賽門鐵克ATP方案簡介

1、賽門鐵克主動式威脅安全方案簡介.、八、-刖言1.1什么是APT1.2如何防御APT3.賽門鐵克的全新安全方案ATP2.12.12.22.3可視的主動式安全威脅防護(hù).智慧的主動式安全威脅防護(hù)方案融合的主動式安全威脅防護(hù)方案2.42.52.6簡單的主動式安全威脅防護(hù)方案工作方式簡介總結(jié).7.賽門鐵克方案的主要特點(diǎn)亠、前言1.1什么是APT高危持續(xù)性攻擊APT是黑客以竊取核心資料或是從事系統(tǒng)破壞為目的，針對客戶所發(fā)動的網(wǎng)絡(luò)攻擊和侵襲行為。這種攻擊的最終目標(biāo)通常是為了導(dǎo)致數(shù)據(jù)的滲出。APT攻擊手法的特點(diǎn)，在于隱藏自己的各種攻擊行跡。入侵者針對特定對象，長期、有計劃和有組織地竊取數(shù)據(jù)。因此，這種攻擊通常

2、采取“低而緩”的方式，攻擊行為往往在較長的時間內(nèi)不會被注意到。各大企業(yè)都在想方設(shè)法地在造成數(shù)據(jù)泄漏之前，將攻擊行為檢測出來，并加以控制。從開始感染惡意程序到威脅被檢測出來，中間的這段時間又被稱作“駐留時間”，這段時間往往很長，導(dǎo)致入侵者有能力快速盜走數(shù)據(jù)，并轉(zhuǎn)向一個新的目標(biāo)下手。這些攻擊特點(diǎn)意味著用戶所面臨的攻擊和威脅將是長期的、持續(xù)的，因此對于企業(yè)而言必須時刻保持“戰(zhàn)備”狀態(tài)，這是一場不會結(jié)束的戰(zhàn)爭。高危持續(xù)性攻擊APT與其它安全威脅相比，他的特點(diǎn)可以總結(jié)為如下十六個字：“敵暗我明，有備而來，無孔不入，長久持續(xù)”。1.2如何防御APT難以探測的攻擊正在進(jìn)一步改變安全防護(hù)領(lǐng)域的格局，進(jìn)而也在改

3、變企業(yè)的現(xiàn)有安全架構(gòu)。這些攻擊會在網(wǎng)絡(luò)的多個不同的點(diǎn)上發(fā)生，使得企業(yè)更加難以探測和響應(yīng)。對于APT攻擊者而言，攻擊行為是被偽裝成合法流量侵入網(wǎng)絡(luò)的，依賴于標(biāo)準(zhǔn)的簽名檢測機(jī)制（比如黑、白名單機(jī)制）的安全防護(hù)技術(shù)很難加以分辨，因此防范效果甚微。這些防護(hù)技術(shù)只能對文件或網(wǎng)絡(luò)流量簡單地判斷為“好”或“不好”，不能這些信息進(jìn)行深入分析。攻擊者只有在成功進(jìn)入企業(yè)網(wǎng)絡(luò)內(nèi)部后，才開始實(shí)施真正的破壞和攻擊。針對這些全新的安全威脅和挑戰(zhàn)，對于某個以前從未見過的東西，你應(yīng)該怎樣防御？這個關(guān)鍵的問題困擾了許多企業(yè)。對于惡意軟件呈現(xiàn)出了定向化、多樣化、動態(tài)化的特點(diǎn)。用戶如果僅依靠單一的技術(shù)手段并無法有效全面控制安全風(fēng)險

