3 第二届云安全联盟高峰论坛-云时代下的安全实践-绿盟科技-吴云坤
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
传统攻击
• 追求影响的广泛性 • 利用通用软件漏洞 • 常利用公开的漏洞
• •
Stuxnet
• 攻击极富目的性 • 针对行业应用软件 • 多个全新0Day漏洞 • 顺利渗透内部专用网
• 很难突破物理隔离
白宫《网络空间国际战略》出炉
• 整容强大的发布 • 核心原则:基本自由、隐私、信息的自由流 动 • 主要内容:发展,大部分网络保护、网络治 理、网络对抗是重点 • 关键点:保护互联网自由与隐私,受到威胁 时采用军事、经济、政治等手段反击。
从用户层面看
SNS and Virtualized world More people and biz becoming socialized Security concerns up -> down
镜像 安全
边界 的消除 受攻击
虚拟化 安全
对可视 化的挑 战
面扩大
对传统 安全模 型的挑
安全动态防护 预警、评估、防护、 检测、应急、恢复、 取证
全面的安全研 究规划和路线
图
安全建设的驱动力
第二届云安全联盟(CSA)高峰论坛
驱动力拆解
可预知
行业方向
业务发展
(国庆/世博)
标准规范 能力提升 安全技术发展
敏感时期
政策合规 安全事件
时间轴
(519/恶意订购)
难于预知
新的挑战需要新的方法
Black Hat USA 2011 DEF CON 2011
神啊,给我一串代码吧,我家的电表读数老是居高不下!
传统互联网安全形势严峻
网银频出惊魂300秒,客户百万瞬间被洗劫
2010 年,中国大陆: 34845个网站被黑客篡改, 被挂马站点数维25414.
Source: CNCERT/CC
依靠工业化手段迅速蔓延全球的僵尸网络
安全关注点的转移
• 国家和行业标准化组织出台了众多更加严格的政策及合规要求
– – – More laws, regulations on cyber data security, privacy, etc. PCI-DSS, ISO27001, SOX, HIPAA, etc. 国家之间的利益对抗也逐步转移到cyber space上
3. 业务网 • 数据业务网安全 恶意订购、恶意使用 短信欺诈、广告检测和过滤、 接入网站的监控 业务异常监控、信息防泄露 第三方互联安全/程序安全 客户终端安全/终端应用程序安全 • 新型开放式系统平台 第三方接入和能力调用安全、能力 提供网关安全 第三方程序安全/节目或服务的审 查
• 跳出以往单纯的软硬件实体的采购思路,回归本质——信 息安全是一种服务和能力,更应关注安全本身。
安全能力建设规划讨论
预警能力 • 自动化预警平 台
评估能力 • 业务安全评估工 具、平台 • 新兴安全攻击技 术研究 • 安全风险分析 • 自评估、自动化 评估 防护能力 • 密码技术研究 • 系统安全技术体系 构建防护 • 系统安全保障管理 与技术体系 • 信息防泄漏研究 • 认证和访问控制技 术 • 机机间接口安全信 任机制研究 • 安全合规管理平台 研究
• 信誉数据
– 对web、文件、邮件、IP分析,构建安全信誉库 – 蜜罐主动检测、检测沙箱、用户行为、基础漏洞数据等
• 安全事件数据
– 通过IDS、蜜网、流量分析等采集各种安全事件数据, – 分析安全事件的威胁、脆弱性、影响、处置对策,构成安全事件库
• 合规数据
– 业界规范、标准、法规解读与研究,构建合规数据库 – 国际标准组织、行业法规等
第二届云安全联盟(CSA)高峰论坛
态势感知系统体系及数据融合模型
可视化技术 及模型
可视化展示层
多任务\多视角\多维视图
安全智能技术 的集中体现
智能分析层
智能信息分析\处理与预测 模型\算法\知识库 依据不同的数据源和任务处理要求选择不同的模型和算法
数据采集层
多源数据的采集\分类及归一化处理
数据源1
网络虚拟空间的安全智能
发现异常,感知趋势
面临繁多的安全威胁
1. 接入网 • 无线接入网安全 主叫伪造、恶意接入、监听 • WLAN无线接入安全 蹭网、通信监听、session攻 击 • 卫星通信安全 • 物联网安全
2. 承载和交换 • CMNet安全、IP承载网安 全 DDOS攻击、异常流量、未 知攻击 • CM-IMS安全 • 移动互联网安全 • GPRS网络安全
检测和监控能力 • 用户鉴别技术研究 • 检测技术研究 • 业务应用安全检测 工具 • 业务实时安全检测 系统平台 • Honeynet • 攻击溯源技术研究 • Botnet发现及跟踪 • 钓鱼网站检测 • 内容监控和过滤
取证能力 •日志分析技术研究 •攻击取证技术研究 灾难恢复能力 • 灾难检测技术研究 • 系统容灾能力研究
应急响应能力 • 应急方案研究
安全智能是下一代安全的关键能力
特征检测 行为识别 信誉技术
Global & Cross Enterprise
Intelligence
Self-Healing More business Awareness
Enterprise
Device Session Packet 数据 决策引擎 行动
Cloud Brokers and service integration Start-ups ++=
HighCloud(Hypervisor<->Storage), CERTES(Cloud WAN Encryption), Vordel(Cloud broker), Layer7(Integration and SSO, etc.), etc.
