基于主机的入侵防御方案课件

Click to edit Master title style,Symantec Critical System Protection,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,Symantec Confidential,Symantec Critical System Protection v5.0,基于主机的入侵防御产品,(IPS),Presenters NameDate,.,议程,当前安全趋势,SCSP,简介,SCSP,的入侵防护功能,(IPS),SCSP,的入侵检测功能,(IDS),SCSP,的主要功能和特点,总结,1,2,3,4,5,6,.,当前安全趋势,.,如何阻截已经射出的子弹？,.,月,天,小时,分钟,秒,程序,病毒,Macro,病毒,电子邮件,蠕虫,网络,蠕虫,Flash,蠕虫,之前,自动化,之后,自动化,感染期,特征,响应期,被动，使我们时刻处于下风阻截飞行中的子弹,我们已经面临这样一种感染形势，即最新威胁的传播速度已经超出了我们的响应能力,如果我们想要赢得这场战争，那么我们必需改变我们的策略,1990,时间,2005,感染期,特征响应期,.,留给我们的时间真的不多箭已发出,在高峰期，每,12,封电子邮件就有,1,封,被,MyDoom,感染！,Code Red,的感染率每,37,分钟就翻一番。,Slammer,每,8.5,秒就翻一番，在,10,分钟之内可感染,90%,未受保护的服务器！,一旦有漏洞公开披露，,Blaster,只需,27,天就可摧毁网络！,.,典型的攻击步骤,Internet,基于网络的,IDS/IPS,基于主机的,IDS/IPS,.,Symantec,集成的,IDS/IPS,解决方案,Internet,SNS+SCSP,赛门铁克能提供完整的入侵检测,/,入侵防护解决方案,.,Symantec Critical System Protection(SCSP),Symantec,的主机保护产品,SCSP,提供完成的主机入侵防护解决方案,他能提供攻击防护、终端控制和安全事件监控和审计等功能以确认企业内部多种平台的服务器的完整性和策略依从。,.,Why Symantec Critical System Protection?,维,持系统的策略依从,加固系统,入侵检测,入侵防护,减少管理复杂程度,提升产品的管理能力,防,止零日攻击,加固日志系统,日志转发,和日志监控,对无法立即安装补丁程序或锁定的系统提供防护,企业级的报表功能,通,过简单，集中的策略创建管理系统降低企业用于资产保护的成本,目的,提供,怀,有恶意的内部用户攻击系统,未知攻击针对,:,内存,文件系统,注册表,操作系统,应用,终,端用户违背企业安全策略,预防,.,保护企业中的关键业务主机,数据中心,数据库服务器,互联网应用服务器,Web,服务器,邮件服务器,后台办公系统,定制的应用系统,公司内部,文件服务器,打印服务器,远程访问网关,分布式系统,高风险的客户端,移动用户,高管的台式机,保存机密的系统,访问关键任务的系统,缺少物理安全访问的系统,信息终端,(,触摸屏,),.,主机安全产品的功能覆盖,分类,SAV 10.0,SCS 3.0,CSP 5.0,防病毒及间谍广告软件的移除,主机防火墙,网络攻击,操作系统加固,应用加固,系统资源的隔离和设备保护,恢复被攻击的终端,保护桌面电脑和服务器,.,SCSP,的入侵防护功能,.,主动式预防,攻击正在趋向简单化,主机程序,.,DNS,RPC,PrintSpooler,.,邮件,网站,数据库,操作系统服务,应用程序,服务,.,邮件客户端,办公软件,浏览器,交互式程序,每个程序只需要一组受限的资源、访问权限就能完成其正常工作,但是很多程序通常有远远超出其工作需要的系统和资源的访问权限,正常资源访问,文件,注册表,网络,设备,读,/,写 数据文件,只读的配置信息,调用,指定的端口及设备,.,攻击正在趋向简单化,(,续,.),主机程序,.,DNS,RPC,PrintSpooler,.,邮件,网站,数据库,操作系统服务,应用程序,服务,.,邮件客户端,办公软件,浏览器,交互式程序,正常资源访问,文件,注册表,网络,设备,读,/,写 数据文件,只读的配置信息,调用,指定的端口及设备,可执行程序和,关键的系统文件,关键的,注册表键值,建立,对外的网络连接,和本地网络服务,广泛的系统设备,暴露的资源,攻击者“诱骗”程序去访问和修改,额外的系统资源,.,Symantec CSP Solution Overview,主机程序,.,DNS,RPC,PrintSpooler,.,邮件系统,Web,数据库,操作系统服务,应用程序,.,邮件客户端,办公软件,浏览器,交互式程序,SCSP,在每个程序或服务定制一个外壳,(BCD),限定其访问行为,文件,注册表,网络,设备,读,/,写 数据文件,只读的配置信息,调用,指定的端口及设备,Behavior Control Descriptions(BCDs),限定每个应用程序允许访问的资源及其访问权限,.,UserApplications,Core OSService,Web,Database,Mail,etc.,Server security Agent,Windows 2000/XP/2003,Solaris,Linux,文件,Pipes,注册表,网络,缓存溢出,系统调用,进程衍生,路径,Server communications,Download policy&configuration updates,Upload logged events,SCSP,在操作系统的最底层进行防护,Behavior Control Agent,Kernel mode intercept