Symantec Critical System Protection v5.0基于主机的入侵防御产品(IPS).pptVIP

Symantec? Critical System Protection v5.0基于主机的入侵防御产品(IPS) Presenter’s NameDate 议程 当前安全趋势 SCSP简介 SCSP的入侵防护功能(IPS) SCSP的入侵检测功能(IDS) SCSP的主要功能和特点 总结 当前安全趋势 如何阻截已经射出的子弹？ 被动，使我们时刻处于下风—阻截飞行中的子弹 我们已经面临这样一种感染形势，即最新威胁的传播速度已经超出了我们的响应能力 如果我们想要赢得这场战争，那么我们必需改变我们的策略 留给我们的时间真的不多—箭已发出 典型的攻击步骤 Symantec 集成的IDS/IPS解决方案 Symantec Critical System Protection(SCSP) Symantec? 的主机保护产品SCSP提供完成的主机入侵防护解决方案,他能提供攻击防护、终端控制和安全事件监控和审计等功能以确认企业内部多种平台的服务器的完整性和策略依从。 Why Symantec Critical System Protection? 保护企业中的关键业务主机 数据中心 数据库服务器 互联网应用服务器 Web服务器 邮件服务器 后台办公系统 定制的应用系统 公司内部 文件服务器 打印服务器 远程访问网关 分布式系统 高风险的客户端 移动用户 高管的台式机 保存机密的系统 访问关键任务的系统 缺少物理安全访问的系统 信息终端(触摸屏) 主机安全产品的功能覆盖 SCSP的入侵防护功能 主动式预防 – 攻击正在趋向简单化 攻击正在趋向简单化(续.) Symantec CSP Solution Overview SCSP在操作系统的最底层进行防护 防护能力 缓存溢出保护 操作系统加固 注册表保护 文件系统保护 定制攻击防护策略 主机防火墙功能 移动设备控帛 交互式程序控制 超级用户/管理员权限控制 操作系统审计日志的监控和响应 SCSP的入侵检测功能 主机入侵检测 SCSP入侵检测的工作模式 SCSP一般通过监视系统、事件、安全日志和端口调用来判别是否有攻击发生 SCSP一旦发现攻击，会立即作出相应的响应动作，基于主机入侵检测系统提供的响应方式比NIDS的要丰富 SCSP还可以通过监视可编辑的文件系统列表、注册表的变化来判别是否有攻击事件发生 可以监视、响应针对某台系统的任何存取、修改、配置等动作 SCSP的入侵检测功能是基于监控策略,实时监控 SCSP策略，默认按操作系统归类 未授权的系统配置更改 未授权的管理权限更改及滥用 失败登录 重要文件未授权访问和更改 注册表的更改（针对Windows平台) …… 日志的转发和合并 日志文件及其归档是完成，准确和可验证的，所以这些日志可用于计算机犯罪的取证调证 日志文件被保存在Agent本地，也可以被转发 可以设定过滤规则，只转发相关的安全事件到管理服务器 在Agent本地的完整日志文件也能通过SSL方式被转发到管理服务器，用于归档 日志文件的完整性在日志转发和归档时完成 日志文件在被转发到管理服务器时均被压缩 每条日志记录都是唯一的，可识别的 SCSP的主要功能和特点 SCSP 5.0 支持的系统平台 产品框架 SCSP代理程序(Behavior Control Agent)功能 模块化策略架构 行为控制描述(BCD) 的组件 行为控制描述(BCD) 的组件定义的了进程访问系统资源时的权限 A BCD 包括如下的资源控制: 文件访问 注册表访问 网络连接 (接受 和 连接) Syscall 缓存溢出 行为控制描述 (BCDs): SCSP提供两种类型的行为控制描述(Behavior Control Descriptions BCDs): 用于限定服务或应用程序的定制BCDs 定义哪些行为是允许的 其他所有行为都被限制的 比如IIS服务只需要提供最基本的Web服务,不需要调用cmd.exe指令. 通用 BCDs 定义哪些行为被禁止 其他所有行为都不受约束 这样可以限定一般程序对于系统关键信息的修改(比如:并不是所有的程序都需要对外网连接) 拦截零日攻击 有效的入侵防御技术，终止针对系统和应用的不断恶意攻击 防止由于没有及时安装补丁引发的可疑代码传入和扩散 防止攻击 缓存溢出保护 应用程序的防护/隔离 各个操作系统功能的防护/隔离 注册表和文件夹的保护 “最小权力” 的贯彻 集成的防火墙隔离入埠和出埠通讯 操作系统加固 通过缺省策略锁定操作系统，应用和数据库 预防未授权的可执行程序的传入和运行 Operating System Protection Microsoft Windows? SUSE Linux? Sun Solaris? Application Prote