《【7、一体化终端管理(天擎)】20190606_360天擎终端安全管理系统V6.0-R6_主打PPT_V1.0.pptx》由会员分享,可在线阅读,更多相关《【7、一体化终端管理(天擎)】20190606_360天擎终端安全管理系统V6.0-R6_主打PPT_V1.0.pptx(48页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、XXX 奇安信终端安全公司V1.0 2019-05-16一体化终端,一体化安全终端安全管理系统w w w.q i a n x i n.c o m目录Contents1.安全现状2.安全理念3.安全能力4.部署场景5.应用案例安全现状01威胁攻击面越来越大01 01 01 0102 02 02 0203 03 03 0304 04 04 0405 05 05 0506 06 06 06漏洞攻击面到2020年,全球需要保护的网络口令将达3000亿个每年都要新增1110亿行软件代码端的攻击面无线通信智能设备数量2020年将爆增到2000亿个(英特尔)2020年中国具备联网能力的车辆将达到4000万辆
2、左右(前瞻产业研究院)数据攻击面云数据中心流量到2021年将占数据中心总流量的95%(思科)2020年时的在线数据规模将是2016年时的50倍以上(微软)网络攻击面1991年第一个网站上线;2018年全球近19亿个网站2018年全球互联网用户近40亿;2022年全球互联网用户将达60亿总体攻击面基于历史网络犯罪数据的损失预测,2021年,网络犯罪将给世界造成6万亿美元损失,2015年为3万亿美元(Cybersecurity Ventures)黑产的攻击面暗网规模是表面网络的5000倍以上2019年,每14秒会有一家企业受到勒索病毒侵害(Cybersecurity Ventures)威胁演变越来
3、越复杂1990-2000感染式病毒二进制攻击,植入文件体内、驻留内存、加密变形单机威胁与蛮荒时代2000-2005木马、蠕虫、后门,约整个病毒世界的90%,黑色产业链形成网络病毒与黑产2010-2015互联网公司“黑洞门”乌云/补天/SRCWeb安全时代黑客攻击与WEB安全2005-2010间谍软件(Spyware)色情软件(PonyWare)广告软件(ADWare)流氓软件与灰产2010-2015流量型攻击DDoS/CC肉鸡/IDCT级攻击流量攻击与敲诈2015-至今黑客与病毒的混合漏洞与社会工程学供应链/工业系统/IOT勒索/挖矿高级威胁与勒索19861996200620162018大脑病
4、毒病毒:2万病毒:40万病毒:120亿病毒:160亿2008各大企业服务器被挖矿木马入侵成为矿池永恒之蓝、GlobeImposter等新型勒索病毒肆虐企业网络手机隐私泄露与MDM管理模式对个人隐私的侵犯智能楼宇闸机感染蠕虫后停止工作企业内部人员管控不当造成敏感视频泄露美国遭遇摄像头DDoS攻击,出现大面积断网终端的种类越来越多理论体系理论体系pP2DRP2DR模型模型p木桶理论木桶理论p立体防御模型立体防御模型p云管端模型云管端模型p自适应安全模型自适应安全模型p安全滑动标尺安全滑动标尺标准体系标准体系pISO:27001ISO:27001p等级保护等级保护p分级保护分级保护p网络安全法网络安
