企業(yè)信息化高級威脅保護(hù)ATP方案

1、企業(yè)信息化高級威脅保護(hù)ATP方案此刻開始，從容應(yīng)對高級威脅網(wǎng)絡(luò)攻擊是一門生意(qian)231000個(gè)郵箱地址信用卡信息護(hù)照信息游戲賬號定制的惡意軟件1000個(gè)社交網(wǎng)絡(luò)粉絲云服務(wù)賬號1百萬個(gè)經(jīng)過驗(yàn)證的垃圾郵件發(fā)送注冊并激活的SIM卡Source: SymantecInternet Security Threat Report 2015定向攻擊的目標(biāo)企業(yè)規(guī)模:4什么是高級威脅(Advanced Persistent Threat：APT)定向的出于經(jīng)濟(jì)或政治目的，針對特定的組織或國家的隱蔽的利用未知的零日漏洞、攻擊工具和規(guī)避技術(shù)持續(xù)的先進(jìn)的控制系統(tǒng)，持續(xù)監(jiān)控并從特定的目標(biāo)中提取數(shù)據(jù)5識別APT攻

2、擊過程解析6攻擊者嘗試獲取目標(biāo)企業(yè)中的多個(gè)可能的受害者的背景信息，分析他們經(jīng)常使用的互聯(lián)網(wǎng)公開資源（如姓名、職務(wù)、郵箱、興趣愛好）。High-value UsersAPT攻擊過程解析通過各方面信息的收集，攻擊者會嘗試與每一個(gè)可能的受害者聯(lián)系，使用社會工程及釣魚欺騙讓受害者打開郵件附件或郵件中的鏈接。High-value Users識別滲透72016年1月19日下午烏克蘭當(dāng)?shù)貢r(shí)間16:51和16:56分，兩封號稱從: “Ukrenergo”發(fā)送至.ua和.ua的電子郵件拉開了攻擊序幕。攻擊者偽裝成來自烏克蘭國有

3、電力公司UKrenergo，攻擊對象分別為切爾卡瑟地區(qū)電力公司Cherkasyoblenergo的信息咨詢處，和Ukrenergo下屬機(jī)構(gòu)Central Energy System of SE的Kondrashov Alexander，后者的職務(wù)是分站主任（Chief of substationsof Central ES )“根據(jù)烏克蘭法律”運(yùn)營烏克蘭電力市場的原則“以及”未來十年烏克蘭聯(lián)合能源系統(tǒng)的訂單準(zhǔn)備系統(tǒng)運(yùn)營商發(fā)展計(jì)劃“，經(jīng)烏克蘭煤炭工業(yè)能源部批準(zhǔn)的No.680 20140929系統(tǒng)運(yùn)營商，在其官方網(wǎng)站發(fā)布。主題是：“烏克蘭2016年至2025年聯(lián)合能源系統(tǒng)發(fā)展規(guī)劃”。“請注意！本文

4、件創(chuàng)建于新版本的Office軟件中。如需展示文件內(nèi)容，需要開啟宏?！弊R別滲透APT攻擊過程解析8High-value UsersMalwareServer隨后惡意代碼將利用系統(tǒng)中存在的0-day漏洞開始執(zhí)行，并從攻擊者的控制主機(jī)下載更多的惡意程序（木馬）。APT攻擊過程解析9識別木馬會通過命令和控制通道與攻擊者聯(lián)系，攻擊者以此盜取用戶訪問企業(yè)核心資源所使用的用戶名及密碼。滲透High-value Users憑據(jù)采集FilerDomainControllerLDAPDirectoryDatabaseC&CServerMalwareServer“What should I do now?”“Gat

5、her logins and passwords”APT攻擊過程解析10識別通過盜取的用戶企業(yè)憑證信息，攻擊者可以逐步繪制出網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)并識別到關(guān)鍵服務(wù)器。滲透High-value Users憑據(jù)采集FilerDomainControllerLDAPDirectoryDatabase發(fā)現(xiàn)C&CServerMalwareServerDropServerAPT攻擊過程解析11識別攻擊者復(fù)制所需的數(shù)據(jù)至一個(gè)臨時(shí)的企業(yè)內(nèi)部中轉(zhuǎn)主機(jī)，然后將數(shù)據(jù)傳輸至外網(wǎng)攻擊者的控制主機(jī)。滲透High-value Users憑據(jù)采集FilerDomainControllerLDAPDirectoryDatabase發(fā)現(xiàn)數(shù)

