基于主机的入侵防御方案.ppt

SymantecCriticalSystemProtectionv5.0基于主机的入侵防御产品(IPS),PresentersNameDate,议程,当前安全趋势SCSP简介SCSP的入侵防护功能(IPS)SCSP的入侵检测功能(IDS)SCSP的主要功能和特点总结,5,6,当前安全趋势,如何阻截已经射出的子弹？,月,天,小时,分钟,秒,感染期,特征响应期,被动，使我们时刻处于下风阻截飞行中的子弹,我们已经面临这样一种感染形势，即最新威胁的传播速度已经超出了我们的响应能力如果我们想要赢得这场战争，那么我们必需改变我们的策略,1990,时间,2005,留给我们的时间真的不多箭已发出,CodeRed的感染率每37分钟就翻一番。Slammer每8.5秒就翻一番，在10分钟之内可感染90%未受保护的服务器！,典型的攻击步骤,基于网络的IDS/IPS,基于主机的IDS/IPS,Symantec集成的IDS/IPS解决方案,SNS+SCSP赛门铁克能提供完整的入侵检测/入侵防护解决方案,SymantecCriticalSystemProtection(SCSP),Symantec的主机保护产品SCSP提供完成的主机入侵防护解决方案,他能提供攻击防护、终端控制和安全事件监控和审计等功能以确认企业内部多种平台的服务器的完整性和策略依从。,WhySymantecCriticalSystemProtection?,维持系统的策略依从加固系统入侵检测入侵防护减少管理复杂程度提升产品的管理能力,防止零日攻击加固日志系统,日志转发,和日志监控对无法立即安装补丁程序或锁定的系统提供防护企业级的报表功能通过简单，集中的策略创建管理系统降低企业用于资产保护的成本,目的,提供,怀有恶意的内部用户攻击系统未知攻击针对:内存文件系统注册表操作系统应用终端用户违背企业安全策略,预防,保护企业中的关键业务主机,数据中心数据库服务器互联网应用服务器Web服务器邮件服务器后台办公系统定制的应用系统公司内部文件服务器打印服务器远程访问网关分布式系统,高风险的客户端移动用户高管的台式机保存机密的系统访问关键任务的系统缺少物理安全访问的系统信息终端(触摸屏),主机安全产品的功能覆盖,SCSP的入侵防护功能,主动式预防攻击正在趋向简单化,主机程序,交互式程序,攻击正在趋向简单化(续.),主机程序,交互式程序,SymantecCSPSolutionOverview,主机程序,.,DNS,RPC,PrintSpooler,.,邮件系统,Web,数据库,操作系统服务,应用程序,.,邮件客户端,办公软件,浏览器,交互式程序,SCSP在每个程序或服务定制一个外壳(BCD),限定其访问行为,BehaviorControlDescriptions(BCDs)限定每个应用程序允许访问的资源及其访问权限,UserApplications,CoreOSService,Web,Database,Mail,etc.,ServersecurityAgent,Windows2000/XP/2003,Solaris,Linux,文件,Pipes,注册表,网络,缓存溢出,系统调用,进程衍生,路径,ServercommunicationsDownloadpolicy&configurationupdatesUploadloggedevents,SCSP在操作系统的最底层进行防护,BehaviorControlAgent,Kernelmodeinterceptdriver,SCSP,防护能力,缓存溢出保护操作系统加固注册表保护文件系统保护定制攻击防护策略主机防火墙功能移动设备控帛交互式程序控制超级用户/管理员权限控制操作系统审计日志的监控和响应,SCSP的入侵检测功能,Agent,主机入侵检测,Agent,安装在主机上代理程序,文件,注册表,审计信息,操作系统日志,应用系统日志,Act,SymantecIPScreatesa“shell”aroundeachprogram&servicethatdefinesacceptablebehavior,主控台报警邮件通知SNMPTrap禁用恶意帐户保存事件信息供进一步分析转发日志到管理服务器供报表和分析基于策略的自定义响应动作,智能报警,事件信息,数据库,-资产数据,-策略,-运行状态,事件数据,管理服务器,SCSP入侵检测的工作模式,SCSP一般通过监视