数字安全威胁的思杰应对之道 -...

1 © 2017 Citrix | 机密信息

数字安全威胁的思杰应对之道

邓建宇资深售前工程师

2017 年 6 月


影响程度

- 感染超过300,000台电脑

- 广泛影响政府机构、学校、医院、能源等行业

- 传播到150个国家- >24小时全球迅速传播

WannaCry勒索软件大爆发- 对感染计算机上的数据进

行加密，用户需缴纳比特币赎金才可解密


传统的IT安全框架难以适应新的数字安全需求

•83% 的人表示，其组织因业务和 IT 运营的复杂性而处于风险之中

•71% 的人表示，因无法控制员工的设备和应用而产生风险

•74% 的人表示，需要新的 IT 安全框架来提高安全和降低风险

新型 IT 安全架构的需求：全球研究（思杰赞助，Ponemon Institute 执行） 2017 年 1 月

现实却是：


安全威胁无处不在……

合规性泄露事件响应

民族国家工业间谍

声誉

特殊

情况

日常

内幕人员突破性技术黑客分子犯罪组织

资料来源：2014 年美国网络犯罪情况调查。CSO 杂志、USSS、SEI 的 CERT 分部和 PWC。


风险来源

登录网络 IPSec 到端点不受管理的自带设备默认浏览器实施混用的管理员访问第三方网络访问影子 IT 消费级文件共享终端本机电子邮件无界限的活动内容缺乏损失管理控制缺乏特权用户控制不合格的用户体验被盗的凭据恶意软件与勒索软件网络钓鱼和社会工程拒绝服务登录网络IPSec 到端点不受管理的自带设备默认浏览器实施混用的管理员访问第三方网络访问影子 IT 消费级文件共享终端本机电子邮件无界限的活动内容缺乏损失管理控制缺乏特权用户控制不合格的用户体验被盗的凭据恶意软件与勒索软件网络钓鱼和社会工程拒绝服务登录网络 IPSec 到端点

