趋势科技演化的APT治理战略发布会纪实
1/47
趋势科技演化的APT治理战略发布会会场,前门大街M餐厅。2/47
趋势科技《演化的APT治理战略》
免费下载地址:www.trendmicro.com.cn3/47
在不断演化的网络安全领域,会出现比高级持续性威胁(Advanced Persistent Threat,APT)更具挑战性的对手,但现在所做的事情,就是要改变。今日,趋势科技发布了演化的APT治理战略。4/47
趋势科技(中国区)业务发展总监 童宁:3C战略的提出是趋势科技在2012年开始针对整个IT发展的变化提出的战略。移动互联、云计算虚拟化、网络威胁和定制化攻击是趋势科技发力的主要领域。5/47
简单回顾一下趋势科技对整个安全领域的看法,很多熟悉我们的媒体朋友之前可能了解过,都是我们的3C战略,趋势科技在2012年开始对整个IT发展的变化,有一个自己的想法,这个想法主要包括三个领域,第一个领域,是移动互联,2008年苹果公司推出一台IPhone开始,整个智能手机的发展非常迅速,影响了我们每个人的日常生活。所以大家现在也能看到,很多时候大家都抱着手机低着头在发微信,看新闻,收邮件,所以移动互联对我们今天来讲不仅是影响了我们自己的生活,也慢慢影响到我们的工作,所以公司也采用移动办公的方式为员工提供更加便利的办公方法。另外一个潮流是云和虚拟化,在最近几年,从云里雾里的概念,一直到实际的云项目落地,以及现在越来越多的云服务出现,这是我们看到的一个基本的操作,所以趋势在很久以前开始考虑在云和虚拟化方面有那些安全的问题和挑战,以及提供相关的一些解决方案。当然还有一个领域是网络威胁和定制化的攻击。对于攻击者来讲,这个城市跟过去有很大不一样,过去可能大家写病毒、木马等等跟今天的APT攻击所面临的挑战是不一样的。6/47
首先看一下移动互联,移动互联带给一个很大的挑战,过去大家只用电脑工作后来变成用移动笔记本工作,一直到现在大家用手机工作,所以客户需要的是一个更加完整的终端解决方案,而不像以前装个防病毒软件,所以这里面包括,一个员工会用他的终端做很多我们以前不做的事情,包括用云建立文件的存储和共享,用云做协作,跟社交网络进行沟通等等,所以单纯的防病毒软件不太够用,所以考虑到其他的过滤防止数据的丢失,加密设备管理程序控制等等都是需要对客户的设备进行保护。所以趋势科技提出了第一个战略是全面的最终用户的一个防护。我们希望做到在任何时间,任何地点,任何设备上都可以对客户的使用环境进行保护,然后经过趋势科技后台的安全智能防护云统计计算出全世界最主要的最新的威胁,把这些威胁咨询在解决方案联动起来,对客户提供最完整的保护。 这是我们第一个C是全面的终端用户防护7/47
第二个C是我们的云,云和虚拟化,大概在三年前,中国的客户逐渐还是进行虚拟化的IT的改造,特别是在我们数据中心里,到今年为止,大家可以看到更多私有云公有云的话题,包括像阿里云,腾讯云,华为云甚至国外一些厂商像亚马逊的AWS,微软的云,在中国市场都开始分发力了,所以大家知道,客户对云的接受度是越来越广泛,在这一块我们整个考虑的点也在发生变化,过去你说是在自己家的数据中心,现在逐渐向没有边界的地方靠拢,在公有云的范围内也有你的业务和资讯在里面。甚至最近我们听到一个消息,谷歌公司开始取消内网和外网的产品,整个公司对整个网络进行一个变换,这些都是新的特征,都是整个云和虚拟化技术带来的一个挑战。所以对于云和数据中心的安全也是趋势科技重点为客户考虑的一个领域,我们投入了大量的研发力量来开发这方面的解决方案。比较知名的一个产品叫Deep security,不管从技术还是市场份额来讲,这个产品在虚拟化安全市场上是最顶尖的一个产品。8/47
