趋势科技白皮书：TREND MICRO?

——发现并减轻内部威胁

目录

I. 行动纲要

II. 简介：当前安全基础设施面临的挑战

多种侵染源

当代网络威胁的冲击

准备变革

III. 威胁管理解决方案

发现威胁

威胁管理服务

减轻威胁

威胁管理解决方案作用

威胁管理解决方案实例

受侵染的便携式电脑引起网络风险

即时通信蠕虫侵染网络用户

银行采用威胁管理解决方案，有效阻拦新的恶意软件。

汽车制造商采用威胁管理解决方案，最大程度地延长正常运营时间。

VI. 结论

VII. 有关趋势科技

脚注

I. 行动纲要

由于网络安全所受威胁越来越复杂，工作场所数据泄漏的问题层出不穷，需要不断改进安全解决方案。传统技术（例如：防火墙、入侵检测与防护系统IDPS、虚拟专用网络VPN）着重防范外部威胁进入企业网络。但是，这些系统不能有效地防御网络内部受侵染的员工机器上所产生的内部威胁。

恶意软件一旦进入网络内部，将破坏企业的网络基础设施。受侵染的机器可能将信息（包括机密用户与客户资料）通过网络泄漏给网络罪犯，导致企业声誉受损。其它损害包括损害清除成本飙升、生产率降低等。

随着人们工作方式发生巨大变革以及新技术的不断涌现，网络威胁也呈现出不同的形式。例如：随着移动用户与新侵染渠道（例如：USB装置）数量增加，IT信息技术在控制用户连接方式与连接位置等方面面临着巨大挑战。员工也会使用P2P、流媒体、即时通信等不稳定技术。此外，桌面自动抗病毒程序面临着新的挑战，例如难以检测的零时差恶意软件等。未受保护的渠道同样产生新的威胁，例如Webmail、或通过无线网络漏洞等。

因此，需要一项新的解决方案，以分析威胁来源及其表现，当内部入侵载体增加时，信息技术管理员可以通过检测安全基础设施深入研究问题，以便更好地理解网络受侵染的原因，然后研发更有效的保护方法。针对这项需求，Trend Micro开发了威胁管理解决方案，适用于检测、减轻并管理机构内部网络威胁。该解决方案设计用于鉴定并控制下一代威胁，帮助公司最大程度地降低恶意软件引起的数据损失，减少网络损害控制成本并提高整体安全性能。

威胁管理解决方案包括三个步骤：首先，通过“发现威胁”（Threat Discovery），检测内部网络安全威胁；然后，通过“减轻威胁”（Threat Mitigation），对第一步骤检测到的信息，执行清除、删除及修补等动作；最后，威胁管理服务与Trend Micro智能保护网络的高级相关服务器协作，提前检测新威胁，按照客户要求发送报告并提出相应建议。

本白皮书强调修改恶意软件可能入侵的企业工作环境以及开发新的解决方案、处理内部威胁的需求。此外，本白皮书还探讨了Trend Micro威胁管理解决方案如何采用更全面的新途径检测、降低、管理当前内部网络威胁。

II. 简介：当前安全基础设施面临的挑战

由于网络安全所受威胁越来越复杂，工作场所数据泄漏的问题层出不穷，需要研发新的安全解决方案。传统技术（例如：防火墙、入侵检测与防护系统IDPS、虚拟专用网络VPN）着重防范外部威胁进入企业网络，而不能有效地防御因公司员工浏览受侵染的网址、访问基于万维网的电子邮件服务Webmail或使用即时通信意外导致企业网络受侵染而产生的内部威胁。Trend Micro 在2005年的研究表明，全球范围内企业环境内部的终端用户在工作时间内比在家时更有可能参与高风险在线活动，例如打开未知邮件附件或点击恶意链接等1。显然，员工在使用工作环境计算机时没有正确认识网络安全问题。

此外，网络访问控制（NAC）等安全解决方案强调评估、鉴定公司员工端点的初始状态。一旦用户经首次核准，将不再对其进行监控，该用户可以对网络作出恶意行为。如果公司员工未意识到这些恶意行为的潜在危险后果，则有可能违反安全规定，导致数据损失。此外，当今“无界限”的机构可以在全球范围内自由分享员工及合作伙伴的信息。由于员工可在家中、机场及其它不安全的地点办公，这些企业面临着平衡公开性、灵活性与安全、风险的挑战。

