解決方案部門高級威脅防護解決方案目錄解決方案背景1解決方案簡介2解決方案資源3目錄解決方案簡介2解決方案資源3解決方案背景12014年實可謂是中國信息安全元年，這一年里信息與網絡安全領域里發生了很多重大事件。最重要的莫過于2014年2月27日，中央網絡安全和信息化領導小組宣告成立，習近平擔任組長，這個事件標志安全已經上升到國家戰略高度。這也讓我們看到了安全產業蓬勃發展的美好前景。從另一個角度來說，對于安全行業，2014年又是不平靜的一年。2014年高危漏洞頻發，安全事件比比皆是，心臟滴血（Heartbleed）漏洞，BASH漏洞等重大安全漏洞的曝光震動了整個互聯網，甚至有人稱這些漏洞帶給互聯網的是一場滅頂之災。華訊解決方案部安全團隊在2014年底收集和整理了去年一年曝光的各類慘烈安全事件，并從中選出了“2014年十大安全事件”，與大家分享。中國互聯網DNS大劫難影響：★★★★☆

余震：★☆☆☆☆損失：超過85%的國內用戶在事故期間不能上網，損失無法統計事件過程：2014年1月21日下午3點10分左右，國內通用頂級域的根服務器忽然出現異常，導致眾多知名網站出現DNS解析故障，用戶無法正常訪問。雖然國內訪問根服務器很快恢復，但由于DNS緩存問題，部分地區用戶“斷網”現象仍將持續數個小時，至少有2/3的國內網站受到影響。微博調查顯示，“1·21全國DNS大劫難”影響空前。事故發生期間，超過85%的用戶遭遇了DNS故障，引發網速變慢和打不開網站的情況。點評：根據多方面分析，本次事故系因DNS防護不夠造成的。阿里云遭受史上最大DDoS攻擊影響：★★★☆☆

余震：★★☆☆☆損失：本次攻擊被成功防御，攻擊流量規模全球最大事件過程：2014年12月24日阿里云計算發布聲明：12月20日—21日，部署在阿里云上的一家知名游戲公司，遭遇了全球互聯網史上最大的一次DDoS攻擊，攻擊時間長達14個小時，攻擊峰值流量達到每秒453.8Gb。據了解，第一波分布式拒絕服務攻擊（DDoS）從12月20日晚上19點左右開始，一直持續到21日凌晨，第二天黑客又再次組織大規模攻擊，攻擊共持續了14個小時。由于部署了專用的防DDoS系統并及時與運營商進行了協同防護，阿里云將本次攻擊造成的損失降到了最低。此前史上最大的DDoS攻擊發生在今年2月份，是針對Cloudflare的一次400G攻擊。CloudFlare是美國一家提供云安全服務的公司，攻擊時，包括4chan和維基解密在內的78.5萬個網站安全服務受到了影響。點評：本次事件為典型的DDoS攻擊，主要受沖擊對象為運營商和IDC數據中心。發生時具體表現為受攻擊者無法對外正常提供服務，需要專用DDoS防護解決方案來加以應對。iCloud安全漏洞泄漏名人裸照影響：★★★★☆

余震：★★☆☆☆損失：個人敏感資料嚴重外泄事件過程：蘋果公司一向以其自身設備和服務的安全而自豪，但今年八月，隨著其iCloud服務被攻破，許多的名人信息被泄露。事件造成數百張家喻戶曉的名人私密照片被盜。該事件向我們敲響了警鐘，那就是在云服務上存儲敏感文件可能并不像我們想象的那樣安全。今天的設備都非常熱衷于將數據推送至各自的云服務器上，人們應該小心敏感資料不會自動上傳到網上或者其他配對的設備上。點評：本次事件的主要原因是個人密碼保護不當，同理企業用戶在訪問內網核心系統時也需要妥善保護自己的個人密碼，同時可輔以令牌、證書、動態密碼等多因素認證技術。攜程泄露大量用戶銀行卡信息影響：★★★☆☆

余震：★★★☆☆損失：攜程聲明所有相關損失由攜程負擔事件過程：2014年3月22日攜程出現重大安全漏洞，攜程安全支付日志可遍歷下載，導致大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin)。盡管漏洞僅持續了兩個多小時，且漏洞發現者并不是惡意黑客而是專門研究漏洞并提交給當事單位的白帽子，不過該事件引發的恐慌仍在持續。點評：本次事件主要由于攜程長時間開放線上調試功能，且系統日志明文存放，同時所存儲的服務器還有目錄遍歷漏洞。根據行為可歸類為以Web攻擊為主的混合入侵。鐵路訂票系統12306大量用戶數據遭泄露影響：★★★★☆