4、。為了保護(hù)用戶的IT系統(tǒng)免受外部威脅攻擊，我們也需要改變信息安全防護(hù)思路和技術(shù)手段，由原先的防護(hù)型轉(zhuǎn)變?yōu)橹鲃宇A(yù)防型。針對APT的防護(hù)需要通過主動式的安全威脅監(jiān)控，行為分析，異常流量監(jiān)控配合完善的安全響應(yīng)管理流程，并結(jié)合外部安全大平臺分析能力將潛在的黑客入侵，APT攻擊在攻擊的初始階段就進(jìn)行有效發(fā)現(xiàn)和攔截。傳統(tǒng)的安全防護(hù)技術(shù)手段中，各個防護(hù)功能點(diǎn)技術(shù)如終端安全、郵件安全與網(wǎng)絡(luò)安全分屬于不同專業(yè)領(lǐng)域，各自為政，獨(dú)立工作。用戶很難將這些信息孤島中的數(shù)據(jù)整合在一起，提取全面、可相互印證的黑客入侵企業(yè)網(wǎng)絡(luò)的完整行跡視圖。缺少后臺可及時更新的知識平臺的支撐，使得企業(yè)用戶很難準(zhǔn)確識別這些利用零日漏洞的安全威

5、脅。如果僅僅關(guān)注終端側(cè)或網(wǎng)絡(luò)側(cè)等某一個控制點(diǎn)的技術(shù)防范技術(shù)，也很難有效及時發(fā)現(xiàn)攻擊行為，全面評估攻擊對企業(yè)內(nèi)部網(wǎng)絡(luò)的滲透范圍和造成損失，準(zhǔn)確消除APT攻擊給企業(yè)造成的破壞，清理所有已經(jīng)被感染主機(jī)上的木馬、跳板及惡意軟件。為了實(shí)現(xiàn)更快速度的攻擊檢測和解決各種新型未知威脅這一目標(biāo)，我們需要同時結(jié)合在終端上操作系統(tǒng)層的可疑文件行為分析發(fā)現(xiàn)、本地網(wǎng)絡(luò)側(cè)持續(xù)不間斷的通信內(nèi)容分析以及來自外部全球情報網(wǎng)絡(luò)的安全性情報網(wǎng)絡(luò)威脅告警數(shù)據(jù)的關(guān)聯(lián)分析三種能力，形成立體化、多層次的、簡單宜維護(hù)的安全防護(hù)體系。二、賽門鐵克的全新安全方案ATP通過多年的技術(shù)積累，賽門鐵克的終端安全方案再次自我革命。Symantec發(fā)布史

6、上最全、最強(qiáng)的主動式安全威脅防護(hù)解決方案-SymantecAdvaneedThreatProtection(ATP)。賽門鐵克的ATP同時關(guān)注企業(yè)信息系統(tǒng)的安全邊界三個控制點(diǎn)：終端、網(wǎng)絡(luò)、郵件，并打通三者之間的信息共享通道。ATP各本地可疑網(wǎng)絡(luò)通信、主機(jī)上疑似木馬程序的異常行為、入站郵件中的可疑附件等各類安全信息統(tǒng)一收集，再結(jié)合云端安全大數(shù)據(jù)分析平臺進(jìn)行關(guān)聯(lián)分析，幫助管理員及早發(fā)現(xiàn)，并將威脅消除在萌芽狀態(tài)，為企業(yè)提供整個企業(yè)內(nèi)高級攻擊活動的整體視圖。云端沙盒儲&茨擬相關(guān)性優(yōu)先性調(diào)查研究檢測一次，時現(xiàn)任何耒知修復(fù)智能情報0SymantecAdvancedThreatProtectionFl終端網(wǎng)

7、絡(luò)郵件更多的悄報I各控制點(diǎn)更好的檢測和更快的響應(yīng)在控制點(diǎn)|智能集成端點(diǎn)保護(hù)ATP的立體防護(hù)體系不僅能夠有效防護(hù)已經(jīng)廣泛傳播的木馬入侵，同時對于企圖利用不被業(yè)界所知的零日漏洞或后門程序攻擊企業(yè)系統(tǒng)的針對性攻擊，也可以幫助用戶能更快地做出響應(yīng)，并對導(dǎo)致攻擊的原因產(chǎn)生更進(jìn)一步的分析數(shù)據(jù)。2.1可視的主動式安全威脅防護(hù)賽門鐵克的ATP方案基于單一控制平臺，同時匯總來自終端、網(wǎng)絡(luò)和郵件這些安全控制點(diǎn)產(chǎn)生的安全事件信息。用戶可以在一個平臺，一個控制界面中同時查看，分析來自任一一個安全控制點(diǎn)發(fā)現(xiàn)的可疑事件信息，并進(jìn)一步深入分析這些信息是否與所有安全控制點(diǎn)已有信息相關(guān)。例如，假設(shè)現(xiàn)網(wǎng)中傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品檢測到可

