赛门铁克ATP方案简介

1、赛门铁克主动式威胁安全方案简介一、 前言21.1什么是APT21.2如何防御APT2二、 赛门铁克的全新安全方案ATP42.1可视的主动式安全威胁防护52.2智慧的主动式安全威胁防护方案52.3融合的主动式安全威胁防护方案62.4简单的主动式安全威胁防护方案62.5工作方式简介72.6总结8三、 赛门铁克方案的主要特点8一、 前言1.1 什么是APT高危持续性攻击APT是黑客以窃取核心资料或是从事系统破坏为目的，针对客户所发动的网络攻击和侵袭行为。这种攻击的最终目标通常是为了导致数据的渗出。APT攻击手法的特点，在于隐藏自己的各种攻击行迹。入侵者针对特定对象，长期、有计划和有组织地窃取数据。因

2、此，这种攻击通常采取“低而缓”的方式，攻击行为往往在较长的时间内不会被注意到。各大企业都在想方设法地在造成数据泄漏之前，将攻击行为检测出来，并加以控制。从开始感染恶意程序到威胁被检测出来，中间的这段时间又被称作“驻留时间”，这段时间往往很长，导致入侵者有能力快速盗走数据，并转向一个新的目标下手。这些攻击特点意味着用户所面临的攻击和威胁将是长期的、持续的，因此对于企业而言必须时刻保持“战备”状态，这是一场不会结束的战争。高危持续性攻击APT与其它安全威胁相比，他的特点可以总结为如下十六个字：“敌暗我明，有备而来，无孔不入，长久持续”。1.2 如何防御APT难以探测的攻击正在进一步改变安全防护领域

3、的格局，进而也在改变企业的现有安全架构。这些攻击会在网络的多个不同的点上发生，使得企业更加难以探测和响应。对于 APT 攻击者而言，攻击行为是被伪装成合法流量侵入网络的，依赖于标准的签名检测机制（比如黑、白名单机制）的安全防护技术很难加以分辨，因此防范效果甚微。这些防护技术只能对文件或网络流量简单地判断为“好”或“不好”，不能这些信息进行深入分析。攻击者只有在成功进入企业网络内部后，才开始实施真正的破坏和攻击。针对这些全新的安全威胁和挑战，对于某个以前从未见过的东西，你应该怎样防御？这个关键的问题困扰了许多企业。对于恶意软件呈现出了定向化、多样化、动态化的特点。用户如果仅依靠单一的技术手段并无

4、法有效全面控制安全风险。为了保护用户的IT系统免受外部威胁攻击，我们也需要改变信息安全防护思路和技术手段，由原先的防护型转变为主动预防型。针对APT的防护需要通过主动式的安全威胁监控，行为分析，异常流量监控配合完善的安全响应管理流程，并结合外部安全大平台分析能力将潜在的黑客入侵，APT攻击在攻击的初始阶段就进行有效发现和拦截。传统的安全防护技术手段中，各个防护功能点技术如终端安全、邮件安全与网络安全分属于不同专业领域，各自为政，独立工作。用户很难将这些信息孤岛中的数据整合在一起，提取全面、可相互印证的黑客入侵企业网络的完整行迹视图。缺少后台可及时更新的知识平台的支撑，使得企业用户很难准确识别这

5、些利用零日漏洞的安全威胁。如果仅仅关注终端侧或网络侧等某一个控制点的技术防范技术，也很难有效及时发现攻击行为，全面评估攻击对企业内部网络的渗透范围和造成损失，准确消除APT攻击给企业造成的破坏，清理所有已经被感染主机上的木马、跳板及恶意软件。为了实现更快速度的攻击检测和解决各种新型未知威胁这一目标，我们需要同时结合在终端上操作系统层的可疑文件行为分析发现、本地网络侧持续不间断的通信内容分析以及来自外部全球情报网络的安全性情报网络威胁告警数据的关联分析三种能力，形成立体化、多层次的、简单宜维护的安全防护体系。二、 赛门铁克的全新安全方案ATP 通过多年的技术积累，赛门铁克的终端安全方案再次自我革

6、命。Symantec发布史上最全、最强的主动式安全威胁防护解决方案-Symantec Advanced Threat Protection(ATP)。赛门铁克的ATP同时关注企业信息系统的安全边界三个控制点：终端、网络、邮件，并打通三者之间的信息共享通道。ATP将本地可疑网络通信、主机上疑似木马程序的异常行为、入站邮件中的可疑附件等各类安全信息统一收集，再结合云端安全大数据分析平台进行关联分析，帮助管理员及早发现，并将威胁消除在萌芽状态，为企业提供整个企业内高级攻击活动的整体视图。 ATP的立体防护体系不仅能够有效防护已经广泛传播的木马入侵，同时对于企图利用不被业界所知的零日漏洞或后门程序攻击

7、企业系统的针对性攻击,也可以帮助用户能更快地做出响应，并对导致攻击的原因产生更进一步的分析数据。 2.1 可视的主动式安全威胁防护赛门铁克的ATP方案基于单一控制平台，同时汇总来自终端、网络和邮件这些安全控制点产生的安全事件信息。用户可以在一个平台，一个控制界面中同时查看，分析来自任一一个安全控制点发现的可疑事件信息，并进一步深入分析这些信息是否与所有安全控制点已有信息相关。例如,假设现网中传统网络安全产品检测到可疑文件被发送到公司员工的机器上。借助现有技术方案,安全分析员就需要手动访问或到实地查看接收该可疑文件的端点计算机,以确保该机器已妥善拦截此文件或将其删除。对比而言,如果赛门铁克ATP

