1、360天擎终端安全管理系统,(ESS:Enterprise Security Management System),大纲,1、需求及问题,2、主要功能及特点,3、典型部署,4、案例、服务及资质,终端安全管理的普遍需求,安 全,老病毒,新病毒,宏病毒 恶意URL,未知病毒 特种木马,APT攻击,管 理,终端安全威胁,传统杀软难以应对,特征提取难 病毒库过大 未知病毒防不住,终端行为管理,终端运维管理,终端资产管理,安全接入、非法外联 流量、审计、应用,登记、变更、状态,补丁、软件、协助,终端合规要求:等级保护、分级保护、SOX等,大纲,1、需求及问题,2、主要功能及特点,3、典型部署,4、案例、
2、服务及资质,主要功能及特点,1)领先的终端安全防御,3)灵活的终端准入管控,5)直观的日志报表,2)高效的终端运维管理,4)细粒度的文件审计管控,天擎,6)先进的边界联动防御,1)领先的终端安全防御,双静态查毒引擎、双静态病毒库 文件信誉引擎(全球最大),需要联网,已知病毒、恶意代码,恶意URL & 网马,未知病毒、恶意代码,人工智能的专利引擎:QVM-II 虚拟执行的沙箱引擎:VXE 文件运行时跟踪引擎:主动防御(RTE),恶意URL信誉引擎(国内最全),需要联网,APT & 特种木马,私有云白名单 非白即黑强安全策略控制,防黑加固,XP加固、基于IP、端口的主机防火墙,高危端口封堵 弱口令
3、监测、系统帐号及权限变更监测,特征库(60亿+)黑名单(20亿+)白名单(亿) 提高查杀能力,及时升级 适应网络封闭,物理隔离环境 近乎100%的绝对安全保障,终端防御核心技术:云查杀机制,QVM人工智能引擎是Qihoo Support Vector Machine(奇虎支持向量机)的缩写。是360完全自主研发的第三代恶意代码检测引擎(已获得国际PCT专利),终端防御核心技术:智能查杀引擎(QVM),检测,建模,训练,切片,基于大数据(20亿 样本)与人工智能 技术 在北美与欧洲针对未知恶意代码的测评中屡获第一 已获得多项国际PCT 专利,终端防御核心技术:应用级Sandbox,传统技术: 1
4、、终端安全基线管理(应用与配置白名单) 2、终端主机防火墙(网络访问白名单) 优点: 技术简单,针对违规情况比较有效 缺点: 简单机械,如果白名单中的应用 存在漏洞,则系统依然存在 存在被攻击的风险,Office 沙箱,IE 沙箱,传统技术: 采用亡羊补牢的办法针对已知漏洞逐一修复, 无法抵御未知漏洞(0day)的攻击,无 法做到提前预防,漏洞修复的速度 永远滞后于漏洞出现的速度, 这种缺陷是APT攻击屡屡 成功的病根,补一防百 -修复一个操作系统安全机制的缺陷,可以有效防止成百上千的漏洞攻击,标本兼治 -从源头上祛除操作系统的漏洞病灶,彻底根除安全隐患,提前预防APT -从机理上检测0day
5、漏洞攻击,实现对APT攻击的早期检测,七战七捷!,终端防御核心技术:系统加固(everyday技术),白名单文件,内置近1亿高纯度白名单库 涵盖绝大多数已知主流应用 通过文件MD5识别白文件,非白名单文件均视为不安全的黑文件 禁止运行,非白名单文件,黑白策略,自由区: 无百名单,黑文件禁止运行,未知文件提示后选择运行 办公区: 白名单 = 360系统白名单 + 用户自定义白名单, 涉密网: 白名单 = 用户自定义白名单,终端防御核心技术:“非白即黑”白名单,终端防御核心技术:主动防御(HIPS),进程行为 进程创建 进程加载 进程销毁 进程注入 ,系统行为 系统调用 注册表修改 用户权限提升
6、Shell命令调用 .,文件行为 文件打开、加载 文件网络I/O 可疑文件释放 .,网络行为 文件网络行为 邮件发送行为 进程网络行为 .,驱动行为 驱动加载 驱动hook行为 驱动网络行为 .,用大数据、云计算技术做防病毒的门槛,样本资源 构建云查杀系统,需要海量的病毒、木马、僵尸网络等恶意代码样本作为资源支撑 。 奇虎360拥有积累了近20年,超过20亿的病毒样本(黑名单)。 样本资源的基础是客户资源,没有足够的客户资源作支撑,无法收集足够的病毒样本文件。 奇虎360在全国拥有近5亿的终端用户,覆盖了全国终端用户的95%以上。 每天接收全国网民与合作伙伴的病毒查杀请求高达700亿次。,用大
7、数据、云计算技术做防病毒的门槛,计算资源 为了构造有效的查杀系统,需要大量的计算资源进行支撑,以便对搜集到的样本资源进行深入分析,一般来说,一台标准的服务器,每天(24小时)可处理的样本数量大约在3000万个左右 奇虎360所提供的云查杀系统的规模已经超过了10000台服务器 。 每天可处理3千亿个样本。,2)高效的终端运维管理,安全运维管理 终端升级、漏洞修复、插件清理、外设及进程管控、软件分发 远程协助 管理员对授权终端进行远程协助,一对一远程解决安全问题 流量管理 全网终端的日上传,日下载总量统计 全网终端的上传下载速度统计 限制全网终端的上传下载速度 重要终端流量速度保障 IP-MAC
