郭濤

賽門鐵克的研究發(fā)現(xiàn)，高級(jí)持續(xù)性威脅主要通過對(duì)端點(diǎn)、網(wǎng)絡(luò)和電子郵件這三大關(guān)鍵控制點(diǎn)進(jìn)行攻擊，以獲取企業(yè)數(shù)據(jù)，威脅企業(yè)安全。

當(dāng)前，高級(jí)威脅攻擊現(xiàn)象正日益惡化。無論公司規(guī)模大小，幾乎所有企業(yè)都面臨著遭受目標(biāo)性攻擊的風(fēng)險(xiǎn)。賽門鐵克2014年《互聯(lián)網(wǎng)安全威脅報(bào)告》第20期顯示：2014年，每6家大型企業(yè)中就有5家遭受過基于電子郵件的魚叉式網(wǎng)頁仿冒攻擊，數(shù)量同比增長(zhǎng)40%；中型和小型企業(yè)遭受攻擊的概率分別增加30%和26%。一方面，安全攻擊的數(shù)量不斷增加；另一方面，企業(yè)已有的安全解決方案并不能有效抵御這些攻擊，確保企業(yè)的安全。

賽門鐵克的研究發(fā)現(xiàn)，高級(jí)持續(xù)性威脅主要通過對(duì)端點(diǎn)、網(wǎng)絡(luò)和電子郵件這三大關(guān)鍵控制點(diǎn)進(jìn)行攻擊，以獲取企業(yè)數(shù)據(jù)，威脅企業(yè)安全。

守好端點(diǎn)、網(wǎng)絡(luò)、郵件三大控制點(diǎn)

電子郵件是高級(jí)攻擊侵入企業(yè)最常用也是最有效的手段。攻擊者在鎖定受害者目標(biāo)后，通過在電子郵件中添加惡意文件或嵌入指向攻擊者受控網(wǎng)站的鏈接進(jìn)行攻擊。網(wǎng)絡(luò)罪犯使用復(fù)雜的社交騙局策略，欺騙用戶打開惡意電子郵件。不僅如此，他們還會(huì)根據(jù)企業(yè)的實(shí)際情況，定制每一次攻擊，避過檢測(cè)，直達(dá)目標(biāo)。

如今，幾乎所有的高級(jí)持續(xù)性威脅均利用端點(diǎn)系統(tǒng)侵入目標(biāo)企業(yè)。目標(biāo)性攻擊一旦進(jìn)入受害者的基礎(chǔ)架構(gòu)內(nèi)，就會(huì)利用端點(diǎn)系統(tǒng)穿過網(wǎng)絡(luò)，竊取憑據(jù)，并與命令和控制服務(wù)器相連，達(dá)到破壞企業(yè)最關(guān)鍵系統(tǒng)和數(shù)據(jù)的目的。高級(jí)攻擊大多隱藏于合法網(wǎng)站之中，大肆利用新型和未知漏洞，通過各種基于網(wǎng)絡(luò)的協(xié)議潛入目標(biāo)企業(yè)。為了避開常用的網(wǎng)絡(luò)安全防護(hù)措施，潛入受害者的基礎(chǔ)架構(gòu)，這些攻擊通常經(jīng)過攻擊者的精心設(shè)計(jì)。盡管現(xiàn)有的某些網(wǎng)絡(luò)安全產(chǎn)品可以識(shí)別這些攻擊，但更詳細(xì)的信息往往淹沒在安全產(chǎn)品提供的冗長(zhǎng)、次要的通知中，因此分析員很難發(fā)現(xiàn)真正的問題所在。

賽門鐵克的研究發(fā)現(xiàn)，2014年，28%的惡意軟件使用了感知虛擬機(jī)技術(shù)?，F(xiàn)在，中國(guó)的企業(yè)普遍使用了虛擬化技術(shù)。安全廠商在研究對(duì)策防御高級(jí)威脅攻擊時(shí)也會(huì)大量運(yùn)用虛擬機(jī)的方式。比如，通過使用虛擬機(jī)，虛擬執(zhí)行一個(gè)惡意程序或惡意代碼，從而判斷它是否存在威脅。但是，很多人并沒有意識(shí)到，更新的、更高級(jí)的攻擊手法就是通過識(shí)別這種具備安全防御能力的虛擬機(jī)，成功進(jìn)行躲避并實(shí)現(xiàn)攻擊的。

