Embed Size (px)
Citation preview
科摩多新世代安全
AGENDA
About Comodo Group
新聞回顧
大家心中的資安疑問?
資安堆疊架構面臨的挑戰
資安防禦方案的種種問題
科摩多系統安全管理
系統安全管理Demo影片
2
About Comodo
HQ in US, with global offices in Europe, EMEA, APAC
A privately held USA based company founded in 1998
#1 Global Issuer of SSL CertificatesPatent Portfolio of 250+, with 12 patents pending in Security
1200+ Employees, More than half Engineering
700,000+ Business customers in over 100 countries worldwide
Serves more than 20% of Fortune 1000
7,000+ Business Partners and Affiliates
85M+ Windows PC Installations Worldwide
Enterprise Customers
AGENDA
About Comodo Group
新聞回顧
大家心中的資安疑問?
資安堆疊架構面臨的挑戰
資安防禦方案的種種問題
科摩多系統安全管理
系統安全管理Demo影片
4
根據Gartner統計資料,傳統的防毒軟體只能攔截45%的惡意程式,而且「特徵比對」的防毒技術已無法發揮效果,更重要的是,針對式網路釣魚攻擊每年維持高比率的成長來看,顯示企業對於阻止未知的惡意程式攻擊的防護能力與認知相當的薄弱。
賽門鐵克:駭客升級防毒軟體式微
6
醒報 2015.05.08
賽門鐵克:駭客升級防毒軟體式微網路防毒軟體先驅賽門鐵克公司在25年前發明了世界第一套防毒軟體,不過,該公司資訊安全部門的資深副總戴伊接受《華爾街日報》訪問時坦承,由於駭客技術愈趨發達,防毒軟體不再能有效保護電腦不受入侵,形同「已死」。
防毒軟體誕生的目的是為了防止電腦遭駭,但當今駭客多有能力破解這層防壁,只要稍微修改程式碼,駭進他人電腦如入無人之境。
大家最不樂見的勒索軟體
國內首宗!ATM憑空吐鈔一銀遭盜領
第一銀行新聞稿2016.07.12
第一銀行部分分行ATM提款機遭異常盜領,目前已緊急報警處理,並向調查局備案,經全面清查銀行ATM,初步瞭解可能遭植入惡意程式驅動吐鈔模組執行吐鈔,因皆屬德利多富(Wincor)公司之同一款機型,目前該款機型已全面暫停服務。由於遭盜領之ATM皆非透過本行帳務系統取款,因此並不影響任何客戶存款,客戶權益完全受到保障,且本案因與帳務及帳戶無涉,故與「無卡提款」完全無關。
勒索活動鎖定醫療體系
勒索醫療體系,因為醫療體系倚賴資訊可快速獲得病人用藥史或手術等資訊,破壞醫療系統可以迫使醫院支付贖金,以避免因醫療資訊風險的延誤,導致死亡和醫療訴訟。
伺服器有漏洞就加密!入侵醫院整個系統
科技新報 2016.04.05伺服器有漏洞就加密!新勒索軟體SamSam攻擊醫院入侵整個系統
近日有資訊安全專家發現兩款全新的勒索軟體。與傳統的不同,新款的勒索軟體無需透過電郵或惡意網站傳播,只要伺服器有漏洞就可以入侵並把系統解密。他們指現在只有醫院受到攻擊,但其他行業都有相當的風險。
利用伺服器漏洞直接入侵第一款新發現的勒索軟體名為 SamSam 。以前CryptoLocker 和 TeslaCrypt 等勒索軟體需要受害人打開電郵附件或瀏覽網頁來入侵, SamSam 卻以有漏洞的何服器為目標。
除此之外,這種新型的攻擊方法非常有效率,能夠避免偵察之餘也能配合各種情況,對公司的內部系統造成最大的破壞。他說由於伺服器系統未有更新,勒索軟體可以藉著已知漏洞入侵並植入醫院的網路之中;又強調 SamSam 並非針對單一個人電腦,而是整個醫院系統。
調查報告顯示75%醫療機構遭到惡意程式攻擊
激進駭客組織一度掌控自來水廠
ITHome 2016.03.25激進駭客組織一度掌控自來水廠
駭客是利用了SQL Injection與網路釣魚等手法,讓自來水公司後端的AS/400作業控制主機落入駭客操控,但成功入侵的駭客由於缺乏相關知識,嘗試調整時導致水廠運作中斷,觸發警報系統,才讓水廠發現有異。