第三个C是今天讲到的网络威胁和定制化的攻击。定制化的智能防御系统是针对APT系统开发出来的一个解决方案,因为APT治理最大的一个挑战来自于攻击的对象发起者对目标用户进行一个详细分析的,他了解他里面的组织机构,了解他里面的一些关键信息,他制作的工具是针对与这个企业,这个目标用户进行定制开发的,所以外面标准的一些防病毒软件或者解决方案,无法发现这样的病毒,所以我们这里面根据我们设定的全生命周期的防御系统,在不同的阶段增加我们的解决方案,这四个领域包括侦测阶段、分析阶段还有加工阶段和响应阶段,在四个阶段里,我们把相关的技术整合分散到这四个阶段里提供一个完整的解决方案。所以包括全往的侦测,定制沙箱技术和威胁情报分析,还有自动化的更新和威胁管理的服务,这是我们今天在这个发布会上重点介绍的领域。9/47
这是我回顾的趋势的3C战略,全面终端防护,定制化的防御和云和数据中心的安全。然后配合趋势科技后台的安全智能防护云来提供最新的一些安全咨询与现有的解决方案进行互动。10/47
童宁表示:趋势科技的远景是打造一个零风险的数据交换世界。11/47
IDC王培:我们主要谈论的重点是怎么应对APT的攻击,从IDC市场研究公司的角度看,有一些相关信息。12/47
家知道在安全领域,最大的盛会就是每年的ISA大会在美国举行,每年所有参展的厂商会设置自己的一个关健词,主办方会通过这些关健词生成一个标签流,每年都有相应的一些变化,2015年4月份的时候,最大的变化我们看到今年的关健词是网络空间,所以我们看到无论是国内外的厂商都在讲这个,他可以成是一个国家的国土、海洋,是一个定制化的空间,属于国家战略的部署,所以每个国家都在重视,这也符合了当前中国政府对网络空间安全的形势,大家可能也知道,政府在推动相关的一些政策和战略应对网络空间的安全。13/47
这个人是去年IDC公司新上任的总裁,他在会上发表了一个主题演讲,他说今天所谓的网络安全是在黑暗中去摸索前行,他引用了一个词是breach我们用中文通俗的翻译是被黑了。14/47
因为去年我们有很多相关的网络安全的攻击事件特别多,数不胜数左边这张是去年4月8号的图,我相信很多公司工程师没有睡觉,这个叫心脏滴血,头一天晚上微软的漏洞出来了,然后12306也发生数据泄露的事,“刺杀金正恩”是索尼影业出品的电影,也是因为索尼影业遭受了非常严重的APT攻击,导致这部电影没有真正公映。其他有很多安全的事件,用他的话说,他大胆的预测,2015年将会发生比2014年更加严重的信息安全事件,所以我们可以更加关注一下,所谓的攻击事件最可怕的是APT的攻击。前两年有ISA的被黑,包括索尼影业,还有美国第二大超市被黑,信用卡资料被偷,导致他的CEO下台,等等相关事件足以证明APT在整个安全领域是多么的可怕。15/47
这张图简单描述了一下APT从开始征射目标到我要用什么手段攻击他,然后我怎么样deliver,一直到他已经得手了,再往后对你实行控制,开始偷你的东西,想要什么可以拿了,最后这个维护的过程是最可怕的,可以理解成一个持续的,相当于APT里面的P:可持续的。你根本不知道我在里面,我已经入侵你了,而且我是长时间的过程,这个P是最可怕的,怎么样防护APT,怎么去治理他,最核心的要素是我们在这个地方叫(Life APT),这个节点往前我们去阻断他,当然这个节点往后基本上你的东西已经被偷了。16/47
这个里面我会跟大家引入一个理念,这个理念2014年在美国非常火热,在中国,我在百度上搜这两个词是没有中文翻译的,只有谷歌和国外的网站有。我们就说它怎么翻译,所以虽然我们翻译的不好,但是在圈内已经认可了,这个词叫威胁情报,威胁情报什么意思,我们需要在海量的安全事件中发现有价值的攻击事件。大家也知道APT是不能够用传统所谓的被动式防御来防护。我跟大家简单解释一下什么叫威胁情报,威胁情报有一些组成,第一个领域是怎么收集这个情报,情报大家可以理解成是一个信息,这个信息里面包含了很多内容,谁来提供这个情报,比如趋势科技自己,趋势科技是一个安全厂商,安全厂商可以提供情报,另外我们政府机构,我们国内有我们的策略,美国有美国的策略,相关的政府机构会提供相关的情报。