Symantec-ATP-20高级威胁防护课件

高级威胁防护2.0高级威胁防护2.0

恶意程序泛滥每天约有一百万恶意程序。1Mnewthreatsdaily一般防护并不足

新型的攻击将可能躲避现有的防护。28%ofmalware

wasvirtual

machineawareIn2014alone317Million新的恶意软件312起数据泄漏被披露

针对性的攻击大幅增加大型企中83%都曾经遭遇过针对性攻击。5of6large

companiesattacked为什么容易遭受高级攻击恶意程序泛滥每天约有一百万恶意程序。APT：使用多级攻击方法侦察侵入发现捕获渗出敌暗我明有备而来无孔不入长久持续APT：使用多级攻击方法侦察侵入发现捕获渗出敌暗我明有备而来已经部署了网络APT产品，够了吗？网络APT大多采用监控模式发现可疑文件或者威胁，然后做什么？无法提供文件或者威胁详细的记录看到了，又如何？已经部署了网络APT产品，够了吗？网络APT大多采用监控模式赛门铁克解决方案—ATP(Advanced

ThreatProtection)针对进阶式攻击提供一个全方位防护架构在每一个控制点上，提供事件分析与修复能力可以通过內部部署、虚拟化或者是云端来实现流程化整合管理平台高级威胁防护网络/网关数据中心端点赛门铁克解决方案—ATP(AdvancedThreatPATP——高级威胁防护一体机

融合——充分利用现有技术协防联控更多的情报|各控制点更好的检测和更快的响应在控制点||智能集成端点保护邮件终端网络3RD

第三方智能情报终端数据模式:硬件与虚拟化版本ATP——高级威胁防护一体机

融合——充分利用现有技术协防联端点可视性（大多数目标性攻击中的据点）端点文本、可疑事件和修复要求SEP——没有新代理——并且被部署为虚拟应用对所有设备和协议有网络可视性自动化的沙箱、网络开发、命令和控制部署TAP或内置为虚拟或实体应用邮件可视性（仍然是头号入侵目标）电子邮件趋势,有针对性的攻击识别邮件安全云的增强功能可见——“一个平台、全网可见”端点可视性（大多数目标性攻击中的据点）对所有设备和协议有网络

SYMANTECCYNIC™SYMANTECSYNAPSE™事件的分析調查:

恶意软件威胁分析与解决方式。容易使用:没有任何代理软件或者复杂的SEIM整合界面。雲端優勢:创新技术。例如最新恶意软件更新，持续扩展已符合要求。更有效偵測:

模拟使用者在真实环境中的操作，并同时在虚拟环境中真实操作。有效优先級

:根据已经感染或者是已经被阻止进行事件分析。全面性覆盖:包含有Officedocs,PDF,HTML,Java,containers,及可执行性。云端沙箱关联分析智慧——真实模拟高效快捷，突破壁垒还原真相

SYMANTECCYNIC™SYMANTECSYN简单——化繁为简，只需一“键”ATP:发送标识为可疑的端点给Cynic2Cynic确认文件35Admin会对Cynic的确认进行调查。7Admin在遭受感染的端点上运行电子橡皮擦(PowerEraser)ATP

端点ATP

邮件CynicSynapsePortal6Admin可以阻止ATP网络、ATP端点和ATP邮件上的文件4高度优先事件1用户下载/传输/拷贝文件ATP

网络简单——化繁为简，只需一“键”ATP:发送标识为可疑的端点给赛门铁克解决方案—架构概述

更多的情报|各控制点更好的检测和更快的响应在控制点||智能集成端点保护云端沙盒相关性调查研究邮件终端网络3RD

第三方智能情报终端数据修复物理&虚拟优先性检测一次,发现任何未知阻止,清除,实时修复使用到的技术SymantecATP赛门铁克解决方案—架构概述

更多的情报|各控制点更好赛门铁克解决方案—高级威胁防护架构示意图网路流量

终端BlacklistVantageInsightAVMobileInsightBLACKLISTReal-timeInspectionSEP终端终端远程管理控制台ATP

