亚信安全产品交流

深度威胁发现设备（TDA）
侦测
分析
响应
阻止
终端
数据中心
邮件
静态 析分
威胁发现设备TDA
云安全 智能防护网
络
网络
动态分 析（沙
行为 析分
多协议 关联分
盒）
析
深度威胁发现设备TDA
Web
SO动C联
TDA检测已知与未知威胁
• 网络硬件设备，旁路部署 • 内网安全管理的专用设备 • 快速威胁检测与定位，提高网络可视性
内网行为
管理
不安装客户端，非 客户端模式的网络
准入
控制各类软件和网游的 安装使用
USB
移动硬盘 智能手机 终端文档安全
进程/服务黑白名单
敏感文档不存留 终联端网之前终端无敏 感文事档后审计
限制文档 存留
强制运行信息安全控制软件 ，并提供修复 建议和链接 阻止不合规软件安装 强制关闭危险服务（如DHCP等），或启用 必要服务
同步黑名单至终 端安全 OSCE
办公网
攻击邮件
终端安全OSCE依据黑 名单进行查杀阻断
数据泄露联动响应
黑客 恶意网站
阻断
深度威胁安全网关 DE
联动之黑名单包含 ＊ 文档哈希值（SHA1） ＊ IP 地址 ＊ URL 网址 ＊域
深度威胁分析设备 DDAN
安全专责及 运维人员
进行沙盒分析 并产出黑名单
邮件安全
1. 垃圾邮件、恶意邮件过滤 2. 标题、正文、附件名称关键字过滤 3. 细化的邮件管理功能（拦截、隔离、
带标记转发、移除恶意附件等）
网关安全：Deep Edge
邮件安全：高级威胁邮件安全网关 DDEI
邮件网关安全：高级威胁邮件安全网关DDEI
邮件网关安全：高级威胁邮件安全网关DDEI
• 时间
• 流量管理
• IPS/IDS
• DDoS
高级内容安全
• APT/定向威胁防护
防护内容 • 零日攻击/漏洞防护 • C&C违规外联/僵尸网络防护 • 已知恶意软件/病毒/木马/蠕虫防护 • 未知高级恶意程序防护 • 恶意网站/分类网站防护 • 垃圾邮件/恶意邮件防护
安全 数据
传统防火墙
功能弱/性能差
高级持续性威胁攻击的6个阶段
1. 情报收集 使用公共信息资源（网络社交工具，如微信，微博，朋友圈等）收集并 研究目标对象的相关信息，准备实施定制化攻击
2. 单点突破 利用社交工程学等手段（Email/IM或隐藏式下载等）将恶意代码推送给 目标个体，创建后门，实施单点攻击突破，准备进一步网络渗透
3. 命令与控制 （C&C 通信） 被入侵的计算机通过部署在互联网的C&C服务器与攻击者保持通讯，获 取攻击者的指令及更多攻击工具，用于后续阶段的使用
通用类指标
主机安全
安全审计 入侵防范 恶意代码防范 身份鉴别 安全标记 访问控制 可信路径 剩余信息保护 资源控制
业务信息安全性指标
应用安全
安全审计 剩余信息保护 通讯完整性
抗抵赖 身份鉴别 安全标记 访问控制 可信路径 通讯完整性* 通讯保密性 抗抵赖* 剩余信息保护* 资源控制 软件容错
业务服务保证类指标
网络威胁可视、定位、可处理： 深度威胁发现设备TDA+沙箱
网络威胁可见、定位、可处理：深度威胁发现设备TDA
互联网
镜像流量
TDA
xxx.xxx.xxx.xx x
核心交换机
镜像流量
数据中心 办公网 移动设备等
aptcommand.com
深层检测所有经由网路的攻击行为
可分析包含互联网协议（网页，电子邮件等）以及内网协 议（网络邻居等）等超过100以上的网路协议与应用程式
黑名单联动防止 违规外连
进行网络活动 以及样本分析
深度威胁发现设备 TDA
态势感知 高级威胁调查取证
提交日志至态势感知平台或调查取证平台，由 安全专责人员进行攻击溯源以及进一步的调查
数据中心
办公网
内网攻击试图感染 重要业务服务器
透过使用受感染U盘或是造 访合法之互联网服务（如云 盘等）或其他方式导致感染
勒索病毒
勒索病毒对信息业界带来的影响
1、简单粗暴的木马、蠕虫
APT攻击 ；
2、“已知威胁” “未知威胁”
3、传统的“网络边界隔离+访问控制策略”保护手段在新 一代网络攻击面前失效，“动态监控+态势感知、身份授 权+行为审计”全面保障；
4、大部分用户对安全建设重视度不足；
什么是APT攻击
