护航云端 新技术应用与新网络威胁时代 趋势科技北方区技术总监 吴刚 3/3/2017

Presentation on theme: "护航云端 新技术应用与新网络威胁时代 趋势科技北方区技术总监 吴刚 3/3/2017"— Presentation transcript:

1 护航云端 新技术应用与新网络威胁时代 趋势科技北方区技术总监 吴刚 3/3/2017
护航云端 新技术应用与新网络威胁时代 趋势科技北方区技术总监 吴刚 Confidential | Copyright 2012 Trend Micro Inc.

2 趋势科技是全球最大的独立安全软件提供商 为全球 50 强企业中的 48 家提供安全防护
我们是谁 全球技术投资 重要数字 全球公认的服务器安全、虚拟化安全和云安全领域的领军者 创新的安全解决方案领导者 打造交换数字信息零风险的世界 遍布全球 15 个 恶意软件实验室（TrendLabs）；拥有1,500 位威胁专家；400 多项国际专利 陈怡桦： CEO 兼创始人 成立时间：1988 (美国) 办公网点： 37 个国家和地区 员工数量： 5120人 年营业额： 亿美元 (2012) 运营收入： 2.8 亿美元 (2012) 持续投入&开发云安全解决方案：全球80%的研发经费，500多位工程师，8年探索 全球威胁情报 智能防护云技术 趋势科技是全球最大的独立安全软件提供商 为全球 50 强企业中的 48 家提供安全防护

3 趋势科技-是全球最大独立云安全厂商 云计算安全第一名 服务器安全市场第一名 全球小企业安全市场第一名 虚拟化安全第一名 3
Trend Micro 27% 云计算安全第一名 Trend Micro 27% 服务器安全市场第一名 Trend Micro 27% 虚拟化安全第一名 全球端点安全 2010 年的供应商收入份额 资料来源：IDC，2011 年 中小企业安全第一名（from 2012 Q4 Canalys report） 全球小企业安全市场第一名 3

4 新数字威胁 攻击者 云和虚拟化 校园云存储 教师/学生 IT

5 数据中心 数据中心的发展演化 虚拟 物理 私有云 公共云 传统数据中心 软件定义数据中心

6 教育云数据中心的安全问题 服务器整合 整合扩张 & 桌面虚拟化 公共云 虚拟化 使用比例 服务供应商的责任 数据损毁 数据存取权限 多租户
12 数据损毁 11 数据存取权限 10 多租户 9 边界的消失 8 资源冲突 7 法规遵从 6 虚拟化 使用比例 虚拟机的安全级别混杂 5 随时启动的防护间隙 4 以主机为基础的安全策略难以部署 3 不同可信级别无法合并 2 虚拟机之间的相互攻击 1 趋势科技提供相对应技术解决以上所有虚云历程所会碰到的问题

7 底层物理机只需安装一次，以无代理形式提供安全防护
无代理虚拟化安全解决方案 底层物理机只需安装一次，以无代理形式提供安全防护 客户端部署于每台虚拟机 基于虚拟器一次性部署 传统式部署 无代理安全 VM VM VM 安全 虚拟机 VM VM VM VM

8 趋势科技云计算安全解决方案-教育云应用场景
安全域 治理域 运行域 开发测试域 教育云数据中心 恶意攻击防护 恶意代码防护 虚拟补丁防护系统 教育云深度安全防护系统

9 VMware 环境的无代理安全 — 防病毒之外，其他的安全防护
趋势科技虚拟化安全解决方案 无代理 易管理 高回报 安全 虚拟机 VM VM VM VM 传统部署 VM VM VM VM VM VM VM VM VM VMware 环境的无代理安全 — 防病毒之外，其他的安全防护 防病毒 完整性监控 入侵检测 虚拟补丁 防火墙 Web 应用防护

10 “…至少18个月的领先于其他安全供应厂商” - Gartner VP, Dec 11, 2013
3/3/2017 “…至少18个月的领先于其他安全供应厂商” - Gartner VP, Dec 11, 2013 这是 Gartner 最近 对 趋势科技的技术 在 云计算和虚拟化市场的一个肯定 3/3/2017 Confidential | Copyright 2012 Trend Micro Inc.

11 趋势科技虚拟化安全解决方案的应用 北京市教委数字学校 北京市教委学籍信息采集 北京理工大学 北京101中学 3/3/2017
这是 Gartner 最近 对 趋势科技的技术 在 云计算和虚拟化市场的一个肯定 3/3/2017 Confidential | Copyright 2012 Trend Micro Inc.

