symantec合作伙伴培訓(xùn)2015-1v2.0.for partner

1、Symantec 合作伙伴培訓(xùn) 2015-1 v2.0.1林曉明Presenters Title Here培訓(xùn)日程Copyright 2015 Symantec Corporation21Symantec 企業(yè)安全戰(zhàn)略2Symantec Endpoint Protection 終端安全3Symantec Datacenter Security 數(shù)據(jù)中心安全4Symantec Advanced Threat Protection 高級威脅保護(hù)Symantec 企業(yè)安全戰(zhàn)略3當(dāng)前企業(yè)安全威脅環(huán)境4攻擊者的變化更加迅速數(shù)字勒索在上升惡意軟件更智能零日安全威脅不同類型的結(jié)構(gòu)都在遭受攻擊5 of 6 l

2、arge companies attacked317M new malware created1M new threats daily60% of attacks targeted SMEs113% increase in ransomware45X more devices held hostage 28% of malware was Virtual Machine Aware24 all-time highTop 5 unpatched for 295 days24 Healthcare + 37% Retail+11% Education +10%Government+8%Financ

3、ial+6%Source: Symantec Internet Security Threat Report 2015ISTR互聯(lián)網(wǎng)安全威脅報告中文報告下載： Copyright 2015 Symantec Corporation重要的趨勢變化在重塑企業(yè)安全市場終端安全市場的再次復(fù)興Rapid shift to mobile and IoT逐漸消亡的企業(yè)邊界Decreasingly relevant with “fuzzy” perimeter云服務(wù)被越來越多的采用Enterprise data and applications moving to cloud服務(wù)開始取代傳統(tǒng)的“盒子”Secu

4、rity as a Service; box fatigue網(wǎng)絡(luò)戰(zhàn)爭Governments and regulators playing ever larger role5Copyright 2015 Symantec CorporationSymantec 企業(yè)安全| 技術(shù)被廣泛認(rèn)可6#1 share; AAA ratingnine quarters in a row終端安全#1 share; 100% uptime with Targeted threat response - Full protection Optimized out of the box hardening for d

5、ata center applications不斷增強(qiáng)的保護(hù)技術(shù)Copyright 2015 Symantec Corporation53Symantec Data Center Security: Monitoring Edition & Server AdvancedCopyright 2015 Symantec Corporation54HypervisorEnterprise Data CenterWINDOWSLINUXUNIXSymantec Data Center Security: Server Advanced系統(tǒng)加固，應(yīng)用程序白名單最小化權(quán)限控制，資源訪問鎖定加固OpenS

6、tack KeystoneSymantec Data Center Security: Monitoring EditionSecurity Monitoring:實(shí)時文件完整性系統(tǒng)關(guān)鍵安全配置系統(tǒng)及自定義事件日志支持多類OS及hypervisorsAmazon Web ServiceOpenStack (all modules)Symantec Data Center Security: ServerSDCS: Monitoring Edition 實(shí)時分析服務(wù)器上的蛛絲馬跡Copyright 2015 Symantec Corporation55Symantec IPS creates a

7、 “shell” around each program & service that defines acceptable behavior如何工作Email ClientOfficeBrowserMailWebDatabaseDNARPCPrint SpoolerCore OSServicesApplication ServicesInteractivePrograms文件創(chuàng)建、修改、刪除文件設(shè)置創(chuàng)建、修改、刪除設(shè)置系統(tǒng)操作主機(jī)操作系統(tǒng)系統(tǒng)、應(yīng)用和安全日志系統(tǒng)日志 &Text Logs Symantec收集器收集事件，并且同IDS簽名庫（或自定義簽名）進(jìn)行比較一旦滿足策略，產(chǎn)生動作記錄事件

