Download
1 / 39
390 likes | 623 Views
微軟 IT 管理日. SYSCOM. SIM. 主講 : 凌 羣 電腦 蔡坤家 flyer_tsai@email.syscom.com.tw. SYSCOM Security Information Management System. Agenda. 資訊安全現況分析 微軟的安全管理 強化安全管理系統架構 SYSCOM SIM. 2004 年 Q1~Q2 安全事件統計. 1995-1999. 弱點統計. 2000-2004. 脆弱點發現與去年相當. 安全事故統計. 1988-1989. 1990-1999. 2000-2003.
E N D
微軟IT管理日 SYSCOM SIM 主講 : 凌羣電腦 蔡坤家 flyer_tsai@email.syscom.com.tw SYSCOM Security Information Management System
Agenda • 資訊安全現況分析 • 微軟的安全管理 • 強化安全管理系統架構 • SYSCOM SIM
2004年Q1~Q2安全事件統計 1995-1999 弱點統計 2000-2004 脆弱點發現與去年相當 安全事故統計 1988-1989 1990-1999 2000-2003 Total incidents reported (1988-2003): 319,992 事件每年增加將近一倍 資料來源 : CERT/CC http://www.cert.org/stats/cert_stats.html
Sasser全球首波攻擊時間點5/2日攻擊數量超過125萬部電腦以上 資料來源 : http://www.dshield.com
近年病毒發展特性 • 安裝後門程式,遠端搖控受害者 • 利用系統漏洞主動傳播 • 區域網路內快速傳播 • 以多種方式傳播 • 大量消耗系統與網路資源 • 用即時傳訊工具傳播病毒 資料來源 http://www.pandasoftware.com.tw/
反應時間越來越短 • 2001年 Nimda娜妲病毒從發現弱點到發作,相隔336天。 • 2003年Slammer病毒相隔185天。 • 2003年Blaster疾風病毒距離26天。 • 2004年殺手病毒,距離弱點公佈日期(4/13),只有18天。 • 2004年Witty病毒,在安全漏洞發佈後,在不到48小時之內,病毒就開始在網路上蔓延。
台灣已經發生1.47% *600萬= 882萬次攻擊 • 亞太區感染狀況分布:時間 93年5月5日台灣已經成為亞太區最嚴重地區。 • 1% = 600萬台電腦。
網路攻擊活動日益增強 • 趨勢1 -自動化,攻擊工具速度快 • 趨勢2 -攻擊工具愈來愈成熟 • 趨勢3 -發現漏洞的速度愈來愈快 • 趨勢4 -防火牆滲透性增加 • 趨勢5 -非對稱的威脅增加 • 趨勢6–對基礎設施攻擊的威脅增加 資料來源 : CERT/CC
保護使用者電腦安全的三大原則 • Use An Internet Firewall • 使用網際網路防火牆 • Get Computer Updates • 保持系統更新 • Get Up-to-date Anti-virus software • 使用最新的防毒軟體 http://www.microsoft.com/security/protect/default.asp
原則 1: 使用網際網路防火牆 – 利用Microsoft ISA Server保護公司對外網路 • ISA – Internet Security and Acceleration • Mission critical performance and integration • Interoperability using open Web standards • Extensible Enterprise Firewall and Web-Cache Server • Integrates with Windows 2003 for policy-based security, acceleration and management of Internetworking. • Firewall • Filtering at the packet, circuit and application layers • Stateful inspection to examine data crossing the firewall • Cache • Stores frequently requested Web content improving network performance and user experience
建議的防火牆架構及其它設定 • 採用 Perimeter Network with Back-to-back Firewall • 只開放需要的連接埠 • 考慮相關資料穿透防火牆複製問題
原則 2: 保持系統更新 • 個人電腦 • Windows Update • MBSA • 公司或機關單位以強制方式執行更新 • SMS/SUS • Logon Script
Separate desktop and server infrastructures 115,000 SMS-managed clients 4 Active Directory forests SMS Infrastructure for Desktop Management Desktop Management Environment 1 central site server • 22 primary site servers • 1 load-balanced cluster (headquarters) • 30 dedicated secondary site servers • 100 shared secondary site servers
原則 3: 使用最新的防毒軟體 • Many Anti-virus software programs have auto update functions to make sure virus signatures are always up-to-date • Microsoft Internal is currently using E-trust AV software (Site license) • Microsoft IT also uses logon script to check AV installations
零時差攻擊前的自我檢查 • 1.是否無法在網路病毒攻擊前取得警告訊息 • 2.沒有精準的方法預防病毒爆發 • 3.無法提前在網路層掃描封包內是否有病毒,非得等到病毒兵臨城下才在應用層加以掃描漏洞讓網路邊界失守 • 4.找不到哪一台機器是感染源,更別提遠端清除受感染的機器了 • 5.修正程式的安裝趕不上隨漏洞而來的病毒速度 • 6.無法判定網路脆弱環節 • 7.無法在網路攻擊第一時間內,將易受攻擊的裝置加以隔離 • 8.在網路病毒爆發前,由於時間因素或是對修正程式無法100%信任,而沒有將修正程式安裝在所有機器
系統監控- Microsoft Operations Manager • Uses MOM database to manage the security of Microsoft corporate network • Receives the security event data from MOM SQL Server database • Runs queries against the MOM-provided security data to analyze domain controllers for irregular network account activities
完整的資安防護體系 組織 • 資安管理制度 • CNS 17799 • CNS 17800 • 系統安全 • 作業系統 • 網 路 • 應用系統 • 實體安全 系統 模組 (元件) • 安全產品 • 軟體 ISA、SMS • 硬體
企業落實資安的三大障礙 – 人員、技術與經費 • 人員、專業技術與經費缺乏,促使企業採取委外的方式以落實資訊安全防護。 • 在人員訓練方面,資訊安全觀念的強化為首要,其次才為技術面的引進。 資料來源: MIC
資安問題的解決成本 成本 修復工具 更改設定更新軟體 反應 (Response) 防毒入侵偵測 偵測 (Detection) 防火牆弱點評估內容過濾 預防 (Prevention) 時間
External 根據客戶IDS實機測試 可達100筆/秒以上, ISP 客戶甚至可達 1000筆/秒以上 防火牆事件記錄更可達1萬筆/秒以上 Public Server Internet Log IDS2 IDS1 Log Scan Result Log Log Log Log DMZ IDP1 Log Log Intranet IDP2 Critical Server Host IDS + Critical Server Farm Vulnerability Scanner 部署資安產品產生大量的事件怎麼辦 ?