5、全法信息安全全景图信息安全全景图-安全牛安全牛 2019.1安全建设的选择越来越难安全理念02物理世界数字世界终端信任(Trust)安全(Security)终端是安全治理之本威胁威胁防御防御运维运维加固加固合规合规管控管控威胁威胁分析分析安全安全决策决策病毒防护文件鉴定XP盾甲终端准入(NAC)资产管理终端管控安全审计移动存储管理/安全U盘高级威胁分析(EDR)补丁管理软件管家综合评估报表管理终端数据可视化一体化安全治理框架,终结终端安全问题安全能力03VFX病毒防护文件鉴定XP盾甲威胁防御:天下无毒01云查引擎04AI引擎05主防引擎02启发引擎03脚本引擎01.云查引擎基于全球最大文件信誉
6、库,为企业提供样本的云鉴定能力,其中私有云查引擎,是解决隔离网环境下的样本鉴定问题。02.启发引擎属于本地引擎,有本地病毒特征库,主要针对PE文件进行蠕虫等感染型病毒查杀,并修复文件。03.脚本引擎属于本地引擎,有本地病毒特征库,主要查杀脚本型病毒、宏病毒,并尝试修复文件。04.AI引擎拥有自主知识产权的人工智能查杀引擎,依托海量样本学习进化,有效识别病毒变种。05.主防引擎基于典型行为的主动防御引擎。来自于移动存储的直接杀掉,来自于网络、IM的进行监控,有进一步动作的时候触发查杀。病毒防护:五大自主引擎,终结天下病毒木马0101寻找目标0202攻入系统0303破坏勒索病毒防护:3+3防御勒索
7、挡得住3重攻击防御挡住90%勒索病毒攻击 防利用漏洞入侵勒索病毒攻击过程 远程桌面防暴力 FD落地防御依托杀毒引擎鉴黑后拦截 勒索免疫内核对象抢占迫使病毒退出 AD文档防护配合诱饵文件拦截恶意行为3重勒索防御100%防止勒索病毒落地 防恶意退出杀软n公有云特征库(200亿+)n黑名单(34亿+)n白名单(10亿)私有云引擎盒子/文件安全鉴定中心系统 n黑白名单12亿*+n 多引擎对本地未知样本进行定期轮询鉴定n 依靠离线升级工具进行样本、引擎更新n*依据产品型号样本数量不同n隔离网/半隔离网用户:私有云查杀n公有云技术在企业网络环境的落地n建立企业私属安全大数据样本运营中心n掌控企业内网未知文
8、件分布文件鉴定:为隔离网络提供最强样本鉴定能力热热补补丁丁修修复复:对对于于短短期期内内难难以以在在原原理理/机机制制上上解解决决的的安安全全问问题题,通通过过打打热热补补丁丁的的方方式式解解决决具具体体某某一一安安全全漏漏洞洞带带来来的的安安全威胁。全威胁。系系统统加加固固:通通过过加加固固防防护护机机制制,在在攻攻击击/防防护护原原理理上上解解决决各各类类漏漏洞(而非某一具体漏洞)带来的潜在安全风险。洞(而非某一具体漏洞)带来的潜在安全风险。WindowsXP应应用用隔隔离离:采采用用虚虚拟拟隔隔离离技技术术,解解决决危危险险应应用用(如如:Office软软件件、IE浏浏览览器器等等)被被
9、漏漏洞洞利利用用攻攻击击时时对对系系统统以及敏感数据造成的威胁。以及敏感数据造成的威胁。非非白白即即黑黑:对对于于要要求求绝绝对对安安全全的的终终端端,采采用用“非白即黑非白即黑”的白名单技术。的白名单技术。系统加固系统加固热补丁修复热补丁修复危险应用隔离危险应用隔离非白即黑策略非白即黑策略XP盾甲:五层加固,继续为您的系统提供防护服务PS补丁管理软件管家综合评估运维加固:提升企业整体安全基线的最佳实践T补丁管理:基于运营的超兼容加固模式补丁丁测试异常防异常防护抽抽样测试灰度灰度发布布补丁回丁回滚n全面类型的补丁修复(操作系统、office、第三方应用漏洞)n统一分发补丁文件(按需分发)n强制
10、执行漏洞修复(统一修复)n蓝屏修复机制(首创)n补丁分发流量控制n补丁灰度发布n关注高危补丁n批量补丁回退n补丁通告解读补丁服务器InternetKB958644CVE-2008-4250KB4012212CVE-2017-0146软件管家:从软件治理角度抵御供应链攻击Winrar漏洞影响全球超5亿用户驱动人生木马2小时感染,10万台主机挖矿软件上传软件分类软件升级版本回滚分发统计软件生命周期管理l健康状况评估评估终端当前健康状况。包括病毒查杀,漏洞扫描,防护能力开关检查,系统故障检查等等。评估结果可以表现终端对抗安全问题的能力。l配置脆弱评估评估终端的使用配置和习惯是否存在安全隐患,从身份鉴
