威胁企业上网监控

TrendMicro威胁发现管理解决方案威胁发现管理解核心技术趋势科技白皮书|2008年8月核心技术内容安全TRENDMICRO威胁发现管理解决方案22目录I.
行动纲要3II.
简介:当前安全基础设施面临的挑战3多种侵染源.
4当代网络威胁的冲击.
5III.
威胁发现管理解决方案6图四:威胁发现管理解决方案.
6威胁发现.
6威胁发现管理服务.
7威胁发现管理解决方案作用.
7威胁发现管理解决方案实例.
9VI.
结论11VII.
有关趋势科技12TRENDMICRO威胁发现管理解决方案33I.
行动纲要由于网络安全所受威胁越来越复杂,工作场所数据泄漏的问题层出不穷,需要不断改进安全解决方案.
传统技术(例如:防火墙、入侵检测与防护系统IDPS、虚拟专用网络VPN)着重防范外部威胁进入企业网络.
但是,这些系统不能有效地防御网络内部受侵染的员工机器上所产生的内部威胁.
恶意软件一旦进入网络内部,将破坏企业的网络基础设施.
受侵染的机器可能将信息(包括机密用户与客户资料)通过网络泄漏给网络罪犯,导致企业声誉受损.
其它损害包括损害清除成本飙升、生产率降低等.
随着人们工作方式发生巨大变革以及新技术的不断涌现,网络威胁也呈现出不同的形式.
例如:随着移动用户与新侵染渠道(例如:USB装置)数量增加,IT信息技术在控制用户连接方式与连接位置等方面面临着巨大挑战.
员工也会使用P2P、流媒体、即时通信等不稳定技术.
此外,桌面自动抗病毒程序面临着新的挑战,例如难以检测的零时差恶意软件等.
未受保护的渠道同样产生新的威胁,例如Webmail、或通过无线网络漏洞等.
因此,需要一项新的解决方案,以分析威胁来源及其表现,当内部入侵载体增加时,信息技术管理员可以通过检测安全基础设施深入研究问题,以便更好地理解网络受侵染的原因,然后研发更有效的保护方法.
针对这项需求,TrendMicro开发了威胁发现管理解决方案,适用于检测、减轻并管理机构内部网络威胁.
该解决方案设计用于鉴定并控制下一代威胁,帮助公司最大程度地降低恶意软件引起的数据损失,减少网络损害控制成本并提高整体安全性能.
威胁发现管理解决方案包括两个步骤:首先,通过"发现威胁"(ThreatDiscovery),检测内部网络安全威胁;然后,通过威胁发现管理服务,对第一步骤检测到的信息,执行清除、删除及修补等动作;威胁发现管理服务与TrendMicro智能保护网络的高级相关服务器协作,提前检测新威胁,按照客户要求发送报告并提出相应建议.
本白皮书强调修改恶意软件可能入侵的企业工作环境以及开发新的解决方案、处理内部威胁的需求.
此外,本白皮书还探讨了TrendMicro威胁发现管理解决方案如何采用更全面的新途径检测、降低、管理当前内部网络威胁.
II.
简介:当前安全基础设施面临的挑战由于网络安全所受威胁越来越复杂,工作场所数据泄漏的问题层出不穷,需要研发新的安全解决方案.
传统技术(例如:防火墙、入侵检测与防护系统IDPS、虚拟专用网络VPN)着重防范外部威胁进入企业网络,而不能有效地防御因公司员工浏览受侵染的网址、访问基于万维网的电子邮件服务Webmail或使用即时通信意外导致企业网络受侵染而产生的内部威胁.
TrendMicro在2005年的研究表明,全球范围内企业环境内部的终端用户在工作时间内比在家时更有可能参与高风险在线活动,例如打开未知邮件或点击恶意链接等1.
显然,员工在使用工作环境计算机时没有正确认识网络安全问题.
此外,网络访问控制(NAC)等安全解决方案强调评估、鉴定公司员工端点的初始状态.
一旦用户经首次核准,将不再对其进行监控,该用户可以对网络作出恶意行为.
如果公司员工未意识到这些恶意行为的潜在危险后果,则有可能违反安全规定,导致数据损失.
此外,当今"无界限"的机构可以在全球范围内自由分享员工及合作伙伴的信息.