包括漏洞的平台,像公有云做漏洞检测的,他们都可以提供相关的情报信息作为威胁情报。你有了威胁情报之后怎么做,后台一定要有一个完善的分析平台,把这个警报做一些分析,这里面会涉及到你怎么用你的数据建模,怎么通过机器学习的方法做自动化识别,包括对一些用户的行为和对一些特制的行为做分析。我跟美国的一些同事开玩笑,他们说早些年学数学的人找不到工作,但是2015年开始学数学的人是非常吃香的,因为要用到很多数学的东西,有非常强的数学建模的能力才能在后台发挥更重要的作用。17/47
有了分析平台之后,分析出了结果之后需要干什么,我需要有一个平台,我知道这个地方有问题了,可能提前预判到了,就要做一些响应,怎么响应,和你的安全防护系统做联动,你可以实现自动化的一些响应或者人工干预的响应,这都是几个响应平台。大家对警报理念可能比较模糊,大概威胁情报分这几种,一种是定向警报,这里面涉及到我用什么样的一些攻击的工具,一些被利用的漏洞等等,另外是大批量的恶意警报,比如很多安全厂商也提供,趋势科技也有自己的沙箱,通过沙箱的检测分析出这种恶意的行为。所谓的定向警报是通过你的分析平台和数据建模选取出来的这些恶意代码和行为,把他生成比较新的情报,叫定向的恶意代码情报。另外的情报,大家也知道,很多厂商说我有很多的信誉度,比如我的IP地址,恶意的URL,EMS等等这些都是属于一种信誉度,把这些情报统统整合起来,我们可以称为是一个完整的情报,叫威胁情报。18/47
分享一下IDC对中国市场最新的一个研究结果。这是整个2014年到2019年我们有一个Ohas,如果看一些大的数据,中国的安全投资对所有的IT还是很小只有一个百分点,这个跟欧美国家的差距还是比较大的,当然中国的IT终端有很大一部分是我们智能手机、平板电脑。这个比例是1%,我们看增长率,2013年的增长率是将近20%,未来五年的预测大概是 将近17%。大家可以对比一下总体的IT的市场,你去看服务器还是看其他领域的软件,我们看有一个IT的增长,2014年是10%,我们预测今年的状况大概会降到5%左右,这是IDC的预测。美国市场差不多8%,是中国市场的一个增长率,通过我们对市场的研究,我们会认为在中国市场发展潜力非常大。19/47
趋势科技资深产品经理 林依莹20/47
林依莹:我先跟大家介绍一下所谓的APT攻击,定制化攻击到底是什么样的,我会举几个世界上比较知名的案例,让你知道,当你中了这个定制化的攻击之后到底会发生什么样的事情。第一,讲到APT的定制化攻击,这种新型的攻击有些人相对是比较陌生的,就大家所知道,这种形态的攻击其实有个特点,他会瞬间爆发在一个环境,让你的电脑没有办法运作,或者有些东西或者网页是残缺的,这一类的攻击对使用者会立刻感知到它的不便,这跟新形态的攻击有什么不一样,第一,APT定制化攻击跟以往比起来有一个特点,他是潜伏的,他是开始的时候你很难发现的,他不会一瞬间大量的爆发出来,他会存在你的环境里,几个礼拜几个月,甚至有几年的案例在,第二件事情,过去的攻击都是来自外部,所以我只要把防火墙或者安全墙锁好就可以了。但是这一类的定制化攻击第二个特点是他通常会进行渗透的动作,当它渗透成功以后,有时候攻击会从内部往外同时进行,你只防从外面进来的攻击是没有用的,有时候根本是从里面往外面做攻击动作,而且你里面被利用的对象可能还不知道这件事情。这是第一个,新形态的APT攻击的特点,是潜伏的,还有一个是内部渗透的。21/47