Endpoint

防护：整合端点安全防护(SEP)有效防止针对性攻击ATP

GW

防护：结合安全响应中心机制进行沙箱模拟可疑程序进行深层检测SEP终端邮件服务器ATP

Eamil防护：结合邮件安全云服务，对可疑邮件附件进行深层检测终端Symantec全球威胁情报SymantecCynicSymantecSynapse邮件安全云+ATP:邮件SEP管理服务器11SEP终端互联网Symantec

高级威胁防护赛门铁克解决方案—高级威胁防护架构示意图网路流量

终端赛门铁克解决方案—高级威胁防护优势关键的不同之处全球情报数据输出高级威胁保护云沙箱联系调查端点网络邮件第三方补救统一集成的平台覆盖终端、网络与邮件ATP统一的事件管理包括沙箱与各控制点的事件与现有的SEP12.1集成，无需重复部署代理覆盖多个控制点的事件关联与优先级分级技术形成安全管理闭环的事件修复，无需等待厂商的恶意代码定义修复特征的更新赛门铁克解决方案—高级威胁防护优势关键的不同之处全球情报数据高级威胁防护功能高级威胁防护功能赛门铁克功能说明—统一管理界面赛门铁克功能说明—统一管理界面赛门铁克功能说明—事件关联性事件关联实例关联事件举例终端事件发现终端事件发现邮件事件发现网络事件发现网络事件发现赛门铁克功能说明—事件关联性事件关联实例关联事件举例终端事件赛门铁克解决方案—网络网络流量

终端ATP网络InternetBLACKLISTReal-timeInspection

Blacklist

Vantage

Insight

AV

MobileInsight

旁路模式：监听1Symantec云服务通过Cynic对可疑文件进行分析2Cynic利用Skeptic和SONAR的启发式检测技术，在多个裸金属沙盒环境中对文件行为进行评估3Cynic赛门铁克

大数据分析平台邮件

&端点,

网络,Synapse关联各类承载于Symantec

GIN知识库的攻击行为通过Synapse与邮件和终端事件相关联，从而识别ATP攻击4定位，情报分析由Cynic输出根据安全事件优先级别排序的详细报告5赛门铁克解决方案—网络网络流量

终端ATP网络Interne赛门铁克

ATP

：

快速检测

（网络）SEP依据事件优先级进行阻止赛门铁克ATP：快速检测（网络）SEP依据事件优先赛门铁克解决方案—终端18为什么选择ATP端点方案?与现有终端防护方案深度集成在已部署的终端规模上快速生效基于“机器学习算法”的安全事件优先级自动分配机制(SEEA)提供详细的日志以供取证，便于采取后续行动精确识别快速分析有据可依CynicOn-DemandGIN终端企业网络Symantec知识库ATP终端SEP管理服务器SEP终端SEP终端SEP终端SEP终端SEP终端SEP终端赛门铁克解决方案—终端18为什么选择ATP端点方案?精确识别赛门铁克

ATP

：

快速响应

–阻止与修复（终端）赛门铁克ATP：快速响应–阻止与修复（终端）客户的展示平台及更新报告发送给收件人正常邮件恶意邮件被阻止针对性攻击事件识别STAR分析判断是否有恶意程序的邮件查看是否有零日漏洞威胁程序和针对性攻击内容依据内部判断进行攻击分类邮件安全云服务邮件发送进一步进行分析Cynic检查后，再次发送赛门铁克解决方案—邮件邮件发送进一步进行分析客户的展示平台及更新报告发送给收件人正常邮件恶意邮件被阻止针赛门铁克

