賽門鐵克ATP方案簡(jiǎn)介

1、賽門鐵克主動(dòng)式威脅安全方案簡(jiǎn)介.、八、-刖言1.1什么是APT1.2如何防御APT3.賽門鐵克的全新安全方案ATP2.12.12.22.3可視的主動(dòng)式安全威脅防護(hù).智慧的主動(dòng)式安全威脅防護(hù)方案融合的主動(dòng)式安全威脅防護(hù)方案2.42.52.6簡(jiǎn)單的主動(dòng)式安全威脅防護(hù)方案工作方式簡(jiǎn)介總結(jié).7.賽門鐵克方案的主要特點(diǎn)亠、前言1.1什么是APT高危持續(xù)性攻擊APT是黑客以竊取核心資料或是從事系統(tǒng)破壞為目的，針對(duì)客戶所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為。這種攻擊的最終目標(biāo)通常是為了導(dǎo)致數(shù)據(jù)的滲出。APT攻擊手法的特點(diǎn)，在于隱藏自己的各種攻擊行跡。入侵者針對(duì)特定對(duì)象，長(zhǎng)期、有計(jì)劃和有組織地竊取數(shù)據(jù)。因此，這種攻擊通常

2、采取“低而緩”的方式，攻擊行為往往在較長(zhǎng)的時(shí)間內(nèi)不會(huì)被注意到。各大企業(yè)都在想方設(shè)法地在造成數(shù)據(jù)泄漏之前，將攻擊行為檢測(cè)出來(lái)，并加以控制。從開(kāi)始感染惡意程序到威脅被檢測(cè)出來(lái)，中間的這段時(shí)間又被稱作“駐留時(shí)間”，這段時(shí)間往往很長(zhǎng)，導(dǎo)致入侵者有能力快速盜走數(shù)據(jù)，并轉(zhuǎn)向一個(gè)新的目標(biāo)下手。這些攻擊特點(diǎn)意味著用戶所面臨的攻擊和威脅將是長(zhǎng)期的、持續(xù)的，因此對(duì)于企業(yè)而言必須時(shí)刻保持“戰(zhàn)備”狀態(tài)，這是一場(chǎng)不會(huì)結(jié)束的戰(zhàn)爭(zhēng)。高危持續(xù)性攻擊APT與其它安全威脅相比，他的特點(diǎn)可以總結(jié)為如下十六個(gè)字：“敵暗我明，有備而來(lái)，無(wú)孔不入，長(zhǎng)久持續(xù)”。1.2如何防御APT難以探測(cè)的攻擊正在進(jìn)一步改變安全防護(hù)領(lǐng)域的格局，進(jìn)而也在改

3、變企業(yè)的現(xiàn)有安全架構(gòu)。這些攻擊會(huì)在網(wǎng)絡(luò)的多個(gè)不同的點(diǎn)上發(fā)生，使得企業(yè)更加難以探測(cè)和響應(yīng)。對(duì)于APT攻擊者而言，攻擊行為是被偽裝成合法流量侵入網(wǎng)絡(luò)的，依賴于標(biāo)準(zhǔn)的簽名檢測(cè)機(jī)制（比如黑、白名單機(jī)制）的安全防護(hù)技術(shù)很難加以分辨，因此防范效果甚微。這些防護(hù)技術(shù)只能對(duì)文件或網(wǎng)絡(luò)流量簡(jiǎn)單地判斷為“好”或“不好”，不能這些信息進(jìn)行深入分析。攻擊者只有在成功進(jìn)入企業(yè)網(wǎng)絡(luò)內(nèi)部后，才開(kāi)始實(shí)施真正的破壞和攻擊。針對(duì)這些全新的安全威脅和挑戰(zhàn)，對(duì)于某個(gè)以前從未見(jiàn)過(guò)的東西，你應(yīng)該怎樣防御？這個(gè)關(guān)鍵的問(wèn)題困擾了許多企業(yè)。對(duì)于惡意軟件呈現(xiàn)出了定向化、多樣化、動(dòng)態(tài)化的特點(diǎn)。用戶如果僅依靠單一的技術(shù)手段并無(wú)法有效全面控制安全風(fēng)險(xiǎn)

