Trend Micro Deep Discovery揭示针对性攻击
非官方中文译本 • 安天技术公益翻译组译注 | | Trend Micro™ Deep Discovery Uncovers Targeted Attacks | | | |
| | 趋势科技是一家安全软件公司,其安全产品包括Trend Micro Internet Security, Trend Micro Worry-Free Business Security, OfficeScan等。 | | | | | | | | | | • 本译文译者为安天实验室工程师,本文系出自个人兴趣在业余时间所译,本文原文来自互联网的公共方式,译者力图忠于所获得之电子版本进行翻译,但受翻译水平和技术水平所限,不能完全保证译文完全与原文含义一致,同时对所获得原文是否存在臆造、或者是否与其原始版本一致未进行可靠性验证和评价。 • 本译文对应原文所有观点亦不受本译文中任何打字、排版、印刷或翻译错误的影响。译者与安天实验室不对译文及原文中包含或引用的信息的真实性、准确性、可靠性、或完整性提供任何明示或暗示的保证。译者与安天实验室亦对原文和译文的任何内容不承担任何责任。翻译本文的行为不代表译者和安天实验室对原文立场持有任何立场和态度。 • 译者与安天实验室均与原作者与原始发布者没有联系,亦未获得相关的版权授权,鉴于译者及安天实验室出于学习参考之目的翻译本文,而无出版、发售译文等任何商业利益意图,因此亦不对任何可能因此导致的版权问题承担责任。 • 本文为安天内部参考文献,主要用于安天实验室内部进行外语和技术学习使用,亦向中国大陆境内的网络安全领域的研究人士进行有限分享。望尊重译者的劳动和意愿,不得以任何方式修改本译文。译者和安天实验室并未授权任何人士和第三方二次分享本译文,因此第三方对本译文的全部或者部分所做的分享、传播、报道、张贴行为,及所带来的后果与译者和安天实验室无关。本译文亦不得用于任何商业目的,基于上述问题产生的法律责任,译者与安天实验室一律不予承担。 |
Trend Micro Deep Discovery 揭示针对性攻击 更好的保护Motel 6的系统,使其免受APT和网络罪犯的侵害
“深度发现不仅是一种进步,它是一个大飞跃...深度发现给予我们一道防御针对性攻击的 防线,我们现在能够快速终止此类攻击。” — AndrewMcCullough, 首席信息安全架师,IT Motel 6,达拉斯,德格萨斯
执行摘要
用户名:Motel 6 行业:酒店业 位置:达拉斯,德格萨斯 网站:www.motel6.com 雇员数目:约7,500人
需求:
• 阻止恶意代码感染,尤其是那些能够盗取敏感数据,并且能长时间隐匿的恶意代码。 • 最大化系统投资回报。 • 整合和协调多个防御防线。 • 提高对安全的可视性,降低管理的复杂度。 • 增强合规性(PCI及其他),最终最大限度的保护用户信息。
解决方案:
• 利用TrendMicro Deep Discovery发现隐藏威胁。 • 将端点安全切换至Trend Micro™ Enterprise Security for Endpoints • 引入TrendMicro™ Deep Security模块,以增强对关键应用和高风险服务器的保护。 • 提供安全专家支持(Trend Micro Technical Account Management Services)
成效:
• 通过“eye-opening”监控针对“phone home”的恶意威胁,显著降低感染率。 • 通过云端防护,大大提高系统资源利用率。 • 节省IT时间(4–8小时/周,2–6工程师) • 提高保护客户信息和企业信誉的信心。 公司愿景和安全厂商产品方向对接。
• 需求
Motel 6的网络由Motel6和Studio 6旗下1,100个机构的网络构成。公司的主数据中心和备份数据中心为横跨北美大陆的,拥有将近5000个节点的庞大网络提供服务。
像零售业一样,酒店业的企业必须管理和保证敏感用户数据的安全,包括信用卡卡号,个人身份信息。作为一个雇主,公司还要掌握雇员的个人健康信息。合规性和风险管理齐头并进,处于企业的顶级优先地位。
AndrewMcCullough(Motel 6的首席安全架构师)说:“一切都归咎于风险—在最大化安全投资回报的同时,我们的业务会受到什么样的冲击?我们如何最小化风险?“
“在酒店业,安全对每个人都很重要。就弥补数据被窃事件时所需面对的挑战和付出的成本来说,信用卡、身份证明或健康信息是无差别的。我们承担不了我们的品牌和任何安全漏洞联系到一起所导致后果。事实就是,人们对向一个被入侵过的企业(尤其是一个被多次入侵的企业)提供个人信息,没有按全感。