数据源2
数据3
……
数据源n
网络安全态势评估过程中,将涉及到数据融合、信息关联分析以及智能决策等众多 的信息智能分析与处理技术,是安全智能研究领域最为重要的应用领域
安全智能的核心
传统的软硬件 依赖人的专业 产品 化服务
如:FW/IDS/IPS 如:评估咨询
SaaS/MSS
如:流量清洗/网 站监控
虚拟化 安全设备
如:镜像FW
服务来自百度文库式
早期风险 预警
实时检测 威胁
防护与安 全响应
故障应急 处置
安全能力
Knowledge
漏洞数据、信誉数据、威胁数据、安全事件数据、合规数据
第二届云安全联盟(CSA)高峰论坛
安全能力
• 漏洞数据
– 对应用与平台的脆弱性研究,构建安全漏洞库 – Fuzzing、Reverse Engineering、Code Analysis、Framework to auto soft security QA
• 威胁数据
– 检测和研究各种攻击,分析趋势,构建威胁库 – 拒绝服务、Trojan/Backdoor、Hijacking/Spoofing/渗透测试、社会工程
http://www.zdnet.co.uk/news/security-threats/2010/03/16/how-the-butterfly-botnet-was-broken-40088328/
来自于防守方的动态
• 热点1 • 热点2
– 云安全、安全云继续受到热捧和关注
– 主流厂商扩充产品线,实现虚拟化安全应用 – NGFW(下一代防火墙)成为网络安全厂商的主要话题 – 风险管理、合规管理及安全度量(Risk Management & SIEM)与Cloud的结合,更加集中化 – 移动互联网安全也是一个热点,中小公司进入该领域的较 多,大部分方案为横跨Android、Apple平台的手机终端安 全。比如,Mobile设备的敏感数据保护
• 我们拥有
– Professional Services – 硬件盒子 – 软件+license
• 我们需要
– 满足大规模计算需求,快速动态更新安全能力,按需提供安全业务能力 – 行为关联、分析和挖掘的引擎,以威胁者入侵行为的视角审视海量的日志, 以进行分析、追踪和取证 – 确保合规体系的落地工具和方法,不仅重在检查,更重在可运营、可管理的 系统
4. 支撑网 • BOSS 客户信息泄露、企业机密泄露 卡信息篡改 • 网管 远程接入安全,行为审计,内部攻击
安全规划的不同维度,如何进行规划?!
网络架构 部分:接入网、传输网、载网、 控制与交换、业务网、支撑网 整体:区域安全、整体安全
系统的生命周期 规划、设计、开发、 测试、上线、运维、 退网
•
HTTP is new TCP!以位置为中心的安全模型已逐步向以身份/数据为中心 的安全模型
– – 用户在漫游,企业的边界在逐步消失 社交网络/IM/P2P也在不断侵蚀着传统企业的边界 云计算的安全问题成为所有打算采用云模式的用户最关注问题 Web2.0不仅带来了信任危机,同时也成为各种恶意行为的载体
Mariposa -> Butterfly
At its height, the Mariposa botnet consisted of about 13 million computers in 190 countries. A joint operation by researchers from Canadian security firm Defense Intelligence and Spain's PandaLabs, in conjunction with the FBI and the Guardia Civil, led to the arrest of three men in Spain earlier this month in connection with the Mariposa botnet.