恶意软件与勒索软件

不受管控的

拒绝服务


思杰：安全交付应用和数据

摆脱设备级的、绑定平台的终端安全管理

1



全面解决方案，保护任何设备、网络和云端的数据和应用

2



应对未来出现的要求和挑战

3


网络资源

Web 应用

企业应用

移动应用

数据存储

SSL VPN

传统的应用和数据访问

应用和数据

桌面

Windows 应用

网络浏览器

软件即服务与网络应用程序

移动应用

数据应用程序防火墙

负载均衡器

单点登录设备

数据访问网关

物联网


网络交付控制器应用和数据资源位置

服务管理

监控分析自动化置备

XenDesktop

XenApp

XenMobile

ShareFile

桌面

Windows 应用

安全浏览器

软件即服务与网络应用

移动应用

数据

本地

混合云

云（公共或私有）

NetScaler

思杰的应用和数据访问


企业安全策略

安全的访问让员工和第三方安全访问

敏感的业务信息

•总部员工•分支机构•离岸开发中心

•合作伙伴、承包商•企业并购•多方协同

•移动设备访问•远程位置•弹性工作和远程工作

•商务旅行•自带设备 (BYOD)•远程运维

•知识产权：版权、专利、设计、商业机密•敏感数据，包括客户信息及人事记录

•标准：GLBA、SOX、NIST 等•支付：PCI DSS

•医疗：EHR、HIPAA、HITECH•金融服务：FFIEC、NUAC、OCC•公安部信息安全等保

•工作连续性•灾难恢复•网络威胁预防

安全的移动性允许员工在办公室外访问应用和数据，并允许人们

选择自己的设备。

数据和知识产权保护

防止公司数据被盗和丢失，防止知识产权被侵害

和盗用

合规与监管通过系统的日志、报告和审计过程，满足合规标准

业务连续性确保运营连续性和系统可

用性


传统浏览器


安全远程浏览器


传统杀毒 Direct Inspect + HVI

只保护文件系统很多方案并不能检测或阻止内存中攻击，而这是浏览器漏洞的常见攻击。

可以从虚拟机内部发起攻击需要在未被攻击状态的虚拟机内运行软件（代理或内核模块）。随着零日漏洞的增加，虚拟机的安全状态通常未知。

依赖于病毒特征码

假定攻击者使用的恶意文件类似于（至少部分）之前已知的恶意文件。不能发现全新的攻击（如之前未检测到的APT）。

可保护客户机内存

防止客户机内存被攻击者“滥用”，避免在系统上获取立足点（任何攻击链的第一步）。

服务器虚拟化提供硬件隔离

虚拟机内不需要安装安全软件，因此攻击者首先必须攻破服务器虚拟化平台，才能攻击安全软件。

依赖于攻击检测技术

阻断攻击手段，而不是特定的恶意软件特征。因此，该解决方案可以检测之前未被发现的复杂 APT。


网络 Delivery Controller 应用和数据资源位置

服务管理


虚拟桌面

虚拟应用程序

企业移动性管理

文件同步和共享

桌面

Windows 应用

安全浏览器

软件即服务和 Web 应用

移动应用

数据

本地

混合云


NetScaler

• 身份管理• 身份验证• 访问控制• 远程访问• 服务健康检查• 网络隔离、分段• 端到端网络可见性• 加密交付

思杰安全架构



服务管理


XenDesktop

XenApp



桌面

Windows 应用

安全浏览器


移动应用

数据

本地

混合云


应用程序交付网络

思杰安全架构

• 集中化• 托管交付• 基于策略的控制• 外设控制• 录屏审计• 数字水印• 安全浏览器



服务管理


虚拟桌面

虚拟应用程序

XenMobile


桌面

Windows 应用

安全浏览器


移动应用

数据

本地

混合云



思杰安全架构

• 容器化/沙盒化• 限制打开方式• 静态加密• 应用间控制• 应用级别的VPN• 安全应用• 地理围栏• 越狱检测



服务管理


虚拟桌面

虚拟应用程序


ShareFile

桌面

Windows 应用

安全浏览器


移动应用

数据

本地

混合云



思杰安全架构

• 链接过期时间• 信息权限管理IRM• 远程擦除• 加密电子邮件支持


思杰安全架构PVS可大大降低勒索病毒的威胁

• 为什么PVS可以降低勒索病毒的威胁？重启即清除桌面系统盘感染的病毒和恶意软件。只需更新一次补丁，自动推送到所有用户。瞬间更新或回滚。镜像只读，不会被感染。

http://images.google.com/imgres?imgurl=http://www.guidebookgallery.org/pics/gui/desktop/empty/winxppro.png&imgrefurl=http://www.guidebookgallery.org/screenshots/empty&h=600&w=800&sz=470&hl=en&start=2&tbnid=_EpMeAbwJEKTgM:&tbnh=107&tbnw=143&prev=/images?q=Windows+XP&gbv=2&hl=en

http://images.google.com/imgres?imgurl=http://www.guidebookgallery.org/pics/gui/desktop/empty/winxppro.png&imgrefurl=http://www.guidebookgallery.org/screenshots/empty&h=600&w=800&sz=470&hl=en&start=2&tbnid=_EpMeAbwJEKTgM:&tbnh=107&tbnw=143&prev=/images?q=Windows+XP&gbv=2&hl=en


思杰产品的安全优势

应用和数据

在数据中心集中管理并通过精细的访问控制进行访问

桌面和数据在数据中心集中管理

并通过精细的访问控制进行访问

数据访问、存储和共享

在本地和云端进行控制和审计

整个网络的访问和控制提供安全的应用交付和端到端的可见性

安全的移动应用和数据

提供极佳的用户体验


审计访问日志配置日志录屏审计

可见性HDX Insight网络Insight安全Insight

合规FIPS 140-2

PCI – DSS | HIPAA通用标准

容器化/沙箱化限制打开方式加密静态数据应用间控制

集中化数据不落地外设控制数字水印

文件共享文件过期

信息权限管理远程擦除

容器化/沙箱化应用级别的VPN

越狱检测安全应用

集中化应用虚拟化

虚拟通道控制安全浏览器

安全防护Web应用防火墙

DDoS 防护零日防护

网络隔离、分段SDX 实例管理分区流量域

远程访问统一网关加密交付智能访问

可用性负载平衡

健康状况监控DDoS 防护

思杰的数字安全应对之道

授权基于角色基于任务

基于位置

身份验证多因子身份验证

联合验证单点登录

访问控制终端安全扫描语境控制网络隔离

身份

和访问权限监控和响应应用程序

安全性网络安全数据

安全性


数字安全最佳实践

• 消除全网通行证 – 最小化权限原则

• 重新审视安全场景，建立流程控制

• 多因素认证和基于上下文的访问控制

• 按需赋予管理和运维权限

• 基于任务、应用和数据建立“安全区”

• 利用虚拟化和沙箱化构筑多重防御

• 跨设备、应用、网络和云的安全控制

• 安全远程浏览器 – 不留给攻击者任何机会

控制数字安全

数字安全威胁的思杰应对之道 -...

Documents