企業(yè)信息化高級(jí)威脅保護(hù)ATP方案

1、企業(yè)信息化高級(jí)威脅保護(hù)ATP方案此刻開(kāi)始，從容應(yīng)對(duì)高級(jí)威脅網(wǎng)絡(luò)攻擊是一門(mén)生意(qian)231000個(gè)郵箱地址信用卡信息護(hù)照信息游戲賬號(hào)定制的惡意軟件1000個(gè)社交網(wǎng)絡(luò)粉絲云服務(wù)賬號(hào)1百萬(wàn)個(gè)經(jīng)過(guò)驗(yàn)證的垃圾郵件發(fā)送注冊(cè)并激活的SIM卡Source: SymantecInternet Security Threat Report 2015定向攻擊的目標(biāo)企業(yè)規(guī)模:4什么是高級(jí)威脅(Advanced Persistent Threat：APT)定向的出于經(jīng)濟(jì)或政治目的，針對(duì)特定的組織或國(guó)家的隱蔽的利用未知的零日漏洞、攻擊工具和規(guī)避技術(shù)持續(xù)的先進(jìn)的控制系統(tǒng)，持續(xù)監(jiān)控并從特定的目標(biāo)中提取數(shù)據(jù)5識(shí)別APT攻

2、擊過(guò)程解析6攻擊者嘗試獲取目標(biāo)企業(yè)中的多個(gè)可能的受害者的背景信息，分析他們經(jīng)常使用的互聯(lián)網(wǎng)公開(kāi)資源（如姓名、職務(wù)、郵箱、興趣愛(ài)好）。High-value UsersAPT攻擊過(guò)程解析通過(guò)各方面信息的收集，攻擊者會(huì)嘗試與每一個(gè)可能的受害者聯(lián)系，使用社會(huì)工程及釣魚(yú)欺騙讓受害者打開(kāi)郵件附件或郵件中的鏈接。High-value Users識(shí)別滲透72016年1月19日下午烏克蘭當(dāng)?shù)貢r(shí)間16:51和16:56分，兩封號(hào)稱(chēng)從: “Ukrenergo”發(fā)送至.ua和.ua的電子郵件拉開(kāi)了攻擊序幕。攻擊者偽裝成來(lái)自烏克蘭國(guó)有

3、電力公司UKrenergo，攻擊對(duì)象分別為切爾卡瑟地區(qū)電力公司Cherkasyoblenergo的信息咨詢處，和Ukrenergo下屬機(jī)構(gòu)Central Energy System of SE的Kondrashov Alexander，后者的職務(wù)是分站主任（Chief of substationsof Central ES )“根據(jù)烏克蘭法律”運(yùn)營(yíng)烏克蘭電力市場(chǎng)的原則“以及”未來(lái)十年烏克蘭聯(lián)合能源系統(tǒng)的訂單準(zhǔn)備系統(tǒng)運(yùn)營(yíng)商發(fā)展計(jì)劃“，經(jīng)烏克蘭煤炭工業(yè)能源部批準(zhǔn)的No.680 20140929系統(tǒng)運(yùn)營(yíng)商，在其官方網(wǎng)站發(fā)布。主題是：“烏克蘭2016年至2025年聯(lián)合能源系統(tǒng)發(fā)展規(guī)劃”。“請(qǐng)注意！本文

4、件創(chuàng)建于新版本的Office軟件中。如需展示文件內(nèi)容，需要開(kāi)啟宏。”識(shí)別滲透APT攻擊過(guò)程解析8High-value UsersMalwareServer隨后惡意代碼將利用系統(tǒng)中存在的0-day漏洞開(kāi)始執(zhí)行，并從攻擊者的控制主機(jī)下載更多的惡意程序（木馬）。APT攻擊過(guò)程解析9識(shí)別木馬會(huì)通過(guò)命令和控制通道與攻擊者聯(lián)系，攻擊者以此盜取用戶訪問(wèn)企業(yè)核心資源所使用的用戶名及密碼。滲透High-value Users憑據(jù)采集FilerDomainControllerLDAPDirectoryDatabaseC&CServerMalwareServer“What should I do now?”“Gat

5、her logins and passwords”APT攻擊過(guò)程解析10識(shí)別通過(guò)盜取的用戶企業(yè)憑證信息，攻擊者可以逐步繪制出網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)并識(shí)別到關(guān)鍵服務(wù)器。滲透High-value Users憑據(jù)采集FilerDomainControllerLDAPDirectoryDatabase發(fā)現(xiàn)C&CServerMalwareServerDropServerAPT攻擊過(guò)程解析11識(shí)別攻擊者復(fù)制所需的數(shù)據(jù)至一個(gè)臨時(shí)的企業(yè)內(nèi)部中轉(zhuǎn)主機(jī)，然后將數(shù)據(jù)傳輸至外網(wǎng)攻擊者的控制主機(jī)。滲透High-value Users憑據(jù)采集FilerDomainControllerLDAPDirectoryDatabase發(fā)現(xiàn)數(shù)

