郭涛
赛门铁克的研究发现,高级持续性威胁主要通过对端点、网络和电子邮件这三大关键控制点进行攻击,以获取企业数据,威胁企业安全。
当前,高级威胁攻击现象正日益恶化。无论公司规模大小,几乎所有企业都面临着遭受目标性攻击的风险。赛门铁克2014年《互联网安全威胁报告》第20期显示:2014年,每6家大型企业中就有5家遭受过基于电子邮件的鱼叉式网页仿冒攻击,数量同比增长40%;中型和小型企业遭受攻击的概率分别增加30%和26%。一方面,安全攻击的数量不断增加;另一方面,企业已有的安全解决方案并不能有效抵御这些攻击,确保企业的安全。
赛门铁克的研究发现,高级持续性威胁主要通过对端点、网络和电子邮件这三大关键控制点进行攻击,以获取企业数据,威胁企业安全。
守好端点、网络、邮件三大控制点
电子邮件是高级攻击侵入企业最常用也是最有效的手段。攻击者在锁定受害者目标后,通过在电子邮件中添加恶意文件或嵌入指向攻击者受控网站的链接进行攻击。网络罪犯使用复杂的社交骗局策略,欺骗用户打开恶意电子邮件。不仅如此,他们还会根据企业的实际情况,定制每一次攻击,避过检测,直达目标。
如今,几乎所有的高级持续性威胁均利用端点系统侵入目标企业。目标性攻击一旦进入受害者的基础架构内,就会利用端点系统穿过网络,窃取凭据,并与命令和控制服务器相连,达到破坏企业最关键系统和数据的目的。高级攻击大多隐藏于合法网站之中,大肆利用新型和未知漏洞,通过各种基于网络的协议潜入目标企业。为了避开常用的网络安全防护措施,潜入受害者的基础架构,这些攻击通常经过攻击者的精心设计。尽管现有的某些网络安全产品可以识别这些攻击,但更详细的信息往往淹没在安全产品提供的冗长、次要的通知中,因此分析员很难发现真正的问题所在。
赛门铁克的研究发现,2014年,28%的恶意软件使用了感知虚拟机技术。现在,中国的企业普遍使用了虚拟化技术。安全厂商在研究对策防御高级威胁攻击时也会大量运用虚拟机的方式。比如,通过使用虚拟机,虚拟执行一个恶意程序或恶意代码,从而判断它是否存在威胁。但是,很多人并没有意识到,更新的、更高级的攻击手法就是通过识别这种具备安全防御能力的虚拟机,成功进行躲避并实现攻击的。
针对高级威胁攻击的防御技术中,沙箱技术就是用虚拟执行的方法来进行防御的。恶意软件现在能够判断和感知虚拟机,从而导致虚拟机停止运行或发送虚假数据,实施回避操作、延迟执行等行为,以破坏企业的防御机制。此外,还有一种情况是虚拟机镜像。恶意软件可以判断企业的虚拟机镜像,并利用虚拟机镜像来安装恶意代码,快速感染更大的范围。
针对高级攻击所带来的企业安全威胁,赛门铁克建议客户全面针对端点、网络与电子邮件三大关键控制点进行防御。赛门铁克的高级威胁防御解决方案能够将三点间的可疑活动相关联,并对可能对企业造成风险的威胁进行优先级划分。一旦识别出真正的威胁,赛门铁克高级威胁防御解决方案便可对其进行快速隔离,并防止新的威胁事件发生。
任何可疑活动都无处遁形
2014年,赛门铁克推出了高级威胁防御集成解决方案线路图,主要包括针对高级威胁防御的安全托管服务(Symantec Managed Security Services—Advanced Threat Protection)和赛门铁克高级威胁防御解决方案(Symantec Advanced Threat Protection Solution),通过整合全球的安全情报和预警功能,帮助客户应对复杂的高级安全威胁。在过去两年里,赛门铁克高级威胁防御解决方案收到了相当正面的客户反馈,尤其是赛门铁克针对端点(ATP Endpoint)的安全解决方案获得了广泛好评。
