赛门铁克ATP专项方案简介.docxVIP

赛门铁克主动式威胁安全方案介绍

TOC\o1-3一、序言 2

1.1 什么是APT 2

1.2 怎样防御APT 2

二、赛门铁克全新安全方案ATP 4

2.1 可视主动式安全威胁防护 5

2.2 智慧主动式安全威胁防护方案 5

2.3 融合主动式安全威胁防护方案 6

2.4 简单主动式安全威胁防护方案 6

2.5 工作方法介绍 7

2.6 总结 8

三、赛门铁克方案关键特点 8

序言

什么是APT

高危连续性攻击APT是黑客以窃取关键资料或是从事系统破坏为目标，针对用户所发动网络攻击和侵袭行为。这种攻击最终目标通常是为了造成数据渗出。APT攻击手法特点，在于隐藏自己多种攻击行迹。入侵者针对特定对象，长久、有计划和有组织地窃取数据。所以，这种攻击通常采取“低而缓”方法，攻击行为往往在较长时间内不会被注意到。

各大企业全部在想方设法地在造成数据泄漏之前，将攻击行为检测出来，并加以控制。从开始感染恶意程序到威胁被检测出来，中间这段时间又被称作“驻留时间”，这段时间往往很长，造成入侵者有能力快速盗走数据，并转向一个新目标下手。这些攻击特点意味着用户所面临攻击和威胁将是长久、连续，所以对于企业而言必需时刻保持“战备”状态，这是一场不会结束战争。

高危连续性攻击APT和其它安全威胁相比，她特点能够总结为以下十六个字：“敌暗我明，有备而来，无孔不入，长久连续”。

怎样防御APT

难以探测攻击正在深入改变安全防护领域格局，进而也在改变企业现有安全架构。这些攻击会在网络多个不一样点上发生，使得企业愈加难以探测和响应。对于APT攻击者而言，攻击行为是被伪装成正当流量侵入网络，依靠于标准署名检测机制（比如黑、白名单机制）安全防护技术极难加以分辨，所以防范效果甚微。这些防护技术只能对文件或网络流量简单地判定为“好”或“不好”，不能这些信息进行深入分析。攻击者只有在成功进入企业网络内部后，才开始实施真正破坏和攻击。

针对这些全新安全威胁和挑战，对于某个以前从未见过东西，你应该怎样防御？这个关键问题困扰了很多企业。对于恶意软件展现出了定向化、多样化、动态化特点。用户假如仅依靠单一技术手段并无法有效全方面控制安全风险。

为了保护用户IT系统免受外部威胁攻击，我们也需要改变信息安全防护思绪和技术手段，由原先防护型转变为主动预防型。针对APT防护需要经过主动式安全威胁监控，行为分析，异常流量监控配合完善安全响应管理步骤，并结合外部安全大平台分析能力将潜在黑客入侵，APT攻击在攻击初始阶段就进行有效发觉和拦截。

传统安全防护技术手段中，各个防护功效点技术如终端安全、邮件安全和网络安全分属于不一样专业领域，各自为政，独立工作。用户极难将这些信息孤岛中数据整合在一起，提取全方面、可相互印证黑客入侵企业网络完整行迹视图。缺乏后台可立即更新知识平台支撑，使得企业用户极难正确识别这些利用零日漏洞安全威胁。假如仅仅关注终端侧或网络侧等某一个控制点技术防范技术，也极难有效立即发觉攻击行为，全方面评定攻击对企业内部网络渗透范围和造成损失，正确消除APT攻击给企业造成破坏，清理全部已经被感染主机上木马、跳板及恶意软件。

为了实现愈加快速度攻击检测和处理多种新型未知威胁这一目标，我们需要同时结合在终端上操作系统层可疑文件行为分析发觉、当地网络侧连续不间断通信内容分析和来自外部全球情报网络安全性情报网络威胁告警数据关联分析三种能力，形成立体化、多层次、简单宜维护安全防护体系。

赛门铁克全新安全方案ATP

经过多年技术积累，赛门铁克终端安全方案再次自我革命。Symantec公布史上最全、最强主动式安全威胁防护处理方案SymantecAdvancedThreatProtection(ATP)。赛门铁克ATP同时关注企业信息系统安全边界三个控制点：终端、网络、邮件，并打通三者之间信息共享通道。ATP将当地可疑网络通信、主机上疑似木马程序异常行为、入站邮件中可疑附件等各类安全信息统一搜集，再结合云端安全大数据分析平台进行关联分析，帮助管理员及早发觉，并将威胁消除在萌芽状态，为企业提供整个企业内高级攻击活动整体视图。

ATP立体防护体系不仅能够有效防护已经广泛传输木马入侵，同时对于企图利用不被业界所知零日漏洞或后门程序攻击企业系统针对性攻击,也能够帮助用户能愈加快地做出响应，并对造成攻击原因产生更深入分析数据。

可视主动式安全威胁防护

赛门铁克ATP方案基于单一控制平台，同时汇总来自终端、网络和邮件这些安全控制点产生安全事件信息。用户能够在一个平台，一个控制界面中同时查看，分析来自任一一个安全控制点发觉可疑事件信息，并深入深入分析这些信息是否和全部安全控制点已经有信息相关。比如,假设现网中传统网络安全产品检测到可疑文件被发送到