6、據(jù)竊取StagingServerC&CServerMalwareServer即使采用最好的阻止技術(shù)，能阻止APT攻擊嗎？12阻止阻斷攻擊準(zhǔn)備了解重要的數(shù)據(jù)在哪，誰(shuí)可以訪問(wèn)到檢測(cè)發(fā)現(xiàn)入侵響應(yīng)抑制和修復(fù)問(wèn)題恢復(fù)恢復(fù)運(yùn)營(yíng)如果已經(jīng)被黑，能多快發(fā)現(xiàn)，多快響應(yīng)并恢復(fù)運(yùn)營(yíng)？13準(zhǔn)備了解重要的數(shù)據(jù)在哪，誰(shuí)可以訪問(wèn)到阻止阻斷攻擊檢測(cè)發(fā)現(xiàn)入侵響應(yīng)抑制和修復(fù)問(wèn)題恢復(fù)恢復(fù)運(yùn)營(yíng)檢測(cè)已經(jīng)變得很難當(dāng)前的安全產(chǎn)品是孤立的，沒(méi)有集成化威脅可以逃逸傳統(tǒng)的沙箱技術(shù)Known BadContent DetectedSuspiciousNetwork BehaviorKnown Malware BlockedSuspiciousFil

7、e Behavior即使檢測(cè)到高級(jí)威脅，要完全清除威脅對(duì)整個(gè)企業(yè)造成的影響也非易事Malicious Attachment BlockedMalicious URL DetectedNetworksEndpointsEmail14事件響應(yīng)、清除威脅耗時(shí)耗力安全響應(yīng)分析必須接觸端點(diǎn)的用戶，而且只能手動(dòng)檢查每個(gè)端點(diǎn)上的文件安全策略必須分別更新到每個(gè)獨(dú)立的安全產(chǎn)品上，以此刪除所有的惡意文件或阻斷攻擊NetworksKnown BadContent DetectedSuspiciousNetwork BehaviorEndpointsKnown Malware BlockedSuspiciousFil

8、e BehaviorEmailMalicious Attachment BlockedMalicious URL Detected15威脅可視和智能情報(bào)是必要的16網(wǎng)絡(luò)連接已阻斷病毒已檢測(cè)到惡意郵件已隔離傳統(tǒng)的情報(bào)每一臺(tái)機(jī)器的每一個(gè)網(wǎng)絡(luò)連接每一個(gè)文件的hash、來(lái)源、受影響的端點(diǎn)每一個(gè)可疑程序的行為、信譽(yù)、URL、IP豐富的情報(bào)SYMANTEC ADVANCED THREAT PROTECTION解決這些問(wèn)題優(yōu)先 什么是最需要的關(guān)注的修復(fù) 更快利用 已有投資的價(jià)值可見(jiàn) 跨越端點(diǎn)、網(wǎng)絡(luò)、郵件的高級(jí)威脅17看見(jiàn)跨越端點(diǎn)、網(wǎng)絡(luò)、郵件的高級(jí)威脅部署簡(jiǎn)單，一個(gè)小時(shí)內(nèi)即可實(shí)現(xiàn)威脅可視只需一個(gè)按鍵即可搜索I

9、T基礎(chǔ)設(shè)施中任何的攻擊痕跡，根據(jù)文件名、hash、注冊(cè)表鍵值、IP、URL一個(gè)控制臺(tái)即可看到端點(diǎn)、網(wǎng)絡(luò)、郵件中的攻擊18優(yōu)先化什么是最需要關(guān)心的 WITH SYMANTEC SYNAPSE聚合與關(guān)聯(lián)端點(diǎn)、網(wǎng)絡(luò)、郵件中的所有的可疑活動(dòng)融合賽門(mén)鐵克全球智能情報(bào)網(wǎng)絡(luò)的數(shù)據(jù)未處理、處理中、關(guān)閉影響優(yōu)先一個(gè)界面觀察所有控制點(diǎn)上的所有攻擊活動(dòng)可視化和修復(fù)所有相關(guān)攻擊痕跡，如文件、電子郵件地址或IP統(tǒng)一調(diào)查減少安全人員需要調(diào)查的事件數(shù)量不需要額外的客戶端程序，或者復(fù)雜的SIEM規(guī)則有形結(jié)果“賽門(mén)鐵克ATP的事件流操作減少了高達(dá)70%的多余的電子郵件和網(wǎng)絡(luò)安全告警，這節(jié)省了我們很多時(shí)間?！贝笮头?wù)提供商.”