6、據(jù)竊取StagingServerC&CServerMalwareServer即使采用最好的阻止技術(shù)，能阻止APT攻擊嗎？12阻止阻斷攻擊準(zhǔn)備了解重要的數(shù)據(jù)在哪，誰可以訪問到檢測發(fā)現(xiàn)入侵響應(yīng)抑制和修復(fù)問題恢復(fù)恢復(fù)運(yùn)營如果已經(jīng)被黑，能多快發(fā)現(xiàn)，多快響應(yīng)并恢復(fù)運(yùn)營？13準(zhǔn)備了解重要的數(shù)據(jù)在哪，誰可以訪問到阻止阻斷攻擊檢測發(fā)現(xiàn)入侵響應(yīng)抑制和修復(fù)問題恢復(fù)恢復(fù)運(yùn)營檢測已經(jīng)變得很難當(dāng)前的安全產(chǎn)品是孤立的，沒有集成化威脅可以逃逸傳統(tǒng)的沙箱技術(shù)Known BadContent DetectedSuspiciousNetwork BehaviorKnown Malware BlockedSuspiciousFil

7、e Behavior即使檢測到高級威脅，要完全清除威脅對整個(gè)企業(yè)造成的影響也非易事Malicious Attachment BlockedMalicious URL DetectedNetworksEndpointsEmail14事件響應(yīng)、清除威脅耗時(shí)耗力安全響應(yīng)分析必須接觸端點(diǎn)的用戶，而且只能手動檢查每個(gè)端點(diǎn)上的文件安全策略必須分別更新到每個(gè)獨(dú)立的安全產(chǎn)品上，以此刪除所有的惡意文件或阻斷攻擊NetworksKnown BadContent DetectedSuspiciousNetwork BehaviorEndpointsKnown Malware BlockedSuspiciousFil

8、e BehaviorEmailMalicious Attachment BlockedMalicious URL Detected15威脅可視和智能情報(bào)是必要的16網(wǎng)絡(luò)連接已阻斷病毒已檢測到惡意郵件已隔離傳統(tǒng)的情報(bào)每一臺機(jī)器的每一個(gè)網(wǎng)絡(luò)連接每一個(gè)文件的hash、來源、受影響的端點(diǎn)每一個(gè)可疑程序的行為、信譽(yù)、URL、IP豐富的情報(bào)SYMANTEC ADVANCED THREAT PROTECTION解決這些問題優(yōu)先 什么是最需要的關(guān)注的修復(fù) 更快利用 已有投資的價(jià)值可見 跨越端點(diǎn)、網(wǎng)絡(luò)、郵件的高級威脅17看見跨越端點(diǎn)、網(wǎng)絡(luò)、郵件的高級威脅部署簡單，一個(gè)小時(shí)內(nèi)即可實(shí)現(xiàn)威脅可視只需一個(gè)按鍵即可搜索I

9、T基礎(chǔ)設(shè)施中任何的攻擊痕跡，根據(jù)文件名、hash、注冊表鍵值、IP、URL一個(gè)控制臺即可看到端點(diǎn)、網(wǎng)絡(luò)、郵件中的攻擊18優(yōu)先化什么是最需要關(guān)心的 WITH SYMANTEC SYNAPSE聚合與關(guān)聯(lián)端點(diǎn)、網(wǎng)絡(luò)、郵件中的所有的可疑活動融合賽門鐵克全球智能情報(bào)網(wǎng)絡(luò)的數(shù)據(jù)未處理、處理中、關(guān)閉影響優(yōu)先一個(gè)界面觀察所有控制點(diǎn)上的所有攻擊活動可視化和修復(fù)所有相關(guān)攻擊痕跡，如文件、電子郵件地址或IP統(tǒng)一調(diào)查減少安全人員需要調(diào)查的事件數(shù)量不需要額外的客戶端程序，或者復(fù)雜的SIEM規(guī)則有形結(jié)果“賽門鐵克ATP的事件流操作減少了高達(dá)70%的多余的電子郵件和網(wǎng)絡(luò)安全告警，這節(jié)省了我們很多時(shí)間。”大型服務(wù)提供商.”