多种侵染源

由于人们工作方式发生巨大变革，网络威胁呈现出不同的形式。随着远程办公的员工增多、以及在办公室与家中办公的概念逐渐模糊，对移动装置的使用越来越频繁。Yankee Group数据显示，美国全部工人中，采取移动办公模式的近40%，即50,000,000位工人2。因此，现代企业面临着防止企业员工或承包人泄露企业数据、避免资产损失的挑战。

应移动办公模式的需求，信息技术部门需要在所有计算机上备份并保存已更新的防病毒签名文件与软件补丁。手提电脑或便携式储存装置等新的侵染渠道同样增加了信 息技术在控制用户连接方式与连接位置方面的困难。例如，用户通常使用受侵染的USB装置或音乐播放器，从而损害网络安全。不恰当的远程办公安全环境、安全技术人员不足或不能严格地实施网络安全政策，也是导致内部威胁增加的原因。

通过Webmail或无线网络等未受保护的渠道，同样可能产生新的威胁。此外，公司员工使用P2P文件共享、流媒体及即时通信等存在潜在不稳定因素的技术时，恶意软件可能进入内部网络，同时占据大量的网络带宽。此外，通常作为计算机防护第一线的桌面自动抗病毒程序不能有效地处理清以检测的零时差恶意软件。由于信息技术部门与安全产品卖方协作鉴定新的恶意软件威胁并花费大量时间精力研发发现威胁、解决问题的模式，因此其损害清除成本随着侵染扩散而逐渐飙升。另外，由于目前网络威胁大量增长，在更新受最新恶意软件模式文件侵染的员工机器时将出现多种问题。AV-Test.org数据显示，2006年至2007年间，调查样本中恶意软件约增加550%；仅在2008年1月第一周内，就出现了117,000种新的恶意软件3。

当代网络威胁的冲击

由于工作地点变换，增加了恶意软件进入内部网络的几率，企业面临着更大的风险。受侵染的机器可能通过网络向网络罪犯泄漏资料，致使因数据大量损失而丢失机密信息的客户及声

誉受到不可挽回的损害的企业面临许多问题。无论在业务影响或成本方面，企业数据资产面临着越来越大的威胁。依据产业监控机构Attrition.org的调查结果，2007年12月21日，无论在美国或其它国家，162000000余项纪录（例如信用卡、社会保障统计数据等）受到影响。身份盗窃资源调查中心公布了美国在2007年12月18日有79000000余项纪录受到影响，与据报告2006年20000000余项纪录受到影响的水平相比，增长了近4倍4。

如果出现内部侵染，将大量增加网络损害清除成本，缩减生产率，企业将面临巨大的安全挑战。依据弗雷斯特研究公司调查结果，预计高达85%的企业安全事故牵涉到内部员工与资源5。此外，Gartner数据显示，未来2年内，敏感数据泄漏产生的组织成本将每年增加20%6。

图三：数据泄漏统计。数据来源：IDC_____ midMarket（100-5000位员工）资料泄漏调查（2008年2月）

准备变革

目前，开展安全环境变革的条件已经成熟。如果对侵染原因及其精确位置的能见度不足，则信息技术部门就不能确定最适当的补救办法。为了有效地增加覆盖面，安全技术人员需要获取更多信息，以便有效地按照网络的分段--部门--机器的顺序准确检测侵染源。同时，信息技术部门需要检测有关威胁根源的详细资料，例如是否通过线聊天系统IRCbot或恶意网站产生威胁。

例如：如果通过信息技术，了解到大部分威胁经由网关产生，则应安装适当的网关保护程序。大体上而言，需要安装一个“预警系统”，以便立即精确地标识新的已知恶意软件并测量已经发生的损害程度。此外，机构还需要一个能够自动修补、管理网络威胁的系统，以确保适当、迅速地修复并及时发送报告，确定预防威胁的方法。

III. 威胁管理解决方案

Trend Micro引进了威胁管理解决方案，满足各机构更好、更有效地检测、降低并管理网络内部威胁的需求。通过该方案，各机构可以迅速、有效地处理恶意软件，大量减少网络损害控制成本并提高整体安全水平。