10、19更快檢測(cè)到高級(jí)威脅 WITH SYMANTEC CYNIC覆蓋度: Office docs, PDF, Java, containers, portable executables快速、準(zhǔn)確地分析幾乎所有類(lèi)型的潛在惡意內(nèi)容使用虛擬機(jī)和物理機(jī)檢測(cè)虛擬機(jī)逃逸威脅揪出虛擬機(jī)感知惡意程序，執(zhí)行分析結(jié)果結(jié)合了賽門(mén)鐵克全球智能情報(bào)的高級(jí)機(jī)器學(xué)習(xí)分析Sandbox, Skeptic, SONAR, Insight, Vantage人機(jī)交互模擬檢測(cè)傳統(tǒng)技術(shù)無(wú)法發(fā)覺(jué)的隱蔽持續(xù)型威脅“Cynic detected a trojanized version of a legitimate software pa

11、ckage that a member of my security team downloaded. It saved us from a massive security breach.” leading food provider “Symantec Cynic detected a targeted attack from a nation state as it came in and enabled our security operations team to respond to it quickly.” international electric company在幾分鐘內(nèi)拿

12、出證據(jù)和情報(bào)云服務(wù)支持快速更新，避免惡意軟件進(jìn)化，逃逸檢測(cè)彈性擴(kuò)展、無(wú)需維護(hù)、永不宕機(jī)20幾分鐘內(nèi)抑制、修復(fù)復(fù)雜攻擊一鍵修復(fù)所有控制點(diǎn)在造成不可恢復(fù)的損失前發(fā)現(xiàn)和修復(fù)攻擊影響集中觀察攻擊影響，無(wú)需手工查找，無(wú)需手工恢復(fù)更快修復(fù)21無(wú)縫集成Symantec Endpoint Protection 12.1，無(wú)需安裝新的客戶端，提升SEP的價(jià)值監(jiān)控with Symantec Managed Security ServicesAPI支持與第三方防火墻、SIEM集成聯(lián)動(dòng)利用已有投資關(guān)聯(lián)網(wǎng)絡(luò)郵件和端點(diǎn)事件with Symantec Email Security.cloud22ADVANCED THREA

13、T PROTECTION 模塊23Symantec Advanced Threat Protection: Modules端點(diǎn)可見(jiàn)性：大多數(shù)攻擊的立足點(diǎn)端點(diǎn)環(huán)境上下文、可疑事件、修復(fù)集成SEP一體機(jī)部署網(wǎng)絡(luò)可見(jiàn)性：網(wǎng)內(nèi)所有的設(shè)備自動(dòng)提交可疑文件到沙盒執(zhí)行一體機(jī)旁路鏡像部署郵件可見(jiàn)性：最多采用的攻擊方式郵件趨勢(shì)、定向攻擊識(shí)別基于Email Security.cloud2425Email Security.cloudATP: EmailClientNetATP: NetworkATP: EndpointWANLANATP Management ConsoleSynapseCynicMTASEPMS

14、EP Installed ClientsFirewallInsightInternetData / ConfigData / ConfigData / ConfigNetworkEndpointEmailATP: NetworkATP: EndpointATP: EmailSynapseATP ApplianceDataDataDataData多個(gè)控制點(diǎn)協(xié)同阻斷、檢測(cè)、響應(yīng)、修復(fù)，最大化安全投資價(jià)值26tEmail Security.cloud + Advanced Threat Protection: EmailSymantec GlobalIntelligenceSymantec Cyni

15、cSymantec Synapse Remote / Roaming SEP Endpoints Blacklist Vantage Insight AV Mobile InsightBLACKLISTReal-time InspectionSEP ManagerRemote / Roaming SEP Endpoints可見(jiàn)優(yōu)先修復(fù)虛擬和物理的沙盒關(guān)聯(lián)端點(diǎn)、網(wǎng)絡(luò)及郵件的安全事件隔離、阻止、清除SEP EndpointsSymantec Advanced Threat Protection ATP 一體機(jī)角色ModeManagement ConsoleATP:NATP:EP1- Managem

16、ent UnitYESYES2- Network scannerYES3- All in oneYESYESYES典型部署28Network AAll in oneLog & remediationLog & remediationATP: EndpointInsightATP Model Reference Information88408880CPU1* 6 Core (HT)2* 12 Core (HT)Memory32 GB96 GBDisks1 x 1TB4 x 300GB (Raid 5)Redundant PowerNOYESForm Factor1U2UNICs copper

