基于主机的入侵防御方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
应用程序
服务
...
邮件 网站 数据库
...
邮件客户端 办公软件 浏览器
交互式程序
文件
读/写 数据文件
注册表
每个程序只需要一组受限 的资源、访问权限就能完 成其正常工作
只读的 配置信息
网络
调用 指定的端口及设备
但是很多程序通常有远远 超出其工作需要的系统和 资源的访问权限
设备
Symantec Critical System Protection
• V a n d a lis m
• A u d it T ra il T a m p e rin g
• A d m in C h a n g e s
• T h eft
SNS + SCSP 赛门铁克能提供完整的入侵检测/入侵防护解决方案
Symantec Critical System Protection
Phase 3: A ttack R esources
wenku.baidu.com
• S c a n n in g & p ro b in g
Internet
• D e n ia l o f S e rv ic e • P a s s w o rd
• S p o o fin g
attack s
• P ro to c o l e x p lo its • P riv ile g e g ra b b in g
Symantec Critical System Protection
Symantec Confidential
18
SCSP的入侵检测功能
主机入侵检测
安装在主机上代理程序
文件
管理服务器
注册表
审计信息
Agent
操作系统日志
事件信息
-资产数据
-策略
数据库
-运Ag行en状t 态 事件数据
应用系统日志
Symantec Critical System Protection
时间
2005
Symantec Confidential
5
留给我们的时间真的不多—箭已发出
Code Red 的感染率每 37 分钟就翻一番。 Slammer 每 8.5 秒就翻一番,在 10 分钟之
内可感染 90% 未受保护的服务器!
一旦有漏洞公开披露,Blaster 只需 27 天就 可摧毁网络!
Symantec Confidential
7
Symantec 集成的IDS/IPS解决方案
Phase 1: D is c o v e r & M ap
Phase 2: P en etrate P e rim e te r
Phase 3: A ttack R esources
• S c a n n in g & p ro b in g
Symantec Confidential
14
攻击正在趋向简单化(续.)
主机程序
正常资源访问
操作系统 服务
...
DNS RPC Print Spooler
应用程序
服务
...
邮件 网站 数据库
...
邮件客户端 办公软件 浏览器
交互式程序
文件
读/写 数据文件
注册表
攻击者 “只诱读骗的” 程序去访问配置和信修息改
预防
• 怀有恶意的内部用户攻击系 统
• 未知攻击针对: • 内存 • 文件系统 • 注册表 • 操作系统 • 应用
• 终端用户违背企业安全策略
提供
• 防止零日攻击
• 加固日志系统, 日志转发, 和日 志监控
• 对无法立即安装补丁程序或锁 定的系统提供防护
• 企业级的报表功能
• 通过简单,集中的策略创建管 理系统降低企业用于资产保护 的成本
Symantec Critical System Protection
Symantec Confidential
10
保护企业中的关键业务主机
数据中心
▪ 数据库服务器 ▪ 互联网应用服务器 ▪ Web服务器 ▪ 邮件服务器 ▪ 后台办公系统 ▪ 定制的应用系统
公司内部
▪ 文件服务器 ▪ 打印服务器 ▪ 远程访问网关 ▪ 分布式系统
Symantec Critical System Protection
Symantec Confidential
16
SCSP在操作系统的最底层进行防护
User Applications
Core OS Service
Web, Database, Mail, etc.
Server security Agent
Server communications
-Download policy & configuration updates
- Upload logged events
SCSP
Kernel mode intercept driver
Behavior Control Agent
文件
注册表
缓存溢出
Pipes
Symantec Confidential
8
Symantec Critical System Protection(SCSP)
Symantec™ 的主机保护产品SCSP提供完成的主机入侵防护解决 方案,他能提供攻击防护、终端控制和安全事件监控和审计等功能以 确认企业内部多种平台的服务器的完整性和策略依从。
额网外络的系统资源
调用 指定的端口及设备
设备
暴露的资源
可执行程序和 关键的系统文件
关键的 注册表键值
建立 对外的网络连接 和本地网络服务
广泛的系统设备
Symantec Critical System Protection
Symantec Confidential
15
Symantec CSP Solution Overview
Symantec Confidential
20
SCSP入侵检测的工作模式
SCSP一般通过监视系统、事件、安全日志和端口调用来判别是否 有攻击发生 SCSP一旦发现攻击,会立即作出相应的响应动作,基于主机入侵 检测系统提供的响应方式比NIDS的要丰富 SCSP还可以通过监视可编辑的文件系统列表、注册表的变化来判 别是否有攻击事件发生 可以监视、响应针对某台系统的任何存取、修改、配置等动作
Symantec™ Critical System Protection v5.0 基于主机的入侵防御产品(IPS)
Presenter’s Name Date
议程
1 当前安全趋势 2 SCSP简介 3 SCSP的入侵防护功能(IPS) 4 SCSP的入侵检测功能(IDS) 5 SCSP的主要功能和特点 6 总结
23
SCSP的主要功能和特点
SCSP 5.0 支持的系统平台
Platform
Desktop
Prevention
Server
Monitoring
Microsoft Windows XP Windows® Windows 2000
Windows 2000 Server Windows Server 2003
Symantec Critical System Protection
Symantec Confidential
2
当前安全趋势
如何阻截已经射出的子弹?