第一个案例,我想跟大家介绍一下有关ISA的事情,这个安全事件是很有名的,因为ISA是专门制造动态的安全密码锁,一般公司都会从这家公司购买安全的钥匙,也就是你家门口那道墙的钥匙,但是这道控制安全钥匙的公司被进行APT的攻击。大家一定会想,他是制造安全锁钥匙的公司,他被攻击的手法应该是相当复杂,但是实际上不然,他只是从一封邮件开始的,他们的主管收到一封信,这封信主要有一个附件是2011年的人才聘用计划书,其实正常在公司内部收到这样的信件,如果你没有特别看那个收件者,到底正确,你一定会点开,当你一点开之后这个攻击已经开始了,透过你点开这封邮件,他会进行对你系统本身的漏洞攻击,当你中了这个攻击以后,你内部会造成一些安全事件,嘉宾2:后来整个公司的重要系统被控制住,他的手法很简单,大家有听过一个名词,所谓的网络的钓鱼手法,刚刚我们所介绍的手法就是网络钓鱼手法,他勾引你把这个东西打开,你一旦打开了基本上就中招了,你中招了以后,在内部被他遥控住任何事情都是可以办到的,等于说安全钥匙被窃了,这件事情是很严重的。22/47
23/47
24/47
第二个事件是两年前在韩国发生的,这个事件也很知名的原因是当时受到影响的对象是韩国媒体和金融机构,因为在场大家都是媒体相关行业,如果你们公司或者你们的重要服务器遭到这个控制的时候,他的后果,当时造成整个金融和电视台都瘫痪了,这不是一个单一企业没办法运作,这会造成国家一些行政事物的混乱。这个事件是怎么开始的?这也是透过网络钓鱼事件,这次他伪装成外部的,可是一般的员工还是会点开,因为他伪装成那家公司常常合作的银行所寄来的信用卡的帐单,你的员工收到银行帐单会很严的检查吗,通常不会,所以就点开了,我们这边用一个详细的攻击事件介绍,攻击者透过这封信件,他这封信件是特制化的,为什么我们都称APT为定制化攻击,刚刚我有讲到,大家应该有注意到,他有去调查,跟这些公司合作的信用卡公司是哪一家,特别是去伪装成这家信用卡公司的封面,所以他是针对你这个基业研究你们员工的习惯合作的厂商,如果他今天发送给全公司,可能这个事情不会发生了,当他送这个邮件到内部的时候一般的员工会点开, 他没有自己的型码,被中了木马以后受到了控制,他持续的跟外部做一些沟通,渐渐的这件事情不是这样结束了,他渐渐的往内部走,你今天这个部门受到控制,第二天这个跟A部门有业务往来的部门也受到控制,最后三个部门都受到控制以后,他渐渐的往公司更核心的服务器走。到最后整个公司最机密的资料被窃取了25/47
APT这个定制化的新形态攻击,他会造成很多的影响,跟过去的不一样。首先刚刚介绍到的一个战略,包括这家企业的使用,将来怎么安排这件事情,还有你的成本,你有可能要出很高的成本来收整个善后,包含一些攻击,恢复运作或者说赔偿你的消费者,使用者或者去更换一些东西。你还是有连带风险,你这次真的把这件事情处理完了吗,其实这个东西是一个问号,通常整个大量爆发的时候,没有人能够确定,这个病根已经完全去除了,而且还有些东西留在里面,这有点慢性病的状况是一样的,如果以前的威胁是急速心脏病发,这种有点像慢性病,像癌症在你的体内慢慢布局的那种感觉,最后甚至有致癌的影响,这就提到有一些受到影响的公司,这会造成他们主管甚至CEO下台的状况。所以整个APT所造成的影响是过去就判定的,因为过去大不了把这些电脑全部换新就好,现在不止是这个样子。26/47
27/47
28/47
APT这个定制化的新形态攻击,他会造成很多的影响,跟过去的不一样。首先刚刚介绍到的一个战略,包括这家企业的使用,将来怎么安排这件事情,还有你的成本,你有可能要出很高的成本来收整个善后,包含一些攻击,恢复运作或者说赔偿你的消费者,使用者或者去更换一些东西。你还是有连带风险,你这次真的把这件事情处理完了吗,其实这个东西是一个问号,通常整个大量爆发的时候,没有人能够确定,这个病根已经完全去除了,而且还有些东西留在里面,这有点慢性病的状况是一样的,如果以前的威胁是急速心脏病发,这种有点像慢性病,像癌症在你的体内慢慢布局的那种感觉,最后甚至有致癌的影响,这就提到有一些受到影响的公司,这会造成他们主管甚至CEO下台的状况。所以整个APT所造成的影响是过去就判定的,因为过去大不了把这些电脑全部换新就好,现在不止是这个样子29/47