• 热点3
• 热点4 • 热点5
云安全、安全云(SECaaS)继续受到热捧
从咨询机构来看
Gartner Predict - CIO Top Priority Survey 2011
Cloud, Virtualization, and Mobile Internet
从产业链发展看
• 95% of user-generated comments to blogs, chat rooms and message boards are spam or malicious • 77% of Web sites with malicious code are legitimate sites that have been compromised. • 57% of data-stealing attacks are conducted over the Web. • 37% of malicious Web/HTTP attacks included data-stealing code. Source: “State of Internet Security, Q1 – Q2, 2009”, Websense Security Labs
战
地下黑色产业链之外的国家利益
• • Stuxnet蠕虫(俗称“震网”、“双子”)在2010年7月开始爆发 利用了微软操作系统中至少4个漏洞,其中有3个全新的零日漏洞;伪造驱动程序的 数字签名;突破工业专用局域网的物理隔离限制;利用WinCC系统2个漏洞,对其开 展破坏性攻击 它是第一个直接破坏现实世界中工业基础设施的恶意代码。据统计,目前全球已有 约45000个网络被该蠕虫感染,其中60%的受害主机位于伊朗境内。 伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。 从时间、技术、手段、目的、攻击行为等多方面来看, 完全可以认为发起此次攻击的不是一般的攻击者或组织
第二届云安全联盟(CSA)高峰论坛 www.nsfocus.com nsfocus.com
© 2011 绿盟科技
云时代下的安全实践
安全形势变化与挑战 安全建设新思路
绿盟科技
2011-10- 31
www.nsfocus.com nsfocus.com
© 2011 绿盟科技
安全形势变化与挑战
安全热门事件
•
新的IT应用技术的发展带来了新的安全问题
– –
•
基于社会工程学的攻击方式逐渐成为新宠,黑客技术不再是高超的溜门撬锁 的技巧,而是复古且简单的实用方法
– Phishing、FUD(Fear Uncertainty Doubt )、社交网站欺诈等成为网络安全的软肋
•
尽管存在众多安全行业的新热点,但漏洞、补丁和认证依然是现今大家最关 心的问题
• 追求影响的广泛性 • 利用通用软件漏洞 • 常利用公开的漏洞
• •
Stuxnet
• 攻击极富目的性 • 针对行业应用软件 • 多个全新0Day漏洞 • 顺利渗透内部专用网
• 很难突破物理隔离
白宫《网络空间国际战略》出炉
• 整容强大的发布 • 核心原则:基本自由、隐私、信息的自由流 动 • 主要内容:发展,大部分网络保护、网络治 理、网络对抗是重点 • 关键点:保护互联网自由与隐私,受到威胁 时采用军事、经济、政治等手段反击。
从用户层面看
SNS and Virtualized world More people and biz becoming socialized Security concerns up -> down
镜像 安全
边界 的消除 受攻击
虚拟化 安全
对可视 化的挑 战
面扩大
对传统 安全模 型的挑
安全动态防护 预警、评估、防护、 检测、应急、恢复、 取证
全面的安全研 究规划和路线
图
安全建设的驱动力
第二届云安全联盟(CSA)高峰论坛
驱动力拆解
可预知
行业方向
业务发展
(国庆/世博)
标准规范 能力提升 安全技术发展
敏感时期
政策合规 安全事件
时间轴
(519/恶意订购)
难于预知
新的挑战需要新的方法
Black Hat USA 2011 DEF CON 2011
神啊,给我一串代码吧,我家的电表读数老是居高不下!
传统互联网安全形势严峻
网银频出惊魂300秒,客户百万瞬间被洗劫
2010 年,中国大陆: 34845个网站被黑客篡改, 被挂马站点数维25414.