10、19更快檢測到高級威脅 WITH SYMANTEC CYNIC覆蓋度: Office docs, PDF, Java, containers, portable executables快速、準(zhǔn)確地分析幾乎所有類型的潛在惡意內(nèi)容使用虛擬機(jī)和物理機(jī)檢測虛擬機(jī)逃逸威脅揪出虛擬機(jī)感知惡意程序，執(zhí)行分析結(jié)果結(jié)合了賽門鐵克全球智能情報(bào)的高級機(jī)器學(xué)習(xí)分析Sandbox, Skeptic, SONAR, Insight, Vantage人機(jī)交互模擬檢測傳統(tǒng)技術(shù)無法發(fā)覺的隱蔽持續(xù)型威脅“Cynic detected a trojanized version of a legitimate software pa

11、ckage that a member of my security team downloaded. It saved us from a massive security breach.” leading food provider “Symantec Cynic detected a targeted attack from a nation state as it came in and enabled our security operations team to respond to it quickly.” international electric company在幾分鐘內(nèi)拿

12、出證據(jù)和情報(bào)云服務(wù)支持快速更新，避免惡意軟件進(jìn)化，逃逸檢測彈性擴(kuò)展、無需維護(hù)、永不宕機(jī)20幾分鐘內(nèi)抑制、修復(fù)復(fù)雜攻擊一鍵修復(fù)所有控制點(diǎn)在造成不可恢復(fù)的損失前發(fā)現(xiàn)和修復(fù)攻擊影響集中觀察攻擊影響，無需手工查找，無需手工恢復(fù)更快修復(fù)21無縫集成Symantec Endpoint Protection 12.1，無需安裝新的客戶端，提升SEP的價(jià)值監(jiān)控with Symantec Managed Security ServicesAPI支持與第三方防火墻、SIEM集成聯(lián)動利用已有投資關(guān)聯(lián)網(wǎng)絡(luò)郵件和端點(diǎn)事件with Symantec Email Security.cloud22ADVANCED THREA

13、T PROTECTION 模塊23Symantec Advanced Threat Protection: Modules端點(diǎn)可見性：大多數(shù)攻擊的立足點(diǎn)端點(diǎn)環(huán)境上下文、可疑事件、修復(fù)集成SEP一體機(jī)部署網(wǎng)絡(luò)可見性：網(wǎng)內(nèi)所有的設(shè)備自動提交可疑文件到沙盒執(zhí)行一體機(jī)旁路鏡像部署郵件可見性：最多采用的攻擊方式郵件趨勢、定向攻擊識別基于Email Security.cloud2425Email Security.cloudATP: EmailClientNetATP: NetworkATP: EndpointWANLANATP Management ConsoleSynapseCynicMTASEPMS

14、EP Installed ClientsFirewallInsightInternetData / ConfigData / ConfigData / ConfigNetworkEndpointEmailATP: NetworkATP: EndpointATP: EmailSynapseATP ApplianceDataDataDataData多個(gè)控制點(diǎn)協(xié)同阻斷、檢測、響應(yīng)、修復(fù)，最大化安全投資價(jià)值26tEmail Security.cloud + Advanced Threat Protection: EmailSymantec GlobalIntelligenceSymantec Cyni

15、cSymantec Synapse Remote / Roaming SEP Endpoints Blacklist Vantage Insight AV Mobile InsightBLACKLISTReal-time InspectionSEP ManagerRemote / Roaming SEP Endpoints可見優(yōu)先修復(fù)虛擬和物理的沙盒關(guān)聯(lián)端點(diǎn)、網(wǎng)絡(luò)及郵件的安全事件隔離、阻止、清除SEP EndpointsSymantec Advanced Threat Protection ATP 一體機(jī)角色ModeManagement ConsoleATP:NATP:EP1- Managem

16、ent UnitYESYES2- Network scannerYES3- All in oneYESYESYES典型部署28Network AAll in oneLog & remediationLog & remediationATP: EndpointInsightATP Model Reference Information88408880CPU1* 6 Core (HT)2* 12 Core (HT)Memory32 GB96 GBDisks1 x 1TB4 x 300GB (Raid 5)Redundant PowerNOYESForm Factor1U2UNICs copper

