Download
1 / 69
690 likes | 816 Views
议 程和目标. 欢 迎辞 IT 安 全问题 做 出更明智的商业决策 NetIQ 公司 如 何报告防火墙 ? 个 案研究- RedSiren ( 前 身 Veritect) 产 品描述 示 范. IT 安 全问题. 今天面临的安全问题. 2001 年安全事件增加一倍多 连续第二年报告攻破事件翻番 偷来卖给有组织犯罪集团的信用卡数量. 以前 IT 工作人员因损坏 Verizon 电脑而感到有罪 员工删除关键文件 Verizon 估计损失20万美元. 调查表明,电脑犯罪造成的损失激增
E N D
议程和目标 • 欢迎辞 • IT 安全问题 • 做出更明智的商业决策 • NetIQ 公司 • 如何报告防火墙? • 个案研究- RedSiren (前身 Veritect) • 产品描述 • 示范
今天面临的安全问题 • 2001年安全事件增加一倍多 • 连续第二年报告攻破事件翻番 • 偷来卖给有组织犯罪集团的信用卡数量 • 以前IT工作人员因损坏Verizon电脑而感到有罪 • 员工删除关键文件 • Verizon估计损失20万美元 • 调查表明,电脑犯罪造成的损失激增 • 虽然只调查了186家公司,他们透露因安全防线被攻破而损失3.77亿美元 • 偷窍专利信息价值1.512亿美元 • 欺诈0.929亿美元 Sources: CERT, Reality Research & Consulting; CSI
事实不容忽视 • 脆弱性越来越普遍 • 70%以上的防火墙故障因配置不正确而导致 • 全面暴露安全问题 • 不可否认的事实 • 一个人承担的风险由所有人共担 • 明确基线 • 如果你不知道正常时什么样,你怎么知道不正常呢? • 楼宇许可证 • 楼宇许可证制度要求进行设计审查,安全政策同样应该如此 Taken from the SANS Security Essentials part 1 course
日常生活中的安全深层防卫(多重防卫) 防火墙/代理服务器/VPN是第一道防线! • 外圈 • 保安员 • 栅栏/防护墙 • 安全摄像机 • 实际建筑物 • 外墙 • 窗户/门锁 • 告警装置 • 内圈 • 房间的墙壁 • 门锁 • 告警装置 • 保险箱 • 箱壁 • 锁
日期与时间 协议 警告/差错 样本日志—第一部分
样本日志 –第二部分 去向
防火墙日志文件有何帮助? • 通过用户、协议、部门等详细的带宽报告优化系统和网络资源的利用 • 报告常被滥用的服务,如网络浏览和电子邮件,确保员工合理使用系统和网络 • 通过对防火墙规则及存在的脆弱或漏洞发出预警,以及报告重大入侵事件和防火墙状态 ,加强安全 • 将40多家供应商的防火墙和代理提供的报告和安全事件集中到同一个控制台,减少异构防火墙环境的管理费用
问题… • IT 和安全分析员提出 • 网络上是否有可疑活动? • 事件的基线水平是什么? • CFO 和 人力资源部 员工提出 • 员工是否合法上网? • 员工收发电子邮件是否为了公务? • 谁是顶级网上冲浪者? • 防火墙管理员提出 • 哪些是最经常触发的防火墙规则?由哪些地址触发? • 防火墙、VPN或代理系统周围发生什么一般活动? • CIO 和 IT 管理层提出 • 我们有无在因特网接入方面浪费钱财? • 我们是否有足够的网络和因特网容量? 简而言之,量化、说明及传达安全投资的价值
回答… • IT 和安全分析员提出的问题 • 网络上是否有可疑活动? • 回答:随时警告前N个事件 • 事件的基线水平是什么? • 回答:事件报告摘要 • CFO 和人力资源部员工提出的问题 • 员工是否合法上网? • 回答:最流行的网络分类报告 • 员工收发电子邮件是否为了公务? • 回答:顶级电子邮件用户报告 • 谁是顶级网上冲浪者? • 回答:顶级网络用户报告 • 防火墙管理员提出的问题 • 哪些是最经常触发的防火墙规则?由哪些地址触发? • 回答:最常见的外部地址触发报告 • 防火墙、VPN或代理系统周围发生什么一般活动? • 回答:一般活动报告 • CIO 和 IT 管理层提出的问题 • 我们有无在因特网接入方面浪费钱财? • 回答:带宽--协议报告 • 我们是否有足够的网络和因特网容量? • 回答:带宽—时间报告
安全分析 • 防火墙退回的关键事件摘要 • 识别公司内外引起关键事件的顶级用户 • 授权尝试远程连接 • 反向地址不符 • 防火墙退回的警告摘要 • 识别公司内外引起被认为是差错或警告事件的顶级用户 • 扫描可疑端口 • 拒绝访问 • 信息事件摘要 • 与防火墙进程有关,与安全或数据传送无关 • 一般信息量 • 启动新的日志文件