由于员工可在家中、机场及其它不安全的地点办公,这些企业面临着平衡公开性、灵活性与安全、风险的挑战.
TRENDMICRO威胁发现管理解决方案44多种侵染源由于人们工作方式发生巨大变革,网络威胁呈现出不同的形式.
随着远程办公的员工增多、以及在办公室与家中办公的概念逐渐模糊,对移动装置的使用越来越频繁.
YankeeGroup数据显示,美国全部工人中,采取移动办公模式的近40%,即50,000,000位工人2.
因此,现代企业面临着防止企业员工或承包人泄露企业数据、避免资产损失的挑战.
应移动办公模式的需求,信息技术部门需要在所有计算机上备份并保存已更新的防病毒签名文件与软件补丁.
手提电脑或便携式储存装置等新的侵染渠道同样增加了信息技术在控制用户连接方式与连接位置方面的困难.
例如,用户通常使用受侵染的USB装置或音乐播放器,从而损害网络安全.
不恰当的远程办公安全环境、安全技术人员不足或不能严格地实施网络安全政策,也是导致内部威胁增加的原因.
通过Webmail或无线网络等未受保护的渠道,同样可能产生新的威胁.
此外,公司员工使用P2P文件共享、流媒体及即时通信等存在潜在不稳定因素的技术时,恶意软件可能进入内部网络,同时占据大量的网络带宽.
此外,通常作为计算机防护第一线的桌面自动抗病毒程序不能有效地处理清以检测的零时差恶意软件.
由于信息技术部门与安全产品卖方协作鉴定新的恶意软件威胁并花费大量时间精力研发发现威胁、解决问题的模式,因此其损害清除成本随着侵染扩散而逐渐飙升.
另外,由于目前网络威胁大量增长,在更新受最新恶意软件模式文件侵染的员工机器时将出现多种问题.
AV-Test.
org数据显示,2006年至2007年间,调查样本中恶意软件约增加550%;仅在2008年1月第一周内,就出现了117,000种新的恶意软件3.
图一:企业移动办公员工人数的增长移动办公员工数固定台随时间变化的%TRENDMICRO威胁发现管理解决方案55当代网络威胁的冲击由于工作地点变换,增加了恶意软件进入内部网络的几率,企业面临着更大的风险.
受侵染的机器可能通过网络向网络罪犯泄漏资料,致使因数据大量损失而丢失机密信息的客户及声誉受到不可挽回的损害的企业面临许多问题.
无论在业务影响或成本方面,企业数据资产面临着越来越大的威胁.
依据产业监控机构Attrition.
org的调查结果,2007年12月21日,无论在美国或其它国家,162000000余项纪录(例如信用卡、社会保障统计数据等)受到影响.
身份盗窃资源调查中心公布了美国在2007年12月18日有79000000余项纪录受到影响,与据报告2006年20000000余项纪录受到影响的水平相比,增长了近4倍4.
如果出现内部侵染,将大量增加网络损害清除成本,缩减生产率,企业将面临巨大的安全挑战.
依据弗雷斯特研究公司调查结果,预计高达85%的企业安全事故牵涉到内部员工与资源5.
此外,Gartner数据显示,未来2年内,敏感数据泄漏产生的组织成本将每年增加20%6.
图三:数据泄漏统计.
数据来源:IDCMidMarket(100-5000位员工)资料泄漏调查(2008年2月)准备变革目前,开展安全环境变革的条件已经成熟.
如果对侵染原因及其精确位置的能见度不足,则信息技术部门就不能确定最适当的补救办法.
为了有效地增加覆盖面,安全技术人员需要获取更多信息,以便有效地按照网络的分段--部门--机器的顺序准确检测侵染源.
同时,信息技术部门需要检测有关威胁根源的详细资料,例如是否通过线聊天系统IRCbot或恶意网站产生威胁.
WhattypeofinformationhasbeenleakedAmongthe25respondentswhosecompanieshaveexperienceddataleakageoverthelast12months44%24%20%16%4%8%4%0%20%40%60%80%100%PersonalclientinformationIntellectualpropertyPersonnelinformationInformationmarkedconfidential,secretortopsecretCommercialorindustrialsecretsOtherDon'tknow图二:新生侵染源新生和现有TRENDMICRO威胁发现管理解决方案66例如:如果通过信息技术,了解到大部分威胁经由网关产生,则应安装适当的网关保护程序.
