趋势科技白皮书：TREND MICRO?

——发现并减轻内部威胁

即时通信蠕虫侵染网络用户

员工登录企业网络，接收到离线好友发送的即时信息（IM），该信息包含至音乐会入场票宣传网址的嵌入式链接。该员工点击链接，立即感染即时信息蠕虫。员工的机器未显示任何受侵染的迹象，但是，当员工下班之后，机器开始向受感染用户的好友列表中的其他员工发送即时信息。假定该信息由同事发出，员工较可能相信并点击信息中的嵌入式链接，从而引起侵染扩散，占据大量网络带宽。在这种情况下，由于用户认为网络防病毒软件与企业防火墙可以防止侵染，才会点击即时信息，然而事实上，尽管在这种保护下，即时信息却已经扩散。

Trend Micro威胁检测进程中，采用网络内容检测技术，检测可疑的即时信息行为。如果经过分析与关联（如图所示）确认该动行顺序为即时信息蠕虫，则向威胁管理服务发送这些事件。通过Trend Micro行为分析，无论是否存在模式，均可检测出恶意软件。随后，清除网络中的即时信息蠕虫，降低网络安全威胁。

银行采用威胁管理解决方案，有效阻拦新的恶意软件

尽管亚洲大型银行已经应用端点与网关产品，信息技术人员仍需寻求一种解决方案，确保检测出已安装的传统的、基于模式的技术可能不能检测出的新型恶意软件。Trend Micro威胁管理解决方案与银行现有的安全信息与事件管理（SIEM）系统结合，监控5000余台计算机，期望采用一种不基于签名的解决方案，及早检测出网络安全威胁。

威胁探测器审核银行网络行为之后，检测出在指定期限内，每30秒内部IP与外部的bot服务器连接。尽管该bot未经识别，但仍通过威胁探测进程，采用行为分析与关联技术，确定可疑行为并向信息技术管理员发送危险信号。

由于botnet对银行造成重大威胁，银行的高级执行人员对此尤其关注。Botnet可以在不被察觉的情况下从银行职员获取保密信息，例如网络存取码及密码等。黑客可以利用这些信息，访问银行服务器，然后对银行系统发起更危险的攻击。银行安装了威胁管理解决方案，保护安全基础设施内不能有效防范新型恶意软件威胁的“灰区”。在这种情况下，利用有关新型、先前未能识别的bot的信息，加强了Trend Micro全球威胁信息网络，研发有利于银行及Trend Micro其他客户的清除模式。
汽车制造商采用威胁管理解决方案，最大程度地延长正常运营时间。

亚洲一家大型汽车制造商在生产线服务器上安装了Trend Micro威胁管理解决方案，用于防范恶意软件及其它威胁。该公司没有安装防病毒应用程序，避免因更新基于模式的安全解决方案而停工。仅停工几分钟即可引起该公司$10,000美元的损失。由于威胁管理解决方案并未集中安装在网络上，因此可在不影响生产线服务器或制造商的日常运营的前提下，监控恶意软件的行为。

安装威胁探测器之后，检测出并迅速分析病毒，确定病毒根源以及受侵染的特定主机。如果员工在不经意中使用已受恶意软件侵染的CD、USB装置或其它移动装置，可能导致侵染。虽然已向已知的bot服务器发送了域名服务器DNS查询，但是公司的信息技术小组未能识别出可疑行为。尽管病毒已经进入网络并开始下载文件，威胁探测器能在病毒继续扩散之前有效地阻拦病毒。如果不采用威胁管理解决方案，病毒可能像蠕虫一样，通过网络共享扩散，下载恶意的可执行文件。病毒在短时间内扩散并在80端口启动在线聊天系统IRC服务，发送bot指令，下载特洛伊病毒。汽车公司的信息技术人员将继续应用威胁管理解决方案，避免因停工引起的损失。

VI. 结论

内部威胁将不可避免并且增长迅速。网络罪犯则从盗窃企业网络泄漏的客户与商务资料中获利颇丰。针对这种情况，Trend Micro开发了威胁管理解决方案，适用于检测、减轻并管理网络环境内的下一代威胁。通过威胁管理解决方案，监控网络，阻拦传统安全产品不能检测出的隐藏的恶意软件与存在干扰性的应用程序。与威胁管理服务协作，分析网络安全威胁环境。清除网络环境并在受侵染的端点上执行策略实施以减轻威胁。

Trend Micro智能保护网络是一种内容安全基础设施，适用于帮助客户防范内部威胁。威胁管理解决方案由Trend Micro智能保护网络控制，立即对恶意软件侵染事件作出响应，确保降低数据损失的风险。该解决方案帮助公司在获取更多基础设施内侵染相关资料以及Trend Micro全球威胁信息的基础之上将会执行主动安全计划。其它益处包括：应用高级行为检测与关联运算法则，及早检测出网络安全威胁，节省网络安全损害清除与控制成本；及早检测出存在干扰性的应用程序与服务，节省带宽与资源。Trend Micro管理解决方案通过模式与行为分析，为现代内部网络提供全方位的保护。

VII. 有关趋势科技

趋势科技股份有限公司的网络内容安全技术在全球范围内居领先地位，强调保护客户与商务数字信息交流安全。Trend Micro作为产业先锋，致力于研发全面的威胁管理技术，确保持续运营，防止个人资料与资产因恶意软件、网络垃圾、数据泄漏或最新网络威胁受到损失。该解决方案灵活，适用范围广泛，招纳全球范围内的威胁信息专家提供技术支持。趋势科技股份有限公司总部设在日本东京，其安全解决方案在全球范围销售。详情请登录www.trendmicro.com.

脚注

1 Trend Micro Study, 9/15/05,http://trendmicro.mediaroom.com/index.php?s=43&item=96

2 BusinessWire, “Yankee Group Reveals Nearly 50 Million US Workers Are Mobile,” 6/27/05.

3 AV-Test GmbH,www.av-test.org

4 Mark Jewell, Associated Press, “Groups: Record Data Breaches in 2007,”http://attrition.org/news/content/08-01-03.001.html.

5 Cindy Waxer, ITSecurity.com, “The Top 5 Internal Security Threats,”http://www.itsecurity.com/features/the-top-5-internal-security-threats-041207/, 4/12/07.

6 Gartner press release, 10/08/07,http://www.gartner.com/it/page.jsp?id=529412

©2008年，趋势科技股份有限公司版权所有。保留所有权利。Trend Micro与 Trend Micro的t球标志均为趋势科技股份有限公司的商标或注册商标。所有其它产品或公司名称可能是其各自所有者的商标或注册商标。