17、(optional fiber on 8880)Dual port 1 Gbps Bypass card1 Management2 Monitor Quad port 10 Gbps Bypass card1 Management4 Monitor Optional 10G fiberSegmentEnterpriseLarge Enterprise/EnterpriseSizing Network Control Points88408880SPAN / TAP ModeThroughput Mbps5002,000Total Endpoints (estimate)3,33313,333M

18、anagement Unit一個(gè) Management Unit最多支持 50 network scanners一個(gè) Management Unit 最多支持 100,000 端點(diǎn)一個(gè) Management Unit 最多支持 10 SEPMSizing considerationsNetwork ScannerManagement UnitSEPMEndpoint300 to 2000 Mbps10SEPM50 Scanners2k to 13k*100kEndpoints*8840, 8880 or virtual獨(dú)立第三方評(píng)測(cè)機(jī)構(gòu)測(cè)試結(jié)果Miercom Labs, 18th Dec 20

19、15 341310 NX v7.5.1Network appliancev5.4CISCO IPS, inlinev2.0Network sensor35AET: Advanced Evasive Techniques 高級(jí)規(guī)避檢測(cè)技術(shù)35Fortigate 60DThreat Mgmt FirewallATP Network sensorSnort IDSPA200 NGFW36Dennis Technology Labs, 18th Dec 2015 Dennis 實(shí)驗(yàn)室側(cè)重于采集在互聯(lián)網(wǎng)中真實(shí)攻擊樣本賽門(mén)鐵克ATP以惡意樣本檢測(cè)準(zhǔn)確率和合法軟件識(shí)別率兩項(xiàng)均獲得100%準(zhǔn)確率37ICSA

20、Labs, 8th Dec 2015 ATP ATD FrameworkWildfireDeep Discovery Inspector唯一做到零誤報(bào)的ATP產(chǎn)品！銷(xiāo)售場(chǎng)景39基本桌面防病毒需求用戶的環(huán)境和需求用戶規(guī)劃采購(gòu)集中管理的防病毒軟件。用戶的痛點(diǎn)桌面防病毒市場(chǎng)魚(yú)龍混雜，如何選擇合適產(chǎn)品是個(gè)難題。競(jìng)爭(zhēng)策略利用ATP方案的優(yōu)勢(shì)，拉開(kāi)賽門(mén)鐵克與友商在技術(shù)上的差距，并由此在防病毒方案比選時(shí)，為SEP加分。如何切入話題選擇產(chǎn)品要參考廠商的產(chǎn)品技術(shù)演進(jìn)路線(如EDR)，避免僅僅比較產(chǎn)品當(dāng)前功能和價(jià)格。與友商方案相比，賽門(mén)鐵克針對(duì)終端安全提供全面的防護(hù)、檢測(cè)、響應(yīng)和修復(fù)。您可以根據(jù)企業(yè)需求，分階段導(dǎo)

21、入合適的技術(shù)方案。最終實(shí)現(xiàn)全面的終端安全管控體系。40SEP用戶的擴(kuò)容用戶的環(huán)境用戶已經(jīng)購(gòu)買(mǎi)SEP。用戶的痛點(diǎn)無(wú)法保證100%SEP安裝率。對(duì)于感染木馬及受到定點(diǎn)攻擊的終端沒(méi)有發(fā)現(xiàn)能力。如何切入話題不用部署任何新代理即可獲得一鍵式補(bǔ)救功能,您有興趣試試嗎? 您想要快速隔離受感染的端點(diǎn)嗎? 目前您通過(guò)何種方式補(bǔ)救受感染的端點(diǎn)? 我們的優(yōu)勢(shì)為了檢測(cè)和阻止當(dāng)今復(fù)雜威脅,賽門(mén)鐵克的ATP方案可以提供網(wǎng)絡(luò)側(cè)的監(jiān)控能力，以及外部的全球智能分析能力。將這些能力與SEP事件關(guān)聯(lián),才能實(shí)現(xiàn)全面可視，深入可控。利用其現(xiàn)有安全投資，所有新增功能都無(wú)需安裝附加代理。41僵木蠕檢測(cè)需求用戶的需求僵木蠕檢測(cè)項(xiàng)目。用戶的痛點(diǎn)解決企業(yè)內(nèi)部木馬問(wèn)題。IPS誤報(bào)太多。如何切入話題您是否需要針對(duì)網(wǎng)絡(luò)發(fā)現(xiàn)的威脅或已感染終端有更好監(jiān)控能力？除了傳統(tǒng)木馬防護(hù)外，您對(duì)于高級(jí)持續(xù)威脅防護(hù)有興趣了解嗎？我們的優(yōu)勢(shì)賽門(mén)鐵克可以將全球最大的