因特网使用管理政策 • 确保符合因特网政策 • 识别防火墙内使用因特网最多的用户 • 提高生产力 • 优化网络带宽使用
谁受益于防火墙报告? • IS/IT 部门 • 为使用电子邮件和因特网规定优质带宽 • 跟踪公司使用因特网资源情况 • 网络经理 • 知道哪些应用程序访问因特网、企业外联网和广域网 • 知道谁发送到防火墙的信息量最多 • 识别可能影响最终用户的差错 • 安全经理和技术人员 • 总结潜在的扰乱安全行为 • 便于读取防火墙发送的差错、警告和信息报文摘要 • 加速防火墙日志文件分析 • 带宽信息有助于规化防火墙升级
公司和产品概况 价值主张: - NetIQ防火墙报告解决方案使客户从防火墙、代理服务器和VPN获得最大收益,因为系统管理员能更好了解通过这些系统的信息量的性质和类型。
防火墙报告及分析产品 产品 说明 平台
SurfControl URL 分类 • NetIQ的防火墙解决方案嵌入 SurfWatch URL 分类数据库 • NetIQ的防火墙解决方案: • 药/酒/烟 • 赌博 • 攻击性言语 • 性明确 • 暴力
占星/算卦 娱乐 游戏 一般新闻 时尚内衣 业余爱好 投资 求职 机动车 私人/约会 房地产 购物 体育运动 旅游 Usenet 新闻 SurfControl URL 分类 生产力升级后增加15个类别:
NetIQ: 人数统计 • 在全球拥有60,000 多客户、400多合伙人和1,200 多名员工 • 在以下市场占据领导地位: • 系统管理 • 安全管理 • 网络分析 • 与微软建立强大的业务关系 • Windows基础结构管理的主要供应商 • 运行管理解决方案的主要独立软件供应商 • 与微软签订了最大的技术转让协议 • 有利可图,在NASDAQ上市,代码为NTIQ
瑞典 西雅图 英国 波特兰 丹麦 休斯顿 德国 法国 圣何塞 比荷卢经济联盟 罗利 日本 西班牙 意大利 韩国 新加坡 巴西l 澳大利亚 站点遍布全球 加上全世界400多个销售和支持合作伙伴
NetIQ: 三大解决区域 安全管理与事务管理 性能与可用性管理 网络分析与管理 • 安全管理: • 入侵管理 • 脆弱性管理 • 特权管理 • 事件管理 • 政策执行
2002 集团政策管理 日志管理 2001 主机入侵探测 脆弱性评估 防火墙监控 防火墙报告 2000 IDS 监控 目录安全管理 目录和资源管理 抗病毒监控 1999 安全事件监控 安全报告 文件安全管理 1997 企业管理 NetIQ 安全历史 安全管理
NetIQ 其它安全解决方案 产品 说明 平台 高级安全管理控制台, NetIQ企业安全平台的核心。 • 实时安全事件管理和自动响应,主机入侵探测、事件日志合并和安全配置管理 • 可扩充到上千个节点 • 与大多数其它优秀安全产品整合 安全管理员 Windows NT/2000 Unix (规划) Linux (规划) 安全分析程序 Windows 9x Windows NT/2000 Unix Linux 业内最全面的多平台脆弱性评估工具 • 强健的测试选择+ 自动同步特性 • 运行时有无代理均可 • 极其详尽的报告提出安全修改建议,有助于将响应按优先顺序排列 防火墙分析与报告 实时报告防火墙/VPN/代理服务器的带宽、安全、网络使用活动—两个产品 • 可扩充,通过中央管理控制台支持数百个防火墙 Solaris 及Windows 40个以上主导防火墙、VPN及代理服务器
RedSiren 个案研究 RedSiren 概况: • 安全管理供应商,专门研究网络安全和信息整合 • 公司90%以上的技术人员获高级忠贞审查证书 • 1976年成立,在弗吉尼亚州、加州和得克萨斯州设有办事处 • 网址:www.redsiren.com
RedSiren 个案研究 RedSiren提出的主要问题: • 我们怎样在竞争中脱颖而出? • 我们如何向客户证明自己的价值? • 我们能有效管理客户的防火墙吗? • 防火墙信息能给客户带来什么价值? • 客户知道正在使用因特网连接吗?
RedSiren 个案研究 选择NetIQ防火墙报告,以便 • 向客户提供增值服务 • 向客户证明服务的价值 • 巩固在安全解决方案市场上的领导地位 • 向客户提供重要的带宽使用信息
RedSiren 个案研究 需求分析: 为客户提供增值服务,使其优于竞争对手。 采取的行动: 向各个完全被管的安全客户提供月度报告。 结果: 客户收到格式清晰的防火墙信息后,能做出更快、更好的商业决策,从而提高客户满意度。
RedSiren 个案研究 需求分析: 更有效地管理客户防火墙 采取的行动: 启动报警和监控,并运行日常报告供内部工程使用 结果: 通过报警和报告消除入侵探测系统触发的假阳性,提高服务效率