12 数字威胁在进化 针对性 攻击 现在针对个人！ 基于经济上的利益 针对有价值的信息 Web威胁 僵尸程序 间谍软件 垃圾邮件
3/3/2017 数字威胁在进化 危害大小 2001 2004 2005 2007 犯罪软件 2003 间谍软件 僵尸程序 Web威胁 垃圾邮件 蠕虫爆发 漏洞攻击 现在 针对性 攻击 现在针对个人！ 基于经济上的利益 针对有价值的信息 The threat environment has evolved over the years. All of these threats still exists out there, but new and more damaging threats are being developed each year. Now, we are dealing with targeted attacks, advanced persistent threats and creative mobile attacks that take advantage of new vulnerabilities, social engineering and mobile proximity. 这些年数字威胁的面貌一直在进化。原有的威胁依然存在，但每年都有崭新且更加具有破坏力的威胁出现。现在，我们对抗的是利用新漏洞、社交工程学和移动近接感测（mobile proximity）的针对性攻击、高级持续性威胁（APT）以及创新的移动攻击。 They are stealthy and are designed to fly under the radar, undetected, and to steal your valuable data. And your data is everywhere--in the cloud, on virtualized servers, and on mobile devices. It needs to be protected, w/out slowing you down 它们是隐秘的，设计成难以被侦测，目的是窃取您的宝贵资料。而现在您的资料散布在各处：在云端、在虚拟服务器上，以及在各种移动设备中。这些资料需要被保护，同时不会拖累您的使用速度。 Street crime is down 20%. Why? It is becoming so much more profitable and lucrative to enter into the world of cybercrime. And it is getting easier. Cyber criminals use a seemingly endless array of techniques to compromise and infiltrate nearly every aspect of our electronic environment. As our lives, and for that matter, the entire global economy, have become increasingly dependent on Web-based systems and interconnectivity to operate smoothly, cyber-attacks have emerged to stalk us nearly every step of the way. In fact, they’ve grown so complex and varied that traditional IT system defenses such as antivirus (AV) software and intrusion prevention systems (IPSs) are not enough on their own. 街头犯罪比以前降低了20%，为什么？因为网络犯罪的世界更加有利可图，而且也变得更容易去达成。网络犯罪运用各种手段与技巧，尝试在各种方面渗透并侵入我们的数字环境。如同我们的生活，整个全球经济愈来愈依赖基于Web的系统及互联性来平顺运作，而在这种情形下，网络攻击正逐步接近我们。事实是，单纯靠着我们过去发展的复杂多样的传统IT防御方式，如防病毒软件或入侵防御系统（IPS），在现在已经不足。 Cybercrime has become big business with commercialized exploit kits and cybercriminal counter intelligence available to the hackers. This has greatly accelerated the volume, variety and velocity of threats we are dealing with. 网络犯罪成为了重要的生意，黑客能够轻松取得商业化的漏洞攻击工具以及各种网络犯罪知识，因此，我们现在需要处理的数字威胁的数量、种类与频率都在急速增加。 There are specific emerging trends in cyber-attack: Professionalization and Commoditization of Exploit Kits. i.e. BlackHole Exploit Kit Modularization: We have also observed a high degree of modularization in more advanced malware like SpyEye and FLAME. Increased Sophistication with Traffic Direction Systems (TDS): Traffic Direction Systems (TDS) are used as initial landing pages, also known as “doorway pages”, which direct traffic to content. Ransomware New Exploitation Vectors Introduced via HTML5 •Evolution of Mobile Threats Continued Exploitation of Social Networks 这里有一些网络攻击的趋势： 漏洞攻击工具更加专业化及商品化，如BlackHole漏洞攻击工具 模组化：我们同时观察到先进恶意软件呈现高度模组化，如SpyEye及火焰病毒（FLAME） 流量导向系统（Traffic Direction Systems，TDS）更加复杂：流量导向系统用来开启登陆页面，将流量导至内容 勒索软件（ransomeware） HTML5的引进成为新漏洞攻击的载体，移动威胁的进化 社交网络持续遭受漏洞攻击 As these threats evolve, it is clear that traditional techniques won’t be able to prevent all threats. Additional layered security and specialized visibility into these attacks is needed. 随着威胁演进，传统的方式很明显无法防御所有的威胁，您需要额外层次的安全保护，以及看清这些攻击的专门可视性。 2001 Confidential | Copyright 2012 Trend Micro Inc.