Source: CNCERT/CC
依靠工业化手段迅速蔓延全球的僵尸网络
安全关注点的转移
• 国家和行业标准化组织出台了众多更加严格的政策及合规要求
– – – More laws, regulations on cyber data security, privacy, etc. PCI-DSS, ISO27001, SOX, HIPAA, etc. 国家之间的利益对抗也逐步转移到cyber space上
3. 业务网 • 数据业务网安全 恶意订购、恶意使用 短信欺诈、广告检测和过滤、 接入网站的监控 业务异常监控、信息防泄露 第三方互联安全/程序安全 客户终端安全/终端应用程序安全 • 新型开放式系统平台 第三方接入和能力调用安全、能力 提供网关安全 第三方程序安全/节目或服务的审 查
• 跳出以往单纯的软硬件实体的采购思路,回归本质——信 息安全是一种服务和能力,更应关注安全本身。
安全能力建设规划讨论
预警能力 • 自动化预警平 台
评估能力 • 业务安全评估工 具、平台 • 新兴安全攻击技 术研究 • 安全风险分析 • 自评估、自动化 评估 防护能力 • 密码技术研究 • 系统安全技术体系 构建防护 • 系统安全保障管理 与技术体系 • 信息防泄漏研究 • 认证和访问控制技 术 • 机机间接口安全信 任机制研究 • 安全合规管理平台 研究
• 信誉数据
– 对web、文件、邮件、IP分析,构建安全信誉库 – 蜜罐主动检测、检测沙箱、用户行为、基础漏洞数据等
• 安全事件数据
– 通过IDS、蜜网、流量分析等采集各种安全事件数据, – 分析安全事件的威胁、脆弱性、影响、处置对策,构成安全事件库
• 合规数据
– 业界规范、标准、法规解读与研究,构建合规数据库 – 国际标准组织、行业法规等
第二届云安全联盟(CSA)高峰论坛
态势感知系统体系及数据融合模型
可视化技术 及模型
可视化展示层
多任务\多视角\多维视图
安全智能技术 的集中体现
智能分析层
智能信息分析\处理与预测 模型\算法\知识库 依据不同的数据源和任务处理要求选择不同的模型和算法
数据采集层
多源数据的采集\分类及归一化处理
数据源1
网络虚拟空间的安全智能
发现异常,感知趋势
面临繁多的安全威胁
1. 接入网 • 无线接入网安全 主叫伪造、恶意接入、监听 • WLAN无线接入安全 蹭网、通信监听、session攻 击 • 卫星通信安全 • 物联网安全
2. 承载和交换 • CMNet安全、IP承载网安 全 DDOS攻击、异常流量、未 知攻击 • CM-IMS安全 • 移动互联网安全 • GPRS网络安全
检测和监控能力 • 用户鉴别技术研究 • 检测技术研究 • 业务应用安全检测 工具 • 业务实时安全检测 系统平台 • Honeynet • 攻击溯源技术研究 • Botnet发现及跟踪 • 钓鱼网站检测 • 内容监控和过滤
取证能力 •日志分析技术研究 •攻击取证技术研究 灾难恢复能力 • 灾难检测技术研究 • 系统容灾能力研究
应急响应能力 • 应急方案研究
安全智能是下一代安全的关键能力
特征检测 行为识别 信誉技术
Global & Cross Enterprise
Intelligence
Self-Healing More business Awareness
Enterprise
Device Session Packet 数据 决策引擎 行动
Cloud Brokers and service integration Start-ups ++=
HighCloud(Hypervisor<->Storage), CERTES(Cloud WAN Encryption), Vordel(Cloud broker), Layer7(Integration and SSO, etc.), etc.