8、疑文件被發(fā)送到公司員工的機(jī)器上。借助現(xiàn)有技術(shù)方案，安全分析員就需要手動訪問或到實(shí)地查看接收該可疑文件的端點(diǎn)計算機(jī)，以確保該機(jī)器已妥善攔截此文件或?qū)⑵鋭h除。對比而言，如果賽門鐵克ATP檢測到潛在威脅由網(wǎng)絡(luò)傳入企業(yè)，它就會利用Synapse關(guān)聯(lián)技術(shù)自動判斷該威脅是否被端點(diǎn)上的SEP攔截。如果已經(jīng)攔截，則會在提供給分析員的告警列表中下調(diào)該攻擊的優(yōu)先級，反之則自動上調(diào)優(yōu)先級。該個動態(tài)優(yōu)先級調(diào)整功能可大大降低需要分析員檢查的安全事件數(shù)量。2.2智慧的主動式安全威脅防護(hù)賽門鐵克的ATP方案，將原有割裂的事件，重新按照企業(yè)整體架構(gòu)和網(wǎng)絡(luò)拓?fù)浼右赃€原，可以有效減輕用戶在事件分析上時間投入。另外因?yàn)锳P肪案可以

9、自動將這些事件進(jìn)行關(guān)聯(lián)分析，同時結(jié)合云端的大數(shù)據(jù)平臺數(shù)據(jù)，還能幫助用戶提早發(fā)現(xiàn)全新的未知攻擊，從而更快地對潛在問題進(jìn)行響應(yīng)。賽門鐵克的云端Cynic平臺,利用沙盒機(jī)制和工作負(fù)載觸發(fā)服務(wù)發(fā)現(xiàn)當(dāng)今最復(fù)雜的目標(biāo)性攻擊并劃分處理優(yōu)先級。Cynic利用基于學(xué)習(xí)的高級計算機(jī)分析功能并結(jié)合賽門鐵克的全球情報，快速檢測各類威脅，即使是最隱蔽的持續(xù)性威脅也無處可遁。賽門鐵克的SynapseTM關(guān)聯(lián)技術(shù)便可自動匯總安全控制點(diǎn)中的事件,幫助安全管理員智能調(diào)整安全事件的嚴(yán)重級別，從而使用安全人員可以優(yōu)先處理企業(yè)中最嚴(yán)重的威脅。2.3融合的主動式安全威脅防護(hù)賽門鐵克ATP方案的一個優(yōu)勢就是與在用的賽門鐵克終端安全管理體

10、系(SEP)的無縫集成，充分利用現(xiàn)有的SEP和電子郵件安全云服務(wù)投資?？蛻艨梢灾苯硬渴鹦掳惭b的賽門鐵克ATP方案,從開始安裝到發(fā)現(xiàn)攻擊所需時間不到一小時。用戶不用重復(fù)部署不同功能的客戶端，現(xiàn)網(wǎng)中的SEP客戶端也是整個ATP方案的組成部分。采用單一客戶端的技術(shù)方案即可以減少對于終端電腦的資源占用，同時也減少終端安全管理體系的復(fù)雜程度，便于管理員日常維護(hù)。2.4簡單的主動式安全威脅防護(hù)賽門鐵克的ATP方案不光能實(shí)現(xiàn)主動式的檢測，還能實(shí)現(xiàn)全網(wǎng)的安全防護(hù)控制功能。在發(fā)現(xiàn)安全威脅之后的事情響應(yīng)階段中管理員可以在ATP的控制臺直接下達(dá)指令，在全網(wǎng)范圍內(nèi)將可疑文件加入黑名單，在所有安全控制點(diǎn)攔截并限制黑名單

