赛门铁克ATP方案简介剖析.docxVIP

赛门铁克主动式威胁安全方案简介 一、 前言 2 1.1 什么是APT 2 1.2 如何防御APT 2 二、 赛门铁克的全新安全方案ATP 4 2.1 可视的主动式安全威胁防护 5 2.2 智慧的主动式安全威胁防护方案 5 2.3 融合的主动式安全威胁防护方案 6 2.4 简单的主动式安全威胁防护方案 6 2.5 工作方式简介 7 2.6 总结 8 三、 赛门铁克方案的主要特点 8  一、 前言 1.1 什么是APT 高危持续性攻击APT是黑客以窃取核心资料或是从事系统破坏为目的，针对客户所发动的网络攻击和侵袭行为。这种攻击的最终目标通常是为了导致数据的渗出。APT攻击手法的特点，在于隐藏自己的各种攻击行迹。入侵者针对特定对象，长期、有计划和有组织地窃取数据。因此，这种攻击通常采取“低而缓”的方式，攻击行为往往在较长的时间内不会被注意到。 各大企业都在想方设法地在造成数据泄漏之前，将攻击行为检测出来，并加以控制。从开始感染恶意程序到威胁被检测出来，中间的这段时间又被称作“驻留时间”，这段时间往往很长，导致入侵者有能力快速盗走数据，并转向一个新的目标下手。这些攻击特点意味着用户所面临的攻击和威胁将是长期的、持续的，因此对于企业而言必须时刻保持“战备”状态，这是一场不会结束的战争。 高危持续性攻击APT与其它安全威胁相比，他的特点可以总结为如下十六个字：“敌暗我明，有备而来，无孔不入，长久持续”。 1.2 如何防御APT 难以探测的攻击正在进一步改变安全防护领域的格局，进而也在改变企业的现有安全架构。这些攻击会在网络的多个不同的点上发生，使得企业更加难以探测和响应。对于 APT 攻击者而言，攻击行为是被伪装成合法流量侵入网络的，依赖于标准的签名检测机制（比如黑、白名单机制）的安全防护技术很难加以分辨，因此防范效果甚微。这些防护技术只能对文件或网络流量简单地判断为“好”或“不好”，不能这些信息进行深入分析。攻击者只有在成功进入企业网络内部后，才开始实施真正的破坏和攻击。 针对这些全新的安全威胁和挑战，对于某个以前从未见过的东西，你应该怎样防御？这个关键的问题困扰了许多企业。对于恶意软件呈现出了定向化、多样化、动态化的特点。用户如果仅依靠单一的技术手段并无法有效全面控制安全风险。 为了保护用户的IT系统免受外部威胁攻击，我们也需要改变信息安全防护思路和技术手段，由原先的防护型转变为主动预防型。针对APT的防护需要通过主动式的安全威胁监控，行为分析，异常流量监控配合完善的安全响应管理流程，并结合外部安全大平台分析能力将潜在的黑客入侵，APT攻击在攻击的初始阶段就进行有效发现和拦截。 传统的安全防护技术手段中，各个防护功能点技术如终端安全、邮件安全与网络安全分属于不同专业领域，各自为政，独立工作。用户很难将这些信息孤岛中的数据整合在一起，提取全面、可相互印证的黑客入侵企业网络的完整行迹视图。缺少后台可及时更新的知识平台的支撑，使得企业用户很难准确识别这些利用零日漏洞的安全威胁。如果仅仅关注终端侧或网络侧等某一个控制点的技术防范技术，也很难有效及时发现攻击行为，全面评估攻击对企业内部网络的渗透范围和造成损失，准确消除APT攻击给企业造成的破坏，清理所有已经被感染主机上的木马、跳板及恶意软件。 为了实现更快速度的攻击检测和解决各种新型未知威胁这一目标，我们需要同时结合在终端上操作系统层的可疑文件行为分析发现、本地网络侧持续不间断的通信内容分析以及来自外部全球情报网络的安全性情报网络威胁告警数据的关联分析三种能力，形成立体化、多层次的、简单宜维护的安全防护体系。 二、 赛门铁克的全新安全方案ATP 通过多年的技术积累，赛门铁克的终端安全方案再次自我革命。Symantec发布史上最全、最强的主动式安全威胁防护解决方案---Symantec Advanced Threat Protection(ATP)。赛门铁克的ATP同时关注企业信息系统的安全边界三个控制点：终端、网络、邮件，并打通三者之间的信息共享通道。ATP将本地可疑网络通信、主机上疑似木马程序的异常行为、入站邮件中的可疑附件等各类安全信息统一收集，再结合云端安全大数据分析平台进行关联分析，帮助管理员及早发现，并将威胁消除在萌芽状态，为企业提供整个企业内高级攻击活动的整体视图。 ATP的立体防护体系不仅能够有效防护已经广泛传播的木马入侵，同时对于企图利用不被业界所知的零日漏洞或后门程序攻击企业系统的针对性攻击,也可以帮助用户能更快地做出响应，并对导致攻击的原因产生更进一步的分析数据。 2.1 可视的主动式安全威胁防护 赛门铁克的ATP方案基于单一控制平台，同时汇总来自终端、网络和邮件这些安全控制点产生的安全事件信息。用户可以在一个平台，一个控制界面中同时查看，分析来自任一一