南凌云安全服务介绍.pptx

南凌云安全服务介绍 ——让安全变得可管理 南凌科技有限公司 2015年目录01企业面临的安全问题02 云安全服务凌警?和凌卫?南凌云安全平台03流程和服务04案例分析数据安全迫在眉睫企业信息化程度越来越高数据已经是企业命脉2014年，在全球因黑客、木马、蠕虫等安全事件已经造成企业损失超过千亿美金莫让无妄之灾阻断公司业务企业面临挑战机遇所有安全厂家都在推销产品企业轻资产运营是趋势设备有效利用率偏低安全人员的成本在提升0102现状软硬件0403成本外企中让MSSP提供安全服务已经是一种常态2014MSS市场就有79亿美元（约510亿人民币），SIMS只是MSS中核心的一部分服务。MSS服务包括SIMS、MWMS 、 Managed Firewall、Managed IDS/IPS、Managed UTM等第一象限中，除了IBM和Symantec，其它都是运营商。凌警?安全事件管理服务各种日志源收集云安全平台，超算机房分析数据及时发现避免损失凌卫?可管理的网站监控服务企业网站健康检查可用性，蠕虫、挂马、黑链检测凌警?和凌卫?NOVACloud+?SIMSNOVACloud+?MWMSSIMSMWMS网络产品安全产品应用程序操作系统windows防病毒FirewallRouterSwitchOracelLinuxUnixGWFTPIDSIIS在线报告警报系统监控中心呼叫中心30分钟内初次响应90分钟内初次建议邮件、电话，微信月报、季报，年咨询建议NOVAnetMPLS VPNIPSec VPN7*24小时监控7*24呼叫中心监控发现关联分析处理后续跟进SIEM平台日志源操作系统-Windows Linux Unix 服务器安全产品-IDS\IPS\IDP服务器 防火墙\防病毒通用应用程序-IIS\FTP\Oracle网络产品-路由器 交换机 网关3库一队-威胁场景库自动平台管理企业人工管理NOVASIMS动态威胁库服务梯队威胁场景库知识库规则智能过滤、归并、关联不同源的风险误报率低、报警准确率高、精准度高安全孤岛造成风险报警和管理分散误报率高、报警频率高、准确率低场景库条件：1、每个场景会包括多条规则；2、规则会根据不同设备日志记录的攻击行为特征和频率进行关联并确定结果，避免误报；3、每天的报警都控制在可查看数量内（平均每天几条到几十条的数量级）；4、每条规则都是根据客户真实环境中发生过的风险事件来编写。威胁场景库（场景不断更新中。。。）内容泄密类内容泄密类邮件类场景运维内控类网站攻击类场景口令暴力破解邮件账号异常登录网站攻击帐号登陆行为异常帐号异常登陆口令暴力破解网站DDoS口令破解权限异常变更伪造发件人运维帐号异地登陆僵尸账号启用伪造附件帐号权限异常变化钓鱼邮件登录后无操作邮件外发泄密病毒木马溯源敏感信息外发邮件群发违规运维网页敏感信息发布海外异常下载非法外联攻击者群发携带恶意附件和恶意URL的邮件，用户点击后被植入木马攻击者通过木马对主机进行远程控制，窃取信息，并对内网进行渗透攻击。攻击者对邮件账号进行暴力破解，并获取账号登录口令攻击者于海外地址登录邮箱账号，并窃取账号相关的邮件信息 典型外网邮件攻击云平台核心服务区群 场景目标：监控邮件账号异常登录的情况 场景说明：结合公司邮件服务器的账号登录日志和IP地址经纬度分析，发现账号登录异常(18:00北京登录—19:30芝加哥登录) 场景目标：监测邮件是否携带恶意的URL或邮件附件 场景说明：通过APT监测设备旁路检测邮件附件是否携带恶意代码，还原邮件正文并集合恶意URL库判断是否存在恶意的URL 场景目标：监控到国外攻击者对邮件账号的暴力破解行为。 场景说明：结合公司IDS告警日志和邮件服务器的账号登录日志（一定时间内同源IP多次账号登录失败，如存在账号登录成功日志，表明账号破解成功）211 邮件服务器433特征：群发携带恶意内容的邮件（被场景 捕捉）结果：木马入侵，被劫持做肉鸡特征：执行恶意邮件附件。（被场景 捕捉）结果：执行恶意邮件附件，损失难以估量特征：邮件账号异常登录 （被场景 捕捉）结果：邮件由内到外流入流出特征：邮件账号暴力破解成功(被场景 捕捉）结果：邮件由内到外流入流出工作服务区数据防泄漏及邮件安全网关 恶意网站GlobalInternet2动态威胁库动态威胁库：1. 能根据攻击者的行为和风险严重性，实时更新威胁库。2. 能关联分析时间跨度较大的持续性高级攻击事件（APT攻击）。①远程溢出攻击③发现木马连接①黑客对服务器进行攻击②规则会自动记录该攻击的相关信息③黑客在一段时间后进一步攻击（默认14天）④我们会把该攻击事件进行升级，从而触发报警（符合逻辑的攻击阶段）时间目的IP地址源IP地址攻击方法威胁级别2015-5-8 1