13 社交、复杂、隐秘！ $$$$ 3/3/2017 Confidential | Copyright 2012 Trend Micro Inc.
攻击者 收集与目标企业或个人相关的信息 取得有兴趣的资料 – 可能持续数个月之久！ $$$$ 在网络中移动 寻找有价值的资料 建立命令与控制 （C&C）服务器 利用社交工程学 针对个人进行攻击 员工 Data in motion Social Media Virtualization and Cloud Traditional defenses bypassed by low and slow attacks 移动中的资料 社交媒体 虚拟化与云 低频且缓慢的攻击穿越传统防御 Let’s take a look at the anatomy of a highly targeted attack – an advanced persistent threat (APT)… 让我们来剖析高度针对性的攻击：高级持续性威胁（APT） APT and targeted attacks typically follow a multi-step scenario. The attack starts with intelligence gathering to create and execute a socially engineered employee infection, then network infiltration, lateral movement across the organization, and finally data discovery and exfiltration – all the while, command & control communication and backdoor controls are executed via remote control. APT与针对性攻击通常都由多个步骤组成。从搜集信息开始，这些攻击利用了社会工程学针对员工进行渗透，然后侵入网络，在组织内部横向移动，最后发现资料并且取走。从头至尾，都是在远程利用命令与控制通讯与后门控制程序来执行。 These attacks are: Social – Targeting and attacking specific people with social engineering and advanced malware Sophisticated – Exploiting vulnerabilities, using backdoor controls, stealing and using valid credentials and Stealthy – Executed in a series of low profile moves that are undetectable to standard security or buried among thousands of other event logs collected every day. 这些攻击是： 社交的 – 利用社会工程学与先进恶意程序，针对并且攻击特定的人 复杂的 – 攻击漏洞、利用后门控制程序、窃取并利用合法的凭证 隐秘的 – 攻击过程是一连串低调的动作，标准安全系统或是无法侦测，或是隐藏在每日收集到的数千条事件日志中 <click> You may have heard of recent infamous targeted attacks like: Stuxnet, Luckycat and Ixeshe All of these infamous APTs, like Luckycat, targeted specific industries or communities of interest in specific regions. Stuxnet went after the Iranian uranium production. Luckycat went after aerospace, energy, military research and Tibetan activists – and even used a unique campaign code to track victims of specific attacks. Ixeshe targeted electronics manufacturer, telecommunications companies and governments. 您可能听过最近的一些知名的针对性攻击，像是震网病毒（Stuxnet）及Ixushe 这些知名的APT的对象是特定区域的特定行业或利益群体。震网病毒针对了即将启用的伊朗核电站，而Ixushe针对了电子制造业，通讯行业及政府单位。 （Sophie：注意不要使用Luckycat的案例） Although these attacks may be rooted in government cyber warfare or only affect certain industries, the same techniques used to execute such social, sophisticated and stealthy attacks are being used to target your organization – to steal your secrets, your critical customer information. 虽然这些攻击都根源于政府之间的网军攻击，或是只影响特定行业，与此相同的社交、复杂且隐秘的攻击手法可能被利用在攻击您所属的组织，来窃取您的机密资料，或是重要客户信息。 So what is needed to address these targeted attacks? How can you gain visibility to these attacks and how can you stop them from causing further damage? 所以我们需要什么来应对这样的针对性攻击？我们如何能够察觉并阻止这些攻击，不让它们造成更大的危害？ Confidential | Copyright 2012 Trend Micro Inc.

14 对抗定制攻击 需要 定制防御！ 对抗定制攻击 需要 定制防御！ 信息安全 网络管理员

15 下一代威胁侦测系统 可见性 、洞察、控制 对抗针对性攻击，您需要自定义侦测、深度威胁情报与事件响应的能力。 深度分析系统 （沙盒系统）
3/3/2017 下一代威胁侦测系统 对抗针对性攻击，您需要自定义侦测、深度威胁情报与事件响应的能力。 深度分析系统 （沙盒系统） 下一代威胁侦测系统 威胁模拟运行的开放平台 深度调查与分析 自学习更新保护 Trend Micro Deep Discovery provides the custom detection, intelligence and response capabilities you need to combat APTs and targeted attacks.Deep Discovery detection engines and custom sandboxing identify and analyze malware, malicious communications and attacker behavior invisible to standard security solutions. Deep Discovery enables a full Detect – Analyze – Adapt – Respond lifecycle to these attacks, augmenting and integrating with your existing security investments to create a full Custom Defense solution. Sandbox integration and security update sharing with network, gateway and endpoint security improve protection and defense against further attack. And Deep Discovery custom threat intelligence and security event analysis enables the rapid containment and remediation of an attack. The Deep Discovery solution is comprised of two components. The Deep Discovery inspector provides network traffic inspection, advanced threat detection including custom sandboxing, and real-time analysis and reporting. The optional Deep Discovery Advisor provides open, scalable custom sandbox analysis that can be integrated into other products, visibility to network-wide security events, and security update exports—all in a unified intelligence platform. 网络威胁侦测 自定义威胁侦测与模拟 实时分析与报表 可见性 、洞察、控制 Confidential | Copyright 2012 Trend Micro Inc.