我们看一下去年的状况,其实从去年开始,这个安全的风暴越来越激烈了,去年是统计资料,我这个是从国外知名的公司拿来的,首先第一个全球去年至少8万家的企业被黑,因为通常这件事情是不名誉的,所以不是所有公司都愿意承认,但是中间还是有影响,或者影响到消费者,所以有两千家公司被迫承认,他就是遭受到APT这样子的攻击。有五百强的公司内部系统有遭受到沦陷,受到影响的状况,并且是涉及全球60家公司,在我们这边,趋势科技像这一类的APT攻击,将来的可能性越来越高,甚至像过往大家提到的旧形态病毒的攻击一样,因为对于骇客这样的攻击,他所收到的获利是相当高的,有金钱,还有包含一些交易在里头,他的所得利润是很高的,我们这边看一下统一的看法,对于传统的安全知识跟新形态的差异,我们刚刚讲这么多新形态的攻击,但是我们接下来要讲的是所谓的新形态的防御,如果你还是采用旧形态的防御这件事情,旧形态的杀毒软件只能侦测到45%的攻击,对旧形态来讲,新形态这种攻击,他其实是有点漂泊不定的,因为他没有发布之前你根本没有办法抓到,因为通常这些新形态的攻击,针对每家公司的状况都不一样,你用一个统一的方法做自己的动作,而且有一些攻击方式为了不让人抓到,他有可能前一个小时这样,下一个小时进行变化,他会做这样的作用,如果你用旧的形态,警察去抓犯人,但是到那个场地以后,那个犯人已经逃亡了30/47
31/47
在今年谷歌发布了一个很重要的观念,我们都认为这个观念未来绝对是一个趋势,谷歌发布这个观念是他觉得以后的状况来讲是没有区别的,谷歌这样说并不是说以后的安全防护不再重要,而是大家今天每个人都带有手机,移动设备或者U盘,但是没有一个真正的环境是内网,你都会从外网带来很多的东西进来,你的合作厂商或者其他方式,所以以后内外网整个环境是被打通的,所以新形态的这个防御做法不能像旧的一样隔一道很重的墙,他必须用新的方法来做防御的动作。32/47
趋势科技资深产品经理白日:所谓知己知彼百战不殆,知道趋势科技怎么看待APT攻击这个事情,首先我们还要了解APT是怎么运作的,这样我们通过APT攻击它的生命周期才能有的放矢的制订相关的解决方案或者相关策略。趋势科技根据大量APT的案例研究发现典型的APT攻击是由六个步骤或者是六个阶段构成的。33/47
趋势科技资深产品经理 白日34/47
那么趋势科技是如何解决APT攻防这方面的问题,这里面要介绍趋势科技演化APT治理战略的内容,在治理的战略当中,我们要提到一个非常关键的叫螺旋迭代式的威胁相应模式,这个相应模式,因为是一个方法论,就是告诉我们的企业或者管理员知道,面对APT攻击,我们该用什么样的方法或者手段来做相关的一些处理,我们对于这个相应的处理模式或者相应模式是研一个中心的过程进行的,一个中心我们讲的以监控为中心,监控首先会了解到你各个安全节点的一些威胁情报,同时也会解决各式各样的网络安全问题的时候用到的各类安全情报和特征。接下来还有四个相关的一些处理的逻辑步骤,第一个步骤是我们的侦测步骤,在这个步骤当中是检测攻击者所使用的传统防御无法识别的恶意对象,包括通讯和行为等等,第二个过程都是我们的分析过程,我一旦发现有一些异常情况首先要确认这个异常是不是实实在在在我的服务器或者终端上真实发生了,如果真实发生了,我也了解到这个威胁的本质是什么,攻击和被攻击者的本质是什么,对我的企业的影响和范围是什么,要做一个定型和定量的评估,完了之后才能有的放矢的对于已经感染的终端或者服务器,做相关的清理动作。在网络或者其他层面会进行相关的一些安全加固的动作,为了满足新的防护变化需求,这是相应阶段做的事情。最后一个阶段,就是我们的阻止阶段,这个阶段做什么,我们都知道,攻击者在第五和第六是要做信息资料挖掘和信息资料窃取的,那么做一个企业的管理员来讲的话,他如何防止黑客发现你的核心资料并且窃取你的核心资料,首先你要对你自己的核心资料的分布有所了解,你要知道你企业的核心资料分布在哪些地方,这个时候你的企业管理员需要介入到一些数据发觉这样的一个工具,了解到你的核心资产分布然后才能有的放矢的对这些核心信息资产,通过一些数据加密,包括数据防泄露,包括应用控制和APT追踪等等这方面的技术防止你的核心信息资产被黑客发现到,而且防止这些核心资产被黑客窃取到,这是我们趋势科技的螺旋迭代式的一个核心步骤,35/47