SIM 來幫你解決資安管理問題 • 大量的資安產品事件記錄的處理問題 • 不同型態資安設備的事件整合性問題 • 事件記錄的正確性問題 • 如何正確的評估重要資產風險問題 • 適時及適用報表的問題
什麼是安全資訊管理 (SIM) • 什麼是安全資訊管理 SIM (Security Information Management) • SIM 可將企業資安產品構成區域聯防,將不同型態的事件紀錄 • 蒐集關聯 • 分析統計 • 快速反應 • 視覺化(Visualization)呈現
SYSCOM-SIM系統架構 產品層 資料層 系統層 事件紀錄 資料庫 Microsoft .Net Framework 作業系統 狀態顯示 資產資料庫 網路系統 紀錄查詢 防火牆 知識庫 Microsoft SQL Reporting Service 入侵偵測 系統資料庫 報表系統 弱點掃描 視覺化 蒐集關聯、分析統計
Internet FW 一.使用者決策智庫建立 二.績效衡量與分析 三.風險交叉分析 四.多系統單一平台 五.多維度彈性報表產生 END USER MS SQL DB .NET整合多點資料庫 設備資產資料庫 脆弱點資料庫 入侵偵測資料庫 FW LOG 資料庫 智庫 脆弱點掃描服務 Dragon soft , Nessus IDS 入侵偵測系統 Symantec , Snort Log Audit service In site out KB & Alert Service Syscom & 龍網, CVE Win NT, FW , Router 等多系統LOG整合 交叉脆弱點掃描 跨網段多點偵測 事件通報應變管理系統 凌群資訊安全決策支援系統
Database Public Server Internet IDS1 IDS2 DMZ Intranet Crital Server Host IDS + Crital Server Farm SYSCOM-SIM Vulnerability Scanner SYSCOM-SIM 部署示意圖 Log Listen External Log Listen Log Listen Listen Scan Result Listen • 攻擊事件統計與分析 • 弱點統計與分析 • 防火牆事件流量統計分析 • 整合交叉比對 • 事件紀錄報表
SYSCOM – SIM 首頁 主功能區 樹狀選單區
整合入侵偵測系統 • 整合多種及多台IDS系統 • 結合資產分類 • 網路入侵狀態顯示與警告 • 入侵事件查詢與說明 • 入侵事件統計與分析 • 風險評估與統計報表
整合弱點掃描系統 • 整合多種弱點掃描系統 • 快速找出脆弱點最多的部門網段 • 快速找出脆弱點的解決方案 • 弱點處理績效統計 • 弱點評估與統計報表
整合防火牆系統 • 提供防火牆紀錄快速查詢介面 • 提供防火牆紀錄分析 • 提供防火牆輸出入流量分析與報表功能
交叉比對系統 • 採用美國 CVE Mitre 組織之CVE編號做產品交叉比對 • 同類型產品交叉比對功能 • 非同類型產品交叉比對功能
風險評估功能 • 結合設備資產資料,依設備之重要性等級分類,計算設備風險 • 提供風險評估報表功能
實施SYSCOM SIM的效益 • 1.大幅提升網路攻擊偵測的準確度。 • 2.提供更精準的風險評估報告。 • 3.減少管理者對於處理資安產品之事件紀錄的負擔。 • 4.為企業提供更完善安全的網路安全架構。
『科技只是一個元件,沒有支援的政策,有效的流程以及訓練精良的人員,光科技本身也解決不了甚麼問題。』『科技只是一個元件,沒有支援的政策,有效的流程以及訓練精良的人員,光科技本身也解決不了甚麼問題。』 ─ Ruth David (前中情局科學及科技主管)
謝謝指教 • Demo Site : http://192.72.102.35/isec • 敬請惠賜意見 Thank You Your Knowledge Partner