4、。為了保護(hù)用戶的IT系統(tǒng)免受外部威脅攻擊，我們也需要改變信息安全防護(hù)思路和技術(shù)手段，由原先的防護(hù)型轉(zhuǎn)變?yōu)橹鲃?dòng)預(yù)防型。針對(duì)APT的防護(hù)需要通過(guò)主動(dòng)式的安全威脅監(jiān)控，行為分析，異常流量監(jiān)控配合完善的安全響應(yīng)管理流程，并結(jié)合外部安全大平臺(tái)分析能力將潛在的黑客入侵，APT攻擊在攻擊的初始階段就進(jìn)行有效發(fā)現(xiàn)和攔截。傳統(tǒng)的安全防護(hù)技術(shù)手段中，各個(gè)防護(hù)功能點(diǎn)技術(shù)如終端安全、郵件安全與網(wǎng)絡(luò)安全分屬于不同專業(yè)領(lǐng)域，各自為政，獨(dú)立工作。用戶很難將這些信息孤島中的數(shù)據(jù)整合在一起，提取全面、可相互印證的黑客入侵企業(yè)網(wǎng)絡(luò)的完整行跡視圖。缺少后臺(tái)可及時(shí)更新的知識(shí)平臺(tái)的支撐，使得企業(yè)用戶很難準(zhǔn)確識(shí)別這些利用零日漏洞的安全威

5、脅。如果僅僅關(guān)注終端側(cè)或網(wǎng)絡(luò)側(cè)等某一個(gè)控制點(diǎn)的技術(shù)防范技術(shù)，也很難有效及時(shí)發(fā)現(xiàn)攻擊行為，全面評(píng)估攻擊對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的滲透范圍和造成損失，準(zhǔn)確消除APT攻擊給企業(yè)造成的破壞，清理所有已經(jīng)被感染主機(jī)上的木馬、跳板及惡意軟件。為了實(shí)現(xiàn)更快速度的攻擊檢測(cè)和解決各種新型未知威脅這一目標(biāo)，我們需要同時(shí)結(jié)合在終端上操作系統(tǒng)層的可疑文件行為分析發(fā)現(xiàn)、本地網(wǎng)絡(luò)側(cè)持續(xù)不間斷的通信內(nèi)容分析以及來(lái)自外部全球情報(bào)網(wǎng)絡(luò)的安全性情報(bào)網(wǎng)絡(luò)威脅告警數(shù)據(jù)的關(guān)聯(lián)分析三種能力，形成立體化、多層次的、簡(jiǎn)單宜維護(hù)的安全防護(hù)體系。二、賽門鐵克的全新安全方案ATP通過(guò)多年的技術(shù)積累，賽門鐵克的終端安全方案再次自我革命。Symantec發(fā)布史

6、上最全、最強(qiáng)的主動(dòng)式安全威脅防護(hù)解決方案-SymantecAdvaneedThreatProtection(ATP)。賽門鐵克的ATP同時(shí)關(guān)注企業(yè)信息系統(tǒng)的安全邊界三個(gè)控制點(diǎn)：終端、網(wǎng)絡(luò)、郵件，并打通三者之間的信息共享通道。ATP各本地可疑網(wǎng)絡(luò)通信、主機(jī)上疑似木馬程序的異常行為、入站郵件中的可疑附件等各類安全信息統(tǒng)一收集，再結(jié)合云端安全大數(shù)據(jù)分析平臺(tái)進(jìn)行關(guān)聯(lián)分析，幫助管理員及早發(fā)現(xiàn)，并將威脅消除在萌芽狀態(tài)，為企業(yè)提供整個(gè)企業(yè)內(nèi)高級(jí)攻擊活動(dòng)的整體視圖。云端沙盒儲(chǔ)&茨擬相關(guān)性優(yōu)先性調(diào)查研究檢測(cè)一次，時(shí)現(xiàn)任何耒知修復(fù)智能情報(bào)0SymantecAdvancedThreatProtectionFl終端網(wǎng)

7、絡(luò)郵件更多的悄報(bào)I各控制點(diǎn)更好的檢測(cè)和更快的響應(yīng)在控制點(diǎn)|智能集成端點(diǎn)保護(hù)ATP的立體防護(hù)體系不僅能夠有效防護(hù)已經(jīng)廣泛傳播的木馬入侵，同時(shí)對(duì)于企圖利用不被業(yè)界所知的零日漏洞或后門程序攻擊企業(yè)系統(tǒng)的針對(duì)性攻擊，也可以幫助用戶能更快地做出響應(yīng)，并對(duì)導(dǎo)致攻擊的原因產(chǎn)生更進(jìn)一步的分析數(shù)據(jù)。2.1可視的主動(dòng)式安全威脅防護(hù)賽門鐵克的ATP方案基于單一控制平臺(tái)，同時(shí)匯總來(lái)自終端、網(wǎng)絡(luò)和郵件這些安全控制點(diǎn)產(chǎn)生的安全事件信息。用戶可以在一個(gè)平臺(tái)，一個(gè)控制界面中同時(shí)查看，分析來(lái)自任一一個(gè)安全控制點(diǎn)發(fā)現(xiàn)的可疑事件信息，并進(jìn)一步深入分析這些信息是否與所有安全控制點(diǎn)已有信息相關(guān)。例如，假設(shè)現(xiàn)網(wǎng)中傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品檢測(cè)到可