11、别、安全设计、访问控制、资源控制和入侵防范5个领域进行脆弱评估。评估结果可以表现终端是否存在易被入侵的安全风险。l数据价值评估评估终端的企业数据资产的价值,通过数据内容检查和数据类型检查,判断终端数据对企业的价值。评估结果可以表现终端沦陷后,造成企业数据泄漏的沦陷损失风险。终端综合评估l沦陷迹象评估评估终端的使用痕迹和入侵痕迹,IOC查找恶意程序入侵历史和状况的检查。评估结果可以表现终端未被防御住的高级安全问题。l管控合规评估评估终端的使用行为是否符合企业管理要求,包括违规外联,违规外设使用,违规访问行为,违规配置行为等等。评估结果可以表现终端挑战安全管理规范的严重程度。综合评估:建立企业安全
12、整体基线标准终端准入(NAC)资产管理 终端管控 安全审计移动存储管理NPEAM合规管控:让企业终端资产可知、可管、可控终端准入流程:合法用户合法用户你是谁?你符合要求吗?企业网络资源合格用户合格用户接入网路接入网路不合法:拒绝终端接入网络不合规:在限制区域内引导进行修复。设备设备用户用户+终端准入(NAC):让企业终端资产首先合规终端合规范围:接入的身份合规接入的设备合规入网流程的合规 入网安检的合规接入过程可追溯注册注册申申请认证授授权入网入网检查隔离隔离修复修复访问控制控制入网入网追溯追溯统计分析分析一站式的入网解决方案:实时监控跟踪跟踪回溯回溯实时监控控精准精准识别资产管理:让企业终端
13、资产可知n展示终端硬件信息 主板,CPU,内存,硬盘,设备SNn监控终端硬件状态CPU温度,硬盘温度,主板温度n实时监视硬件配置变更内存、显卡、网卡、硬盘、显示器n硬件多次变更过程回溯n操作系统、软件、插件信息统计n网络信息管理网络设置、连接、流量、ARP防欺骗n资产自助登记资产登记类别、设备类型、设备用途、使用人、电话、邮箱终端管控:让企业终端资产可管可控安全安全管控管控 违规外联远程控制应用程序网络防护外设使用桌面加固性能监控能耗管理服务管理终端管控:减少泄密屏幕水印屏幕水印可以预防拍照截屏方式泄露业务数据,将终端主机启用屏幕水印功能,屏幕水印会始终保持最前端展示,不管启用何种软件,均可正
14、常显示水印信息,针对主动泄露数据行为起到威慑作用。屏幕水印开启后,大部分工作人员会收敛自己的违规拍照行为,小部分再用手机或者相机对数据信息进行拍照时,终端电脑IP/MAC地址、终端使用人、员工工号信息全都可以显示在照片上。安全审计:让企业终端操作行为可追溯终端安全管理系统通过对设备使用人的行为审计和行为控制技术手段使各种企业安全管理条例落地,增强用户的安全和保密意识,保护企业内部的数据不外泄。文件操作文件操作审计指定类型文件访问、修改、删除、移动等行为进行审计文件文件输出出审计对共享文件夹输出进行审计文件文件审计指定类型文件进行保护审计文件打印文件打印审计指定类型文件打印行为进行审计移动存储审
15、计对移动存储设备的读、写、执行的操作行为进行审计IM审计支持对于QQ和微信客户端的聊天记录及文件传输审计n按在网、离网、密码授权等方式实现移动介质的注册使用限制n可实现可读、写及例外的授权管理n按介质使用状态设置不同的策略,如介质挂失 外出及例外管理n可控制介质的有效使用周期n移动设备全过程审计注 册注册管理授权管理状态管理审计管理时效状态密码移动存储管理:杜绝企业U盘木马移动存储介质全流程管理超级保障独有能力v固件完整性保护:防止通过二次生产带来的深度植入恶意代码问题。v物理完整性鉴别:鉴别对设备的物理改造、破坏完整性行为。v嵌入式安全:固件层面实现关键安全机制,防止逆向调试和篡改。v通讯指