在支付卡行业协会(Payment Card Industry,PCI)和其他各政府机构推动的法规和指南的指引下,行业在增强安全方面所做出的努力已经改变了像Motel 6这类企业的操作流程和政策。
McCullough说:“对于零售业和酒店业,PCI已经使得企业警醒过来,开始思考安全问题。虽然这个指南不是完美的,但是它向正确方向迈出了一步,这在我们的业务中尤其重要。在过去的几年里,酒店业已经成为了攻击的目标。像在更大的零售领域里那样,我密切关注了我们行业内的威胁活动”
解决方案
当Motel 6开始注意到穿透公司的多层安全防御的威胁正在增多时,迅速采用了并部署了一个更先进的全球威胁感知解决方案。尤其需要注意的是,高级持续性威胁(APTs),包括针对处理信用卡信息的业务的针对性攻击,呈上升的趋势。
Motel6部署的解决方案包括多个厂商的终端和周边安全产品。McCullough解释说:“安全归根结底是如何防御。我们不相信任何人,也不依赖任何单一的解决方案或安全供应商。我们有一个端点安全的厂商(桌面和服务器),我们最关注这一层。”
步骤1:威胁发现
基于对受感染数上升的关注,作为改进安全的第一步,Motel 6决定引入Trend Micro™ Threat ManagementSystem, 既现在的Trend Micro™ Deep Discovery.
McCullough说:“Trend Micro 解决方案发现的Trojans和BOTs的个数开拓了我们的眼界。我们对它的检出率印象深刻。当恶意代码正在搜集信息并试图在command-and-control或CNC服务器产生恶意流量的时候,Threat Management System向我们发出警告。如果他们被尤杯检测到,其中的很多威胁会运行几个月或几年。在Trend Micro解决放案的帮助下,我们在它们未造成任何损失前,检测到他们并阻止他们。” Motel 6成为Threat Management System的忠实客户,并在Trend Micro研发和推介下一代Trend Micro Deep Discovery解决方案的过程中积极与其合作。首批Deep Discovery的测试部署系统,自推出以来,已经在积极的保护Accor北美区。
步骤2:关于端点安全的“圈外思考”
“非常麻烦的是,我们之前的安全厂商的端点安全解决方案不能有效的阻止甚至是普通的恶意软件。”McCullough说,“当我们在评估还有其他什么可用,以及决定跳出条条框框,考虑一个更有效的策略德时候,这个策略在集成更高级的威胁检测的同时能够更好的保护服务器端点移动用户和台式机。“
Motel 6的安全团队从威胁检测技术和端点安全的整体方向等方面考察了几个主要的安全厂商。基本上说,他们的需求的如下:
• 一个每个人梦想中的,能够真正集中管理全公司安全的仪表板。 • 提供多层次的防护的,集成的端点安全产品,。 • 支持合规性。
• 针对高风险端点的额外类型的保护和能力,例如,销售点(POS)系统和数据库服务器。 • 专为关键应用定制的安全措施。 • 一个小的安全空间。
安全团队发现,通过切换到Trend Micro Enterprise Security for Endpoints(包括用于防护服务器、台式机和笔记本电脑的,Trend Micro™OfficeScan™解决方案的龙头产品),公司的需求能够被很好的契合。 团队通过选择Trend Micro Deep Security来引入高级防护能力,例如文件完整性监控、日志检查、入侵防护和其他的,增强服务器安全。
“我们正在布局,Trend Micro正在朝着正确的方向前进。“McCullough说,”我们的愿景是一致的。“
步骤3:安全空间最小化
Motel 6对实现一个小的安全空间尤其感兴趣。在看到传统的威胁特征和库是如何快速变得庞大,在系统扫描过程中严重影响系统性能后,他们想要一个更节省资源的安全方案。在 Trend Micro™ Smart Protection Network™ 架构的支撑下,Trend Micro企业安全解决方案因受益于云端防护,而使得内部部署解决方案高效和轻载化。
McCullough 说:“在处置POS或服务器时,我们不能常常更换资产。管理理念要求最大化ROI并延长资产寿命。 这使处理器和内存称为非常宝贵的资源。即便如此,我们在高风险节点中,例如POS系统、托管关键应用服务和数据库的大型服务系统,增加更多的防护程序。我们使用自行开发的日志记录功能来保护这些资产并协助合规性工作。
“我们认为必须用一种方式整合这些安全功能,并减少他们对内存和处理器的影响。这种方式就是Trend Micro Deep Security。它在一个软件包中提供了很多功能,并为我们提供了一个更好的管理面板。这意味着更好的风险管理和使得承载我们关键业务数据的高风险系统的可见性更好。