接下来,结合了我们趋势科技的具体产品或者解决方案,这套机制是如何运作的,这张图是简单让大家看到这是一个非常典型的企业级的安全防护,这里面既有从本地数据的一些相关的安全防御,还有云端的,也有从物联网络到虚拟化网络,从本地的数据中心到云端数据中心到混合云,从这个网络到通讯到服务器到终端等等这方面的安全产品,目前都会把这个安全情报信息汇集到TMCM,终端监控中心,做相关情报的展现工作和分析工作,然后TMCM还有一个工作是他可以把全球的特征通过TMCM共享给所有的网络安全的节点让他做相关的安全的侦测,完了之后,我们趋势科技所有的安全产品除了基于已知威胁的侦测功能之外还有一个非常大的功能,我可以对于高级的未知威胁有侦测的能力和发现的能力,这方面的内容结合了趋势科技的一些技术做的。这里面当我所有的安全节点发现到的可疑的威胁对象,没有办法做进一步确认的时候,我会把他放给我趋势科技的一个深度威胁分析的产品当中,这个产品是我们的大沙箱产品,所有的可疑对象丢到大沙箱当中让他把真正的威胁行为表露出来,这个时候我们才会对威胁做进一步的定性,定性完了之后,我们会以新型威胁特征的方式再重新交给我的威胁管控,再由他重新分发给趋势科技的安全产品,比方说服务器和终端的安全产品,我直接把信息威胁特征交给他,让他在服务器的终端上做相关的威胁的清除或者趋势科技威胁隔离。同样如果是分布在虚拟化或者云数据中心的产品,可以通过我们的IMSX的方式也可以做到威胁的清除和威胁的隔离,同样这样的新型威胁情报也会共享给趋势科技,比方说网络网关的安全产品,邮件通讯的安全产品,服务器和终端的安全产品,除此之外还有非常重要的一点,趋势科技在本地发现的所有新型威胁特征还会共享给我趋势科技全球的第三方安全产品使用,这里面能够直接对接趋势科技安全平台目前有包括惠普的防火墙,IBM的防火墙,福禄克的防火墙包括国内的山石网的防火墙目前可以直接对接到我们这个安全的监控平台上,直接获取本地发现的新型威胁特征,在网关的位置上做早期的侦测和早期的阻止。大家发现其实从TMCM到云端数据中心和本地数据中心,再到网络网关到邮件通讯到服务器终端,这里面发现和侦测的新型的威胁的可疑对象,再交给我进一步确认,确认完之后,生成新型威胁特征,再通过TMCM分发给各个的网络安全节点,这是一个本地的安全情报的交流回路。大家还发现这部分的本地的威胁情报跟我们全球的威胁情报有一个共享的环节,通过本地威胁情报的共享和全球威胁情报共享实现了本地和云端的情报共享的双回路,这种机制是保证了趋势科技既能够对于已知威胁做侦测和相关隔离包括拦截,同样也保证趋势科技的相关解决方案对未知的威胁,包括高级威胁和APT威胁做相关的早期的情报分析和情报相关特征的制作包括最新的威胁情报的分布以新型威胁特征做进一步的安全加固和威胁侦测。这是我们基于螺旋迭代式的一种工作机制的体现,这种威胁体制是双回路的安全机制。36/47
包括我们HP、IBM,包括国内的HillStone安全产品,都可以成功的跟我们这个平台做对接。这是我们螺旋迭代式的威胁响应周期,或者是螺旋响应模式的核心体现,三个方面的一些特性。37/47
讲完了这个之后大家肯定知道,我想具体了解一下我们的战略核心构成有哪几个方面?我们这边有四个方面,给大家简单介绍一下。
第一就是我们趋势科技的云安全智能防护网络,我们简称SPN,也就是我们云端大数据分析系统这部分。那么你如果要做云端大数据分析,至少有两个方面的条件。第一个你要有你广泛的用户基础,趋势科技的用户涵盖个人、家庭、中小企业、大型企业包括超大企业还有合作伙伴、厂商、政府机构等等各个行业的相关用户群体,非常庞大。
38/47