16、令安全:关键指令进行混淆或加密处理,防止指令重放攻击。v工业设计安全:防止刨片攻击,等物理攻击手段的暴力破解和密钥窃取。v供应链安全:由可信的厂商生产和供货,私有量产工具,防技术伪造。v环境隔离安全:病毒木马无法主动通过U盘传播,无法破坏U盘中的数据。安全U盘:独有的数据安全传输能力EPP:传统终端安全 防护产品EDR:基于终端大数据的积极防御产品威胁分析:为企业提供积极防御能力终端安全需要EDR看不全威胁看不清行为看不到轨迹情报驱动的威胁检测多维度异常行为分析深度调查和轨迹还原自动化协同联动响应怎么办?来源方法入口范围影响过去背景现在阻止善后安全事件查得清搞得定EDR的作用:从线头到线索终端
17、安全响应系统采集层终端静态数据采集终端行为数据采集存储层数据采集平台大数据分析平台任务层安全基线提升威胁告警终端执行服务器终端云桌面分析层威胁检测定位深度关联性分析主动检测威胁情报威胁处置任务IOC来源EDR的系统架构威胁情报静态样本系统、软件行为数据硬件资产终端终端终端数据采集平台大数据分析平台告警中心控制中心任务:威胁处置完善风险123456数据采集平台可分布式EDR的安全响应流程PS报表管理终端数据可视化安全决策:企业终端治理的安全大脑n日志报表日志报表 展示内容包含病毒分析、漏洞分析、文件云日志报表、事件告警、XP盾甲IT资产、硬件配置、软件变更等日志信息n多态形式多态形式 报表形式多
18、样化,包括柱状图、曲线图、饼图等n时间维度时间维度 展示时间按周、月、季度、年份、时间段等n用户分组用户分组 展示终端按分组、全网等多维度展现报表管理:丰富的报表统计能力1终端安全概况5高级威胁对抗(EDR)6安全管控7合规准入8资产概况9终端部署2病毒攻防3漏洞概况4主动防御终端数据可视化:九大维度数据,充分看见安全部署场景04 方案特点u适用于互联网环境的用户;u公有云病毒查杀,效果好,成本低;u补丁数据更新节省网络带宽;u智能安全一键修复;u统一安全管控和运维。典型部署 方案特点u适用于隔离网环境的用户;u私有云病毒查杀、速度快、效果好;u利用工具离线更新从互联网上进行数据更新;u终端统
19、一安全管控和运维。隔离网部署 方案特点u适用于大型/复杂/跨广域网环境的用户;u有分级部署管理需求的用户;u全网终端统一私有云病毒查杀,安全威胁全网预警处置;u全网终端统一安全策略防护,终端准入、管控、审计、运维一体化管理。级联部署应用案例05建设银行内网终端存储着大量的业务和办公数据,终端上的这些敏感数据的安全管理,不仅关系到建行用户的个人经济财产,而且关系着用户对银行的信任度。建立全行统一的终端安全系统,实现管理统一化、运维属地化、预警全局化,实现终端安全管理一体化。为了保障建行内网终端安全,保证终端运行环境安全,除了传统的病毒检测、主机防火墙、黑白名单功能外,奇安信终端安全管理提供了“私
20、有云”安全解决方案采用网络大数据方式,快速有效定位已知病毒和木马,通过企业软件管家模块,有效解决企业内部自有软件更新同步问题,方便企业内部软件管理,同时为安全管理策略下发提供有效通道。建设银行不仅提高了全行办公终端的安全性,同时提供了终端软件应用的便利性,真正让终端管理简单更有效。客户需求客户价值奇安信终端安全解决方案金融行业:中国建设银行民生行业:人社部需 求方 案价 值通过部署终端安全管理系统解决方案,实现业务专网终端与公众服务网终端的立体防护、集中管控能力,纵观全网终端的安全态势,对全网终端风险做到量化观测、高效管理、全面监控。业务专网是人社行业重要网络之一,是覆盖部、省、市、医院和药店