8、疑文件被發(fā)送到公司員工的機(jī)器上。借助現(xiàn)有技術(shù)方案，安全分析員就需要手動(dòng)訪問(wèn)或到實(shí)地查看接收該可疑文件的端點(diǎn)計(jì)算機(jī)，以確保該機(jī)器已妥善攔截此文件或?qū)⑵鋭h除。對(duì)比而言，如果賽門鐵克ATP檢測(cè)到潛在威脅由網(wǎng)絡(luò)傳入企業(yè)，它就會(huì)利用Synapse關(guān)聯(lián)技術(shù)自動(dòng)判斷該威脅是否被端點(diǎn)上的SEP攔截。如果已經(jīng)攔截，則會(huì)在提供給分析員的告警列表中下調(diào)該攻擊的優(yōu)先級(jí)，反之則自動(dòng)上調(diào)優(yōu)先級(jí)。該個(gè)動(dòng)態(tài)優(yōu)先級(jí)調(diào)整功能可大大降低需要分析員檢查的安全事件數(shù)量。2.2智慧的主動(dòng)式安全威脅防護(hù)賽門鐵克的ATP方案，將原有割裂的事件，重新按照企業(yè)整體架構(gòu)和網(wǎng)絡(luò)拓?fù)浼右赃€原，可以有效減輕用戶在事件分析上時(shí)間投入。另外因?yàn)锳P肪案可以

9、自動(dòng)將這些事件進(jìn)行關(guān)聯(lián)分析，同時(shí)結(jié)合云端的大數(shù)據(jù)平臺(tái)數(shù)據(jù)，還能幫助用戶提早發(fā)現(xiàn)全新的未知攻擊，從而更快地對(duì)潛在問(wèn)題進(jìn)行響應(yīng)。賽門鐵克的云端Cynic平臺(tái),利用沙盒機(jī)制和工作負(fù)載觸發(fā)服務(wù)發(fā)現(xiàn)當(dāng)今最復(fù)雜的目標(biāo)性攻擊并劃分處理優(yōu)先級(jí)。Cynic利用基于學(xué)習(xí)的高級(jí)計(jì)算機(jī)分析功能并結(jié)合賽門鐵克的全球情報(bào)，快速檢測(cè)各類威脅，即使是最隱蔽的持續(xù)性威脅也無(wú)處可遁。賽門鐵克的SynapseTM關(guān)聯(lián)技術(shù)便可自動(dòng)匯總安全控制點(diǎn)中的事件,幫助安全管理員智能調(diào)整安全事件的嚴(yán)重級(jí)別，從而使用安全人員可以優(yōu)先處理企業(yè)中最嚴(yán)重的威脅。2.3融合的主動(dòng)式安全威脅防護(hù)賽門鐵克ATP方案的一個(gè)優(yōu)勢(shì)就是與在用的賽門鐵克終端安全管理體

10、系(SEP)的無(wú)縫集成，充分利用現(xiàn)有的SEP和電子郵件安全云服務(wù)投資?？蛻艨梢灾苯硬渴鹦掳惭b的賽門鐵克ATP方案,從開(kāi)始安裝到發(fā)現(xiàn)攻擊所需時(shí)間不到一小時(shí)。用戶不用重復(fù)部署不同功能的客戶端，現(xiàn)網(wǎng)中的SEP客戶端也是整個(gè)ATP方案的組成部分。采用單一客戶端的技術(shù)方案即可以減少對(duì)于終端電腦的資源占用，同時(shí)也減少終端安全管理體系的復(fù)雜程度，便于管理員日常維護(hù)。2.4簡(jiǎn)單的主動(dòng)式安全威脅防護(hù)賽門鐵克的ATP方案不光能實(shí)現(xiàn)主動(dòng)式的檢測(cè)，還能實(shí)現(xiàn)全網(wǎng)的安全防護(hù)控制功能。在發(fā)現(xiàn)安全威脅之后的事情響應(yīng)階段中管理員可以在ATP的控制臺(tái)直接下達(dá)指令，在全網(wǎng)范圍內(nèi)將可疑文件加入黑名單，在所有安全控制點(diǎn)攔截并限制黑名單