8、到本地的SCSP日志發(fā)送到管理控制臺文件和注冊表的變化檢測安全配置的變化組管理的變化活動目錄的變化共享配置的變化域信任的變化用戶/組帳戶的修改細(xì)粒度的系統(tǒng)活動惡意軟件/間諜軟件檢測USB設(shè)備的活動監(jiān)控ESXi主機(jī)配置和vmx文件Data Center Security for OpenstackCopyright 2015 Symantec Corporation56Data Center Security 可用于監(jiān)控所有Openstack模塊并加固保護(hù)Keystone監(jiān)控配置文件變更: configuration files changes monitored using real-time

9、 file integrity monitoring 監(jiān)控Keystone 程序文件: Python files of modules monitored to avoid file tampering of important system services.監(jiān)控Keystone數(shù)據(jù): Changes to user account, role and tenant data monitored closely to be aware of changes to identify data.訪問監(jiān)控: Monitor user access through web interfaceSyma

10、ntec DCS: Server Advanced 技術(shù)原理Copyright 2015 Symantec Corporation57DCS:SA為每一個程序集分配一個沙箱，每個沙箱根據(jù)策略的定義實(shí)現(xiàn)有限的資源訪問和行為控制，實(shí)現(xiàn)資源訪問的最小化控制FilesRegistryNetworkDevices文件系統(tǒng)及配置信息進(jìn)程訪問控制OutlookCMDDNS ServerKernelRPC服務(wù)及后臺進(jìn)程交互式程序被保護(hù)主機(jī)Chrome默認(rèn)的服務(wù)及程序Etc.Etc.Memory使用端口或設(shè)備默認(rèn)沙箱資源訪問控制大多數(shù)應(yīng)用只需要有限的資源以完成相關(guān)工作但卻擁有遠(yuǎn)遠(yuǎn)超出其自身要求的權(quán)限，惡意的入侵

11、攻擊常常利用這些問題DCS:SA通過最小化權(quán)限控制降低了其被利用的可能SDCS: Server Advanced白名單策略鎖定關(guān)鍵業(yè)務(wù)系統(tǒng)防護(hù)策略配置向?qū)?，減少配置的創(chuàng)建時間和復(fù)雜性在配置策略時可使用應(yīng)用發(fā)現(xiàn)功能內(nèi)置賽門鐵克的Insight應(yīng)用信譽(yù)庫使用文件哈希規(guī)則實(shí)現(xiàn)細(xì)粒度控制進(jìn)程繼承自動關(guān)聯(lián)識別Copyright 2015 Symantec Corporation58SDCS: Server Advanced控制用戶權(quán)限和系統(tǒng)資源4. 允許信任的用戶或應(yīng)用有選擇性的改變2. 禁止非授權(quán)訪問和特權(quán)3. 配置策略允許指定用戶或應(yīng)用做改變1. SDCS:SA 定義策略限制所有用戶和進(jìn)程訪問關(guān)鍵業(yè)

12、務(wù)Copyright 2015 Symantec Corporation59Copyright 2015 Symantec Corporation60與多類虛擬化平臺進(jìn)行集成由客戶端實(shí)現(xiàn)高級安全控制VSMPGPDLP ThreatProtectionHypervisorHardening/SODEncryptionData ProtectionData StoreSecurityDSSUAPANCSP/SEPCSPServerHardeningSDN/SDDC PlatformSoftware Defined Security Service將安全控制嵌入的至軟件定義數(shù)據(jù)中心1集成多種安全控制

13、技術(shù)3自動化的安全策略調(diào)配2Server SecurityData Store SecurityFirewallUnified Assessment將多種安全控制技術(shù)的部署與策略進(jìn)行集中基于已有的部署更容易進(jìn)行安全策略橫向擴(kuò)展關(guān)鍵流程自動化確保每一個負(fù)載得到保護(hù)自動調(diào)整安全策略基于外部威脅或主機(jī)的變化Symantec Data Center Security Vision Symantec Datacenter Security: Server AdvancedorSymantec Data Center Security: Monitoring Edition服務(wù)器 增強(qiáng)安全需求：白名單鎖定