8、地址绑定 终端IP-MAC地址绑定,加强对终端的管理,360 补丁服务器,Internet,企业内网,全面扫描操作系统、应用软件漏洞统一分发补丁文件(按需分发)强制执行漏洞修复(统一修复)补丁分发流量控制,分发带宽流量压缩分发带宽流量限制,全面,强制,节省,补丁及软件分发,进程、外设与移动存储管控,进程管控,存储管控,外设管控,指定必须运行的软件及进程,对进程进行保护;也可禁止特定软件、进程,可对操作终端U盘进行可读写、只读和禁用权限设置,可控,灵活,安全,对光驱、蓝牙、串口、手机与平板、USB无线网卡等外设进行有效管控,可视,记忆,实时,硬件资产管理,展示全网安装的软件与涉及的终端,显示每个
9、终端安装的软件自定义企业内部应用集合,终端用户自由下载运行集合中的软件统一推送应用,分发软件,并自动安装应用,企业软件管家,3)灵活的终端准入管控,网卡变更,非法外联,更多检查,硬件变更,高危漏洞,安全软件,特征码过期,终端准入合规性检查,4)细粒度的文件审计管控,文件操作:指定扩展名的文件访问、修改、删除、移动等行为的审计 文件输出:共享文件夹输出管控 文件打印:打印机审计及管控 邮件收发:邮件收发管控,5)直观的日志报表,全网一键体检 全网内漏洞、木马、插件、系统危险项、安全配置项、未知文件等的威胁数量和危险终端数量。 终端状况展现 对全网不健康终端、亚健康终端、健康终端进行统计。安全动态
10、跟踪,帮助管理员了解全网内漏洞补丁的修复状况。 威胁趋势分析 全面了解企业内终端危险项、木马、病毒、漏洞、 新增文件等的发展趋势。 详尽日志报表 对终端安全日志、漏洞修复、XP加固日志、 病毒日志、木马查杀、插件清除、系统危险项, 安全配置、流量管理、终端准入日志, 文件及应用日志等的报表统计。,6)先进的边界联动防御,通过办公终端上所安装的天擎与部署在边界处的天眼之间的联动,可以实现“边界发现、终端防御”的整体防御策略,完成对病毒、恶意代码的闭环防御流程。,大纲,1、需求及问题,2、主要功能及特点,3、典型部署,4、案例、服务及资质,普通办公网部署,360云查杀系统 360公网升级服务器,天
11、擎控制中心,天擎客户端,云 查 杀,升级、更新,体检、杀毒、打补丁 统一管理,互联网 办公网,隔离网私有云硬件部署,360公网升级服务器,天擎隔离网升级工具,天擎控制中心,天擎客户端,办公网,隔离网,互联网,升级、更新,体检、杀毒、打补丁 统一管理,数据摆渡,天擎私有云,私有云查杀,隔离网部署,360公网升级服务器,天擎隔离网升级工具,天擎控制中心,天擎客户端,办公网,隔离网,互联网,升级、更新,体检、杀毒、打补丁 统一管理,数据摆渡,多级部署,大纲,1、需求及问题,2、主要功能及特点,3、典型部署,4、案例、服务及资质,成功案例,中国电力建设集团分布式部署案例,Text,高级安全响应服务,远
12、程电话/网络支持服务,产品到场支持服务,人员组成:高级安全研究、服务、咨询人员 服务内容:安全应急、渗透测试、日志分析、样本分析攻击追溯、安全咨询、高级安全培训,人员组成:售后服务人员、研发人员 服务内容:产品巡检、产品故障排除、现场产品问题追查、产品安装、产品使用培训,人员组成:售后服务人员、研发人员1对1远程服务人员 服务内容:产品使用问题咨询、产品故障远程排查、处理,标准化服务体系,产品资质,攻防实战水平国际领先,2013年,360独立挖掘并受到微软官网致谢的微软高危漏洞多达13个,超过国内其他所有安全厂商的总和; 360漏洞分析实验室研发了自动化漏洞挖掘技术,仅2014年1月即已挖掘出
13、近60个微软IE浏览器漏洞; 2013年4月,360推出了第三方漏洞收集平台,不到一年的时间已投入百万元,收集了超过1200个0day漏洞。2014年360将进一步投入5000万-1亿元,面向全球范围收集微软安全漏洞;,漏洞挖掘方面的成果,XP盾甲“七冠王”,7月31日,为检验各安全企业XP防护产品是否真正能够保护XP安全,由中国网络空间安全协会(筹)竞评演练工作组主办的XP靶场挑战赛火爆上演。经过长达一天的激烈攻防大战,有东半球最强白帽子军团之称的360公司再次经受住了考验,360XP盾甲在比赛中坚守成功。这是继今年4月5日举行的首个XP攻防挑战赛后,360XP盾甲再次取得XP挑战赛冠军。 360已经在国内外组织的有关XP防护产品的七次挑战赛及测评中全部胜出,成为实至名归的“七冠王”,彰显了360公司在安全领域特别是XP防护领域的绝对实力。,