大体上而言,需要安装一个"预警系统",以便立即精确地标识新的已知恶意软件并测量已经发生的损害程度.
此外,机构还需要一个能够修补、管理网络威胁的系统,以确保适当、迅速地修复并及时发送报告,确定预防威胁的方法.
III.
威胁发现管理解决方案TrendMicro引进了威胁发现管理解决方案,满足各机构更好、更有效地检测、降低并管理网络内部威胁的需求.
通过该方案,各机构可以迅速、有效地处理恶意软件,大量减少网络损害控制成本并提高整体安全水平.
威胁发现管理解决方案分为以下两个步骤:*发现威胁:检测网络内部安全威胁.
*威胁发现管理服务:利用趋势科技强大的云安全技术架构进行先进的关联性分析,广谱识别恶意行为,发现威胁根源,追踪并提供威胁分析;充分利用趋势科技云安全技术对最新出现的安全威胁进行识别和分析;访问趋势科技的安全情报中心,可以获得详细而及时的最新威胁状况图四:威胁发现管理解决方案威胁发现威胁发现是TrendMicro威胁发现管理解决方案中关键的第一步骤.
通过威胁探测器,提供精确、及时的信息,用于管理网络安全.
威胁探测器应用于各网络层交换机,通过访问权限/分配/核心控制,保护网络分段.
TrendMicro智能保护网络控制威胁探测器.
威胁探测器与图中所示威胁发现管理服务结合,监控网络可疑行为,检测传统的基于模式的安全应用程序不能探测到的恶意软件,标记扩散或侵染其他用户的恶意软件,包括引起内部资料外泄或从恶意源接收指令(例如botnet)的隐藏的恶意软件.
威胁探测器可以检测基于环球网或电子邮件内容的攻击(例如:网络攻击、跨站式脚本、钓鱼式攻击等).
威胁探测器还可鉴定未经授权的应用程序与违反TRENDMICRO威胁发现管理解决方案77策略、干扰网络、占据大量网络带宽或引起潜在安全风险的服务.
适用的应用程序包括即时通信、P2P文件共享、流媒体及未经授权的服务等,例如经常滥用的简单邮件传输协议(SMTP)开放式转信系统、恶意域名服务器等服务.
此外,网络内容检测技术在威胁探测器提供大量的有关网络协议与应用程序方面的资料的基础上,检测网络流量.
通过全面支持网络协议层(第二层至第七层),威胁探测器可检测出大量存在潜在破坏性的应用程序,例如P2P、即时通信(Bittorrent、Kazaa、eDonkey、MSN、雅虎通).
该技术可提取网络层上应用程序的嵌入式文件,然后采用TrendMicro病毒扫描器对数据进行内容分析.
此外,威胁探测器在网络交换机上采用端口镜像处理,读出网络包,用于内容分析,确保网络服务不受任何干扰.
威胁发现管理服务威胁发现管理服务控制服务器(如图所示),运行高级关联引擎,确保更有效地检测、分析网络威胁及其原因.
通过高级关联逻辑,分析系统操作纪录文件,过滤误报,检测隐藏的网络威胁,提高检测精确度.
威胁发现管理服务与TrendMicro智能保护网络协作,确保更新网络威胁数据,用于分析并检测恶意软件的最新动作趋势.
智能保护网络提供多种服务(例如域名服务器DNS、超文本传输协议HTTP、检查文件、过滤网络钓鱼式攻击等),阻拦各种网络威胁.
获取TrendMicro全球安全信息,深入、实时地了解新威胁及二十年来网络威胁研究的相关资料.
依据发现威胁过程中搜集的信息,报告机构安全状态.
通过集中威胁发现管理端口,协助信息技术管理前述报告及事故信息.
例如:通过每日管理报告,解释事故响应并提交互式展开报表,详细、全面地描述网络威胁.
该报表内容还包括可实施的补救方法与响应建议.
此外,通过每周或每月综述,全面审视整个公司的安全状况.
详细报表部分包括一份事故审核与比较报告、以及有关改进安全策略的建议.