余震：★★★☆☆損失：大批身份證、郵箱泄露造成2次威脅事件過程：有網友在漏洞平臺烏云發表一篇題為《大量12306用戶數據在互聯網瘋傳包括用戶帳號、明文密碼、身份證郵箱等（泄漏途徑目前未知）》的帖子，稱當前有黑客獲取了12306的所有用戶信息并在一些黑客群體中進行流傳、買賣。據了解，該樣本數據的文件標題為《12306郵箱-密碼-姓名-身份證-手機（售后群：31109xxxx）.txt》，共計131653條記錄、文件大小14M。經過仔細分析，該批131,653條的12306用戶數據是真實的。此外，該批數據基本確認為黑客通過“撞庫攻擊”所獲得，并非從12306直接泄露。點評：本次事件雖因撞庫而起，并非從12306直接泄露，但仍至少說明兩個問題：1.其他第三方機構用戶數據庫被攻陷；2.大部分用戶在多個網站使用相同用戶名密碼，一旦其中一個網站被脫庫，其余網站均會受到影響。美國Target數據泄露，致CIO、CEO相繼辭職影響：★★★★☆

余震：★★★★☆損失：超10億美金，TargetCIO、CEO相繼辭職。事件過程：美國零售巨頭Target數據泄露事件影響人數多達1.1億，信用卡數量4000萬。對公司造成損失超過10億美元，CIO貝絲·雅各布、首席董事長、總裁兼CEO格雷格·斯坦哈費爾相繼辭職。數據泄露最終造成Target對業務進行重組。據了解，黑客系通過攻陷空調供暖系統供應商電腦，進一步提升權限，通過Web攻擊等方式最終獲取AD管理員權限，將核心信息外發至黑客手中。點評：本次事件屬于典型的APT攻擊，有清晰的引誘>滲透>升權>回傳過程，大部分數據泄露事件均由此而起。摩根大通大批用戶信息泄露影響：★★★★★

余震：★★★★☆損失：摩根大通事發當月股票跌幅5%，市值蒸發110億美金事件過程：網絡對美國最大的銀行摩根大通的攻擊最早發生在八月，導致聯邦調查局開始調查俄羅斯政府與摩根大通被攻擊之間的關聯。然而，不管是誰發起的攻擊，事件造成了7600萬個個人賬戶和700萬個小企業賬戶的戶名、地址、電話和電子郵件被泄露的嚴重后果，摩根大通的股票2014年全年漲幅約6%，事發當月跌幅約5%。人們一般認為，被攻破的都是些安全措施薄弱的公司，然而眾所周知的是，摩根大通在安全保護領域有著非常完善的安全規劃并不惜投入巨資。摩根大通事件以慘痛的教訓向世界做出警示，沒有人是絕對安全的。點評：本次事件中入侵者使用了多種零日攻擊策略，并在摩根大通的網絡中放置了多層常規惡意軟件。迅速識別并定位這些攻擊行為是針對此類現象的重點需求。索尼影業被黑影響：★★★★☆

余震：★★★★★索尼直接損失逾1億美金，并逐步發展為政治事件事件過程：十一月份，索尼影視娛樂受到黑客攻擊，導致公司系統被迫關閉。攻擊造成從包括個人信息和名人電子郵件在內的員工詳細信息到未發布的影片都被公之于眾。美國聯邦調查局聲稱背后黑手是朝鮮，總統奧巴馬也二次發聲要打擊網絡攻擊行為。朝鮮當局呼吁成立朝美聯合調查組，并威脅如果未遂其愿的話可能導致“嚴重后果”。此事已經上升到國家政治層面。點評：本次事件中除常規滲透外，還存在索尼內部員工協助黑客進行攻擊的現象，且后期往來攻擊中出現了大流量DDoS，屬于大規模混合攻擊。心血漏洞&Bash漏洞曝光影響：★★★★★

余震：★★★★★損失：通用漏洞，可影響90%全球網站，損失無法預估事件過程：今年四月發現的OpenSSL核心安全漏洞心血漏洞，在整個IT行業及更廣的周邊行業引起了普遍的恐慌。德國程序員西格爾曼聲稱對導致缺陷的OpenSSL代碼負責。然而，還是有人指責一些使用了OpenSSL代碼的網站巨頭，從未支援過開源社區的檢查修復工作。據說90%的網站都使用了OpenSSL代碼，但很少有人為OpenSSL做出捐獻。半年后的9月25日消息，Linux用戶又得到了一個“驚喜”，RedHat安全團隊在Linux中廣泛使用的Bashshell中發現了一個隱晦而危險的安全漏洞。該漏洞被稱為“BashBug”或“Shellshock”。當用戶正常訪問，該漏洞允許攻擊者的代碼像在Shell中一樣執行，這就為各種各樣的攻擊打開了方便之門。而且，更糟糕的是，該漏洞已經在Linux中存在很長時間了，所以修補某個Linux機器很容易，但是要全部修補，幾乎不可能實現。點評：本類事件屬于新曝光的協議級重大漏洞，可動輒使整個互聯網經歷一次大海嘯。大部分用戶和企業依然缺少系統的安全理念影響：∞