14、、加固與安全監(jiān)控 Symantec Datacenter Security: Server AdvancedorSymantec Data Center Security: Monitoring Edition(Agent-Base)針對不同場景下解決方案的定位VMware vSphere服務(wù)器虛擬化VMware HorizonView 桌面虛擬化Hyper- V/Xen/KVM等其他虛擬化技術(shù)Physics Server物理服務(wù)器DesktopLaptop終端桌面 Symantec Endpoint Protection(Agent-Base) Symantec Datacenter Sec

15、urity: Server終端與服務(wù)器 基礎(chǔ)安全需求：惡意代碼防護(hù) Symantec Datacenter Security: Server(Agent-Less)Copyright 2015 Symantec Corporation61典型需求場景Copyright 2015 Symantec Corporation62序號方案名稱適用場景1數(shù)據(jù)中心系統(tǒng)安全加固（防護(hù)）系統(tǒng)安全加固（防護(hù)）2數(shù)據(jù)中心系統(tǒng)安全管理系統(tǒng)安全狀態(tài)監(jiān)控，信息采集3OpenStack安全加固云安全加固和管理4網(wǎng)頁防篡改及網(wǎng)站防護(hù)網(wǎng)頁應(yīng)用安全加固和管理5虛擬化環(huán)境防毒虛擬化環(huán)境無Agent防毒VMware環(huán)境競爭分析 T

16、rend Micro Deep SecurityTrendMicro DS 9.5Symantec DCS 6.5+AV防惡意軟件惡意代碼防護(hù)ReputationWeb信譽(yù)Insight文件信譽(yù)IPS入侵阻止（虛擬補(bǔ)丁）網(wǎng)絡(luò)入侵防護(hù)FW雙向狀態(tài)防火墻應(yīng)用程序防火墻（SA）HI完整性監(jiān)控 完整性監(jiān)控 （SA）Log Inspect日志檢查（需要代理） 日志檢查（SA）Security Orchestratio N/A自動化策略調(diào)配Operations DirectorHardeningN/A應(yīng)用白名單，系統(tǒng)鎖定（SA）Copyright 2015 Symantec Corporation63與D

17、eep Security的競爭多數(shù)都是源于用戶VMware環(huán)境虛擬化的安全需求。多數(shù)場景下客戶只需要無代理安全技術(shù)。DS一般提供三種打包功能集，或他們的組合。1.無代理防病毒模塊（AV）2.無代理深度包檢測模塊DPI（Web Reputation, IPS. FW）3.無代理完整性監(jiān)控模塊（HI）Symantec目前在VMware環(huán)境下只能提供三類安全功能，惡意代碼防護(hù)、Insight文件信譽(yù)、網(wǎng)絡(luò)入侵防護(hù)，最好用戶技術(shù)需求不要超出以上范圍，防火墻需求可建議用戶日后采用VMware vCNS或NSX的防火墻，Deep Security提供的防火墻功能單一并不適用于未來SDDC及SDN軟件定義網(wǎng)

18、絡(luò)的架構(gòu)，HI在國內(nèi)多數(shù)客戶并無真實(shí)需求。另一方面，自動化策略調(diào)配Operations Director是Symantec獨(dú)有功能，適用于VMware環(huán)境，如果用戶接受客戶端部署，對部分關(guān)鍵應(yīng)用可實(shí)施DCS:SA，即應(yīng)用白名單，系統(tǒng)鎖定，這同樣是我們的優(yōu)勢。在線測試環(huán)境 VMware Hands-on Labs - HOL-PRT-1464 VMware及NSX環(huán)境下DCS Agent-Less 防病毒與網(wǎng)絡(luò)入侵防護(hù)的配置指南 Copyright 2015 Symantec Corporation64 注冊用戶并登陸選擇All Lab并搜索1464或Symantec選擇注冊實(shí)驗并選擇開始，只需

