Presentation is loading. Please wait.

Presentation is loading. Please wait.

深度解析 --- 云安全 申鹤 产品技术顾问 电话: (010)85252277-336 手机: 15901076759

Similar presentations


Presentation on theme: "深度解析 --- 云安全 申鹤 产品技术顾问 电话: (010)85252277-336 手机: 15901076759"— Presentation transcript:

1 深度解析 --- 云安全 申鹤 产品技术顾问 电话: (010)85252277-336 手机: 15901076759 Crane_shen@trendmicro.com.cn

2 主要内容 云计算时代的来临 各厂商云安全解析 趋势科技云安全详解 云安全防护效果评测

3 何为云计算? 透过网络控制应用软件和计算资源,以在线租赁方式供用户使用

4 谁在部署云计算?

5 目前有哪些云计算应用? 1 、 SaaS 软件即服务 2 、公用 / 效用计算 3 、云计算领域的 WEB 服务 4 、平台即服务 PaaS 5 、管理服务供应商 (MSP) 6 、服务商业平台 7 、云计算集成

6 什么是云安全? “ 云安全 ” 是云计算的一种具体应用,但又有自 己的特点。 – 行为判断 – 设备控制 –Web 信誉 –Mail 信誉 – 关联分析 –……

7 各厂商 “ 云安全 ” 解析 Macfee kaspersky Symantec 瑞星 金山 趋势

8 McAfee 云安全 Artemis 工作流程

9 McAfee 云安全 Artemis 应用 迈克菲 Artemis 技术可以被部署安装在迈克菲终端产品中: McAfee VirusScan Enterprise McAfee Total Protection Service McAfee VirusScan Plus 优势: 把防护时间差从几小时或几天缩短到几秒 通过动态云服务,实现更高的恶意软件检测率 整合最佳的黑名单和白名单模型 可以和迈克菲终端产品实现无缝授权,易于安装

10 卡巴斯基云安全 IT168 King :卡巴斯基实际上从 8.0 开始就提到云安全 的概念,经过 8.0 版本一年中的演变,到现在 2010 版本。 那么,卡巴斯基的云安全在新版中起到什么样的作用 ? 卡巴斯基产品部高经理:其实,我们不像其他厂商把云 安全作为宣传的重点。对于卡巴斯基来讲,我们的云安全 体系还只是增强型的传统反病毒数据库。云安全技术在卡 巴斯基看来只是一个传统的反病毒技术的革新,还算不上 一种创新,一种改革,或者说一种演进。

11 卡巴斯基云安全网络 云安全网络 ( 卡巴斯基称作 “ 卡巴斯基安全网络 ”) 加快对新威胁的响应速度,以期在新威胁产生后的最短时 间内,就能够具备相应的识别能力。于是,就有了云安全 。另一方面,就是提供一种前摄保护系统,可以预先对安 全性未知的程序进行安全分析,乃至于进行安全分级,对 不同安全级别的未知程序进行分级的权限控制,防止它们 可能对系统造成的破坏,这样就可以在新的恶意威胁产生 前,对其具备免疫能力,是更加先进和高效的防御技术。 卡巴斯基目作为行业内第一家使用该技术的厂商,将其命 名为 “ 应用程序控制 ”

12 Symantec 云安全 赛门铁克於 2008 年并购了 MessageLabs ,结合云安全与 软件即服务 (SaaS) 的商业模式 赛门铁克新品诺顿 2010 版杀毒软件最大的卖点是其使用的 Quorum 云安全技术,赛门铁克公司介绍这是一个实时的 基于信誉评级的全球云防护技术,用于跟踪文件、应用程 序及各种属性。诺顿通过收集与分析软件、文件的 “ 指纹 信息 ” ,汇集成库。当用户下载、打开这些软件或文件时 , Quorum 便向用户展示这些内容的信誉度,以帮助用户 确实其是否恶意。 赛门铁克公司表示, Quorum 的研发工作耗时三年,目前 Quorum 已经分析了四亿八千万软件,未来将侧重本地化 软件的收集及分析。

13 瑞星云安全架构

14 瑞星云安全的应用与特点 安装 “ 瑞星卡卡 ” 后,病毒一旦感染您的电脑,就会被 “ 云安 全 ” 捕获,上传到服务器,几秒钟后,系统会将把分析结 果反馈回来,您可以利用 “ 云安全 ” 客户端杀掉这个病毒, 这个分析结果也会分享给他人,使他们不会再被该病毒感 染。 瑞星 “ 云安全 ” 的四大特色 海量的客户端 ( 云安全探针 ) ; 专业的反病毒技术和经验; 投入亿元重金,国内最大专业团队打造; 迅雷、久游等数百家重量级合作伙伴鼎力支持。