余震：∞現象分析：盡管安全事件層出不窮，各企業單位也對安全越發重視，但相當數量的企業仍然對如何打造一個安全的信息網絡環境缺少系統的認知，不能有效利用各種安全方案，造成在安全建設時出現了多個安全孤島，采用的各類安全方案也良莠不齊——如此發展下去同類安全事件將不斷重演，用戶的安全思維亟待提高。點評與對策：綜觀上述安全事件，可分類為來自外部的APT（高級可持續性）威脅、DDoS威脅、Web安全威脅和來自內部的運維安全缺失造成的威脅。其中影響越大的事件越趨向于通過多種威脅混合實現。第三方報告移動終端社交網絡/大數據云/虛擬化01.云端訪問安全代理02.軟件定義的信息安全03.遏制和隔離為基礎的信息安全策略04.物聯網的安全網關、代理及防火墻05.機器可判別威脅智能化，信譽度評定06.沙盒分析與入侵指標確認07.大數據信息安全分析08.互動式應用安全測試09.

適應性訪問管控10.

端點偵測與回應01.策略合規02.新應用促使邊界網關升級03.

DDOS防護04.基于大數據的安全分析05.企業級移動安全IDC：中國信息安全市場發展趨勢Gartner：十大信息安全技術華訊高級威脅防護解決方案移動終端社交網絡/大數據云/虛擬化DDoS攻擊防護WEB攻擊防護APT攻擊防護華訊

高級威脅防護解決方案目錄解決方案資源3解決方案簡介2解決方案背景1高級威脅防護解決方案

SQLInjection

CrossSiteScripting

ParameterTamperingCookiePoisoningInternetAppServerDatabasesBackendServer/SystemPortScanningAnti-spoofingWebServerKnowvulnerabilitiesPattern-BasedAttacksWAF企業數據中心DDoS