ATP

：

快速响应

–阻止（电子邮件）赛门铁克ATP：快速响应–阻止（电子邮件）ATPNetwork&Email–第三方市场评比ThirdPartytestresultsdemonstratedbetterperformanceinmalwaredetectionthancompetitorsDetected100%ofAdvancedPersistentThreatsmalwareDetected97%inAdvancedEvasiveThreat(AET)malwarePerformedatleast15%betterthanCiscoSourceFireandFireEye1310Fullreport:/2015/05/symantec-advanced-threat-protection-network/ATPNetwork&Email–第三方市场评比T架构简单部署设置简单，并且可以与现有的虚拟环境中安装部署无需安装额外的客户端更佳检测通过云端沙箱技术，可快速检测，并通过关联实体与虚拟沙箱找出真正的恶意软件自动化

Cynic分析更快处理可以通过端点，邮件及网络快速找出高风险事件通过

IoC快速搜索（档案名称、编码、哈希）等统一管理平台通过统一控制平台，可以同时监控和管理端点，邮件和网关。结论

–赛门铁克

ATP

优势说明架构简单部署设置简单，并且可以与现有的虚拟环境中安装部署更佳THANKYOU24THANKYOU24高级威胁防护2.0高级威胁防护2.0

恶意程序泛滥每天约有一百万恶意程序。1Mnewthreatsdaily一般防护并不足

新型的攻击将可能躲避现有的防护。28%ofmalware

wasvirtual

machineawareIn2014alone317Million新的恶意软件312起数据泄漏被披露

针对性的攻击大幅增加大型企中83%都曾经遭遇过针对性攻击。5of6large

companiesattacked为什么容易遭受高级攻击恶意程序泛滥每天约有一百万恶意程序。APT：使用多级攻击方法侦察侵入发现捕获渗出敌暗我明有备而来无孔不入长久持续APT：使用多级攻击方法侦察侵入发现捕获渗出敌暗我明有备而来已经部署了网络APT产品，够了吗？网络APT大多采用监控模式发现可疑文件或者威胁，然后做什么？无法提供文件或者威胁详细的记录看到了，又如何？已经部署了网络APT产品，够了吗？网络APT大多采用监控模式赛门铁克解决方案—ATP(Advanced

ThreatProtection)针对进阶式攻击提供一个全方位防护架构在每一个控制点上，提供事件分析与修复能力可以通过內部部署、虚拟化或者是云端来实现流程化整合管理平台高级威胁防护网络/网关数据中心端点赛门铁克解决方案—ATP(AdvancedThreatPATP——高级威胁防护一体机

融合——充分利用现有技术协防联控更多的情报|各控制点更好的检测和更快的响应在控制点||智能集成端点保护邮件终端网络3RD

第三方智能情报终端数据模式:硬件与虚拟化版本ATP——高级威胁防护一体机

融合——充分利用现有技术协防联端点可视性（大多数目标性攻击中的据点）端点文本、可疑事件和修复要求SEP——没有新代理——并且被部署为虚拟应用对所有设备和协议有网络可视性自动化的沙箱、网络开发、命令和控制部署TAP或内置为虚拟或实体应用邮件可视性（仍然是头号入侵目标）电子邮件趋势,有针对性的攻击识别邮件安全云的增强功能可见——“一个平台、全网可见”端点可视性（大多数目标性攻击中的据点）对所有设备和协议有网络

SYMANTECCYNIC™SYMANTECSYNAPSE™事件的分析調查:

恶意软件威胁分析与解决方式。容易使用:没有任何代理软件或者复杂的SEIM整合界面。雲端優勢:创新技术。例如最新恶意软件更新，持续扩展已符合要求。更有效偵測:

模拟使用者在真实环境中的操作，并同时在虚拟环境中真实操作。有效优先級

:根据已经感染或者是已经被阻止进行事件分析。全面性覆盖:包含有Officedocs,PDF,HTML,Java,containers,及可执行性。云端沙箱关联分析智慧——真实模拟高效快捷，突破壁垒还原真相

SYMANTECCYNIC™SYMANTECSYN简单——化繁为简，只需一“键”ATP:发送标识为可疑的端点给Cynic2Cynic确认文件35Admin会对Cynic的确认进行调查。7Admin在遭受感染的端点上运行电子橡皮擦(PowerEraser)ATP