15 瑞星云安全焦点问题及官方解释 瑞星 “ 云安全 ” 隐私问题 瑞星 “ 云安全 ” 只收集安全软件运行的状态、功能日志等信息,像软 件序列号、电子邮件等等私人信息不会被收集,因此不会有隐私 的问题。而且,瑞星为用户提供了方便的关闭选项,用户随时可 以关闭云安全信息的采集。 传言中的 “ 云安全 ” 使机器变慢问题 瑞星 “ 云安全模块 ” 只是一个很小的模块,它主要用来采集某些信息 ,不用进行任何复杂的运算,它只在您的电脑空闲的时候运行, 玩游戏、工作的时候会自动停止,因此不会影响您的正常使用 。

16 金山云安全架构

17 金山云安全 金山毒霸杀毒软件 “ 云安全 ” 高效安全定义: 智能客户端 + 集群式服务器 + 开放安全服务平台 + 虚拟上门服务 完善云安全必须拥有: —— 集群辨别能力。互联网可信认证体系,海量联机样本,分辨互联网上亿文件的善恶属 性。 —— 集群分析能力。金山毒霸水银平台,每日分析处理上百万未知文件,样本名单已达数 TB ! —— 集群情报收集。金山毒霸爬虫系统,自动抓取互联网上千万可疑安全威胁,反应迅速 ! 金山毒霸 2009 全面引入 “ 云安全 ” 概念,日最大病毒处理能力提高 100 倍、紧急病毒响应 时间缩短到 1 小时以内。

18 主要内容 云计算时代的来临 各厂商云安全解析 趋势科技云安全详解 云安全防护效果评测

19 威胁样本 (Email, Web, File) 多重关联分析 趋势科技云安全技术架构 Endpoint Gateway Off Network Network Management 威胁分析 TrendLabs & Malware Database Web 信誉 URL File 信誉 Files 邮件信誉 IP 安全威胁 Verification Analysis Correlation Packaging 数据收集 客户 合作伙伴 TrendLabs 研发中心 样本 提交 密罐 Web 挖掘 自动提交 行为分析 Partners ISPs Routers Etc.

20 Feb 2009 A compromised web site One click in a link. Fake news by email. TROJ_CHOST.E 邮件信誉评估 中心 Web 信誉评估 中心 文件信誉评估 中心 云安全中心的运作流程

21 Web 信誉技术原理 1. 用户收到黑客 的垃圾邮件 2. 点击链接 4. 发送信息 / 下载病毒 We b 对客户所访问的网页进行安全评估 – 阻止对高风险网页的访问 3. 下载恶 意软件 云安全

22 OfficeScan Mail Server 互联网 防火墙 Desktop PCs 趋势科技 Web 信誉 URL Web 信誉技术应用 IWSA1500 IWSA2500 IWSA3000 IWSA6000 IWSA10000

23 趋势科技 云安全 2.0 Smart Protection Network 趋势科技 云安全 2.0 Smart Protection Network 威胁 威胁数据库 威胁 分析 邮件信誉技术 Web 信誉技术文件信誉技术 云安全文件信誉技术

24 公司网络 互联网 本地扫描服务器 查询文件签名 即时响应 文件 信誉 在云端进行不断的实时更新 查询文件签名 即时响应 文件信誉技术应用 --- OfficeScan 10

25 文件信誉技术的优势 Memory Usage Over Time (Conventional vs. Cloud-Client Approach) 零增长资源占用

26 Could-Client File Reputation OfficeScan 云安全应用 文件信誉 数据库 Quert Results Client 移动用户 客户端 移动用户 实时查询 自动更新、实时或手动 更新 实时 查询 实时 查询 “Local Cloud” 恶意程序 特征 Local Cloud Scan Server 客户本地只需要更小的特征库 无需更新与分发 永远是最新的和最全面的防护 客户价值

27 内存使用 (MB) 传统防病毒技术云安全客户端架构 带宽消耗 (kb/ 天 ) 传统防病毒技术云安全客户端架构 降低带宽消耗较低的内存使用 文件信誉技术的优势

28 公司网络 互联网 本地扫描服务器 查询文件签名 即时响应 文件 信誉 在云端进行不断的实时更新 查询文件签名 即时响应 文件信誉技术的优势 零时间的防护部署

29 IMSA Internet End-user Spammer Mail Server 邮件信誉技术的应用 DNS Query Mail Abuse Prevention System RBL+ Updated per investigation 250 million entries RBL, OPS, RSS, DUL And Dynamic Reputation Reputation DNS Server SPAM is rejected Response with Rating Remaining emails are scanned with TMASE 优势: 在垃圾邮件达到网关前隔离 节省网络资源

30 Ethernet Internet Protocol (IP) Transport Layer (TCP/UDP) Email (SMTP, POP3), Web (HTTP/S), File Transfers (FTP) IM, P2P 分析 OSI 2-7 层协议中的应用层信息 关联分析技术应用 --TDS 分析 OSI 2-7 层协议中的信息