高级持续性威胁(Advanced Persistent Threat，APT)，威胁着企业的数据安全。APT 是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄 谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高 度的隐蔽性。 ➢ 利用零日漏洞或核武器级别的攻击工具 ➢ 传统网关型产品（IDS，IPS）无法检测以及抵御 ➢ 内网潜伏以及扩散能力强 ➢ 造成企业及目标组织重大损失
亚信安全产品交流
2020/8/5
亚信安全公司介绍
网络安全的风口及关键词
网安法
勒索病毒 WannaCry
APT 攻击
等保2.0
网络安全法—2017年6月1日正式实施
一般规定
4、网络信息安全 5、监控预警与应急处置 6、法律责任 7、附则
关键信息基础设施的运行安全
网络安全法—2017年6月1日正式实施
基于 虚拟主
机 部署
无代理安全
传统部署
VM VM VM VM VM
VM VM VM
VM VM VM VM VM
无代理 安全防护
病毒库 过期
资源消 耗
• 防病毒• 完整性监控
• •
入侵检测 虚拟补丁 •
Web 应用•防防护火墙
虚拟机 流量监
控
管理成 本
实现方式
安全 虚拟机
杀毒 模块
防火 墙
系统 监控
TDA与IDS对比
定位
侦测
管理成本
IDS
•侦测外部攻击
•侦测黑客行为
•以规则/特征码为侦测 基础 •封包分析 •侦测:
*蠕虫类网络病毒 *阻断式攻击 • IPS具阻断的功能
TDA的三大优势
在发现和定位之后， 将安全威胁转化为详 细的处理措施并进行 落实。
可见性
从网络层到应用层的多种协 议流量情况尽在眼中，可疑 活动都看得一清二楚。
可处理
定位准
基于云安全、多协议 关联分析和代码比对 等技术，快速定位高 危节点和攻击型态。
零日漏洞联动响应
黑客 恶意网站
僵违尸规网外络链 违规外连
1. IPS规则最全，性能最高 2. 全球IPS核心技术提供商 3. 业界首创的虚拟补丁技术 4. 漏洞侦测能力强 5. 漏洞响应快
虚拟补丁 IPS
防火墙
安全VPN
1. IPSec/SSL/Mobile VPN 2. 多WAN/IPS VPN接入 3. VPN数据过滤（AV/URLF） 4. 终端无代理Mobile VPN 5. 无终端用户数限制
攻击邮件
阻断
深度威胁安全网关 DE
联动之黑名单包含 ＊ 文档哈希值（SHA1） ＊ IP 地址 ＊ URL 网址 ＊域
中央管理 TMCM
深度威胁分析设备 DDAN
进行沙盒分析 并产出黑名单
黑名单联动阻断 网络恶意链接
进行网络活动 以及样本分析
深度威胁发现设备 TDA
提交黑名单至 TMCM管理中心
数据中心
国内首家成功抵御
亚信安全四层安全防护 电子邮件和网站防护
端点防护 网络防护
服务器防护
事前、事中、事Hale Waihona Puke Baidu的安全策略
配合专业的安全服务
强调补丁管理、异常行为检测、沙箱分析等技术手段
通过以机器学习技术为核心的桌面安全解决方案OfficeScan11 SP1成功抵御！
5月17日
大篇幅报道亚信 安全防御 WannaCry
应用防火墙/UTM
功能弱/性能差
Deep Edge （全方位、高性能、高级内容防护）
网关安全：Deep Edge 防病毒
四大安全模块
APT防护 勒索软件防护
1. 防病毒、木马、蠕虫、僵尸网络等恶意程序 2. 防未知高级恶意程序及C&C违规外联 3. 防加密勒索软件 4. URL过滤及分类
Web信誉
真实呈现高级威胁攻击的阶段信息，让管理者可以针对不 同阶段的攻击采取适当的应变措施。
可与外部沙箱模块 DDAN 协同运作，贡献侦测分析结果于 本地回路，持续加强下一次的分析。
透过与深度威胁情报中心 TMCM，搭配终端安全OSCE， 服务器安全 DS，以及网络安全 DE 真正达到多点实时响应。
与亚信安全态势感知平台整合，实现企业内威胁溯源以及 攻击脉络分析，协助管理者提供溯源报告以及风险管控。
网络运营者要做的事
1、确认内部存有用户个人信息的系统的状况（员工&客 户）； 2、使用用户个人信息时，提前告知使用的用途和规则； 3、建立保障用户信息的制度及技术，保障信息不被泄露； 4、严控网络不被控制，建立投诉响应管道，配合公安机 关取证调研；
