企业IT高级威胁防护解决方案

1、企业IT高级威胁防护解决方案1000个邮箱地址信用卡信息护照信息游戏账号定制的恶意软件1000个社交网络粉丝云服务账号1百万个经过验证的垃圾邮件发送注册并激活的SIM卡定向攻击的目标企业规模:3什么是高级威胁(Advanced Persistent Threat：APT)定向的出于经济或政治目的，针对特定的组织或国家的隐蔽的利用未知的零日漏洞、攻击工具和规避技术持续的先进的控制系统，持续监控并从特定的目标中提取数据4识别APT攻击过程解析5攻击者尝试获取目标企业中的多个可能的受害者的背景信息，分析他们经常使用的互联网公开资源（如姓名、职务、邮箱、兴趣爱好）。High-value UsersAP

2、T攻击过程解析通过各方面信息的收集，攻击者会尝试与每一个可能的受害者联系，使用社会工程及钓鱼欺骗让受害者打开邮件附件或邮件中的链接。High-value Users识别渗透62016年1月19日下午乌克兰当地时间16:51和16:56分，两封号称从: “Ukrenergo”发送至.ua和.ua的电子邮件拉开了攻击序幕。攻击者伪装成来自乌克兰国有电力公司UKrenergo，攻击对象分别为切尔卡瑟地区电力公司Cherkasyoblenergo的信息咨询处，和Ukrenergo下属机构Central Energy

3、System of SE的Kondrashov Alexander，后者的职务是分站主任（Chief of substationsof Central ES )“根据乌克兰法律”运营乌克兰电力市场的原则“以及”未来十年乌克兰联合能源系统的订单准备系统运营商发展计划“，经乌克兰煤炭工业能源部批准的No.680 20140929系统运营商，在其官方网站发布。主题是：“乌克兰2016年至2025年联合能源系统发展规划”。“请注意！本文件创建于新版本的Office软件中。如需展示文件内容，需要开启宏。”识别渗透APT攻击过程解析7High-value UsersMalwareServer随后恶意代码将

4、利用系统中存在的0-day漏洞开始执行，并从攻击者的控制主机下载更多的恶意程序（木马）。APT攻击过程解析8识别木马会通过命令和控制通道与攻击者联系，攻击者以此盗取用户访问企业核心资源所使用的用户名及密码。渗透High-value Users凭据采集FilerDomainControllerLDAPDirectoryDatabaseC&CServerMalwareServer“What should I do now?”“Gather logins and passwords”APT攻击过程解析9识别通过盗取的用户企业凭证信息，攻击者可以逐步绘制出网络拓扑结构并识别到关键服务器。渗透High-

5、value Users凭据采集FilerDomainControllerLDAPDirectoryDatabase发现C&CServerMalwareServerDropServerAPT攻击过程解析10识别攻击者复制所需的数据至一个临时的企业内部中转主机，然后将数据传输至外网攻击者的控制主机。渗透High-value Users凭据采集FilerDomainControllerLDAPDirectoryDatabase发现数据窃取StagingServerC&CServerMalwareServer即使采用最好的阻止技术，能阻止APT攻击吗？11阻止阻断攻击准备了解重要的数据在哪，谁可以访问

6、到检测发现入侵响应抑制和修复问题恢复恢复运营如果已经被黑，能多快发现，多快响应并恢复运营？12准备了解重要的数据在哪，谁可以访问到阻止阻断攻击检测发现入侵响应抑制和修复问题恢复恢复运营检测已经变得很难当前的安全产品是孤立的，没有集成化威胁可以逃逸传统的检测技术Known BadContent DetectedSuspiciousNetwork BehaviorKnown Malware BlockedSuspiciousFile Behavior即使检测到高级威胁，要完全清除威胁对整个企业造成的影响也非易事Malicious Attachment BlockedMalicious URL De

7、tectedNetworksEndpointsEmail 13事件响应、清除威胁耗时耗力安全响应分析必须接触端点的用户，而且只能手动检查每个端点上的文件安全策略必须分别更新到每个独立的安全产品上，以此删除所有的恶意文件或阻断攻击NetworksKnown BadContent DetectedSuspiciousNetwork BehaviorEndpointsKnown Malware BlockedSuspiciousFile BehaviorEmailMalicious Attachment BlockedMalicious URL Detected 14威胁可视和威胁情报是必要的 15