該攻擊採用了SQL Injection與網路釣魚等手法,讓該公司後端的AS/400作業控制主機落入駭客操控。值得注意的是,該公司後端主機的登入資訊,與管理對外的網頁伺服器與線上付款系統的登入資訊相同,而該AS/400主機又與網際網路相連,成為駭客得以成功入侵的關鍵。
該後端主機上負責管理可由程式控制的控制器,用來控制水流大小與要添加在自來水中化學物質的泵浦總量,而成功入侵的駭客由於缺乏相關知識,嘗試調整時導致水廠運作中斷,警報系統啟動,才讓水廠發現有異。
同一起攻擊事件還導致該自來水公司的250萬用戶資料外洩。
APT攻擊搞死防毒軟體
網路資訊 2015.05.19APT攻擊搞死防毒軟體 EDR方案會是下一個特效藥?拜APT攻擊之賜,惡意程式與端點安全問題儼然成為當前最棘手的資安問題之一,傳統基於特徵碼的安全方案在發揮不了安全防護作用的情況下,面臨形同虛設的空前窘境。
近來最能展露惡意程式與端點安全問題嚴重性的事件之一,莫過於2013年黑暗首爾(Dark Seoul)與2014年Sony Picture的APT攻擊事件,前者光惡意程式便潛伏了6年而完全沒有被任何安全機制偵測到;後者竟然在攻擊後因無法解決電腦停擺問題,只好公告所有員工回家休息3天,並要求員工不要登入自己電腦與公司Wi-Fi網路。儘管如此,後續還有連串的資料外洩等著一一上演。據Engadge報導,SONY在電腦/網路鑑識調查與系統復原上竟然花費高達1,500萬美元。
臺灣APT災情全球最慘,企業5個月不知被駭
ITHome 2016.03.07
臺灣APT災情全球最慘,企業至少5個月不知被駭
美國國家地理空間情報局(NGA)是與FBI和CIA齊名的另一個情報機構,NGA前資安長Lance Dubsky首度來臺提出警告,臺灣是全球APT攻擊災情最重的國家,企業至少得要146天才會發現自己被駭,至少5個月內,駭客可以為所欲為。
許多常用的線上服務持續成為駭客利用入侵的管道,且企業和政府部門未能強化對於隱私資料的安全保護,也使得近年來資料外洩事件頻傳,甚至伴隨著物聯網(IoT)、行動裝置App帶來的種種創新,也讓駭客可利用的入侵管道和手法變得越多端莫測,因此他認為,企業在資安防禦上也得要跟著進化,做到靈活彈性部署,甚至變成智慧化,才能因應駭客不斷更新的攻擊手法。
APT攻擊報告
67%的受駭組織不知道自已被
受害組織平均229天才會發現被APT – 最長潛伏期2,287天
93%惡意信件是在非假日所發出
44%惡意信件是針對組織內部的IT部門所發出
AGENDA
About Comodo Group
新聞回顧
大家心中的資安疑問?
資安堆疊架構面臨的挑戰
資安防禦方案的種種問題
科摩多系統安全管理
系統安全管理Demo影片
16
大家心中的資安疑問?
過去我們的資安防禦大多為瞎子摸象的模式,過度相信資安廠商給的建議,但堆積木的結果是否真的解決了您的問題?
您心中的疑問?
電腦都安裝了防毒軟體,怎麼病毒問題仍然存在?
部署了入侵防禦系統,駭客入侵卻沒告警?
APT閘道防護把沙箱過濾炒得震天嘎響,然後您的問題解決了嗎?
建構SOC安全監控卻連駭客悄悄上門都沒個警報?
AGENDA
About Comodo Group
新聞回顧
大家心中的資安疑問?
資安堆疊架構面臨的挑戰
資安防禦方案的種種問題
科摩多系統安全管理
系統安全管理Demo影片
18
資安堆疊架構面臨的挑戰
防禦資料庫因攻擊數量龐大進而導致系統效能衝擊
需要防護未知的程式,而不僅僅是監控
“閘道安全”方案造成堆疊成本更高,更難管理
需要解決”0-Day“問題
需要Zero Patient解決方案,降低系統效能影響
19
探討0-Day問題
20
仔細想想,駭客如何成功入侵
APT攻擊 勒索活動 一般病毒攻擊
時間 潛伏時間長 攻擊時間短 長短不一定
攻擊者
有組織、計畫性的團體 地下網路商業活動 一般的個人或駭客結盟
攻擊對象
有針對性、小範圍,如政府、高科技公司、金融業
等無特定對象
無針對性、大範圍,近年以具有大量個人資料的企
業為主
攻擊手法
長期、持續性、多樣化,經常是零時差漏洞的攻擊,
確保達成攻擊目的
利用Email或網站瀏覽背景植入勒索程式,立即加
密系統中的檔案
速戰速決,複合多種常見漏洞,以大量、快速、有
效的單一手法入侵
攻擊目的
竊取所需要的特定機密,包含國家安全、商業機密
等$$$$$
動機不一定,從彰顯自己能力到竊取個資以換取實
質利益皆有
共同特性:均以未知程式入侵系統發動攻擊
AGENDA
About Comodo Group
新聞回顧
大家心中的資安疑問?