结论
对Trend Micro解决放案和服务整合,改变了Motel 6所面对的威胁环境。
“在引入Deep Discovery, OfficeScan, and Deep Security 之后,我们没有再发现我们以前发现过那些病毒感染。“McCullough说,”我们通常每周联络一次我们的安全商,报告新的病毒感染。我们经常被告知某个威胁是已知的但其特征不再被包含在特征库文件中。这是件非常令人沮丧的事。这也是你必须要使特征库文件的大小降下来的原因。
“这是Trend Micro Smart Protection Network的优势—威胁信息被收集在云端,以减小客户端的空间占用。据我所知,Trend Micro是最早以这种方式使用云的。其结果是,他们获得了很高的检出率,而没有不得不缩减特征规模。”
较高的检测和更好的端点保护转化为替Motel 6节省了时间。据安全团队估算,他们每周解决安全问题的时间节省了4到8小时。这些小时数是翻倍的,因为这类工作通常需要两个团队成员来完成。如果是复杂问题,则通常需要5至6个IT人员放下其他工作来解决。与Trend Micro的关系使得我们更早的接触到新的Deep Discovery产品
McCullough 说:“它的前身,Threat Management System, 是朝着正确方向迈出的正确的一步。它给予我们在任何情况下,不需要强制停止处理过程或流量也可以收到有关特定情况警告的能力。
“Deep Discovery不仅仅是向前迈了一个步,它还是一个大的飞跃。基于新的‘沙箱’能力,Deep Discovery能够评估一个可疑的java applet或代码片断,并帮助我们做出正确的决定。毕竟,它并不总是那种对我们的业务有最大危险的大规模威胁。现在,他可能是一个针对性攻击—一个被精心制作的,获取我们数据的代码片断。Deep Discovery给予我们一道抵御针对性攻击的防线,我们现在能够快速终止此类攻击。“
部署环境:
主数据中心和DR数据中心 1100+在美国和加拿大的旅馆/汽车旅馆 400服务器;5,000端点 Trend Micro Deep Discovery 3.0 Trend Micro Deep Security 8.0 Trend Micro OfficeScan 10.0
“Trend Micro 解决方案所发现的木马和僵尸网络的数量让人吃惊,其检出率让人印象深刻。“ — Andrew McCullough, 首席信息安全架师,IT Motel 6,达拉斯,德格萨斯
公司简介:
Motel6 在美国和加拿大境内拥有不少于1100家公司自有的和连锁经营的旅馆,并向用户提供连锁酒店业界最低的价格。26年来, Motel 6 的品牌口号,“We’ll leave the light on foryou®,”在经济型酒店领域的连锁品牌认知度最高。Motel 6是首家全国性宠物友善连锁酒店。它自1962年起,不拒绝宠物入内。它的标配设施包括:免费拨打本地电话,没有长途接入,免费早晨咖啡和更多的有线电视频道。大多数地方提供Wi-Fi网络接入,游泳池和房客洗衣设施。详情参见:www.motel6.com。
“通过将系统与趋势科技解决方案和服务整合,降低了我们的风险,真正改善了安全态势,我们现在更有信心了。趋势科技极大的改观了我们的安全。“
— Andrew McCullough, 首席信息安全架师,IT Motel 6,达拉斯,德格萨斯
Trend Micro产品
• Trend Micro Deep Discovery • Trend Micro Deep Security • Trend Micro OfficeScan • Trend Micro TAM Services http://www.trendmicro.com/us/enterprise/consulting-support-services/technicalaccount-management/index.html
“这是Trend Micro Smart Protection Network的优势。威胁信息被收集在云端,以减小客户端的空间占用。据我所示,趋势科技是最早以这种方式使用云的公司。“
— Andrew McCullough, 首席信息安全架师,IT Motel 6,达拉斯,德格萨斯
英文原文报告下载:
Trend Micro™ Deep Discovery Uncovers Targeted Attacks.pdf
(352.12 KB, 下载次数: 33)
安天公益翻译(非官方中文译本):
Trend Micro™ Deep Discovery揭示针对性攻击[非官方中文译本 • 安天.pdf
(679.18 KB, 下载次数: 38)
|