19、要半分鐘即可完成環(huán)境部署，推薦使用Chrome瀏覽器可用于演示DEMO選擇注冊HOL 1464Symantec DCS部署架構(gòu)Symantec DCS Manager提供DCS: S/SA/ME的集中管理Security Virtual Appliance在物理機(jī)上部署，支持無代理AV與IPSSymantec DCS Agent用于DCS:SA/ME的客戶端服務(wù)器部署Unified Management Console 可選多個DCS組件的Web集中管理Operation Director 可選實(shí)現(xiàn)多種安全控制手段（包括第三方產(chǎn)品）在虛擬化環(huán)境中的自動化調(diào)度。Copyright 2015 Sy

20、mantec Corporation65關(guān)于DCS你可以獲取的在線技術(shù)資源30天試用 - Symantec Data Center Security: Server 30天試用 - Symantec Data Center Security: Server Advanced SDC: S Agentless部署手冊及注意項 （6.0 中文） SDCS: SA Web頁面防篡改技術(shù)實(shí)現(xiàn) （5.2.9 中文） SDCA:S 配置指南 （6.5 英文） Copyright 2015 Symantec Corporation66Symantec Data Center Security 報價方式：基于

21、服務(wù)器數(shù)量（物理環(huán)境或VM數(shù)量）基于物理CPU數(shù)量（VMware虛擬化環(huán)境）Symantec Data Center Security v6.5 文檔合集 Symantec Advanced Threat Protection 高級威脅保護(hù)Available on September 2015由于環(huán)境與攻擊者變化信息安全風(fēng)險逐漸超出控制Copyright 2015 Symantec Corporation68不斷增大且越來越復(fù)雜的環(huán)境更加資深的攻擊者易受攻擊影響的設(shè)施持續(xù)增加被資助的組織地下市場國家與國家之間移動化/BYOD物聯(lián)網(wǎng)云計算數(shù)據(jù)更快速的增長匱乏的IT人員數(shù)以千計的終端與服務(wù)器下面的

22、信息是我們所看到的，還有很多我們沒有看到的數(shù)據(jù)泄漏事件統(tǒng)計的總數(shù)312共計被泄漏的身份數(shù)量348JANUARY 2014 DECEMBER 2014MILLIONJANUARY 2014 DECEMBER 2014平均檢測發(fā)現(xiàn)所需的時間平均每次事件造成的損失3.5JANUARY 2014 DECEMBER 2014MILLION DOLLARSJANUARY 2014 DECEMBER 2014Unencrypted POS post-Target5 months to detection2 weeks to uncoverVia vendor + 0-day vulnerability56

23、million credit cards stolenAttackers wanted instant impact4 unreleased movies25GB, 33K files Disabled email, wifiDelayed paychecks1 months to detection5 DB admins compromised80 million medical records stolenMedical records 10 times more valuable than credit cards on black market6+MONTHSCopyright 201

24、5 Symantec Corporation69識別針對性攻擊分析解析攻擊過程70攻擊者會嘗試獲取目標(biāo)企業(yè)中的多個可能的受害者的信息，并分析他們經(jīng)常使用的互聯(lián)網(wǎng)公開資源High-value UsersCopyright 2015 Symantec Corporation針對性攻擊分析解析攻擊過程通過各方面信息的收集，攻擊者會嘗試與每一個可能的受害者聯(lián)系，利用社會攻擊及釣魚攻擊欺騙讓受害者訪問并下載惡意代碼High-value Users用戶下載訪問惡意的郵件附件或者點(diǎn)擊某一個惡意的連接，隨后惡意代碼將在系統(tǒng)中開放后門并對其進(jìn)行遠(yuǎn)程控制。識別滲透Copyright 2015 Symantec C

