賽門鐵克狙擊高級安全威脅

郭濤

賽門鐵克的研究發現，高級持續性威脅主要通過對端點、網絡和電子郵件這三大關鍵控制點進行攻擊，以獲取企業數據，威脅企業安全。

當前，高級威脅攻擊現象正日益惡化。無論公司規模大小，幾乎所有企業都面臨著遭受目標性攻擊的風險。賽門鐵克2014年《互聯網安全威脅報告》第20期顯示：2014年，每6家大型企業中就有5家遭受過基于電子郵件的魚叉式網頁仿冒攻擊，數量同比增長40%；中型和小型企業遭受攻擊的概率分別增加30%和26%。一方面，安全攻擊的數量不斷增加；另一方面，企業已有的安全解決方案并不能有效抵御這些攻擊，確保企業的安全。

賽門鐵克的研究發現，高級持續性威脅主要通過對端點、網絡和電子郵件這三大關鍵控制點進行攻擊，以獲取企業數據，威脅企業安全。

守好端點、網絡、郵件三大控制點

電子郵件是高級攻擊侵入企業最常用也是最有效的手段。攻擊者在鎖定受害者目標后，通過在電子郵件中添加惡意文件或嵌入指向攻擊者受控網站的鏈接進行攻擊。網絡罪犯使用復雜的社交騙局策略，欺騙用戶打開惡意電子郵件。不僅如此，他們還會根據企業的實際情況，定制每一次攻擊，避過檢測，直達目標。

如今，幾乎所有的高級持續性威脅均利用端點系統侵入目標企業。目標性攻擊一旦進入受害者的基礎架構內，就會利用端點系統穿過網絡，竊取憑據，并與命令和控制服務器相連，達到破壞企業最關鍵系統和數據的目的。高級攻擊大多隱藏于合法網站之中，大肆利用新型和未知漏洞，通過各種基于網絡的協議潛入目標企業。為了避開常用的網絡安全防護措施，潛入受害者的基礎架構，這些攻擊通常經過攻擊者的精心設計。盡管現有的某些網絡安全產品可以識別這些攻擊，但更詳細的信息往往淹沒在安全產品提供的冗長、次要的通知中，因此分析員很難發現真正的問題所在。

賽門鐵克的研究發現，2014年，28%的惡意軟件使用了感知虛擬機技術。現在，中國的企業普遍使用了虛擬化技術。安全廠商在研究對策防御高級威脅攻擊時也會大量運用虛擬機的方式。比如，通過使用虛擬機，虛擬執行一個惡意程序或惡意代碼，從而判斷它是否存在威脅。但是，很多人并沒有意識到，更新的、更高級的攻擊手法就是通過識別這種具備安全防御能力的虛擬機，成功進行躲避并實現攻擊的。

針對高級威脅攻擊的防御技術中，沙箱技術就是用虛擬執行的方法來進行防御的。惡意軟件現在能夠判斷和感知虛擬機，從而導致虛擬機停止運行或發送虛假數據，實施回避操作、延遲執行等行為，以破壞企業的防御機制。此外，還有一種情況是虛擬機鏡像。惡意軟件可以判斷企業的虛擬機鏡像，并利用虛擬機鏡像來安裝惡意代碼，快速感染更大的范圍。

針對高級攻擊所帶來的企業安全威脅，賽門鐵克建議客戶全面針對端點、網絡與電子郵件三大關鍵控制點進行防御。賽門鐵克的高級威脅防御解決方案能夠將三點間的可疑活動相關聯，并對可能對企業造成風險的威脅進行優先級劃分。一旦識別出真正的威脅，賽門鐵克高級威脅防御解決方案便可對其進行快速隔離，并防止新的威脅事件發生。

任何可疑活動都無處遁形

2014年，賽門鐵克推出了高級威脅防御集成解決方案線路圖，主要包括針對高級威脅防御的安全托管服務（Symantec Managed Security Services—Advanced Threat Protection）和賽門鐵克高級威脅防御解決方案（Symantec Advanced Threat Protection Solution），通過整合全球的安全情報和預警功能，幫助客戶應對復雜的高級安全威脅。在過去兩年里，賽門鐵克高級威脅防御解決方案收到了相當正面的客戶反饋，尤其是賽門鐵克針對端點（ATP Endpoint）的安全解決方案獲得了廣泛好評。