ProtectDoS

&

DDoSApplication

DoS&DDoSNGFWWebServer高級威脅防護解決方案(三個方面)依據目前國際、國內背景，當前來自外部的主要安全威脅有三點：DDoS攻擊威脅DDoS攻擊已由網絡層攻擊轉變為應用層攻擊發生在今年2月份的400G歷史最高DDoS攻擊記錄在今年12月份被國內DDoS攻擊刷新為450GAPT攻擊威脅RSA公司，摩根大通的案例說明，對于APT要慎重對待目前的防火器，防毒墻，防病毒軟件對于APT的防護效果不大Web攻擊威脅對于入侵者來說，Web攻擊是首選，因為很多時候企業只對外開放了Web訪問Web應用的更新，升級頻率高，Web漏洞不可避免高級威脅防護解決方案—DDoS防護LoadBalancerDATACENTERAttackTrafficGoodTrafficIPS耗盡帶寬狀態資源耗盡服務資源耗盡超帶寬DDoS攻擊應用層DDoS攻擊高級威脅防護解決方案——DDoS防護（續）發現銷售機會的幾個問題（企業）：有沒有發生過流量不大,但是在線業務訪問很慢的現象?有沒有發生過防火墻時常/偶爾會應為會話過高而死機?同行業的xx公司最近被DDoS攻擊的事情您聽說過嗎?近幾個月貴公司使用過運營商流量清洗服務嗎?效果如何啊?發現銷售機會的幾個問題（運營商）：這幾年DDoS攻擊事件發生的比較頻繁，你們的業務有沒有受到影響？你們對你們的客戶是如何進行DDoS攻擊清洗的？每年你們遇到的攻擊流量大概多少？xx運營商因為提供了DDoS攻擊清洗服務，一年僅此收入就達到2000多萬高級威脅防護解決方案——DDoS防護（續）針對DDoS威脅的防護：DDoS攻擊威脅防護超帶寬型DDoS攻擊——采購運營商/云端DDoS清洗服務應用層DDoS攻擊及其他DDoS攻擊——部署DDoS防護設備運營商市場占有率第一——超過60%市場份額部署簡單，技術領先含有IPS功能，不僅僅是DDoS防護性價比更高高級威脅防護解決方案——DDoS防護-ARBORArbor公司介紹（截至2014年中）：全球95%一級運營商是Arbor的客戶全球有107個國家部署了Arbor產品在運營商分析&防護設備市場占有率第一，占76.6%份額當前ATLAS安全智能監控的全球總流量80Tbps–占全球互聯網流量的40%Arbor產品介紹：分為運營商解決方案和企業解決方案可以檢測攔截網絡層DDoS攻擊、應用層DDoS攻擊，以及其他各種DDoS攻擊部署簡單，開箱即用高級威脅防護解決方案——DDoS防護-RadwareRadwareDefensePro產品介紹：結合了入侵防御系統(IPS)、網絡行為分析(NBA)和拒絕服務(DoS)保護最準確的攻擊檢測與阻止領先、統一的監控和報告,可生成PCI、HIPAA和SOX等合規報告實時保護，抵御已知和新出現的網絡攻擊，比如基于弱點的攻擊、基于濫用服務器資源的非弱點攻擊以及濫用網絡帶寬資源的溢出攻擊使用多達20種不同的參數，針對每個攻擊模式生成實時特征碼，阻止攻擊，且不會阻止正常的用戶流量高級威脅防護解決方案——APT防護12CVE-2011-0609354長時間摸底客戶高級定制的惡意軟件繞過防火墻繞過防病毒植入目標系統建立后門,隱藏自己接受指令,默默更新橫向擴散,縱向挖深刺探私密,偷偷回傳高級威脅防護解決方案——APT防護(續)發現銷售機會的幾個問題：你認為貴公司最重要的資產是什么？（人和數據）你的員工能夠收到來自外部的郵件或者訪問外部網頁嗎？很多的數據泄露都是因為內部人員引起的（有目的或是躺槍），你防護了嗎？針對不同的員工，在不同地方使用公司數據有沒有顆粒化管理？高級威脅防護解決方案——APT防護(續)針對APT威脅的防護：APT攻擊威脅防護下一代防火墻NGFW/IPS，可以識別/檢測應用層的威脅新興的沙盒技術，可以識別/檢測零日攻擊,未知威脅下一代防火墻配合防病毒，IPS技術解決大部分APT威脅再配合WildFire沙盒技術完美解決剩余的APT威脅下一代防火墻配合防病毒，IPS技術解決大部分APT威脅國內下一代防火墻（NGFW）標準制定者之一國產安全產品，政策傾向高級威脅防護解決方案——APT防護-PaloAltoPaloAlto產品介紹：App-ID對5大類25個子類的750多種應用程序實施基于策略的控制每周都會新增5-10種應用程序User-ID根據用戶及/或AD群組管理與實施策略調查安全事件，編制自定義報告Content-ID統一簽名引擎可掃描單通道內的各種威脅，漏洞攻擊、病毒、及間諜軟件基于串流、而非文件的實時掃描性能Single

Pass單通道——對各數據包僅執行一次掃描平行處理P——特定功能硬件引擎，獨立的數據/控制平面高級威脅防護解決方案——APT防護-深信服深信服產品介紹：可視通過可視化報表不僅能夠全面呈現用戶和業務的安全現狀還能幫助用戶快速定位安全問題沒有攻擊行為也可以找到業務中潛在的風險L2-7層完整威脅識別，業務漏洞可視化海量日志≠有效攻擊，可以攻擊與漏洞關聯雙向不僅僅需要防護外部攻擊，并且要檢查服務器/終端外發流量是否有風險彌補了傳統安全設備只防外不防內的漏洞可檢測服務器外發數據是否有泄密或篡改也可檢測內網終端電腦是否被黑客控制國內首家發布下一代防火墻的廠商是國內下一代防火墻標準的制定者之一高級威脅防護解決方案——Web防護1發現新浪微波漏洞可以獲取收益防火墻無法發現IPS無法發現Worm23編寫惡意代碼測試、改進、發布4發帶毒私信,微博內容勁爆,引誘點擊56大量加V用戶感染成為新的感染源高級威脅防護解決方案——WEB防護(續)發現銷售機會的幾個問題：貴公司目前是否使用在線業務系統的?貴公司是否擔心類似SQL注入,網站掛馬這樣的攻擊?貴公司的業務系統是自主開發的還是外包開發的,有沒有定期做過Web檢測?高級威脅防護解決方案——WEB防護(續)針對Web攻擊威脅的防護：Web攻擊威脅防護部署Web

Application

Firewall（WAF）設備國際品牌國內品牌高級威脅防護解決方案——方案優勢解決方案全面：涵蓋了Gartner和IDC預測的主要威脅：包含了DDoS，APT，Web攻擊防護