威胁发现中的另一个关键组件7*24小时的威胁管理服务,将TDA所分析的结果,结合趋势科技云安全2.
0(SmartProtectionNetwork)运算中心的庞大数据库及多协议关联分析技术,转化成详细的报告并提供处理措施进行落实威胁发现管理服务的主要特征:威胁发现管理服务与智能保护网络协作,确保有效地完成网络威胁根源分析、关图五:威胁发现管理解决方案TRENDMICRO威胁发现管理解决方案88威胁发现管理解决方案作用检测网络层的恶意活动:试图传播或感染其它用户的恶意软件、向外发送机密信息或接受外部命令的木马程序、基于Web或Email内容的攻击,如网站挂马攻击、跨站脚本攻击和网络钓鱼发现滥用网络的应用和服务:检测与工作无关的网络滥用,如即时消息、P2P文件共享和流媒体应用、识别引入安全风险的未授权服务,如SMTP匿名转发和DNS欺骗服务网络内容分析技术:从网络层至应用层的全协议网络流量分析、对可疑事件关联分析识别网络威胁、利用趋势科技先进的病毒扫描引擎扫描分析文件内容威胁管理服务:利用趋势科技强大的云安全技术架构进行先进的关联性分析,广谱识别恶意行为,发现威胁根源,追踪并提供威胁分析;充分利用趋势科技云安全技术对最新出现的安全威胁进行识别和分析;访问趋势科技的安全情报中心,可以获得详细而及时的最新威胁状况.
威胁分析和报表功能:自动生成企业安全形势的总体视图;集中管理的报表和安全事件信息;自动生成每日事件报表,同时提供周/月报表以查看整体安全状况;通过事件信息浏览生成更为详细的交互式报表;显示综合威胁信息的详细视图;趋势科技监控中心的专业服务工程师提供安全策略优化、可执行的安全措施和安全响应建议.
TRENDMICRO威胁发现管理解决方案99威胁发现管理解决方案实例银行采用威胁发现管理解决方案,有效阻拦新的恶意软件尽管亚洲大型银行已经应用端点与网关产品,信息技术人员仍需寻求一种解决方案,确保检测出已安装的传统的、基于模式的技术可能不能检测出的新型恶意软件.
TrendMicro威胁发现管理解决方案与银行现有的安全信息与事件管理(SIEM)系统结合,监控5000余台计算机,期望采用一种不基于签名的解决方案,及早检测出网络安全威胁.
威胁探测器审核银行网络行为之后,检测出在指定期限内,每30秒内部IP与外部的bot服务器连接.
尽管该bot未经识别,但仍通过威胁探测进程,采用行为分析与关联技术,确定可疑行为并向信息技术管理员发送危险信号.
Botnet是指受损害的计算机组.
黑客利用Botnet,执行分布式服务(DDoS)攻击、发送垃圾邮件、纪录按TRENDMICRO威胁发现管理解决方案1010由于botnet对银行造成重大威胁,银行的高级执行人员对此尤其关注.
Botnet可以在不被察觉的情况下从银行职员获取保密信息,例如网络存取码及密码等.
黑客可以利用这些信息,访问银行服务器,然后对银行系统发起更危险的攻击.
银行安装了威胁发现管理解决方案,保护安全基础设施内不能有效防范新型恶意软件威胁的"灰区".
在这种情况下,利用有关新型、先前未能识别的bot的信息,加强了TrendMicro全球威胁信息网络,研发有利于银行及TrendMicro其他客户的清除模式.
制造业IT经理人如何评估安全产品的ROITDA通过对每一台终端计算机和企业网络状况的整体分析,针对企业的一百多种协议进行深度关联分析,可以识别违反安全策略,发现造成网络中断、消耗大量带宽或未经授权应用程序和服务程序,并提供完善的网络威胁日报、周报和月报信息,企业管理员可根据TDA收集提供的反馈报告信息制订相应的企业网络安全规划.
TDA集成了云安全技术,同时结合行为分析、关联分析和传统的病毒代码比对技术,可以迅速识别已知和未知网络威胁.
据了解,欣日兴在部署了趋势的TDA之后,可以自动获得了安全访问建议,从源端阻止对不良URL、邮件和文件的访问,降低网络安全风险,这一处理能力是传统的病毒代码比对所无法比拟的.