接下来讲我们第二个核心构成,就是我们趋势科技的管理控制中心,我们叫TMCM,这边图就是非常完整的企业级的安全防护,刚才也有讲面向企业级,企业它的网络边界跟十年前的网络边界已经完全不一样。但是十年前的网络边界可能只有这么一小块,由网络、邮件、应用和这块构成的。那新型的网络边界现代化有数据中心,有本地数据中心还有云端数据中心,还有相关的分支机构,分支机构里面还有一些移动和终端,包括其他网络网关。这是构成目前新型的网络边界一个完整的架构图,这张架构图当中有一个非常核心的图产品就是TMCM,目前TMCM能够和趋势科技所有安全产品做到相关的统一控管,包括策略分发、情报集中展示,包括我们的安全情报分享。所以说TMCM它会作为我们 的APT治理战略的一个核心,也就是我们监控中心的核心组件。39/47
第三个核心就是我们的趋势科技深度威胁发现平台,我们叫DeepDiscovery,那这个平台它由四个核心产品来构成。第一个核心产品我们叫威胁发现设备TDA,它是一种侦测设备,它基于网络数据流的方式,识别网络数据流中的高级恶意软件,包括C&C恶意通讯,能够全方位监控攻击者各式各样的网络威胁活动。这款产品是我们05年已经投放到市场的,一个非常成熟的产品。第二个产品是高级威胁邮件安全网关DDEI,我们发现目前的APT攻击中,90%以上都是通过社交工程邮件这种方式来进行的。所以说邮件这个位置上对于APT做相关早期的拦截是非常必要,所以我们推出高级威胁邮件安全网关DDEI这样一个产品,它是专门阻止社交工程邮件导致的网络工程和数据的泄露。40/47
第四个就是深度威胁分析设备,叫DDAN。它是目前,它没有办法单独进行工作,它目前和我们趋势科技所有的安全产品做联动动作, 它能够和我们所有的安全产品做安全联动,使用定制化砂箱的技术来提升对于位置威胁的识别能力,包括保护现有的安全投资,这是一个增强式的砂箱功能。这是我们深度威胁发现产品这个平台的一个核心的几个产品的构成。这几个产品构成并不是空穴来风,去年,2014年盖特纳曾经对APT的产品类型划分了五种,第一种就是网络流量分析型,第二种就是网络取证型,第是网络有效性复合分析型,这个就是类似砂箱分析的复合型,一个威胁进到网络,我可以了解这个威胁的本质是什么,攻击者的本质是什么,它对我网络造成什么影响,它的范围是什么样的,这是做这个。第四个就是关于终端分析包括终端取证这两个,大家发现这五种产品类型,我们趋势科技刚才讲的四款产品已经完全覆盖多,这是我们趋势科技关于深度威胁分析这个产品线或者说产品平台,在安全级的产品的一个定位。41/47
白日:趋势科技对于APT治理的专属咨询服务,这也是构成我们战略的核心构成为什么这样讲?我们发现一个威胁在企业内部发生的时候,通常要有五个相关处理环节。第一就是我发现这种威胁,完了之后我做相关的威胁报警,报警之后管理员会让各地分析员判断,然后找到相关解决方案,然后最后采取相关处理措施。这五个环节中,我们经常会发现,用户在第三个环节和第四各环节,也就是做威胁分析包括威胁方案,寻找的时候而遇到很多问题。这些问题可能因为自己的资源问题,也可能是一些技术问题,需要我们厂商提供相关服务,帮助我们的用户解决这样的问题。那么趋势科技的APT治理的专属咨询服务,它能够非常好的把我们趋势科技的相关产品和服务结合起来,可以帮助我们的用户查证分析威胁的本质和原因,并且采用一些自动化的技术,把威胁样本直接提交到后台和相关的分析,然后我们后台分析完之后把相关的解药交给我们的用户,采取一些相关的措施,包括隔离、治理一些相关措施,帮助我们的用户解决这方面的问题。42/47