威胁管理解决方案分为以下三个步骤：

* 发现威胁：检测网络内部安全威胁。

* 管理威胁：威胁管理服务与Trend Micro智能保护网络的高级相关服务器协作，以检测攻击源，按照客户要求发送报告并提出相关的建议。

* 减轻威胁：对第一步骤检测到的信息，执行清除、删除及修补等动作。

图四：威胁管理解决方案

发现威胁

发现威胁是Trend Micro威胁管理解决方案中关键的第一步骤。通过威胁探测器，提供精确、及时的信息，用于管理网络安全。威胁探测器应用于各网络层交换机，通过访问权限／分配／核心控制，保护网络分段。

Trend Micro智能保护网络控制威胁探测器。威胁探测器与图中所示威胁管理服务结合，监控网络可疑行为，检测传统的基于模式的安全应用程序不能探测到的恶意软件，标记扩散或侵染其他用户的恶意软件，包括引起内部资料外泄或从恶意源接收指令（例如botnet）的隐藏的恶意软件。威胁探测器可以检测基于环球网或电子邮件内容的攻击（例如：网络攻击、跨站式脚本、钓鱼式攻击等）。威胁探测器还可鉴定未经授权的应用程序与违反策略、干扰网络、占据大量网络带宽或引起潜在安全风险的服务。适用的应用程序包括即时通信、P2P文件共享、流媒体及未经授权的服务等，例如经常滥用的简单邮件传输协议（SMTP）开放式转信系统、恶意域名服务器等服务。

此外，网络内容检测技术在威胁探测器提供大量的有关网络协议与应用程序方面的资料的基础上，检测网络流量。通过全面支持网络协议层（第二层至第七层），威胁探测器可检测出大量存在潜在破坏性的应用程序，例如P2P、即时通信（Bittorrent、Kazaa、eDonkey、MSN、雅虎通）。该技术可提取网络层上应用程序的嵌入式文件，然后采用Trend Micro病毒扫描器对数据进行内容分析。此外，威胁探测器在网络交换机上采用端口镜像处理，读出网络包，用于内容分析，确保网络服务不受任何干扰。

威胁管理服务

威胁管理服务控制服务器（如图所示），运行高级关联引擎，确保更有效地检测、分析网络威胁及其原因。通过高级关联逻辑，分析系统操作纪录文件，过滤误报，检测隐藏的网络威胁，提高检测精确度。

威胁管理服务与Trend Micro智能保护网络协作，确保更新网络威胁数据，用于分析并检测恶意软件的最新动作趋势。智能保护网络提供多种服务（例如域名服务器DNS、超文本传输协议HTTP、检查文件、过滤网络钓鱼式攻击等），阻拦各种网络威胁。获取Trend Micro全球安全信息，深入、实时地了解新威胁及二十年来网络威胁研究的相关资料。

依据发现威胁过程中搜集的信息，报告机构安全状态。通过集中威胁管理端口，协助信息技术管理前述报告及事故信息。例如：通过每日管理报告，解释事故响应并提交互式展开报表，详细、全面地描述网络威胁。该报表内容还包括可实施的补救方法与响应建议。此外，通过每周或每月综述，全面审视整个公司的安全状况。详细报表部分包括一份事故审核与比较报告、以及有关改进安全策略的建议。

减轻威胁

威胁消减器依据威胁探测器提供的信息，执行以下三项功能：端点网络损害清服务、根源分析（检测恶意软件来源）及实施端点策略（仅限安全机器可以访问网络）。
威胁探测器检测出新型威胁之后，威胁消减器开始扫描，检测在该端点创建或下载的恶意软件及其它恶意文件的位置。然后，威胁消减器开始在不影响主机系统的条件下，自动地清除新型及已知的恶意软件。通过可选清除方案，设定所需的事故响应级别。采用智能追踪逻辑，同步清除经由多个主机的多个事故。