Symantec Critical System Protection
Symantec Confidential
4
被动,使我们时刻处于下风—阻截飞行中的子弹
我们已经面临这样一种感染形势,即最新威胁的传播速度已经超出了我们的 响应能力 如果我们想要赢得这场战争,那么我们必需改变我们的策略
感染期 特征
响应期
程序
月
病毒
Macro 病毒
电子邮件
蠕虫
网络
天
之前
蠕虫
之后
自动化
自动化
小时
分钟 秒
感染期 特征响应期
Flash 蠕虫
1990 Symantec Critical System Protection
Symantec Critical System Protection
Symantec Confidential
22
日志的转发和合并
日志文件及其归档是完成,准确和可验证的,所以这些日志可用于计算 机犯罪的取证调证 日志文件被保存在Agent本地,也可以被转发 ▪ 可以设定过滤规则,只转发相关的安全事件到管理服务器
Symantec Critical System Protection
Symantec Confidential
21
SCSP的入侵检测功能是基于监控策略,实时监控
SCSP策略,默认按操作系统归类 未授权的系统配置更改 未授权的管理权限更改及滥用 失败登录 重要文件未授权访问和更改 注册表的更改(针对Windows平台) ……
Symantec Critical System Protection
在高峰期,每 12 封电子邮件就有 1 封 被 MyDoom 感染!
Symantec Confidential
6
典型的攻击步骤
Phase 1: D is c o v e r & M ap
Phase 2: P en etrate P e rim e te r
• T ro ja n H o rs e
• V a n d a lis m
• A u d it T ra il
T a m p e rin g
• A d m in C h a n g e s
• T h eft
基于网络的 IDS/IPS
基于主机的 IDS/IPS
Symantec Critical System Protection
网络
路径
系统调用
进程衍生
Windows 2000/XP/2003, Solaris, Linux
Symantec Critical System Protection
Symantec Confidential
17
防护能力
缓存溢出保护 操作系统加固 注册表保护 文件系统保护 定制攻击防护策略 主机防火墙功能 移动设备控帛 交互式程序控制 超级用户/管理员权限控制 操作系统审计日志的监控和响应
Symantec Critical System Protection
SAV 10.0 SCS 3.0 CSP 5.0
Symantec Confidential
12
SCSP的入侵防护功能
主动式预防 – 攻击正在趋向简单化
主机程序
正常资源访问
操作系统 服务
...
DNS RPC Print Spooler
智能报警……
Act
•主控台报警
•邮件通知
•SNMPSTyramp antec IPS •禁用c恶re意a帐t户es a “shell” •保存事a件r信o息u供n进d一步ea分c析h
• 转发日志到管理服务器供报表和分析
•基于策略p的r自o定g义r响am应动&作 service that defines acceptable behavior
▪ 在Agent本地的完整日志文件也能通过SSL方式被转发到管理服务
器,用于归档 日志文件的完整性在日志转发和归档时完成 日志文件在被转发到管理服务器时均被压缩 每条日志记录都是唯一的,可识别的
Symantec Critical System Protection
Symantec Confidential
Symantec Critical System Protection
Symantec Confidential
9
Why Symantec Critical System Protection?
目的
• 维持系统的策略依从 • 加固系统 • 入侵检测 • 入侵防护 • 减少管理复杂程度 • 提升产品的管理能力
Internet
• D e n ia l o f S e rv ic e • P a s s w o rd
• S p o o fin g
attack s
• P ro to c o l e x p lo its • P riv ile g e
g ra b b in g
• T ro ja n H o rs e
主机程序
操作系统 服务
...
DNS RPC Print Spooler
应用程序
...
邮件系统 Web 数据库
...
邮件客户端 办公软件 浏览器
交互式程序
SCSP在每个 程序或服务 定制一个外 壳(BCD),限 定其访问行
为
文件
读/写 数据文件
注册表
只读的 配置信息
网络
调用 指定的端口及设备
设备
Behavior Control Descriptions (BCDs) 限定每个应用程序允许访问的资源及其访问权限
高风险的客户端
▪ 移动用户 ▪ 高管的台式机 ▪ 保存机密的系统 ▪ 访问关键任务的系统 ▪ 缺少物理安全访问的系统 ▪ 信息终端(触摸屏)
Symantec Critical System Protection
Symantec Confidential
11
主机安全产品的功能覆盖
分类
防病毒及间谍/广告软件的移除 主机防火墙 网络攻击 操作系统加固 应用加固 系统资源的隔离和设备保护 恢复被攻击的终端 保护桌面电脑和服务器