資安堆疊架構面臨的挑戰
資安防禦方案的種種問題
科摩多系統安全管理
系統安全管理Demo影片
22
採用防禦資料庫方案的問題
23
222285M+ 27% ~25%
採用 “Default Allow” –掃描比對非攻擊資料庫手法則 Pass
2015新發現惡意程式
2015, Compared to
History of Malware平均偵測率
惡意攻擊資料庫(黑名單)
黑名單攔截
無法攔截動態變種攻擊
All unkown Pass
無法掌握APT攻擊
耗用系統資源
“... [a]缺乏防病毒檢測大多數...密碼竊取和遙控木馬的平均檢出率是24.47%而大部分的檢出率只有19%“。Brian Krebs,KrebsOnSecurity.com
利用沙箱過濾也失敗
24
Virtualization:
Rely upon simulating analysis
Negative impact on usability and
performance
Allows ‘Patient Zero’ infection
By design, even when they work, you are
breached!
Perpetual Containment:
Blindly isolates unknown good/bad together
Multiple containers, narrow application
support
Lost saved data and productivity
Negative impact on usability and
performance
Emulation:
Supported Apps Limited
Requires specialized, modern hardware
Limited adoption across OS and devices
Difficult to develop and support
AGENDA
About Comodo Group
新聞回顧
大家心中的資安疑問?
資安堆疊架構面臨的挑戰
資安防禦方案的種種問題
科摩多系統安全管理
系統安全管理Demo影片
25
安全管理不能再”瞎子摸象”
COMODO 系統安全管理
Default Deny Platform Basics:
1. 如果比對是“已知安全”,那麼Pass
2. 如果比對是“已知惡意”,那麼Block
3. 如果無法比對是“未知”,則運行在自動控制Container
4. 持續在本地和全球進行進階程式行為分析,以確定裁決
27
為什麼Default Deny平台有效
已知安全 - 科摩多是世界上最大的證書發行權威,擁有全球軟體發行商的獨特資料庫,並掌握軟體發行商的應用程序和OS活動進程。
已知惡意 - 科摩多威脅研究實驗室(CTRL)收集來自超過8500萬個用戶端通報的“全新”惡意程式安裝。
所有無法識別的進程和應用程序都會限制在自動沙箱Container的環境中運行。
Viruscope(行為分析) - 監測所有過程的行為是否存在潛在的有害行為。
28
COMODO 系統安全管理說明
Comodo Lab
用戶端執行程式時Comodo分析程式分類程式分類為:1.信任程式允許執行2.惡意程式封鎖執行3.未知程式Containment執行
收集用戶端未知程式自動上傳至雲端分析
Comodo Lab進行程式判定並更新至黑白名單資料庫
主機查閱資料庫後自動回覆程式分類
COMODO專利技術 - “Container”
In Simple words – When one unknown file hits your computer to enter, our technology will first keep it in acontainer (virtual environment) and will also make a copy of that file with safety measures in your PC so thatyou can use it without getting infected and without delaying your business and in the meantime we will checkit in container whether it is safe file or unknown file, if unknown files seems to be good then it is allowed toyour PC’s environment, if it is a virus infected file then it is not allowed and deleted from your PC.
Patent Pending Technology in the market
COMODO安全管理優勢
全球即時更新惡意程式資料庫-超過4400萬筆
獨家的Default Deny™架構
獨家信任程式資料庫,非信任程式限制執行
專利的Containment™技術
自動隔離非信任程式在沙箱中,防止非信任程式破壞系統
獨家的7道安全防線,確保系統安全防護固若金湯
系統防火牆 – 管理系統網路連線
惡意程式攔截 – 攔截已知惡意程式
主機入侵防禦 – 監控所有程序執行
自動隔離技術 – 主動隔離未知程式活動
程式行為分析 – 自動分析被隔離未知程式行為
程式信用評估 – 自動紀錄系統中所有程序評價
系統Patch管理 – 掌握與安裝系統Patch漏洞修補程式
動態程式分析* – 自動上傳未知程式至雲端分析平台
*為企業版進階功能
COMODO Security Solutions
32
AGENDA
About Comodo Group
新聞回顧
大家心中的資安疑問?
資安堆疊架構面臨的挑戰
資安防禦方案的種種問題
科摩多系統安全管理
系統安全管理Demo影片
33
Thank You
COMODO程式動態分析服務
每年超過3億筆程式動態分析,掌握全球最多程式安全信評資料庫(730億)
26個以上的靜態探測器
超過1000個的靜態分析檢測內容
程式行為動態分析
Anti-VM
VM escape
mass commands
註冊表更改
程式與API關聯
動態程式分析服務流程
通報
管理者自中控台獲
取未知程式資訊
(系統與程式路徑)
取樣
依資訊從ATM系統
中進行程式取樣
提交
提交未知程式給COMODO
驗證
COMODO啟動動
態程式分析服務
報告
COMODO交付程
式動態分析報告
全球惡意程式資料比對
分析結果
靜態分析 動態分析
分析報告(PDF)