该解决方案中独特的无模式清除服务采用高级诊断技术，定位并清除恶意软件及在受侵染端点上的组件。如果采用传统的防病毒解决方案，则须等待安全产品卖方针对新检测到的恶意软件研发模式文件，以便能够创建并执行适当的清除机制。相反地，威胁管理解决方案可在不需更新模式或签名的条件下，依据恶意软件的表现，即时创建清除程式。通过这种方式，可以自动清除，及早根除网络安全威胁。可以发送清除评估结果待批，以便管理员能为定制的清除路径选定相关步骤。采用常规的文件检测技术，可以防止错误警报，确保仅清除恶意文件。

减轻威胁的过程中，同时启动根源分析功能，协助信息技术管理员检测引起恶意软件侵染的一连串事件。通过与威胁管理服务协作，创建事故报表，详细描述已检测到的恶意软件的表现、其清除方式以及事故原因。

此外，通过降低网络安全威胁，确保所有网络端点在经许可连接网络之前，能够保持基本安全水平。经检测表明未更新服务或受侵染的端点应迅速隔离至本地网络，直至更新服务或清除网络安全威胁。威胁消减器还可自动检测已安装的防病毒软件并提供最新签名，支持不同产品卖方。

威胁消减器提供2种布署策略，即带内与带外方法。如果采用带内的方法，威胁消减器则利用网络病毒墙NVWE，向桌面代理发送清除指示，随后桌面代理将清除结果返回至网络病毒墙NVWE。然后，整合信息并发送至威胁管理服务，用于分析网络安全威胁根源。用户第一次连接至网络时，网络病毒墙NVWE还可评估初始状态、网络准入控制（NAC）及端点。相反地，带外布置策略离线操作，从威胁消减器直接向桌面代理发送清除指令，确保最大程度地减少对现有服务的干扰。

威胁管理解决方案作用

提高响应速度：通过威胁探测器，运用高级检测与关联运算法则，及早检测新的已知恶意软件。自动、迅速地清除新型及已知恶意软件威胁，确保机构在网络安全威胁扩散之前有效地阻拦恶意软件。

主动安全计划：信息技术管理员通过威胁管理解决方案，了解网络弱点及网络安全威胁根源，从而明确主动基础设施计划的网络安全水平。

节省成本：自动清除，节省时间及信息技术资源分配与传输成本。

节省带宽与资源：利用威胁探测器与消减器，在网络内部及早地检测并阻拦存在干扰性的商业应用程序与服务，节省带宽资源。

管理简易：通过集中端口的事故报告、补救计划与执行综述报告等服务，管理网络安全威胁与事故信息。

无服务干扰：采用灵活的带外布署方案，避免干扰现有服务。

威胁管理解决方案实例

受侵染的便携式电脑引起网络风险

用户将便携式电脑连接至网络，从浏览器上接收到“不符合网络安全规则”的提示信息。威胁管理解决方案的内部机制强制执行网络安全规则，检查已连接至网络的设备与装置是否至少保持基本保护水平（例如：操作系统更新与安全补丁等）。

在这种情况下，用户将接收到有关最新防病毒补丁下载站点的指示。然后，将公司员工的便携式电脑与网络的其它部分隔离，直至达到安全策略要求（在这种情况下，需要安装防病毒更新），且经准入网络。

用户可能将USB装置插入已连接至网络、并受零时差恶意软件侵染的便携式电脑。由于缺少模式，现有的桌面防病毒解决方案不能检测出恶意软件。在这种情况下，恶意软件开始立即纪录用户的按键，与恶意服务器建立远程通信，向网外传输客户帐户信息与其它财政资料。

Trend Micro威胁检测器安装在网络层，适用于检测恶意软件并向威胁管理服务发送报告。通过威胁管理服务，实现高级关联，分析网络安全威胁，以便精确地鉴定威胁性质及其破坏能力。Trend Micro智能保护网络通过该解决方案，更新威胁相关数据并协助鉴定网络安全威胁。

威胁探测器依据恶意软件的表现，确认已受侵染并向威胁消减器发送信息，以便清除便携式电脑。威胁消减器与威胁管理服务协作，详细地调查分析事故，以便发现威胁根源，就受侵染的便携式电脑编制一份简要综述，内容包括用户部门与位置。威胁消减器还可鉴定按键纪录动作、以及主机受侵染的途径。在这种情况下，受侵染的USB装置是问题的根源。可以利用整体信息，协助信息技术创建主动安全策略。