針對(duì)高級(jí)威脅攻擊的防御技術(shù)中，沙箱技術(shù)就是用虛擬執(zhí)行的方法來進(jìn)行防御的。惡意軟件現(xiàn)在能夠判斷和感知虛擬機(jī)，從而導(dǎo)致虛擬機(jī)停止運(yùn)行或發(fā)送虛假數(shù)據(jù)，實(shí)施回避操作、延遲執(zhí)行等行為，以破壞企業(yè)的防御機(jī)制。此外，還有一種情況是虛擬機(jī)鏡像。惡意軟件可以判斷企業(yè)的虛擬機(jī)鏡像，并利用虛擬機(jī)鏡像來安裝惡意代碼，快速感染更大的范圍。

針對(duì)高級(jí)攻擊所帶來的企業(yè)安全威脅，賽門鐵克建議客戶全面針對(duì)端點(diǎn)、網(wǎng)絡(luò)與電子郵件三大關(guān)鍵控制點(diǎn)進(jìn)行防御。賽門鐵克的高級(jí)威脅防御解決方案能夠?qū)⑷c(diǎn)間的可疑活動(dòng)相關(guān)聯(lián)，并對(duì)可能對(duì)企業(yè)造成風(fēng)險(xiǎn)的威脅進(jìn)行優(yōu)先級(jí)劃分。一旦識(shí)別出真正的威脅，賽門鐵克高級(jí)威脅防御解決方案便可對(duì)其進(jìn)行快速隔離，并防止新的威脅事件發(fā)生。

任何可疑活動(dòng)都無處遁形

2014年，賽門鐵克推出了高級(jí)威脅防御集成解決方案線路圖，主要包括針對(duì)高級(jí)威脅防御的安全托管服務(wù)（Symantec Managed Security Services—Advanced Threat Protection）和賽門鐵克高級(jí)威脅防御解決方案（Symantec Advanced Threat Protection Solution），通過整合全球的安全情報(bào)和預(yù)警功能，幫助客戶應(yīng)對(duì)復(fù)雜的高級(jí)安全威脅。在過去兩年里，賽門鐵克高級(jí)威脅防御解決方案收到了相當(dāng)正面的客戶反饋，尤其是賽門鐵克針對(duì)端點(diǎn)（ATP Endpoint）的安全解決方案獲得了廣泛好評(píng)。

Symantec Cynic基于云的沙盒和工作負(fù)載觸發(fā)服務(wù)是一款基于云計(jì)算的產(chǎn)品，它利用沙盒機(jī)制和工作負(fù)載觸發(fā)服務(wù)，可以發(fā)現(xiàn)極其復(fù)雜的目標(biāo)性攻擊，并劃分處理優(yōu)先級(jí)。Symantec Cynic利用基于學(xué)習(xí)的高級(jí)計(jì)算機(jī)分析功能，結(jié)合賽門鐵克的全球情報(bào)（GIN），可以快速檢測(cè)各類威脅，即使是最隱蔽的持續(xù)性威脅也無處遁形。Symantec Cynic還可以向客戶詳細(xì)報(bào)告文件的功能和其執(zhí)行的所有操作，以便快速修復(fù)遭受攻擊的所有相關(guān)組件。

賽門鐵克的研究發(fā)現(xiàn)，28%的高級(jí)攻擊具備虛擬機(jī)識(shí)別特性。也就是說，它們?cè)诔Ｓ玫纳澈邢到y(tǒng)運(yùn)行時(shí)不會(huì)露出任何可疑的行為。為攻克此難題，Symantec Cynic會(huì)在物理硬件上執(zhí)行可疑文件，發(fā)現(xiàn)那些可能會(huì)繞過傳統(tǒng)沙盒技術(shù)檢測(cè)的攻擊。

不僅如此，賽門鐵克高級(jí)高級(jí)威脅防御解決方案還采用了Synapse關(guān)聯(lián)技術(shù)，可以匯總已安裝控制點(diǎn)上的所有可疑活動(dòng)，快速識(shí)別并劃分已感染、需要立即補(bǔ)救的系統(tǒng)的優(yōu)先處理級(jí)。

2015年底，賽門鐵克公司推出了全新的高級(jí)威脅防御解決方案，無需部署額外端點(diǎn)代理程序，只需在單一控制臺(tái)輕輕點(diǎn)擊，即可檢測(cè)并修復(fù)控制點(diǎn)內(nèi)的高級(jí)威脅。這一解決方案即將在中國(guó)上市。賽門鐵克高級(jí)威脅防御解決方案主要的客戶來自制造、金融保險(xiǎn)、通信等行業(yè)。

一個(gè)小時(shí)“解決戰(zhàn)斗”

作為無需部署端點(diǎn)代理程序的方案，賽門鐵克高級(jí)威脅防御解決方案能夠幫助客戶通過單一的控制臺(tái)全面了解企業(yè)的安全狀況，過濾噪音，快速發(fā)現(xiàn)并修復(fù)攻擊。