8、检测到潜在威胁由网络传入企业,它就会利用 Synapse 关联技术自动判断该威胁是否被端点上的 SEP拦截。如果已经拦截,则会在提供给分析员的告警列表中下调该攻击的优先级，反之则自动上调优先级。该个动态优先级调整功能可大大降低需要分析员检查的安全事件数量。2.2 智慧的主动式安全威胁防护赛门铁克的ATP方案，将原有割裂的事件，重新按照企业整体架构和网络拓扑加以还原，可以有效减轻用户在事件分析上时间投入。另外因为APT方案可以自动将这些事件进行关联分析，同时结合云端的大数据平台数据，还能帮助用户提早发现全新的未知攻击，从而更快地对潜在问题进行响应。赛门铁克的云端Cynic平台,利用沙盒机制和工作

9、负载触发服务发现当今最复杂的目标性攻击并划分处理优先级。Cynic 利用基于学习的高级计算机分析功能并结合赛门铁克的全球情报,快速检测各类威胁,即使是最隐蔽的持续性威胁也无处可遁。赛门铁克的 SynapseTM 关联技术便可自动汇总安全控制点中的事件,帮助安全管理员智能调整安全事件的严重级别，从而使用安全人员可以优先处理企业中最严重的威胁。2.3 融合的主动式安全威胁防护赛门铁克ATP方案的一个优势就是与在用的赛门铁克终端安全管理体系(SEP)的无缝集成 , 充分利用现有的SEP 和电子邮件安全云服务投资。客户可以直接部署新安装的赛门铁克ATP方案,从开始安装到发现攻击所需时间不到一小时。 用

10、户不用重复部署不同功能的客户端，现网中的SEP客户端也是整个ATP方案的组成部分。采用单一客户端的技术方案即可以减少对于终端电脑的资源占用，同时也减少终端安全管理体系的复杂程度，便于管理员日常维护。2.4 简单的主动式安全威胁防护赛门铁克的ATP方案不光能实现主动式的检测，还能实现全网的安全防护控制功能。在发现安全威胁之后的事情响应阶段中管理员可以在ATP的控制台直接下达指令，在全网范围内将可疑文件加入黑名单，在所有安全控制点拦截并限制黑名单中文件的传播和访问。管理员还可以远程通知SEP管理服务器，将被感染主机从网络隔离，并强制在该主机上运行木马清除程序。2.5 工作方式简介假设一个常见的场景

11、，例如：ATP的网络模块发现一台终端有与外部僵尸网络的通信行为，ATP的管理平台会查询源自ATP的终端模块和邮件模块的事件，进一步查看具体由哪些程序发起对外部僵尸网络的通信请求。管理员可以通过ATP控制台直接从客户端提取这些文件，做进一步的分析，而不是亲自在终端现场，通过人工分析判断。借助SymantecTM Insight 信誉技术,可根据这些文件首次出现的时间、 在 Internet 上的出现频率以及其他复杂技术来识别可疑文件。如果需要，管理员可以将这些可疑文件提交赛门铁克云端分析平台，利用云端基于物理机或虚拟机的沙箱技术，分析这些文件的内部结构、工作机理以及所有可能的行径，并结合赛门铁克

12、的全球智能监控网络，回溯这些程序的最初始源头，结合这些信息最终判断这些程序是良性或是木马。 如果ATP平台判定这个程序是恶意木马程序，管理员可以直接基于该程序的HASH值，将此程序加入黑名单，限制该程序在企业网络上的进一步传播。如果需要，管理员可以直接下发策略到SEP客户端，启用系统锁定策略,将感染此恶意木马程序的终端从网络上隔离，限制其对企业内部资源的访问。管理员还可以远程推送木马清除工具到SEP客户端，直接远程执行木马清除工作。这些工作，如果是在现有技术架构中，都是要依赖于管理员手工到现场完成上述操作步骤的。2.6 总结针对APT之类新的攻击手段,采用基于签名机制的安全防护手段是无法有效阻

13、止。而业界的针对APT攻击防护的技术方案，往往只是具备一些单一的技术能力，如：沙箱分析能力，或是网络检测能力。赛门铁克认为只有全面改变企业安全体系，加强安全的可视化和立体防护能力，并借助外部安全智能分析数据才能有效识别APT攻击。赛门铁克推出ATP解决方案，不仅仅是针对高危持续性攻击APT，而是针对当前互联网安全威胁演变的趋势，解决传统病毒防护技术只注重保护，而缺乏检测和分析能力的短板。ATP方案通过不同安全控制点的相互连动、安全分析的智能化和自动化，从而增强企业针对潜在安全风险的识别能力，帮助用户全面提高企业安全防护能力。三、 赛门铁克方案的主要特点 充分与已有SEP体系集成，利用SEP成熟的信息收集能力和策略执行能力； 彻底打通网络、端点、邮件防护技术的沟通渠道，为企