关键信息基础设施要做的事
1、网络运营者的所有义务； 2、按照第三十四条法规进行安全建设（专人、政审； 定期技能考核；重要系统灾备；应急预案制定）； 3、采购产品和服务需通过国信办的安全审查； 4、数据向境外提供需要按照国信办制定的办法进行 评估； 5、至少每年一次的安全评估。
应用 保护
入侵 防护
虚拟 补丁
和虚拟环境直 接集成
超过
20,000+
家企业客户选 择了亚信安全 云端安全产品
网关安全：深度威胁防护网关 Deep Edge
网关安全：Deep Edge
基本过滤
应用协议过滤
未知 数据
• 源 IP/Port
• 应用识别
防护策略 • 目标 IP/Port
• 应用管理 • 用户管理
4. 横向移动 攻击者立足之后，会渗透更多的内部设备，收集凭证、提升权限级别， 实现持久控制
5.资产/资料发掘 攻击者使用一些技术和工具手段识别有价值的服务器及存放在这些服务 器上的重要信息资产
6.资料窃取 在收集了敏感信息之后，攻击者将把数据归集起来进行压缩和加密，再 通过外部暂存服务器将数据外传出去
数据安全
数据完整性 数据保密性 备份和恢复
网络运营者要做的事
1、按照等保2级或以上进行网络安全架构的设计； 2、按照第二十一条法规进行安全建设（立规、问责；防 病毒、防攻击的基础设施；留存6个月的日志；数据分类、 备份、加密）； 3、使用合规产品（销售许可证、央采网、国产软件等级 证等） 4、网内用户实名制； 5、定期自检。
互联网
核心交换机 （镜像流量）
数据中 心 办公网
笔记本与移动设备
威胁发现设备TDA
TDA能够从网络中检测100+种协议， 多种作业平台的威胁，提早告警用户
动态分析——沙盒
文件系统 变化
程序活动
注册表变 更
内存改变
网络活动
文档 沙盒环境
系统变动, 网络封包 程序调用分析
加入TDA 静态侦测规则
500+ 基准规 则关联
有效的高级威胁防护策略
强化全网可视化
终端安全
服务器安全
关注点
关注点
关注点 网关安全、邮件安全
终端安全：防病毒软件+终端管控
终端安全：防病毒软件+终端管控 OfficeScan+TMCM
OSCE优势：
➢ 人工智能，机器学习 ➢ 性能（30%-50%优化） ➢ 第三方测试，多年连续排名第一 ➢ 超过300万个终端部署 ➢ 具有丰富的企业场景优化和部署经验 ➢ 可按需增加“终端管控”
5 月 13 日 5 月 13 日
与国家计算机病毒应急处理中心 推荐用户下载专杀工具
确保所有用户产品 配置到位免受威胁
与四川公安共同 发布勒索病毒预警
终端准入控制：六大功能模块，打造内网合规终端
控制各种违规外联行为
ADSL终端ISDN终端Modem 路由器 3G设备 移动存储设备管理
控制终端网络 状态 基于协议的 监控 基于端口的 监控
！
服务器深度防御系统：Deep Security
服务器深度防御系统：Deep Security
适应各种环境
Deep Security 灵活适应各种环 境 防护超过22种平 台 保护超过56种应 用/服务系统
物理机
虚拟机
云
服务器深度安全防护DeepSecurity
基于 虚拟机 的部署
从有代理 ->到无代理
刑事责任
网络安全法—2017年6月1日正式实施
网络安全法—2017年6月1日正式实施
受侵害的客体
受侵害的程度
一般损 严重损 特别严重
害
害
损害
公民、法人和其他组 第一级 第二级 织的合法权益
第三级
社会秩序、公共利益 第二级 第三级
国家安全
第三级 第四级
第四级 第五级
网络安全
结构安全 访问控制 安全审计 入侵防范 恶意代码防范 网络设备保护 边界完整性检查
5 月 12 日 15:00
亚信安全即时向全国 用户发布预警&措施
亚信安全接到 第
1起某省级运营
商的报案
5 月 12 日 15:10
5 月 14 日零点
再次确认所有部署亚信安全 OfficeScan11SP1的用户全部幸 免WannaCry的勒索！
5 月 13 日 5 月 13 日
为运营商│公安│学校│医院│银行等>100家 客户提供现场PSP服务，确保所有客户免遭 勒索！