21、的隔离网。在隔离环境中,由于无法通过网络更新病毒库和补丁库,导致终端面临着很大安全问题。公众服务网杀毒能力、统一补丁管理能力、终端管理能力较弱。天擎终端安全管理系统在人社业务专网进行了“部-省-市”三级级联部署,试点省市包括:四川、吉林、安徽、湖南、陕西。天擎终端安全管理系统在部公众服务网部署,实现病毒查杀、补丁集中管理、运维管控、终端准入、EDR(终端安全响应)等功能。医疗行业:贵州医科大学附属医院客户需求病毒防护、漏洞管理、外设管控、终端一体化、集中日志管理、威胁溯源、终端可视化呈现一期老院区4500终端覆盖Windows XP、win7、win10、sever2003、server200
22、8、server2012等系统涵盖整个老院区:办公室、值班室、护士站、指挥中心等终端项目规划全面保障了贵医大的终端安全,实现了老院区所有终端的病毒、漏洞、移动介质的统一管理,终端的安全防护能力得到了全面提高。通过天擎3+3防御系统,有效降低勒索事件的发生集中式的终端运维安全管理,不仅提高了终端安全管理和运维的效率,也为贵医大的信息化建设提供了强有力的安全保障。集中的日志存储及展现能帮助贵医大直观有效的进行准确定位,针对未知威胁,快速进行有效查找并溯源。基于可视化大屏数据,看见威胁趋势。客户价值政法行业:广西省高法终端一体化管理(准入管控合一)、移动存储管理、网络防护、准入控制、全面的外设管控能
23、力、级联部署全省3万终端覆盖Windows XP/7/8/10、XPE、Win7E、Windows Server2008/2012/2016等系统涵盖省高级法院,广西省各市级中院以及下属的县级,区级法院项目规模项目亮点统计了全省终端准入控制、安全管理实现了全行所有终端的分级管理,各地市管理员可直接管理本市全部终端,有效缓解高法运维压力实现了对终端移动存储管理,准入控制,外设管理,网络访问控制等要求应用效果运营商行业:山西移动涉及1.5万终端覆盖Windows XP/7/8/10等系统覆盖全省终端一体化管理杀毒、补丁统一管理、级联部署项目规模资产统计,精准收集全省终端软/硬件资产信息3+3防御提
24、升勒索防护帮助运维人员从重复补丁修复工作中解脱多级部署统一管控,实现了所有终端的分级管理,各地市管理员可直接管理本市全部终端,有效缓解运维压力应用效果服务客户l最高人民法院l最高人民检察院l北京市公安局l上海市公安厅l江苏省公安厅l浙江省公安厅l江西省公安厅l广东省公安厅l重庆市公安局l四川省公安厅l外交部l发改委l工业和信息化部l公安部l财政部l国土资源部l环境保护部l交通运输部l水利部l农业部l商务部l人民银行l海关总署l税务总局l工商总局l知识产权局l新华社l气象局公检法司中央政府地方政府l武装警察部队总部l航天科技l航天科工l中核集团l中国电科军队军工注:列表中客户仅为部分l中国农业银行l中国建设银行l交通银行l招商银行l中国民生银行l中国人保l中国人寿l泰康人寿l华泰证券l广发证券l中国电信l中国联通l中国移动金融电信l中国石油l中国石化l国家电网l江苏省电力l四川省电力l神华集团l葛洲坝集团l中国国航l东方航空l南方航空l深圳地铁l北京首都机场l广州白云机场能源交通l国美电器l河南新飞电器l齐鲁制药l安徽中烟工业其他l华润置地l北京市教委l浙江大学l北京理工大学Thank you!Thank you!一体化终端,一体化安全
黑公网安备:91230400333293403D