25、orporation71識別滲透針對性攻擊分析解析攻擊過程72High-value UsersMalwareServer用戶下載訪問惡意的郵件附件或者點(diǎn)擊某一個惡意的連接，隨后惡意代碼將在系統(tǒng)中開放后門并對其進(jìn)行遠(yuǎn)程控制。Copyright 2015 Symantec Corporation針對性攻擊分析解析攻擊過程73識別惡意代碼生成的后門會通過命令與控制通道與攻擊者聯(lián)系，攻擊者并以此盜取用戶訪問企業(yè)服務(wù)器所使用的用戶名及密碼滲透High-value Users憑據(jù)采集FilerDomainControllerLDAPDirectoryDatabaseC&CServerMalwareServ

26、er“What should I do now?”“Gather logins and passwords”Copyright 2015 Symantec Corporation針對性攻擊分析解析攻擊過程74識別通過盜取的用戶企業(yè)憑據(jù)信息，攻擊者可以逐步繪制出網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)并識別到關(guān)鍵資產(chǎn)的服務(wù)器。滲透High-value Users憑據(jù)采集FilerDomainControllerLDAPDirectoryDatabase發(fā)現(xiàn)C&CServerMalwareServerCopyright 2015 Symantec CorporationDropServer針對性攻擊分析解析攻擊過程75識別攻

27、擊者拷貝所需的數(shù)據(jù)至一個臨時的企業(yè)內(nèi)部中轉(zhuǎn)服務(wù)器，并借由此將數(shù)據(jù)導(dǎo)出至企業(yè)外部攻擊者所控制的服務(wù)器。滲透High-value Users憑據(jù)采集FilerDomainControllerLDAPDirectoryDatabase發(fā)現(xiàn)數(shù)據(jù)盜取StagingServerC&CServerMalwareServerCopyright 2015 Symantec Corporation更多的安全技術(shù)不意味著更好的防護(hù)76NetworkEndpointEmailCopyright 2015 Symantec CorporationKnown BadContent DetectedSuspiciousNe

28、twork BehaviorKnown BadContent Detected SuspiciousNetwork BehaviorKnown BadContent DetectedSuspiciousNetwork BehaviorMalicious URL DetectedSYMANTEC的觀點(diǎn): 什么是真正意義上的安全防護(hù)？包括阻止, 檢測與響應(yīng)技術(shù), 在所有主要的安全控制點(diǎn)上集成這些技術(shù)防護(hù)檢測響應(yīng)對于被遺漏的惡意軟件活動或者是高級威脅，可通過基于云端的代碼分析、沙箱檢測和行為分析技術(shù)實(shí)現(xiàn)，并在數(shù)分鐘內(nèi)完成檢測持續(xù)檢測對多個位置的安全事件進(jìn)行關(guān)聯(lián)分析，并對安全事件進(jìn)行歸并與優(yōu)先級排列，

29、執(zhí)行取證分析便于事件調(diào)查，最終基于檢測結(jié)果對發(fā)現(xiàn)的問題進(jìn)行自動修復(fù)，無需等待廠商的病毒定義更新。有效響應(yīng)安全防護(hù)在所有的安全控制點(diǎn)上實(shí)時阻斷已知的安全威脅，集成信譽(yù)分析、特征分析在內(nèi)的多種技術(shù)，實(shí)時保護(hù)。Symantec Advanced Threat ProtectionCopyright 2015 Symantec Corporation77實(shí)時防護(hù)以外的檢查與響應(yīng)是ATP方案的關(guān)鍵防護(hù)Stopping ing Attacks準(zhǔn)備Understanding Where Important Data Is & Who Can Access It檢測Finding Incursions響應(yīng)Co

30、ntaining & Remediating Problems恢復(fù)Restoring OperationsSymantec Advanced Threat ProtectionCopyright 2015 Symantec Corporation78Copyright 2015 Symantec Corporation79More Intelligence | Better Detection & Faster Response | Correlated Across Control Points | Integrated with Endpoint Protection云端沙箱 事件關(guān)聯(lián)調(diào)查