Symantec Cynic基于云的沙盒和工作负载触发服务是一款基于云计算的产品,它利用沙盒机制和工作负载触发服务,可以发现极其复杂的目标性攻击,并划分处理优先级。Symantec Cynic利用基于学习的高级计算机分析功能,结合赛门铁克的全球情报(GIN),可以快速检测各类威胁,即使是最隐蔽的持续性威胁也无处遁形。Symantec Cynic还可以向客户详细报告文件的功能和其执行的所有操作,以便快速修复遭受攻击的所有相关组件。
赛门铁克的研究发现,28%的高级攻击具备虚拟机识别特性。也就是说,它们在常用的沙盒系统运行时不会露出任何可疑的行为。为攻克此难题,Symantec Cynic会在物理硬件上执行可疑文件,发现那些可能会绕过传统沙盒技术检测的攻击。
不仅如此,赛门铁克高级高级威胁防御解决方案还采用了Synapse关联技术,可以汇总已安装控制点上的所有可疑活动,快速识别并划分已感染、需要立即补救的系统的优先处理级。
2015年底,赛门铁克公司推出了全新的高级威胁防御解决方案,无需部署额外端点代理程序,只需在单一控制台轻轻点击,即可检测并修复控制点内的高级威胁。这一解决方案即将在中国上市。赛门铁克高级威胁防御解决方案主要的客户来自制造、金融保险、通信等行业。
一个小时“解决战斗”
作为无需部署端点代理程序的方案,赛门铁克高级威胁防御解决方案能够帮助客户通过单一的控制台全面了解企业的安全状况,过滤噪音,快速发现并修复攻击。
赛门铁克高级威胁防御解决方案能够在以下四个方面帮助用户:第一,多点覆盖,通过交叉控制点检测和环境搜索,发现电子邮件、端点和网络控制点中的高级威胁、零日攻击等各种威胁;第二,产品与情报结合,快速定位高危威胁,通过关联赛门铁克全球安全大数据,同时结合本地控制端威胁信息,可对威胁进行优先级划分,帮助企业准确地查看企业基础设施内可能发生的安全威胁;第三,快速修复,只需在单一控制台上一键点击,即可实现对终端的控制,并拦截控制点内的威胁攻击;第四,有效利用用户已有的投资,借助Symantec Endpoint Protection和Email Security. Cloud技术,用户无需部署任何新代理程序,就能够在一个小时内完成解决方案的安装,并在数分钟后开始搜索。
2015年,赛门铁克提出了“统一安全战略”,作为其安全业务发展的主线。赛门铁克高级威胁防御解决方案是实现“统一安全战略”的重要抓手,通过覆盖端点、网络、邮件等多控制点的一体化监控和管理,可以满足用户日益迫切的高级威胁防护、检测和快速响应需求,提高威胁检测成功率,缩短威胁检测的用时,其一键式修复功能可以加快补救速度。
赛门铁克高级威胁防御解决方案是一个发现、划分优先级并修复高级攻击的统一解决方案,可充分运用企业已经部署的Symantec Endpoint Protection和电子邮件安全云服务,无需任何新代理。它可以将来自端点、网络和电子邮件,以及赛门铁克大型全球传感器网络的情报相结合,全面拦截躲避单点产品检测的威胁。用户只需一次点击,赛门铁克高级威胁防御解决方案就会搜索、发现和修复整个企业中的所有攻击产物。所有操作通过一个平台即可轻松搞定。
国际知名第三方测试机构Miercom的报告称,赛门铁克在整个恶意软件检测方面的得分比主要竞争对手高出18%-26%,在检测高级持续性威胁和高级躲避威胁方面,表现堪称完美。
在另一项由Dennis Technology Labs组织的竞争优势对照基准测评中,赛门铁克的检测排名最高,并以满分成绩通过检测准确性和法律准确性两项测试。
赛门铁克全新的高级威胁防御解决方案结合了Synapse与Cynic技术,其提供的检测能力比同类其他产品高30%。以往,安全专家需要手动检查可疑文件是否得到有效的阻拦。现在,赛门铁克高级威胁防御解决方案通过内置的全新技术,可以自动化地完成上述工作,有效节省企业的搜索和修复时间。赛门铁克高级威胁防御解决方案增强了现有的Symantec Endpoint Protection和Email Security.cloud 技术,无需安装新的终端代理程序,让用户可以更快地执行搜索和修复。