8、网络连接已阻断病毒已检测到恶意邮件已隔离传统的情报每一台机器的每一个网络连接每一个文件的hash、来源、受影响的端点每一个可疑程序的行为、信誉、URL、IP丰富的情报SYMANTEC ADVANCED THREAT PROTECTION解决这些问题优先 什么是最需要的关注的修复 更快利用 已有投资的价值可见 跨越端点、网络、邮件的高级威胁 16看见跨越端点、网络、邮件的高级威胁部署简单，一个小时内即可实现威胁可视只需一个按键即可搜索IT基础设施中任何的攻击痕迹，根据文件名、hash、注册表键值、IP、URL一个控制台即可看到端点、网络、邮件中的攻击 17优先化什么是最需要关心的 WITH SY

9、MANTEC SYNAPSE聚合与关联端点、网络、邮件中的所有的可疑活动融合赛门铁克全球威胁情报网络的数据未处理、处理中、关闭影响优先一个界面观察所有控制点上的所有攻击活动可视化和修复所有相关攻击痕迹，如文件、电子邮件地址或IP统一调查减少安全人员需要调查的事件数量不需要额外的客户端程序，或者复杂的SIEM规则有形结果“赛门铁克ATP的事件流操作减少了高达70%的多余的电子邮件和网络安全告警，这节省了我们很多时间。”大型服务提供商.” 18更快检测到高级威胁 WITH SYMANTEC CYNIC覆盖度: Office docs, PDF, Java, containers, portable

10、 executables快速、准确地分析几乎所有类型的潜在恶意内容使用虚拟机和物理机检测虚拟机逃逸威胁揪出虚拟机感知恶意程序，执行分析结果结合了赛门铁克全球智能情报的高级机器学习分析Sandbox, Skeptic, SONAR, Insight, Vantage人机交互模拟检测传统技术无法发觉的隐蔽持续型威胁“Cynic detected a trojanized version of a legitimate software package that a member of my security team downloaded. It saved us from a massive s

11、ecurity breach.” leading food provider “Symantec Cynic detected a targeted attack from a nation state as it came in and enabled our security operations team to respond to it quickly.” international electric company在几分钟内拿出证据和情报云服务支持快速更新，避免恶意软件进化，逃逸检测弹性扩展、无需维护、永不宕机 19几分钟内抑制、修复复杂攻击一键修复所有控制点在造成不可恢复的损失前发

12、现和修复攻击影响统一观察攻击影响，无需手动查找，无需手工恢复更快修复 20无缝集成Symantec Endpoint Protection 12.1，无需安装新的客户端，提升SEP的价值监控with Symantec Managed Security ServicesAPI支持与第三方防火墙、SIEM集成联动利用已有投资关联网络邮件和端点事件with Symantec Email Security.cloud 21ADVANCED THREAT PROTECTION 模块22Symantec Advanced Threat Protection: Modules端点可见性：大多数攻击的立足点端

13、点环境上下文、可疑事件、修复集成SEP一体机部署网络可见性：网内所有的设备自动提交可疑文件到沙盒执行一体机旁路镜像部署邮件可见性：最多采用的攻击方式邮件趋势、定向攻击识别基于Email Security.cloud2324Email Security.cloudATP: EmailClientNetATP: NetworkATP: EndpointWANLANATP Management ConsoleSynapseCynicMTASEPMSEP Installed ClientsFirewallInsightInternetData / ConfigData / ConfigData / C

14、onfigNetworkEndpointEmailATP: NetworkATP: EndpointATP: EmailSynapseATP ApplianceDataDataDataData多个控制点协同阻断、检测、响应、修复，最大化安全投资价值 25tEmail Security.cloud + Advanced Threat Protection: EmailSymantec GlobalIntelligenceSymantec CynicSymantec Synapse Remote / Roaming SEP Endpoints Blacklist Vantage Insight A

15、V Mobile InsightBLACKLISTReal-time InspectionSEP ManagerRemote / Roaming SEP Endpoints可见优先修复虚拟和物理的沙盒关联端点、网络及邮件的安全事件隔离、阻止、清除SEP EndpointsSymantec Advanced Threat Protection ATP Model Reference Information88408880CPU1* 6 Core (HT)2* 12 Core (HT)Memory32 GB96 GBDisks1 x 1TB4 x 300GB (Raid 5)Redundant P

16、owerNOYESForm Factor1U2UNICs copper (optional fiber on 8880)Dual port 1 Gbps Bypass card1 Management2 Monitor Quad port 10 Gbps Bypass card1 Management4 Monitor Optional 10G fiberSegmentEnterpriseLarge Enterprise/EnterpriseSizing Network Control Points88408880SPAN / TAP ModeThroughput Mbps5002,000Total Endpoints (estimate)3,33313,333典型部署28Network AAll in oneLog & remediationLog & remediationATP: EndpointInsight独立第三方评测机构测试结果Miercom Labs, 18th Dec 2015 301310 NX v7.5.1Network appliancev5.4CISCO IPS, inlinev2.0Network sensor31AET: Advanced Evasive Techniques 高级规避检测技术3