31、分析郵件終端網(wǎng)絡(luò)第三方系統(tǒng)Global IntelligenceExported Data事件修復(fù)物理與虛擬化檢測環(huán)境與事件優(yōu)先級排列在一個地方檢測到問題，發(fā)現(xiàn)所有相同問題的地點(diǎn)快速的清除、阻止與恢復(fù)Symantec Advanced Threat Protection 高級威脅防護(hù)解決方案Symantec Cynic基于云端的文件執(zhí)行, 分析與沙箱平臺80支持發(fā)現(xiàn)雨分析對虛擬化環(huán)境有識別能力的惡意代碼由云技術(shù)實(shí)現(xiàn)對變種的惡意軟件快速檢測廣泛的文件類型支持: Office docs, PDF, HTML, Java, containers, portable executables2014年發(fā)

32、現(xiàn)的近28%的惡意代碼可判斷虛擬化運(yùn)行環(huán)境，而Cynic同時提供了云端物理分析環(huán)境來屏蔽虛擬化逃逸威脅可在數(shù)分鐘收到分析結(jié)果及相關(guān)聯(lián)內(nèi)容，而不是數(shù)小時快速且近乎準(zhǔn)確的分析所有類別的潛在威脅內(nèi)容模擬人際界面去仿真真實(shí)的終端環(huán)境不只是單單的執(zhí)行文件，同時仿效真實(shí)的終端操作從而實(shí)現(xiàn)更準(zhǔn)確的結(jié)果Copyright 2015 Symantec CorporationCynic 只會對進(jìn)入企業(yè)且安全信譽(yù)較低的數(shù)據(jù)或用戶手動提交的文件進(jìn)行分析，不會涉及數(shù)據(jù)隱私風(fēng)險Symantec Synapse全新的關(guān)聯(lián)分析引擎可以實(shí)現(xiàn)更快速高效的事件處理81有效的優(yōu)先級排列廣泛的調(diào)查范圍更容易操作維護(hù)優(yōu)先將被感染且繼續(xù)修

33、復(fù)的終端排列的事件隊列前；事件的展現(xiàn)，為什么被認(rèn)定為惡意代碼，它做了什么，在那些方面產(chǎn)生了變化對已被阻止的事件分配更低的優(yōu)先級，例如在網(wǎng)絡(luò)上發(fā)現(xiàn)，但通過關(guān)聯(lián)檢測到在終端上已被阻止的事件將會分配至更低的優(yōu)先級基于同樣惡意代碼感染不同終端，同一終端感染不同事件，多個終端訪問相同惡意網(wǎng)站，同一惡意站點(diǎn)產(chǎn)生的多個事件進(jìn)行歸并即時查詢已被發(fā)現(xiàn)的攻擊信息與范圍，通過文件的Hash值在整理企業(yè)環(huán)境中搜索同類或相同事件。與終端集成無需部署客戶端，關(guān)聯(lián)分析也無需像SIM一樣編寫復(fù)雜的規(guī)則用戶可以手工按需將文件提交至Cynic進(jìn)行分析關(guān)聯(lián)在網(wǎng)絡(luò)、終端和郵件ATP模塊間相互進(jìn)行Copyright 2015 Syma

34、ntec CorporationSymantec Advanced Threat Protection統(tǒng)一集成的平臺覆蓋終端、網(wǎng)絡(luò)與郵件ATP統(tǒng)一的事件管理包括沙箱與各控制點(diǎn)的事件與現(xiàn)有的SEP12.1集成，無需重復(fù)部署代理覆蓋多個控制點(diǎn)的事件關(guān)聯(lián)與優(yōu)先級分級技術(shù)形成安全管理閉環(huán)的事件修復(fù)，無需等待廠商的惡意代碼定義修復(fù)特征的更新82Global IntelligenceExported DataAdvanced Threat ProtectionCloud SandboxCorrelationInvestigationEndpointNetworkEmail3rd partyCopyrigh