driver,SCSP,.,防护能力,缓存溢出保护,操作系统加固,注册表保护,文件系统保护,定制攻击防护策略,主机防火墙功能,移动设备控帛,交互式程序控制,超级用户,/,管理员权限控制,操作系统审计日志的监控和响应,.,SCSP,的入侵检测功能,.,Agent,主机入侵检测,Agent,安装在主机上代理程序,文件,注册表,审计信息,操作系统日志,应用系统日志,Act,Symantec IPS creates a“shell”around each program&service that defines acceptable behavior,主控台报警,邮件通知,SNMP Trap,禁用恶意帐户,保存事件信息供进一步分析,转发日志到管理服务器供报表和分析,基于策略的自定义响应动作,智能报警,事件信息,数据库,-,资产数据,-,策略,-,运行状态,事件数据,管理服务器,.,SCSP,入侵检测的工作模式,SCSP,一般通过监视系统、事件、安全日志和端口调用来判别是否有攻击发生,SCSP,一旦发现攻击，会立即作出相应的响应动作，基于主机入侵检测系统提供的响应方式比,NIDS,的要丰富,SCSP,还可以通过监视可编辑的文件系统列表、注册表的变化来判别是否有攻击事件发生,可以监视、响应针对某台系统的任何存取、修改、配置等动作,.,SCSP,策略，默认按操作系统归类,未授权的系统配置更改,未授权的管理权限更改及滥用,失败登录,重要文件未授权访问和更改,注册表的更改（针对,Windows,平台,),SCSP,的入侵检测功能,是基于监控策略,实时监控,.,日志的转发和合并,日志文件及其归档是完成，准确和可验证的，所以这些日志可用于计算机犯罪的取证调证,日志文件被保存在,Agent,本地，也可以被转发,可以设定过滤规则，只转发相关的安全事件到管理服务器,在,Agent,本地的完整日志文件也能通过,SSL,方式被转发到管理服务器，用于归档,日志文件的完整性在日志转发和归档时完成,日志文件在被转发到管理服务器时均被压缩,每条日志记录都是唯一的，可识别的,.,SCSP,的主要功能和特点,.,SCSP 5.0,支持的系统平台,Platform,Desktop,Server,Prevention,Monitoring,Microsoft Windows,Windows XP,Windows 2000,Windows 2000 Server,Windows Server 2003,Windows 2000 Server,Windows Server 2003,Solaris,Not Applicable,Solaris 8 32 and 64-bit,Solaris 9 32 and 64-bit,Solaris 8 32 and 64-bit,Solaris 9 32 and 64-bit,Linux,SuSE Linux Professional,SuSE Linux Enterprise Server 8,RedHat Enterprise Linux 3.0,SuSE Linux Enterprise Server 8,RedHat Enterprise Linux 3.0,AIX,Not Applicable,Not Available this release,AIX 5L(5.2 and 5.3),HP-UX,Not Applicable,Not Available this release,HP-UX 11(11.11),HP-UX 11i v2(11.23),*The management server is currently supported on Windows platform only.,.,Symantec Critical System Protection 5.0,产品框架,Behavior Control Agents,Behavior Control Agents,服务器,管理服务器,管理控制端,HTTPS,JDBC,代理注册,策略配置,事件记录,策略配置,代理配置,实时监控,用户和角色管理,SQL DataStore,配置数据,日志,运行状态,事件数据,HTTPS,产品框架,26,.,SCSP,代理程序,(Behavior Control Agent),功能,对于系统调用提供内核层的截获分析,不用重启就能加载策略,验证进程间衍生关系,强制贯彻策略,缓存溢出保护,收集具体日志信息,User,Applications,Core OSService,CSP Agent,文件,Named Pipes,注册表,(Win only),网络控制,内存,(,缓存溢出,),操作系统调用,设备,Behavior Control Agent,Kernel mode intercept driver,Windows 2000/XP/2003,Solaris,Linux,HTTPS,Web,DB,Mail,etc.,SCSP,管理服务器,.,注册表,网络,文件,只读,读,-,写,不能访问,所有其它程序,操作系统核心功能应用程序,明确允许的行为,明确禁止的行为,程序,子程序,/,进程,指令参数,用户,模块化策略架构,进程集合,进程,进程绑定的规则,Behavior Control Descriptions(BCDs),资源,在维护现有规则的完整性时的新的,BCD,被添加,.,行为控制描述,(BCD),的组件,行为控制描述,(BCD),的组件定义的了进程访问系统资源时的权限,A BCD,包括如下的资源控制,:,文件访问,注册表访问,网络连接,(,接受 和 连接,),Syscall,缓存溢出,.,行为控制描述,(BCDs):,SCSP,提供两种类型的行为控制描述,(Behavior Control Descriptions BCDs):,用于限定服务或应用程序的定制,BCDs,定义哪些行为是允许的,其他所有行为都被限制的,比如,IIS,服务只需要提供最基本的,Web,服务,不需要调用,