系统工程师
Symantec Protection Suite Family 1

2. Agenda
• 威胁与攻击
• 防御要素
• 开始评估-示例
• 实现集中事故查看的步骤
• 综述
SYMANTEC VISION 2010 2

3. 威胁趋势
爆发式增长的恶意代码
7000000
In 2009
6000000 >15,000
signatures a day
5000000
Traditional Signatures
4000000
3000000
In 2007
2000000 In 2000
1,431
signatures a day
5
signatures a day
1000000
0
SYMANTEC VISION 2010 3

4. 常见的攻击模式– Hydraq 非授权的服务器访问
木马保存控制信息
Database
更改用户权限和账号 Server
File
Server 应用攻击获取访问权限
Domain
Email Controller
文件改变 Server Server
Web
Server
以邮件附件或文件链接方
式进入 Application
IE 漏洞攻击 Server
通过后门允许非授权访问
Internet
Symantec Protection Suite Family SYMANTEC VISION 2010 4

5. Symantec Protection Suite 防护 √ 监控访问权限变更
非授权的服务器访问
√ 隔离/删除恶意代码
木马保存控制信息
√ 监控和防止访问授权变
更改用户权限和账号
更
Database
Server
√
File
Server 监控和锁定应用程序行为
应用攻击获取访问权限
Domain
Email Controller
√ 文件改变
监控和锁定文件系统 Server Server
Web
Server
√以邮件附件或文件链接方
扫描并阻止感染文件
式进入 Application
√ 防止零日威胁
IE 漏洞攻击 Server
√ 通过后门允许非授权访问
阻止不适当的访问
Internet
Symantec Protection Suite Family SYMANTEC VISION 2010 5

6. 开始一个评估
SYMANTEC VISION 2010 6

7. 评估的好处
• 发现未知漏洞和存在的威胁
• 标识有缺陷或缺失的控制措施
• 发现内部风险的外部表象
• 评估现有防护措施的有效性
• 建立跨网络层面和技术层面的集中视图
SYMANTEC VISION 2010 7

8. 范例: 恶意活动评估
• 3 天的过程
• 利用Symantec Security Information Manager
• 收集3-5个高价值日志或数据源
• 借助全球智能网络
• 生成报警、报告和分析结果
• 根据发现的问题和分析的结果产生结论
Day 1 Day 2 Day 3
• 确定需求 • 数据收集
• 确定目标范围 • 数据分析
• 合并发现的问题
• 安装部署
• 讨论结果 • 展现结果
• 配置和调整
• 保存结果数据
• 方案制定
• 开始数据收集
SYMANTEC VISION 2010 8

9. Day 1: 部署和事件收集
• 配置关键数据源
• 针对有代表性的案例
• 理解需要关联的事件间的关系
• 预测怎样得出结论
SYMANTEC VISION 2010 9

10. Day 2: 管理完善吗？
SYMANTEC VISION 2010 10

11. Day 2: 调查研究
SYMANTEC VISION 2010 11

12. Day 2: 调查研究
SYMANTEC VISION 2010 12

13. Day 2: 情况变得更复杂了…
SYMANTEC VISION 2010 13

14. Day 2: 牵涉到其他主机
SYMANTEC VISION 2010 14

15. Day 2: 初步统计
SYMANTEC VISION 2010 15

16. Day 2: 初步统计
SYMANTEC VISION 2010 16

17. Day 2: 细节的细化
SYMANTEC VISION 2010 17

18. End of Day 2: 建议
• 发布Hydraq规则
• SPS组件更新，加强控制
• 为DNS、URL、已知文件修改自定义规则
• 为当晚工作人员报警
SYMANTEC VISION 2010 18

19. Day 2: 设置报警
SYMANTEC VISION 2010 19

20. Day 3: 回顾发现的问题
• 我们看到的事件
– 在几台内部主机上的可执行文件下载
– 紧跟着网络扫描的登录邮件服务器和其他不常使用的服务器的行为
– 疑似感染主机上的未知文件执行
• 我们采取的动作
– 将可疑的URL添加到监控列表
– 对可疑主机的DNS查询
– 设置登录模式规则
– 监控%temp%目录下添加或修改可执行文件
– 提交可疑文件到Symantec进行分析
SYMANTEC VISION 2010 20

21. Hydraq 评估案例
• 目标: 评估Hydraq事件和危害
• 评估范围:
– Endpoint Protection
– Brightmail
– DLP
– Vulnerability scanner
– Firewall
• 发现问题统计:
– 数百个木马事件
– 发现其他的感染和键盘记录软件
– 系统日志被改写
– 网络中来自恶意IP的访问
– 试图扫描网络的行为
– 不合理的管理员账户使用
• 成果:
– 对所有受害主机的单一仪表板视图查看
– 提供工作流和整改建议
– 为CIO定制的查询和报告
– 定制用户环境下安全问题统计的仪表板视图
SYMANTEC VISION 2010 21

22. 产生安全事故视图
Data Loss
Prevention Database
Servers
Brightmail
File Gateway
Endpoint Servers
Protection
Domain
Email Controller
Web Servers Servers
Web Gateway
Critical
Servers System
Protection
Application
Servers
Desktops/
Laptops
Internet
Global Intelligence:
 Malicious IPs
 Botnet IPs
 Worm IPs
Symantec Protection Suite Family SYMANTEC VISION 2010 22

23. Hydraq 防御
Symantec Protection Suite
Hydraq 能做到：
Family
以邮件附件方式进入 √
针对Acrobat漏洞攻击 √
在已攻陷主机获取信息 √
清除所有系统日志 √
改变权限 √
获取进程和服务状态，控制、强制结束进程和服务 √
建立、修改和删除注册表键值 √
重启和关闭主机 √
对文件读、写、执行、复制、更改属性、删除 √
获取逻辑驱动器列表 √
SYMANTEC VISION 2010 23

24. 产生安全事故视图…Step by Step
STEP 1: 评估 STEP 2: 智能化分析
定义目标范围和数据源 产生结论和优先级分配
Managing Protection in IT Security SYMANTEC VISION 2010 24

25. 产生安全事故视图…Step by Step
STEP 1: 评估 STEP 2: 智能化分析 Step 3: 整改
定义目标范围和数据源 产生结论和优先级分配 响应和消除风险
Managing Protection in IT Security SYMANTEC VISION 2010 25

26. 综述
• 开始一个评估
• 缺失的控制 vs 有效的控制
• 有效的整改建议
• 集中视图 vs 当前视图
• 促使其他项目流程的改变
SYMANTEC VISION 2010 26

27. 其他资源
• NEW! Symantec Internet Security
Threat Report available
http://www.symantec.com/business/them
e.jsp?themeid=threatreport
• Symantec Protection Suite Family:
– Enterprise Edition Servers
– Enterprise Edition for Endpoints
– Enterprise Edition for Gateways
– Enterprise Edition
– Symantec Protection Center for
intelligent management integration
SYMANTEC VISION 2010 27

28. Thank you!
Questions and Comments ?
刘志刚 Lawrence_Liu@symantec.com
Copyright © 2010 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in
the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied,
are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
28