17、(optional fiber on 8880)Dual port 1 Gbps Bypass card1 Management2 Monitor Quad port 10 Gbps Bypass card1 Management4 Monitor Optional 10G fiberSegmentEnterpriseLarge Enterprise/EnterpriseSizing Network Control Points88408880SPAN / TAP ModeThroughput Mbps5002,000Total Endpoints (estimate)3,33313,333M

18、anagement Unit一個(gè) Management Unit最多支持 50 network scanners一個(gè) Management Unit 最多支持 100,000 端點(diǎn)一個(gè) Management Unit 最多支持 10 SEPMSizing considerationsNetwork ScannerManagement UnitSEPMEndpoint300 to 2000 Mbps10SEPM50 Scanners2k to 13k*100kEndpoints*8840, 8880 or virtual獨(dú)立第三方評測機(jī)構(gòu)測試結(jié)果Miercom Labs, 18th Dec 20

19、15 341310 NX v7.5.1Network appliancev5.4CISCO IPS, inlinev2.0Network sensor35AET: Advanced Evasive Techniques 高級規(guī)避檢測技術(shù)35Fortigate 60DThreat Mgmt FirewallATP Network sensorSnort IDSPA200 NGFW36Dennis Technology Labs, 18th Dec 2015 Dennis 實(shí)驗(yàn)室側(cè)重于采集在互聯(lián)網(wǎng)中真實(shí)攻擊樣本賽門鐵克ATP以惡意樣本檢測準(zhǔn)確率和合法軟件識別率兩項(xiàng)均獲得100%準(zhǔn)確率37ICSA

20、Labs, 8th Dec 2015 ATP ATD FrameworkWildfireDeep Discovery Inspector唯一做到零誤報(bào)的ATP產(chǎn)品！銷售場景39基本桌面防病毒需求用戶的環(huán)境和需求用戶規(guī)劃采購集中管理的防病毒軟件。用戶的痛點(diǎn)桌面防病毒市場魚龍混雜，如何選擇合適產(chǎn)品是個(gè)難題。競爭策略利用ATP方案的優(yōu)勢，拉開賽門鐵克與友商在技術(shù)上的差距，并由此在防病毒方案比選時(shí)，為SEP加分。如何切入話題選擇產(chǎn)品要參考廠商的產(chǎn)品技術(shù)演進(jìn)路線(如EDR)，避免僅僅比較產(chǎn)品當(dāng)前功能和價(jià)格。與友商方案相比，賽門鐵克針對終端安全提供全面的防護(hù)、檢測、響應(yīng)和修復(fù)。您可以根據(jù)企業(yè)需求，分階段導(dǎo)

21、入合適的技術(shù)方案。最終實(shí)現(xiàn)全面的終端安全管控體系。40SEP用戶的擴(kuò)容用戶的環(huán)境用戶已經(jīng)購買SEP。用戶的痛點(diǎn)無法保證100%SEP安裝率。對于感染木馬及受到定點(diǎn)攻擊的終端沒有發(fā)現(xiàn)能力。如何切入話題不用部署任何新代理即可獲得一鍵式補(bǔ)救功能,您有興趣試試嗎? 您想要快速隔離受感染的端點(diǎn)嗎? 目前您通過何種方式補(bǔ)救受感染的端點(diǎn)? 我們的優(yōu)勢為了檢測和阻止當(dāng)今復(fù)雜威脅,賽門鐵克的ATP方案可以提供網(wǎng)絡(luò)側(cè)的監(jiān)控能力，以及外部的全球智能分析能力。將這些能力與SEP事件關(guān)聯(lián),才能實(shí)現(xiàn)全面可視，深入可控。利用其現(xiàn)有安全投資，所有新增功能都無需安裝附加代理。41僵木蠕檢測需求用戶的需求僵木蠕檢測項(xiàng)目。用戶的痛點(diǎn)解決企業(yè)內(nèi)部木馬問題。IPS誤報(bào)太多。如何切入話題您是否需要針對網(wǎng)絡(luò)發(fā)現(xiàn)的威脅或已感染終端有更好監(jiān)控能力？除了傳統(tǒng)木馬防護(hù)外，您對于高級持續(xù)威脅防護(hù)有興趣了解嗎？我們的優(yōu)勢賽門鐵克可以將全球最大的