林依莹:我接下来帮大家介绍一下,有关趋势科技我们公司本身的事情。首先介绍一下,我们刚才讲了这么多APT治理,新形态防御。我讲一下为什么我们可以有自信跟大家讲,我们在APT治理防御这方面有领导地位。首先第一个,有关我们趋势科技这个历史部分,其实我们趋势科技的历史对于这些威胁防治历史是非常早的,再早从1999年开始,2000年之前我们已经有发现梅丽莎的病毒,那个时候就是APT攻击的一个原型。所以我们在1999年开始针对这类攻击做一个研究的动作,我们在2003年的时候,其实针对这类攻击开始建立我们所谓的云安全的机制,现在之所可以跟大家讲,在云安全这块趋势科技是第一。我们刚才所提到的全球大数据的智能云这块,因为我们从03构建到现在,那其实已经超过十年以上的知识的威胁累计在里头。大家知道云这个东西,经过长时间的累计还有机器学习它才会有价值。43/47
接下来,2005年它是一个关键时期。为什么?因为05年之前APT这个词基本上没有发现虽然大家发现这类攻击和传统不太一样,但是没有定义。那在05年定义了这个,基本是美国政府。他们在官方文件里面出现APT这样定制化攻击的词,在同年,我们刚才介绍的一个产品就是TDA,就是威胁发现,其实就是这类监控产品演进。我们第一代是那个时候问世的,07年的时候我们将刚刚那些产品相关的深度发现的这些解决方案正式推出。在2010年还有2011年这两年,基本是一个环节。刚才白日所介绍的防御战略,我们把它全部串联起来,不仅仅是单一个产品做这类的治理防御,那个时候基本上由四个产品把它串联起来,包括监控、如何处理、如何分析,这是第一代的战略。44/47
45/47
后面2013年这也是一个关键年,因为2013年的我刚刚介绍过韩国那个事情,金融跟媒体,因为遭受攻击所以那一天作为相关的数据全部停板。因为这个事情其实动摇到韩国当天所有人民的正常作息,所以APT攻击也受到很大的重视。在2014和2015,刚刚介绍过的这些战略,我们将它更加的净化更加的完整,所有的细节都会在,待会儿我们发给各位 的白皮书里面。这是我们新演化,新形态的治理战略,针对现在一直不停的发生,还有就是攻击越来越频繁的APT这块。那这里是整个趋势科技对于APT治理简单历史介绍。其实我们发展这一段已经有十几年的历史,为什么要选择趋势科技?其实我们对于这一段很有经验,除了我们发展历史以外,相关选择我们的客户也是很多的。46/47
这边简单将我们在国家里面所有的客户,代表性的客户我们列出来,各位可以看到我们代表性的客户其实有各大行业,包括银行,有交通银行农业银行,还有相关的制造业、或者是医疗业,还有电力,或者是说一些其他的移动,所有都包含这里面,特别是医疗业这几年对于这块相当重视。因为他们的系统,基本是维系很多病人的生命,如果他们的系统有停摆或者资料外泄,其实都会直接影响人们的生命。我做一个简单的回顾,我们今天的发表会,这边介绍几个部分。47/47
为了制止这类新形态的攻击,我们也有宣布我们新形态的防御。我们新形态的防御以监控为中心,进行四个过程,这四个过程分别是先侦测、分析,你总要先发现敌人在哪儿,再分析敌人它的行为模式还有它的特征,第三是响应,就是要告诉,接下来把这个事情公布出来,然后接下来看它如何处理,所以第四个工作就是做阻止,就是治理就是医疗的过程。这个核心过程趋势科技来讲我们有四个部分,首先第一个最重要就是网络,我们刚才讲到,因为我们通过应用云安全,趋势科技的全球智能云,用这个去把全球所有相关,跟APT攻击的这些线索全部连接起来,第二个就是把这些威胁聚集在本地端的一个头脑,就是TMCM管理中心。第三个就是收集这些威胁情报的平台,这个平台目前这边是DD,其实就是深度威胁发现平台,刚才我们讲到的三四个产品级构成的。
最后的话,这些东西,产品都是产品,你购买以后你如何使用它这是最重要的。就跟医疗的药物发力以后,但是如何投药,这个是由医生决定的。所以最后一个很重要,就是有关专家服务这块,我们推出我们的专家针对各个客户,去客制化的一些防御服务或者说我们的顾问,也就是APT治理专属咨询服务的服务,PSP。最后由我 做一个总结,关于我们整个APT治理整个历史流程,从1999年就开始了。跟随在美国公布有这个名词以后,我们相关产品有推出。