賽門鐵克高級(jí)威脅防御解決方案能夠在以下四個(gè)方面幫助用戶：第一，多點(diǎn)覆蓋，通過交叉控制點(diǎn)檢測(cè)和環(huán)境搜索，發(fā)現(xiàn)電子郵件、端點(diǎn)和網(wǎng)絡(luò)控制點(diǎn)中的高級(jí)威脅、零日攻擊等各種威脅；第二，產(chǎn)品與情報(bào)結(jié)合，快速定位高危威脅，通過關(guān)聯(lián)賽門鐵克全球安全大數(shù)據(jù)，同時(shí)結(jié)合本地控制端威脅信息，可對(duì)威脅進(jìn)行優(yōu)先級(jí)劃分，幫助企業(yè)準(zhǔn)確地查看企業(yè)基礎(chǔ)設(shè)施內(nèi)可能發(fā)生的安全威脅；第三，快速修復(fù)，只需在單一控制臺(tái)上一鍵點(diǎn)擊，即可實(shí)現(xiàn)對(duì)終端的控制，并攔截控制點(diǎn)內(nèi)的威脅攻擊；第四，有效利用用戶已有的投資，借助Symantec Endpoint Protection和Email Security. Cloud技術(shù)，用戶無需部署任何新代理程序，就能夠在一個(gè)小時(shí)內(nèi)完成解決方案的安裝，并在數(shù)分鐘后開始搜索。

2015年，賽門鐵克提出了“統(tǒng)一安全戰(zhàn)略”，作為其安全業(yè)務(wù)發(fā)展的主線。賽門鐵克高級(jí)威脅防御解決方案是實(shí)現(xiàn)“統(tǒng)一安全戰(zhàn)略”的重要抓手，通過覆蓋端點(diǎn)、網(wǎng)絡(luò)、郵件等多控制點(diǎn)的一體化監(jiān)控和管理，可以滿足用戶日益迫切的高級(jí)威脅防護(hù)、檢測(cè)和快速響應(yīng)需求，提高威脅檢測(cè)成功率，縮短威脅檢測(cè)的用時(shí)，其一鍵式修復(fù)功能可以加快補(bǔ)救速度。

賽門鐵克高級(jí)威脅防御解決方案是一個(gè)發(fā)現(xiàn)、劃分優(yōu)先級(jí)并修復(fù)高級(jí)攻擊的統(tǒng)一解決方案，可充分運(yùn)用企業(yè)已經(jīng)部署的Symantec Endpoint Protection和電子郵件安全云服務(wù)，無需任何新代理。它可以將來自端點(diǎn)、網(wǎng)絡(luò)和電子郵件，以及賽門鐵克大型全球傳感器網(wǎng)絡(luò)的情報(bào)相結(jié)合，全面攔截躲避單點(diǎn)產(chǎn)品檢測(cè)的威脅。用戶只需一次點(diǎn)擊，賽門鐵克高級(jí)威脅防御解決方案就會(huì)搜索、發(fā)現(xiàn)和修復(fù)整個(gè)企業(yè)中的所有攻擊產(chǎn)物。所有操作通過一個(gè)平臺(tái)即可輕松搞定。

國(guó)際知名第三方測(cè)試機(jī)構(gòu)Miercom的報(bào)告稱，賽門鐵克在整個(gè)惡意軟件檢測(cè)方面的得分比主要競(jìng)爭(zhēng)對(duì)手高出18%-26%，在檢測(cè)高級(jí)持續(xù)性威脅和高級(jí)躲避威脅方面，表現(xiàn)堪稱完美。

在另一項(xiàng)由Dennis Technology Labs組織的競(jìng)爭(zhēng)優(yōu)勢(shì)對(duì)照基準(zhǔn)測(cè)評(píng)中，賽門鐵克的檢測(cè)排名最高，并以滿分成績(jī)通過檢測(cè)準(zhǔn)確性和法律準(zhǔn)確性兩項(xiàng)測(cè)試。

賽門鐵克全新的高級(jí)威脅防御解決方案結(jié)合了Synapse與Cynic技術(shù)，其提供的檢測(cè)能力比同類其他產(chǎn)品高30%。以往，安全專家需要手動(dòng)檢查可疑文件是否得到有效的阻攔?，F(xiàn)在，賽門鐵克高級(jí)威脅防御解決方案通過內(nèi)置的全新技術(shù)，可以自動(dòng)化地完成上述工作，有效節(jié)省企業(yè)的搜索和修復(fù)時(shí)間。賽門鐵克高級(jí)威脅防御解決方案增強(qiáng)了現(xiàn)有的Symantec Endpoint Protection和Email Security.cloud 技術(shù)，無需安裝新的終端代理程序，讓用戶可以更快地執(zhí)行搜索和修復(fù)。