35、t 2015 Symantec Corporation競爭優(yōu)勢RemediationSymantec Advanced Threat Protection: 模塊分類83終端安全可視化 (目標(biāo)攻擊的第一站)沙箱分析、終端環(huán)境、調(diào)查取證與修復(fù)基于Symantec Endpoint Protection的附加組件，需要部署虛擬設(shè)備Copyright 2015 Symantec Corporation對網(wǎng)絡(luò)中所有數(shù)據(jù)通信、所有數(shù)據(jù)協(xié)議的全面分析自動將進(jìn)入企業(yè)的不可信數(shù)據(jù)進(jìn)行沙箱分析, 對Web攻擊, 漏洞攻擊, 僵尸網(wǎng)絡(luò)進(jìn)行檢測支持Tap鏡像、Inline串聯(lián)部署，以及ICAP集成，提供物理設(shè)備及虛

36、擬設(shè)備郵件安全可視化Email visibility (郵件系統(tǒng)依舊是企業(yè)入侵最主要途徑)郵件安全趨勢，目標(biāo)攻擊，身份信息，沙箱檢測技術(shù)基于Symantec Email Security.Cloud的附加組件，易于添加ATP工作過程展示網(wǎng)絡(luò)發(fā)現(xiàn)可疑威脅Copyright 2015 Symantec Corporation84Cynic判斷為惡意3ATP:N標(biāo)記可疑并發(fā)送至Cynic21員工下載文件5管理員查看詳細(xì)的分析內(nèi)容7管理員在受感染終端上完成修復(fù)工作ATPNetworkATPEndpointATPEmailCynicTMSynapseTMPortal6管理員可同時在網(wǎng)絡(luò)、終端與郵件側(cè)阻止

37、相同的文件4高優(yōu)先級事件!Advanced Threat Protection: NetworkCopyright 2015 Symantec Corporation85Endpoints, UsersInternetFirewallProxy物理或虛擬設(shè)備2種硬件型號3 種部署方式，TAP, In-line, ICAP集中管理最大到50個節(jié)點(diǎn)深入分析所有進(jìn)出流量，2層網(wǎng)絡(luò)透明橋接，代理環(huán)境在部署在代理后側(cè)，靠近用戶，或者通過ICAP進(jìn)行集成Cynic 分析發(fā)生在Symantec云平臺上ATP Network Detection PipelineATP NetworkSymantec Adva

38、nced Threat Protection: Endpoint86SEPClientSEPClientSEPClientSEPManagerDelivered as an on-prem. VA. Cynic On-DemandGINEndpointEnterpriseGlobalATP: EndpointSEP 客戶端自動并持續(xù)將事件日志送往ATP系統(tǒng)進(jìn)行分析，例如新的文件下載，創(chuàng)建或執(zhí)行.ATP: Endpoint 使用機(jī)器學(xué)習(xí)算法分析可以的事件類別，并已不同的優(yōu)先級進(jìn)行排列優(yōu)先級別的事件被自動或手動轉(zhuǎn)發(fā)至Cynic進(jìn)行分析，發(fā)現(xiàn)可能的問題或消除誤報Cynic返回信息將包含詳細(xì)的元數(shù)據(jù)信