16 自定义沙盒动态分析 自定义沙盒动态分析 实时监控 自定义沙盒更全面反映客户实际环境 文件运行加速技术 反VM检测技术
支持32与64位操作系统 支持文件、文档与URL分析 隔离网络 WinXP SP3 Win7 Base Win7 SP1 API Hooks Fake Explorer Fake Server Fake AV 实时监控 内核监控 (hook、DLL注入等) 监测网络通讯 事件关联分析 内核模拟器 File System monitor Registry monitor Process monitor Rootkit scanner Network driver Confidential | Copyright 2013 Trend Micro Inc.

17 Deep Discovery Advisor
3/3/2017 趋势科技下一代侦测系统 侦测 发现网络内的已知或未知恶意威胁，增加网络可见性 分析 深度分析恶意威胁特征与其带来的风险 加固 分析结果联动企业安全防御体系，阻止恶意攻击进一步深化 响应 专家服务协助客户进行安全规划、事件响应与威胁治理 Confidential | Copyright 2013 Trend Micro Inc. 1717 终端 邮件 Web 数据中心 网络 威胁发现设备TDA & Deep Discovery Advisor 云安全 智能防护网络 定制化智能防御战略 侦测：TDA、IMSA、IWSA等产品能够在网络/邮件/web侦测可疑恶意程序 分析：TDA与DDA的沙盒分析能够在企业本地端即对未知威胁进行分析，提早告警用户 加固：TDA与DDA的沙盒分析结果（C&C地址黑名单）能够被自动应用在其他趋势科技安全产品，或是手动应用在第三方安全产品，进行恶意通讯阻断，阻止攻击者持续控制企业内部机器 响应：趋势科技的专家服务能够协助客户进行事前的安全规划与平日安全运维，以及事后的事件响应、威胁治理 定制化智能防御战略的核心是以沙盒分析为主的TDA与DDA（本地分析），以及趋势科技全球威胁智能的SPN（全球分析） Confidential | Copyright 2012 Trend Micro Inc.

18 校园云存储 教学新方向的探讨 在线教学数据共享平台，提供了自 动在线作业存储、在线备份、作业 同步功能的教学应用,可确保数据能 在教师和学生之间安全的自动同步 、浏览和共享。 3/3/2017 Confidential | Copyright 2012 Trend Micro Inc.

19 校园云存储 教学新方向的探讨 学生 云中 云中心 老师 提交作业 毕业设计 在线视频 老师批复 数据同步 视频 图片 数据安全 毕业设计
校园云存储 教学新方向的探讨 提交作业 学生 毕业设计 在线视频 老师批复 数据同步 通讯录 图片 邮件 毕业设计 视频 文档 老师 设施提供 网络保障 数据安全 云中心 云中

20 校园云存储 教学新方向的探讨 分享 作业同步和备份 随时随地都可存取 私有的存储 学生或者老师可给不同人设定不同权限的共享文件夹
轻松分享各种数据 作业同步和备份 自动将相关数据文件备份到云端 学生客户端自动将数据同步到云端服务器 随时随地都可存取 数据同步技术自动适用于各种终端-智能手机、平板电脑、IPad、 笔记本和台式机等。在某终端上对一个文件的修改会同步到同一账户的所有终端 学生可以在任何地点、任何时间完成作业提交等学习工作。 私有的存储 每个学生都拥有自己独立的存储空间 Classification 3/4/2011 20

21 如何将移动设备整合于教学环境？ 3/3/2017

22 支持多操作系统：IOS、Mac、Android、Windows
3/3/2017 校园私有云存储之“铁三角” 独立的私有云系统 支持团队文件夹 传输及文件加密 团队成员文件自动同步 防病毒 团队成员权限管理 数据防泄密保护 数据安全 团队协同 历史版本恢复 用户权限管理 跨平台同步及云分享 文件自动备份及同步 邮件附件转为云链接 支持多操作系统：IOS、Mac、Android、Windows 云分享及流媒体在线播放 Confidential | Copyright 2013 Trend Micro Inc. Confidential | Copyright 2012 Trend Micro Inc.

23 打造一个零风险的 数字信息交换世界 Thank You! CEO Eva微博 云计算安全博客 趋势科技官网