端点ATP

邮件CynicSynapsePortal6Admin可以阻止ATP网络、ATP端点和ATP邮件上的文件4高度优先事件1用户下载/传输/拷贝文件ATP

网络简单——化繁为简，只需一“键”ATP:发送标识为可疑的端点给赛门铁克解决方案—架构概述

更多的情报|各控制点更好的检测和更快的响应在控制点||智能集成端点保护云端沙盒相关性调查研究邮件终端网络3RD

第三方智能情报终端数据修复物理&虚拟优先性检测一次,发现任何未知阻止,清除,实时修复使用到的技术SymantecATP赛门铁克解决方案—架构概述

更多的情报|各控制点更好赛门铁克解决方案—高级威胁防护架构示意图网路流量

终端BlacklistVantageInsightAVMobileInsightBLACKLISTReal-timeInspectionSEP终端终端远程管理控制台ATP

Endpoint

防护：整合端点安全防护(SEP)有效防止针对性攻击ATP

GW

防护：结合安全响应中心机制进行沙箱模拟可疑程序进行深层检测SEP终端邮件服务器ATP

Eamil防护：结合邮件安全云服务，对可疑邮件附件进行深层检测终端Symantec全球威胁情报SymantecCynicSymantecSynapse邮件安全云+ATP:邮件SEP管理服务器35SEP终端互联网Symantec

高级威胁防护赛门铁克解决方案—高级威胁防护架构示意图网路流量

终端赛门铁克解决方案—高级威胁防护优势关键的不同之处全球情报数据输出高级威胁保护云沙箱联系调查端点网络邮件第三方补救统一集成的平台覆盖终端、网络与邮件ATP统一的事件管理包括沙箱与各控制点的事件与现有的SEP12.1集成，无需重复部署代理覆盖多个控制点的事件关联与优先级分级技术形成安全管理闭环的事件修复，无需等待厂商的恶意代码定义修复特征的更新赛门铁克解决方案—高级威胁防护优势关键的不同之处全球情报数据高级威胁防护功能高级威胁防护功能赛门铁克功能说明—统一管理界面赛门铁克功能说明—统一管理界面赛门铁克功能说明—事件关联性事件关联实例关联事件举例终端事件发现终端事件发现邮件事件发现网络事件发现网络事件发现赛门铁克功能说明—事件关联性事件关联实例关联事件举例终端事件赛门铁克解决方案—网络网络流量

终端ATP网络InternetBLACKLISTReal-timeInspection

Blacklist

Vantage

Insight

AV

MobileInsight

旁路模式：监听1Symantec云服务通过Cynic对可疑文件进行分析2Cynic利用Skeptic和SONAR的启发式检测技术，在多个裸金属沙盒环境中对文件行为进行评估3Cynic赛门铁克

大数据分析平台邮件

&端点,

网络,Synapse关联各类承载于Symantec

GIN知识库的攻击行为通过Synapse与邮件和终端事件相关联，从而识别ATP攻击4定位，情报分析由Cynic输出根据安全事件优先级别排序的详细报告5赛门铁克解决方案—网络网络流量

终端ATP网络Interne赛门铁克

ATP

：

快速检测

（网络）SEP依据事件优先级进行阻止赛门铁克ATP：快速检测（网络）SEP依据事件优先赛门铁克解决方案—终端42为什么选择ATP端点方案?与现有终端防护方案深度集成在已部署的终端规模上快速生效基于“机器学习算法”的安全事件优先级自动分配机制(SEEA)提供详细的日志以供取证，便于采取后续行动精确识别快速分析有据可依CynicOn-DemandGIN终端企业网络Symantec知识库ATP终端SEP管理服务器SEP终端SEP终端SEP终端SEP终端SEP终端SEP终端赛门铁克解决方案—终端18为什么选择ATP端点方案?精确识别赛门铁克

ATP

：

快速响应

–阻止与修复（终端）赛门铁克ATP：快速响应–阻止与修复（终端）客户的展示平台及更新报告发送给收件人正常邮件恶意邮件被阻止针对性攻击事件识别STAR