39、息，行為分析結(jié)果等，IT人員可以更有信心的阻斷或移除存在惡意特性的問題，同時操作十分方便在終端中阻止的惡意文件，同時也會在ATP的其他模塊中進(jìn)行阻止，例如ATP:Endpoint阻擋的文件也將在ATP:Network上被阻斷。ATP Demo關(guān)于ATP的業(yè)務(wù)機(jī)會ATP:網(wǎng)絡(luò)、終端與郵件的正式發(fā)布時間預(yù)計在今年9月，由于ATP:郵件短期將只支持云服務(wù)，所以推廣重點(diǎn)為ATP:網(wǎng)絡(luò)ATP:終端的方案重啟MAA用戶網(wǎng)絡(luò)安全評估計劃，通過用戶實(shí)際環(huán)境試用ATP:N充分利用現(xiàn)已部署SEP12.1的用戶，建議ATP網(wǎng)絡(luò)ATP終端的解決方案對于未部署SEP的用戶，建議建議ATP:網(wǎng)絡(luò)方案，同時ATP:網(wǎng)絡(luò)也適

40、用于有防病毒安全網(wǎng)關(guān)需求以及關(guān)注高持續(xù)性威脅的用戶Copyright 2015 Symantec Corporation88產(chǎn)品介紹頁面 產(chǎn)品在線幫助： 解決實(shí)時安全防護(hù)技術(shù)以外的非實(shí)時監(jiān)測與響應(yīng)需求。例如ATP: Endpoint定位檢測與響應(yīng)，SEP定位防護(hù)越來越多攻擊由于存在目標(biāo)性，所以惡意代碼樣本量較少，廠商無法收集足夠的樣本建立特征庫，解決傳統(tǒng)安全防護(hù)措施的漏報問題解決事件關(guān)聯(lián)分析的需求，傳統(tǒng)SOC解決方案難于編寫關(guān)聯(lián)規(guī)則，最后淪為日志收集的工具，ATP通過廠商自己的規(guī)則分析，并結(jié)合云端大數(shù)據(jù)呈現(xiàn)給用戶更直觀有價值的結(jié)果。Symantec ATP需求的定位回顧今天的內(nèi)容：Symant

41、ec 威脅防護(hù)解決方案Advanced Threat ProtectionMobile Management SuiteData Store SecurityGateway.cloudENDPOINTSDATA CENTERGATEWAYSSymantec Endpoint ProtectionData Center SecurityCopyright 2015 Symantec Corporation89回顧問題1. 以下哪些功能是SEP所能提供的？Copyright 2015 Symantec Corporation90A支持精簡客戶端與精簡病毒定義B支持Linux系統(tǒng)集中管理，可自動編譯

42、Linux客戶端C支持嵌入式系統(tǒng)如QNX，可自動修改系統(tǒng)的寫保護(hù)設(shè)置D支持完整性監(jiān)控，可以檢測終端中是否存在某個進(jìn)程E提供免費(fèi)的數(shù)據(jù)分析軟件ITA，用于數(shù)據(jù)二次分析F支持系統(tǒng)遠(yuǎn)程鎖定，單僅限白名單鎖定控制G支持VMware vShield Endpoint集成，無需在客戶端中安裝代理ABCDEFG回顧問題2. 根據(jù)SEP事件來源分析，哪些是建議的解決方案？Copyright 2015 Symantec Corporation91惡意代碼與攻擊來源于Web訪問應(yīng)用程序下載惡意代碼與攻擊來源于郵件惡意代碼與攻擊來源于NAS文件共享惡意代碼與攻擊來源于企業(yè)內(nèi)部應(yīng)用惡意代碼與攻擊來源于SharePoi

43、ntSymantec Mail Security for Exchange Symantec Protection Engine for NAS Symantec Advanced Threat Protection: Network Symantec Protection Engine for Cloud Services Symantec Protection for SharePoint Servers Symantec Messaging Gateway / 8340 & 8380串聯(lián)阻斷、旁路檢測、代理集成，適用與NAT或代理環(huán)境用于控制進(jìn)站及出站病毒與垃圾郵件用于控制內(nèi)部病毒郵件傳播控制對NAS上傳下載文件時的安全檢查對應(yīng)用上傳下載文件時的進(jìn)行安全檢查對SharePoint上傳下載文件時進(jìn)行安全檢查通過代理進(jìn)行集成備選方案Symantec DataCente