11、中文件的傳播和訪問。管理員還可以遠(yuǎn)程通知SEP管理服務(wù)器，將被感染主機(jī)從網(wǎng)絡(luò)隔離，并強(qiáng)制在該主機(jī)上運(yùn)行木馬清除程序。2.5工作方式簡介假設(shè)一個常見的場景，例如：ATP的網(wǎng)絡(luò)模塊發(fā)現(xiàn)一臺終端有與外部僵尸網(wǎng)絡(luò)的通信行為，ATP的管理平臺會查詢源自ATP的終端模塊和郵件模塊的事件，進(jìn)一步查看具體由哪些程序發(fā)起對外部僵尸網(wǎng)絡(luò)的通信請求。管理員可以通過ATP控制臺直接從客戶端提取這些文件，做進(jìn)一步的分析，而不是親自在終端現(xiàn)場，通過人工分析判斷。借助SymantecTInsight信譽(yù)技術(shù),可根據(jù)這些文件首次出現(xiàn)的時間、在Internet上的出現(xiàn)頻率以及其他復(fù)雜技術(shù)來識別可疑文件。如果需要，管理員可以將這

12、些可疑文件提交賽門鐵克云端分析平臺，利用云端基于物理機(jī)或虛擬機(jī)的沙箱技術(shù)，分析這些文件的內(nèi)部結(jié)構(gòu)、工作機(jī)理以及所有可能的行徑，并結(jié)合賽門鐵克的全球智能監(jiān)控網(wǎng)絡(luò)，回溯這些程序的最初始源頭，結(jié)合這些信息最終判斷這些程序是良性或是木馬。如果ATP平臺判定這個程序是惡意木馬程序，管理員可以直接基于該程序的HASH值，將此程序加入黑名單，限制該程序在企業(yè)網(wǎng)絡(luò)上的進(jìn)一步傳播。如果需要，管理員可以直接下發(fā)策略到SEP客戶端，啟用系統(tǒng)鎖定策略，將感染此惡意木馬程序的終端從網(wǎng)絡(luò)上隔離，限制其對企業(yè)內(nèi)部資源的訪問。管理員還可以遠(yuǎn)程推送木馬清除工具到SEP客戶端，直接遠(yuǎn)程執(zhí)行木馬清除工作。這些工作，如果是在現(xiàn)有技術(shù)

13、架構(gòu)中，都是要依賴于管理員手工到現(xiàn)場完成上述操作步驟的。2.6總結(jié)針對APT之類新的攻擊手段,采用基于簽名機(jī)制的安全防護(hù)手段是無法有效阻止。而業(yè)界的針對APT攻擊防護(hù)的技術(shù)方案，往往只是具備一些單一的技術(shù)能力，如：沙箱分析能力，或是網(wǎng)絡(luò)檢測能力。賽門鐵克認(rèn)為只有全面改變企業(yè)安全體系，加強(qiáng)安全的可視化和立體防護(hù)能力，并借助外部安全智能分析數(shù)據(jù)才能有效識別APT攻擊。賽門鐵克推出ATP解決方案，不僅僅是針對高危持續(xù)性攻擊APT而是針對當(dāng)前互聯(lián)網(wǎng)安全威脅演變的趨勢，解決傳統(tǒng)病毒防護(hù)技術(shù)只注重保護(hù)，而缺乏檢測和分析能力的短板。ATP方案通過不同安全控制點(diǎn)的相互連動、安全分析的智能化和自動化，從而增強(qiáng)企業(yè)針對潛在安全風(fēng)險的識別能力，幫助用戶全面提高企業(yè)安全防護(hù)能力。三、賽門鐵克方案的主要特點(diǎn)?充分與已有SEP體系集成，利用SEP成熟的信息收集能力和策略執(zhí)行能力；徹底打通網(wǎng)絡(luò)、端點(diǎn)、郵件防護(hù)技術(shù)的