Symantec Cynic基于云的沙盒和工作負載觸發服務是一款基于云計算的產品，它利用沙盒機制和工作負載觸發服務，可以發現極其復雜的目標性攻擊，并劃分處理優先級。Symantec Cynic利用基于學習的高級計算機分析功能，結合賽門鐵克的全球情報（GIN），可以快速檢測各類威脅，即使是最隱蔽的持續性威脅也無處遁形。Symantec Cynic還可以向客戶詳細報告文件的功能和其執行的所有操作，以便快速修復遭受攻擊的所有相關組件。

賽門鐵克的研究發現，28%的高級攻擊具備虛擬機識別特性。也就是說，它們在常用的沙盒系統運行時不會露出任何可疑的行為。為攻克此難題，Symantec Cynic會在物理硬件上執行可疑文件，發現那些可能會繞過傳統沙盒技術檢測的攻擊。

不僅如此，賽門鐵克高級高級威脅防御解決方案還采用了Synapse關聯技術，可以匯總已安裝控制點上的所有可疑活動，快速識別并劃分已感染、需要立即補救的系統的優先處理級。

2015年底，賽門鐵克公司推出了全新的高級威脅防御解決方案，無需部署額外端點代理程序，只需在單一控制臺輕輕點擊，即可檢測并修復控制點內的高級威脅。這一解決方案即將在中國上市。賽門鐵克高級威脅防御解決方案主要的客戶來自制造、金融保險、通信等行業。

一個小時“解決戰斗”

作為無需部署端點代理程序的方案，賽門鐵克高級威脅防御解決方案能夠幫助客戶通過單一的控制臺全面了解企業的安全狀況，過濾噪音，快速發現并修復攻擊。

賽門鐵克高級威脅防御解決方案能夠在以下四個方面幫助用戶：第一，多點覆蓋，通過交叉控制點檢測和環境搜索，發現電子郵件、端點和網絡控制點中的高級威脅、零日攻擊等各種威脅；第二，產品與情報結合，快速定位高危威脅，通過關聯賽門鐵克全球安全大數據，同時結合本地控制端威脅信息，可對威脅進行優先級劃分，幫助企業準確地查看企業基礎設施內可能發生的安全威脅；第三，快速修復，只需在單一控制臺上一鍵點擊，即可實現對終端的控制，并攔截控制點內的威脅攻擊；第四，有效利用用戶已有的投資，借助Symantec Endpoint Protection和Email Security. Cloud技術，用戶無需部署任何新代理程序，就能夠在一個小時內完成解決方案的安裝，并在數分鐘后開始搜索。

2015年，賽門鐵克提出了“統一安全戰略”，作為其安全業務發展的主線。賽門鐵克高級威脅防御解決方案是實現“統一安全戰略”的重要抓手，通過覆蓋端點、網絡、郵件等多控制點的一體化監控和管理，可以滿足用戶日益迫切的高級威脅防護、檢測和快速響應需求，提高威脅檢測成功率，縮短威脅檢測的用時，其一鍵式修復功能可以加快補救速度。

賽門鐵克高級威脅防御解決方案是一個發現、劃分優先級并修復高級攻擊的統一解決方案，可充分運用企業已經部署的Symantec Endpoint Protection和電子郵件安全云服務，無需任何新代理。它可以將來自端點、網絡和電子郵件，以及賽門鐵克大型全球傳感器網絡的情報相結合，全面攔截躲避單點產品檢測的威脅。用戶只需一次點擊，賽門鐵克高級威脅防御解決方案就會搜索、發現和修復整個企業中的所有攻擊產物。所有操作通過一個平臺即可輕松搞定。

國際知名第三方測試機構Miercom的報告稱，賽門鐵克在整個惡意軟件檢測方面的得分比主要競爭對手高出18%-26%，在檢測高級持續性威脅和高級躲避威脅方面，表現堪稱完美。

在另一項由Dennis Technology Labs組織的競爭優勢對照基準測評中，賽門鐵克的檢測排名最高，并以滿分成績通過檢測準確性和法律準確性兩項測試。

賽門鐵克全新的高級威脅防御解決方案結合了Synapse與Cynic技術，其提供的檢測能力比同類其他產品高30%。以往，安全專家需要手動檢查可疑文件是否得到有效的阻攔。現在，賽門鐵克高級威脅防御解決方案通過內置的全新技術，可以自動化地完成上述工作，有效節省企業的搜索和修復時間。賽門鐵克高級威脅防御解決方案增強了現有的Symantec Endpoint Protection和Email Security.cloud 技術，無需安裝新的終端代理程序，讓用戶可以更快地執行搜索和修復。