CNGate SIEM-全网安全威胁智能感知平台.pptx

CNGate 全网安全威胁智能感知平台CSTIAP(Cyber Security Threat Intelligence Awareness Platform);;– 防御APT（高级持续性威胁）;网络威胁的进化：脚本小子 - APT;什么是APT？;典型的APT过程;案例：2013年Target百货数据泄漏事件;针对Target百货的APT过程;后果很严重;大量知名机构曾遭受APT攻击;中小机构能够置身事外吗？;如何防御APT;强大的边界安全？;APT = 0day？ 沙盒 = APT防御？;APT综合防御体系;APT就是不断提升权限的过程;1. 更严密的访问控制;;（1）边界防火墙;（2）内网防火墙（INFW）;部署;超强性能无与伦比; Cl;2. 极细致的多重安全过滤;APT Kill Chain及防御技术;;– 防御AET（高级逃避技术威胁）;用户现网使用NGFW/IPS/UTM/WAF 可以保护服务器;什么是“逃避技术” ？ 什么是“高级逃避技术” ？及危害？ “高级逃避技术”是如何实现的？ 为什么大多数安全产品无法检测并防护“高级逃避技术” ？ “高级逃避技术”的应对策略及防范建议 ;什么是逃避技术？;;字符串混淆;;;38;协议中不常用属性的使用 例如 : TCP Urgent Pointer ; 分片逃避技术 数据包分片是正常的网络行为，将恶意的数据包分割成多个分片的数据包 进行传递就可以欺骗IPS 检测， 这就需要IPS 能够重组数据包检测出恶意攻击包，如果分片加入重叠技术将使重组过程更加复杂， ;正常的HTTP REQUEST 在会话建立后只是在一个数据包传递;3部分8字节的分段数据包 ; 普通的逃避在TCP/IP的不同协议栈同时进行加载 组合形成了高级逃避. 可穿越多种协议或协议组合,黑客通常是利用高级逃避技术作为高级不间断攻击(APT)的重要部分. ;;;高级逃避技术;这些安全设备无法拦截和告警高级逃避攻击技术;环境拓扑;;;为什么这些安全厂商产品无法检测并防护？;传统方式采用垂直检测数据流-基于数据包，数据分段的检测;一大部分的逃避技术仅仅基于协议的正常功能，而且这些功能在正常的通信中被广泛的使用着。;使用静态特征库进行防护的?;测试工具受限; 如何防御高级逃避技术;1、安全设备规范要求 安全硬件和软件系统需要合乎以下标准 分层的标准化检测 基于RFC标准的协议解码是在所??的协议层进行标准化检测 合规标准化检查是目前防御逃避攻击的一种最可行的方式 具备逃避防护技术就绪的系统取决于它有能力和有效率在所有层面实现合规标准化检查。 合规化检查的原理就是利用TCP/IP协议的堆栈，打开堆栈发现异常数据字节然后清洗干净，再根据协议类型编写真正数据流的特征。这就是说, 所有协议需要准确解码并进行标准化检查之后根据已经具备的指纹特征准确匹配风险 独立的特征匹配 指纹识别不需要去担心逃避，因为标准化检测就已经可以对付它们了。 动态化保护 高级逃避技术特征动态升级，需要集中管理平台对设备和特征库统一升级和配置管理 ;高级逃避技术检测;安全引擎在每一层执行完整的协议栈检测，基于应用层数据流的检测过程; 定期审计关键资产，关键数据和应用系统是否遭受过入侵（高级逃避技术的出现导致目前的任何系统都是受到威胁的） 应该考虑长期的计划和策略来迁移到动态的，可以有效拦截逃避攻击的解决方案，通过集中管理方式快速更新系统的补丁，实现实时监控系统和应用状态， 对于不能及时更新补丁的关键资产，要执行风险分析，可以防御逃避/高级逃避技术的动态的解决方案可以作为关键资产系统的虚拟补丁 ;3、部署EPS，对AET进行取证 ，事后跟踪 ;高级逃避攻击技术的危害;总结;CNGate-NGIPS 下一代入侵防御系统;设备规格;CNGate Bypass 模块;反高级逃避技术 高级逃避技术无疑已经成为当今互联网最大的威胁之一，CNGate凭借多年专业安全经验成为高级逃避技术发现者和反逃避技术的领导者。 CNGate反逃避技术，具备了真正的动态安全防御技术，可抵御8亿种组合多变的高级逃避技术。 攻击防御 防御Botnet ，扫描攻击，注入攻击，恶意软件攻击，针对操作系统，网络设备，应用程序，数据库漏洞弱点攻击行为， 完全协议检测 Ethernet, IPv4, IPv6, ICMP, UDP, TCP, DNS, FTP, HTTP, IMAP, IMAPS, SMTP, SSH, NBT, SMB, SMB2, MSRPC, POP3, POP3S, SIP, TFTP, HTTPS (SSL/TLS), GRE,IP-in-IP, IPv6 encapsulation 精