Symantec Critical System Protection 赛门铁克关键系统防护解决方案 .docVIP

Symantec Critical System Protection Symantec Critical System Protection 赛门铁克关键系统防护解决方案 摘要 如今全球化、远程化和移动化办公员工与日俱增，面对这一形势，企业必须在安全的内部网络中创建更多的入口点，才能确保关键系统的可访问性。这一转变引发了新的需求，即要求放松严格的网络访问和防火墙规则，或利用更常用的网络协议来访问这些系统上的数据，从而找到规避这些限制的方法。在这些形势共同作用下，强化端点自身的需求日益高涨，仅靠边界安全来确保关键系统的安全性已经捉襟见肘。 赛门铁克关键系统防护解决方案通过在重要的客户端和服务器上强制实施基于行为的安全策略，可以抵御零日攻击、强化系统并保持遵从。 威胁层出不穷 随着商业软件漏洞数量与日俱增，而利用这些漏洞发起攻击的时间却日渐缩短，企业继续成为重点攻击目标。企业忙于在攻击者利用漏洞之前修补其关键系统，这是一项劳命伤财的工作。 计算机紧急情况应对小组 (CERT?) 和赛门铁克安全响应中心的最新研究表明，随着发动攻击的动机从追求名气转变为追求经济利益，攻击者和威胁日趋复杂，威胁的生命周期越来越短，并且在不断探索新的攻击媒介来危害系统。 自 1988 年出现首例互联网蠕虫以来，技术和信息安全已经取得了长足发展，但是网络和主机面临的威胁却一如既往。与当今的威胁非常类似，这种“蠕虫”利用连接到互联网的计算机上存在的软件漏洞，这个漏洞往往需要花费很长时间才能加以识别和修补。如今，我们依赖各种系统来存储和检索数据、与客户和合作伙伴进行通信以及开展业务交易，这些系统仍然遭受相同的漏洞威胁。如此看来，当今系统的安全性甚至不及 1988 年。15 年后互联世界再次屈服于另一个威胁 – Slammer，其能够利用已知但未修复的漏洞。 这些威胁揭示了这样的事实：攻击者正在利用容易利用的漏洞，有时是公开的漏洞。那些对编码知识要求不高，甚至无需编码知识即可利用的漏洞数量与日俱增，而利用漏洞发起攻击的时间却越来越短。 赛门铁克关键系统防护解决方案 如何保护您的关键系统 赛门铁克推荐利用基于网络和基于主机的安全技术组合来进行深入防御的方法。赛门铁克关键系统防护解决方案是基于主机的入侵防御技术，可以在经济有效、集中管理的产品中提供“零日”攻击防护、操作系统和常用用户应用程序的即装即用强化功能，以及保持遵从企业管理和安全策略的能力。 客户表示他们会首选基于行为的入侵防御解决方案，该解决方案易于使用和部署，无需病毒特征即可保护每一台计算机的操作系统功能和应用程序，从而使管理员能够游刃有余地修补他们的系统。 这种基于行为的方法具有以下优势： 能够将与病毒和蠕虫有关的停机时间和成本降至最低 能够减少对持续应用供应商补丁程序的需求 能够消除对持续应用特征更新的需求 需要较少的持续维护 对 IT 资源的需求很小或根本无需额外使用 关键系统防护解决方案的工作原理 赛门铁克关键系统防护解决方案基于行为定义，认为每一个软件程序以特殊方式访问某些资源以完成其任务。它必需创建或修改一些资源（例如，日志文件、消息存储、文档文件）。还有一些资源它只要读取（例如，配置数据、动态库、内容）。此外，还有大量资源它根本无需访问。许多攻击“诱使”操作系统功能（如 RPC）或应用程序修改上述后两类资源，从而造成危害。 赛门铁克关键系统防护解决方案包含行为说明，用于定义操作系统功能或应用程序与系统资源（如文件、注册表、设备和网络连接）相关的可接受活动。无论攻击者采取何种方法访问系统，赛门铁克关键系统防护解决方案都能够通过实施这些行为说明，在不良行为损害系统之前先行阻止。这种基于行为的防护方法使赛门铁克关键系统防护解决方案能够立即抵御新攻击，而不必“弥补”基于特征的产品出现的问题或补丁程序的“零日”漏洞。 赛门铁克关键系统防护解决方案 架构概述 赛门铁克关键系统防护解决方案能够部署在 3 层架构的客户端层。部署架构包含下列主要组件： 行为控制代理安装在每一台受保护的计算机上。该代理包含行为控制引擎，此引擎根据行为控制说明来监控应用程序对系统资源的使用情况。代理由两个组件构成：一个不能绕过的内核级驱动程序，以及一个将例外/警报发送到管理服务器上的用户级服务。 管理服务器为管理赛门铁克关键系统防护解决方案提供中央基础架构，包括策略和日志数据库。管理服务器使用安全通道与用户界面程序及代理进行通信。 管理控制台用于控制代理和代理组配置，并且能够借助高效安全的通信通道来提供高级定制功能。 其中每一个组件都为支持多个操作系统平台而设计。它们提供的功能通常足以满足各种应用程序和环境需求。 图 1：赛门铁克关键系统防护解决方案概述 行为控制代理 行为控制代理安装在每一台受保护的系统上，强制执行管理员应用