TDA价值与ROI(投资回报率)评估据了解,欣日兴从去年12月开始测试至今,在半年的时间里,通过TDA已经对大部分的网络应用内部的安全弱点进行了改善,由恶意软件所造成IT部门的困扰情况也大大降低.
而TDA的报表功能则将员工每个工时的价值和利用TDA防护到的安全威胁进行比对,假设没有使用TDA,这些威胁已经对系统造成了伤害,那么"(普通的终端使用者停滞工作的时间+网络管理员处理这项事件所用去的时间)*工时工资"就可以得到单位时间内ROI的值,然后将这个值累计下来就可以得到这项安全产品的投资汇报率.
陈副理特别指出,这里的ROI当然是把服务器受到威胁事件排除出去的情况,否则一次服务器的安全事件就可以使TDA的回报率成倍增长.
现在,有了TDA,欣日兴对于企业的网络安全情况了如指掌,哪些用户安装了某些特定软件哪些软件夹带着恶意软件哪个终端在自动通发MAIL陈经理都可以通过TDA的强大功能,对企业员工进行倡导并告知使用者勿安装的提示,让企图传播或传染其它用户的恶意软件,或者是往外泄漏信息或接受命令等网络威胁拒之门外.
TRENDMICRO威胁发现管理解决方案1111VI.
结论内部威胁将不可避免并且增长迅速.
网络罪犯则从盗窃企业网络泄漏的客户与商务资料中获利颇丰.
针对这种情况,TrendMicro开发了威胁发现管理解决方案,适用于检测、减轻并管理网络环境内的下一代威胁.
通过威胁发现管理解决方案,监控网络,阻拦传统安全产品不能检测出的隐藏的恶意软件与存在干扰性的应用程序.
与威胁发现管理服务协作,分析网络安全威胁环境.
清除网络环境并在受侵染的端点上执行策略实施以减轻威胁.
TrendMicro智能保护网络是一种内容安全基础设施,适用于帮助客户防范内部威胁.
威胁发现管理解决方案由TrendMicro智能保护网络控制,立即对恶意软件侵染事件作出响应,确保降低数据损失的风险.
该解决方案帮助公司在获取更多基础设施内侵染相关资料以及TrendMicro全球威胁信息的基础之上将会执行主动安全计划.
其它益处包括:应用高级行为检测与关联运算法则,及早检测出网络安全威胁,节省网络安全损害清除与控制成本;及早检测出存在干扰性的应用程序与服务,节省带宽与资源.
TrendMicro管理解决方案通过模式与行为分析,为现代内部网络提供全方位的保护.
TRENDMICRO威胁发现管理解决方案1212VII.
有关趋势科技趋势科技股份有限公司的网络内容安全技术在全球范围内居领先地位,强调保护客户与商务数字信息交流安全.
TrendMicro作为产业先锋,致力于研发全面的威胁发现管理技术,确保持续运营,防止个人资料与资产因恶意软件、网络垃圾、数据泄漏或最新网络威胁受到损失.
该解决方案灵活,适用范围广泛,招纳全球范围内的威胁信息专家提供技术支持.
趋势科技股份有限公司总部设在日本东京,其安全解决方案在全球范围销售.
详情请登录www.
trendmicro.
com.
cn脚注1TrendMicroStudy,9/15/05,http://trendmicro.
mediaroom.
com/index.
phps=43&item=962BusinessWire,"YankeeGroupRevealsNearly50MillionUSWorkersAreMobile,"6/27/05.
3AV-TestGmbH,www.
av-test.
org4MarkJewell,AssociatedPress,"Groups:RecordDataBreachesin2007,"http://attrition.
org/news/content/08-01-03.
001.
html.
5CindyWaxer,ITSecurity.
com,"TheTop5InternalSecurityThreats,"http://www.
itsecurity.
com/features/the-top-5-internal-security-threats-041207/,4/12/07.
6Gartnerpressrelease,10/08/07,http://www.
gartner.
com/it/page.
jspid=5294122008年,趋势科技股份有限公司版权所有.
保留所有权利.
TrendMicro与TrendMicro的t球标志均为趋势科技股份有限公司的商标或注册商标.
所有其它产品或公司名称可能是其各自所有者的商标或注册商标.