31 HTTP SMTP IRC P2P 80+ 其他协议 零时差攻击 未知安全问题 肉鸡 TDS 分析超过 80 种网络协议和应用 DNS DCE-RPC Telnet RDP SSH HTTPAIM IRC FTP TFTP SMB SMTP Gmail Bit Torrent IRC MSN ICQ Google Talk Slingbox iTunes Windows Media eMule eDonkey

32 Trend-Labs Threat Intelligence Network ActiveUpdate DNS-IP Reputation Phishing Filter App Reputation HTTP-URL Reputation Switch 威胁报告 Link-up 镜像口 威胁发现系统 TDA Correlate 7×24 小时监控中心 服务支持 TDS 工作原理

33 云安全多层次终端安全解决方案 网络 文件 电子邮件 网络防毒墙 OfficeScan 10 威胁发现设备 TDA Web 安全网关 IWSA

34 主要内容 云计算时代的来临 各厂商云安全解析 趋势科技云安全详解 云安全防护效果评测

35 35 NSS Labs 防恶意程序测试概述 在 2009 年 9 月, NSS Labs 发布了产业界最接近真实世界的防 毒 / 终端保护套装的测试报告。 NSS Labs 的实况测试在最接 近用户真实环境的测试环境中测试,使用的是最新的威胁; 而不是在封闭的测试环境中,使用陈旧的或者存在问题的样 本做测试。 这项测试的结果是根据为期 17 天的 24 小时不间断测试所得 出的实证数据,在此期间,每 8 小时就会完成一轮 59 项独 立测试,每一轮都会加入新的恶意程序 URL 。每个受测产品 在测试开始之前都会先更新到最新版本,并且在整个测试过 程中被允许访问互联网。 来源 : NSS Labs Consumer Report, September 2009

36 Classification 8/3/2016 目标 链接和附件 针对两个防护层做单独测试 互联网 可移动介质 文件传输 威胁 邮件 网站 威胁防护网络有多 个防护层需要被测 试 简单来说,需要考虑 两个防护层: 感染防护层 在目标计算机上拦 截传输及执行恶意 程序 暴露防护层 拦截访问带毒来源 其他防护层可以被 协调进入测试 垃圾邮件 执行时防护 基于文件内容(代码、哈希值)的检 查 下载时防护 基于来源( URL 、域名)的检查

37 NSS labs 测试过程 1. 恶意 URL 筛选 从最初 17,000 多个唯一的可疑新网站列表中,预先筛选 4,134 个恶意 URL 用于测试中,这些 URL 在开始测试时已经可以访问。浏览器至少在一 次运行中成功访问了它们。删除了不满足验证标准的样例,其中包括那些 包含无效样例的网站。在最初的 4,134 个 URL 中,最终有 3,243 个 URL 通过了后期验证过程,并保留在最终的结果中 。 2.URL 动态更新 每天平均有 324 个新验证的 URL 添加到测试集中。添加的数量随当日犯 罪活动的活跃程度有所变化。 3. 测试过程 本报告中的数据是在 17 天的测试期间( 2009 年 7 月 7 日到 7 月 24 日)得到的。所有测试均在德克萨斯州奥斯汀市的实验室中进行 的。测试过程中,定期监视网络连接情况,以确保浏览器可以访问 测试的实时 Internet 网站以及云端 AV 信誉服务。在本次研究过程 中,对每个测试的产品进行了 59 次单独的测试(每隔 8 小时一 次),中间没有中断。

38 测试拓扑

39 主动和执行防护数据统计

40

41 阻止新恶意 URL 的响应时间 为了保护大多数用户,信誉系统必须快速而准确。下表回答了这样 一个问题:平均要经过多长时间,才会将受访的恶意网站添加到阻止 列表?

42 评测数据总览

43 客户要如何取得 NSS Labs 的测试报告 ? 趋势科技已购得了这两份报告,可免费使用。根据购买的合约, NSS Labs 也会在他们的网站上提供报告的下载使用,可透过以下的 URL 来取得。 消费者产品测试报告 Consumer Report (TIS 2009): http://nsslabs.com/reprints/9b/EndpointProtection-3Q2009 企业产品测试报告 Corporate Report (OfficeScan 10): http://nsslabs.com/reprints/9b/EndpointProtection-3Q2009

44 50 亿 — 每日查询量 1200G — 每日分析的资料量 5,000 万 — 每月新增的 IP 地址 /URL 2 亿 5,000 万 — 每年分析的恶意程序样本 趋势科技云安全平台数据

45 4 年 — 研发时间 1,200 位 — TrendLab 专职安全专家 7X24 — 全球 5 个数据中心 50,000 台 — 全球服务器 1,500 万美金 — 每年维护费用约 4 亿多美金 — 投入成本 趋势科技云安全投入成本

46 THANK YOU! http://www.trendmicro.com 46


Download ppt "深度解析 --- 云安全 申鹤 产品技术顾问 电话: (010)85252277-336 手机: 15901076759"

Similar presentations


Ads by Google