数据源2
数据3
……
数据源n
网络安全态势评估过程中,将涉及到数据融合、信息关联分析以及智能决策等众多 的信息智能分析与处理技术,是安全智能研究领域最为重要的应用领域
安全智能的核心
传统的软硬件 依赖人的专业 产品 化服务
如:FW/IDS/IPS 如:评估咨询
SaaS/MSS
如:流量清洗/网 站监控
虚拟化 安全设备
如:镜像FW
服务来自百度文库式
早期风险 预警
实时检测 威胁
防护与安 全响应
故障应急 处置
安全能力
Knowledge
漏洞数据、信誉数据、威胁数据、安全事件数据、合规数据
第二届云安全联盟(CSA)高峰论坛
安全能力
• 漏洞数据
– 对应用与平台的脆弱性研究,构建安全漏洞库 – Fuzzing、Reverse Engineering、Code Analysis、Framework to auto soft security QA
• 威胁数据
– 检测和研究各种攻击,分析趋势,构建威胁库 – 拒绝服务、Trojan/Backdoor、Hijacking/Spoofing/渗透测试、社会工程
http://www.zdnet.co.uk/news/security-threats/2010/03/16/how-the-butterfly-botnet-was-broken-40088328/
来自于防守方的动态
• 热点1 • 热点2
– 云安全、安全云继续受到热捧和关注
– 主流厂商扩充产品线,实现虚拟化安全应用 – NGFW(下一代防火墙)成为网络安全厂商的主要话题 – 风险管理、合规管理及安全度量(Risk Management & SIEM)与Cloud的结合,更加集中化 – 移动互联网安全也是一个热点,中小公司进入该领域的较 多,大部分方案为横跨Android、Apple平台的手机终端安 全。比如,Mobile设备的敏感数据保护
• 我们拥有
– Professional Services – 硬件盒子 – 软件+license
• 我们需要
– 满足大规模计算需求,快速动态更新安全能力,按需提供安全业务能力 – 行为关联、分析和挖掘的引擎,以威胁者入侵行为的视角审视海量的日志, 以进行分析、追踪和取证 – 确保合规体系的落地工具和方法,不仅重在检查,更重在可运营、可管理的 系统
4. 支撑网 • BOSS 客户信息泄露、企业机密泄露 卡信息篡改 • 网管 远程接入安全,行为审计,内部攻击
安全规划的不同维度,如何进行规划?!
网络架构 部分:接入网、传输网、载网、 控制与交换、业务网、支撑网 整体:区域安全、整体安全
系统的生命周期 规划、设计、开发、 测试、上线、运维、 退网
•
HTTP is new TCP!以位置为中心的安全模型已逐步向以身份/数据为中心 的安全模型
– – 用户在漫游,企业的边界在逐步消失 社交网络/IM/P2P也在不断侵蚀着传统企业的边界 云计算的安全问题成为所有打算采用云模式的用户最关注问题 Web2.0不仅带来了信任危机,同时也成为各种恶意行为的载体
Mariposa -> Butterfly
At its height, the Mariposa botnet consisted of about 13 million computers in 190 countries. A joint operation by researchers from Canadian security firm Defense Intelligence and Spain's PandaLabs, in conjunction with the FBI and the Guardia Civil, led to the arrest of three men in Spain earlier this month in connection with the Mariposa botnet.
• 热点3
• 热点4 • 热点5
云安全、安全云(SECaaS)继续受到热捧
从咨询机构来看
Gartner Predict - CIO Top Priority Survey 2011
Cloud, Virtualization, and Mobile Internet
从产业链发展看
• 95% of user-generated comments to blogs, chat rooms and message boards are spam or malicious • 77% of Web sites with malicious code are legitimate sites that have been compromised. • 57% of data-stealing attacks are conducted over the Web. • 37% of malicious Web/HTTP attacks included data-stealing code. Source: “State of Internet Security, Q1 – Q2, 2009”, Websense Security Labs
战
地下黑色产业链之外的国家利益
• • Stuxnet蠕虫(俗称“震网”、“双子”)在2010年7月开始爆发 利用了微软操作系统中至少4个漏洞,其中有3个全新的零日漏洞;伪造驱动程序的 数字签名;突破工业专用局域网的物理隔离限制;利用WinCC系统2个漏洞,对其开 展破坏性攻击 它是第一个直接破坏现实世界中工业基础设施的恶意代码。据统计,目前全球已有 约45000个网络被该蠕虫感染,其中60%的受害主机位于伊朗境内。 伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。 从时间、技术、手段、目的、攻击行为等多方面来看, 完全可以认为发起此次攻击的不是一般的攻击者或组织
第二届云安全联盟(CSA)高峰论坛 www.nsfocus.com nsfocus.com
© 2011 绿盟科技
云时代下的安全实践
安全形势变化与挑战 安全建设新思路
绿盟科技
2011-10- 31
www.nsfocus.com nsfocus.com
© 2011 绿盟科技
安全形势变化与挑战
安全热门事件
•
新的IT应用技术的发展带来了新的安全问题
– –
•
基于社会工程学的攻击方式逐渐成为新宠,黑客技术不再是高超的溜门撬锁 的技巧,而是复古且简单的实用方法
– Phishing、FUD(Fear Uncertainty Doubt )、社交网站欺诈等成为网络安全的软肋
•
尽管存在众多安全行业的新热点,但漏洞、补丁和认证依然是现今大家最关 心的问题