系统、事件、安全日志和端口调用来判别是否有攻击发生SCSP一旦发现攻击，会立即作出相应的响应动作，基于主机入侵检测系统提供的响应方式比NIDS的要丰富SCSP还可以通过监视可编辑的文件系统列表、注册表的变化来判别是否有攻击事件发生可以监视、响应针对某台系统的任何存取、修改、配置等动作,SCSP策略，默认按操作系统归类未授权的系统配置更改未授权的管理权限更改及滥用失败登录重要文件未授权访问和更改注册表的更改（针对Windows平台),SCSP的入侵检测功能是基于监控策略,实时监控,日志的转发和合并,日志文件及其归档是完成，准确和可验证的，所以这些日志可用于计算机犯罪的取证调证日志文件被保存在Agent本地，也可以被转发可以设定过滤规则，只转发相关的安全事件到管理服务器在Agent本地的完整日志文件也能通过SSL方式被转发到管理服务器，用于归档日志文件的完整性在日志转发和归档时完成日志文件在被转发到管理服务器时均被压缩每条日志记录都是唯一的，可识别的,SCSP的主要功能和特点,SCSP5.0支持的系统平台,*ThemanagementserveriscurrentlysupportedonWindowsplatformonly.,SymantecCriticalSystemProtection5.0产品框架,BehaviorControlAgents,BehaviorControlAgents,服务器,管理服务器,管理控制端,HTTPS,JDBC,代理注册,策略配置,事件记录,策略配置,代理配置,实时监控,用户和角色管理,SQLDataStore,配置数据,日志,运行状态,事件数据,HTTPS,产品框架,26,SCSP代理程序(BehaviorControlAgent)功能,对于系统调用提供内核层的截获分析不用重启就能加载策略验证进程间衍生关系强制贯彻策略缓存溢出保护收集具体日志信息,UserApplications,CoreOSService,CSPAgent,文件,NamedPipes,注册表(Winonly),网络控制,内存(缓存溢出),操作系统调用,设备,BehaviorControlAgent,Kernelmodeinterceptdriver,Windows2000/XP/2003,Solaris,Linux,HTTPS,Web,DB,Mail,etc.,SCSP管理服务器,注册表,网络,文件,只读,读-写,不能访问,所有其它程序,操作系统核心功能应用程序,明确允许的行为,明确禁止的行为,程序子程序/进程指令参数用户,模块化策略架构,进程集合,进程,进程绑定的规则,BehaviorControlDescriptions(BCDs),资源,行为控制描述(BCD)的组件,行为控制描述(BCD)的组件定义的了进程访问系统资源时的权限ABCD包括如下的资源控制:文件访问注册表访问网络连接(接受和连接)Syscall缓存溢出,行为控制描述(BCDs):,SCSP提供两种类型的行为控制描述(BehaviorControlDescriptionsBCDs):用于限定服务或应用程序的定制BCDs定义哪些行为是允许的其他所有行为都被限制的比如IIS服务只需要提供最基本的Web服务,不需要调用cmd.exe指令.通用BCDs定义哪些行为被禁止其他所有行为都不受约束这样可以限定一般程序对于系统关键信息的修改(比如:并不是所有的程序都需要对外网连接),拦截零日攻击,有效的入侵防御技术，终止针对系统和应用的不断恶意攻击防止由于没有及时安装补丁引发的可疑代码传入和扩散,防止攻击缓存溢出保护应用程序的防护/隔离各个操作系统功能的防护/隔离注册表和文件夹的保护“最小权力”的贯彻集成的防火墙隔离入埠和出埠通讯,操作系统加固,通过缺省策略锁定操作系统，应用和数据库预防未授权的可执行程序的传入和运行,OperatingSystemProtectionMicrosoftWindowsSUSELinuxSunSolarisApplicationProtectionMicrosoftExchangeServerMicrosoftInternetInformationServerMicrosoftSQLServerApacheWebServerSendmailPostfix,预定义的应用程序安全策略，针对交互式程序策略MicrosoftOfficeMicrosoftOutlookInternetExplorer预定义的应用程序安全策略，针对后台服务MicrosoftExchangeIISSQLServeraswellasSendmail,Apache,andPostfix预定义的审计监控策略,预定义的应用程序策略,维持策略依从,对于交互式程序可以进行强制的行为控制预防由于用户失误引发的意外事件，比如不小心运行的邮件附件对于移动存贮设备采用基于策略的控制，防止机密信息的外泄,交互式程序控制MicrosoftOutlookandOutlookExpressMicrosoftOfficeProgramsMicrosoftInternetExplorerI/O设备管理预防U盘访问预防CD-ROM刻录预防没有VPN加密保护的无线连接,维持策略依从将书面策略付诸行动,策略可以通过开关选项设备选项可以在多个层次设定可以针对某一个具体应用进行控制如图所示：当Outlook打开邮件附件时，将会依照上述选项执行,减少管理复杂程度,单一的管理控制界面进行配置、部署和管理统一的报表和报警功能策略将按照Agent所在的操作系统和应用程序类型自动配置加载,采用单一策略:Web,Database,MailServers所有的应用程序安全配置相同OS“家族”的各个版本采用简单的选项:分布式系统的集中控制基于目录的内部用户权限设定允许特定的网络访问控制,IIS通常有权使用图示中特定的系统资源取消这些选项将限制IIS每个功能模块能访问的资源如果在IIS配置界面上配置,则需要在每台运行IIS的服务器上单独配置.SCSP只需要配置一个策略,应用到每台IIS服务器上,管理员只需要通过开关选项目配置安全策略,SCSP的功能小结,防止零日攻击,加固系统,维持策略依从,减少管理复杂程度,减少系统宕机时间降低清除攻击确保业务的持续性不依赖于基于特征的策略,附软件提供多种保护策略控制特权用户默认策略即可有效保护系统和各种应用,可信的安全系统系统安全策略的强制贯彻,SCSP服务器版和客户端版本的采用相同的安全策略跨平台统一管理降低管理员负担,附注,狙击波病毒特征(W32.zotob.A/B/C/D/E),利用微软于今年8月9日公布的安全漏洞MicrosoftSecurityBulletinMS05-039VulnerabilityinPlugandPlayCouldAllowRemoteCodeExecutionandElevationofPrivilege(899588)电脑会不断重启中毒电脑主动连接到IRC服务器(),就会通过IRC被病毒传播者控制随机查找B类网址范围的其它可被感染主机修改系统中的hosts文件,将知名防病毒厂商的网址指向127.0.0.1,阻止用户从防病毒网站下载最新的病毒定义码和移除工具.,通过基于主机的IPS产品,保护关键主机不受病毒影响,SCSP在默认情况,就能保护主机不受狙击波的攻击限制系统服务可以访问的资源(无法向系统目录添加病毒程序)禁止系统服务随意对外建立连接(无法开启后门)禁止系统服务任意修改系统文件(无法修改注册表).,针对狙击波的有效防御,Windows2000/XP/2003Kernel,文件,注册表,设备,系统资源,端口,PlugandPlayService,入站连接(端口135),连接远程主机(端口8888),PlugandPlayService,运行角本,下载病毒,修改注册表键值,在系统目录下添加病毒文件,PlugandPlayService,启运后门程序,允许被远程操纵,内存(缓存溢出),Windows2000/XP/2003Kernel,RPCService,RPCService,RPCService,OpenBackdoorforRemoteAccess,SampleExploit:MSBlaster,InboundConnect(Port135),CreateOutboundConnect(Port4444),RunScripttoDownloadFile,ModifyRegistryKeys,InsertFileintoRootDirectory,主机程序,操作系统服务,应用程序服务,交互式程序,正常资源访问,文件,注册表,网络,设备,读/写数据文件,只读的配置信息,调用指定的端口及设备,每个程序只需要一组受限的资源、访问权限就能完成其正常工作,但是很多程序通常有远远超出其工作需要的系统和资源的访问权限,漏洞点,