11、中文件的傳播和訪問(wèn)。管理員還可以遠(yuǎn)程通知SEP管理服務(wù)器，將被感染主機(jī)從網(wǎng)絡(luò)隔離，并強(qiáng)制在該主機(jī)上運(yùn)行木馬清除程序。2.5工作方式簡(jiǎn)介假設(shè)一個(gè)常見(jiàn)的場(chǎng)景，例如：ATP的網(wǎng)絡(luò)模塊發(fā)現(xiàn)一臺(tái)終端有與外部僵尸網(wǎng)絡(luò)的通信行為，ATP的管理平臺(tái)會(huì)查詢?cè)醋訟TP的終端模塊和郵件模塊的事件，進(jìn)一步查看具體由哪些程序發(fā)起對(duì)外部僵尸網(wǎng)絡(luò)的通信請(qǐng)求。管理員可以通過(guò)ATP控制臺(tái)直接從客戶端提取這些文件，做進(jìn)一步的分析，而不是親自在終端現(xiàn)場(chǎng)，通過(guò)人工分析判斷。借助SymantecTInsight信譽(yù)技術(shù),可根據(jù)這些文件首次出現(xiàn)的時(shí)間、在Internet上的出現(xiàn)頻率以及其他復(fù)雜技術(shù)來(lái)識(shí)別可疑文件。如果需要，管理員可以將這

12、些可疑文件提交賽門鐵克云端分析平臺(tái)，利用云端基于物理機(jī)或虛擬機(jī)的沙箱技術(shù)，分析這些文件的內(nèi)部結(jié)構(gòu)、工作機(jī)理以及所有可能的行徑，并結(jié)合賽門鐵克的全球智能監(jiān)控網(wǎng)絡(luò)，回溯這些程序的最初始源頭，結(jié)合這些信息最終判斷這些程序是良性或是木馬。如果ATP平臺(tái)判定這個(gè)程序是惡意木馬程序，管理員可以直接基于該程序的HASH值，將此程序加入黑名單，限制該程序在企業(yè)網(wǎng)絡(luò)上的進(jìn)一步傳播。如果需要，管理員可以直接下發(fā)策略到SEP客戶端，啟用系統(tǒng)鎖定策略，將感染此惡意木馬程序的終端從網(wǎng)絡(luò)上隔離，限制其對(duì)企業(yè)內(nèi)部資源的訪問(wèn)。管理員還可以遠(yuǎn)程推送木馬清除工具到SEP客戶端，直接遠(yuǎn)程執(zhí)行木馬清除工作。這些工作，如果是在現(xiàn)有技術(shù)

13、架構(gòu)中，都是要依賴于管理員手工到現(xiàn)場(chǎng)完成上述操作步驟的。2.6總結(jié)針對(duì)APT之類新的攻擊手段,采用基于簽名機(jī)制的安全防護(hù)手段是無(wú)法有效阻止。而業(yè)界的針對(duì)APT攻擊防護(hù)的技術(shù)方案，往往只是具備一些單一的技術(shù)能力，如：沙箱分析能力，或是網(wǎng)絡(luò)檢測(cè)能力。賽門鐵克認(rèn)為只有全面改變企業(yè)安全體系，加強(qiáng)安全的可視化和立體防護(hù)能力，并借助外部安全智能分析數(shù)據(jù)才能有效識(shí)別APT攻擊。賽門鐵克推出ATP解決方案，不僅僅是針對(duì)高危持續(xù)性攻擊APT而是針對(duì)當(dāng)前互聯(lián)網(wǎng)安全威脅演變的趨勢(shì)，解決傳統(tǒng)病毒防護(hù)技術(shù)只注重保護(hù)，而缺乏檢測(cè)和分析能力的短板。ATP方案通過(guò)不同安全控制點(diǎn)的相互連動(dòng)、安全分析的智能化和自動(dòng)化，從而增強(qiáng)企業(yè)針對(duì)潛在安全風(fēng)險(xiǎn)的識(shí)別能力，幫助用戶全面提高企業(yè)安全防護(hù)能力。三、賽門鐵克方案的主要特點(diǎn)?充分與已有SEP體系集成，利用SEP成熟的信息收集能力和策略執(zhí)行能力；徹底打通網(wǎng)絡(luò)、端點(diǎn)、郵件防護(hù)技術(shù)的