1、企業(yè)IT高級威脅防護(hù)解決方案1000個(gè)郵箱地址信用卡信息護(hù)照信息游戲賬號定制的惡意軟件1000個(gè)社交網(wǎng)絡(luò)粉絲云服務(wù)賬號1百萬個(gè)經(jīng)過驗(yàn)證的垃圾郵件發(fā)送注冊并激活的SIM卡定向攻擊的目標(biāo)企業(yè)規(guī)模:3什么是高級威脅(Advanced Persistent Threat：APT)定向的出于經(jīng)濟(jì)或政治目的，針對特定的組織或國家的隱蔽的利用未知的零日漏洞、攻擊工具和規(guī)避技術(shù)持續(xù)的先進(jìn)的控制系統(tǒng)，持續(xù)監(jiān)控并從特定的目標(biāo)中提取數(shù)據(jù)4識別APT攻擊過程解析5攻擊者嘗試獲取目標(biāo)企業(yè)中的多個(gè)可能的受害者的背景信息，分析他們經(jīng)常使用的互聯(lián)網(wǎng)公開資源（如姓名、職務(wù)、郵箱、興趣愛好）。High-value UsersAP

2、T攻擊過程解析通過各方面信息的收集，攻擊者會嘗試與每一個(gè)可能的受害者聯(lián)系，使用社會工程及釣魚欺騙讓受害者打開郵件附件或郵件中的鏈接。High-value Users識別滲透62016年1月19日下午烏克蘭當(dāng)?shù)貢r(shí)間16:51和16:56分，兩封號稱從: “Ukrenergo”發(fā)送至.ua和.ua的電子郵件拉開了攻擊序幕。攻擊者偽裝成來自烏克蘭國有電力公司UKrenergo，攻擊對象分別為切爾卡瑟地區(qū)電力公司Cherkasyoblenergo的信息咨詢處，和Ukrenergo下屬機(jī)構(gòu)Central Energy

3、System of SE的Kondrashov Alexander，后者的職務(wù)是分站主任（Chief of substationsof Central ES )“根據(jù)烏克蘭法律”運(yùn)營烏克蘭電力市場的原則“以及”未來十年烏克蘭聯(lián)合能源系統(tǒng)的訂單準(zhǔn)備系統(tǒng)運(yùn)營商發(fā)展計(jì)劃“，經(jīng)烏克蘭煤炭工業(yè)能源部批準(zhǔn)的No.680 20140929系統(tǒng)運(yùn)營商，在其官方網(wǎng)站發(fā)布。主題是：“烏克蘭2016年至2025年聯(lián)合能源系統(tǒng)發(fā)展規(guī)劃”?！罢堊⒁?！本文件創(chuàng)建于新版本的Office軟件中。如需展示文件內(nèi)容，需要開啟宏。”識別滲透APT攻擊過程解析7High-value UsersMalwareServer隨后惡意代碼將

4、利用系統(tǒng)中存在的0-day漏洞開始執(zhí)行，并從攻擊者的控制主機(jī)下載更多的惡意程序（木馬）。APT攻擊過程解析8識別木馬會通過命令和控制通道與攻擊者聯(lián)系，攻擊者以此盜取用戶訪問企業(yè)核心資源所使用的用戶名及密碼。滲透High-value Users憑據(jù)采集FilerDomainControllerLDAPDirectoryDatabaseC&CServerMalwareServer“What should I do now?”“Gather logins and passwords”APT攻擊過程解析9識別通過盜取的用戶企業(yè)憑證信息，攻擊者可以逐步繪制出網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)并識別到關(guān)鍵服務(wù)器。滲透High-

5、value Users憑據(jù)采集FilerDomainControllerLDAPDirectoryDatabase發(fā)現(xiàn)C&CServerMalwareServerDropServerAPT攻擊過程解析10識別攻擊者復(fù)制所需的數(shù)據(jù)至一個(gè)臨時(shí)的企業(yè)內(nèi)部中轉(zhuǎn)主機(jī)，然后將數(shù)據(jù)傳輸至外網(wǎng)攻擊者的控制主機(jī)。滲透High-value Users憑據(jù)采集FilerDomainControllerLDAPDirectoryDatabase發(fā)現(xiàn)數(shù)據(jù)竊取StagingServerC&CServerMalwareServer即使采用最好的阻止技術(shù)，能阻止APT攻擊嗎？11阻止阻斷攻擊準(zhǔn)備了解重要的數(shù)據(jù)在哪，誰可以訪問

6、到檢測發(fā)現(xiàn)入侵響應(yīng)抑制和修復(fù)問題恢復(fù)恢復(fù)運(yùn)營如果已經(jīng)被黑，能多快發(fā)現(xiàn)，多快響應(yīng)并恢復(fù)運(yùn)營？12準(zhǔn)備了解重要的數(shù)據(jù)在哪，誰可以訪問到阻止阻斷攻擊檢測發(fā)現(xiàn)入侵響應(yīng)抑制和修復(fù)問題恢復(fù)恢復(fù)運(yùn)營檢測已經(jīng)變得很難當(dāng)前的安全產(chǎn)品是孤立的，沒有集成化威脅可以逃逸傳統(tǒng)的檢測技術(shù)Known BadContent DetectedSuspiciousNetwork BehaviorKnown Malware BlockedSuspiciousFile Behavior即使檢測到高級威脅，要完全清除威脅對整個(gè)企業(yè)造成的影響也非易事Malicious Attachment BlockedMalicious URL De

7、tectedNetworksEndpointsEmail 13事件響應(yīng)、清除威脅耗時(shí)耗力安全響應(yīng)分析必須接觸端點(diǎn)的用戶，而且只能手動(dòng)檢查每個(gè)端點(diǎn)上的文件安全策略必須分別更新到每個(gè)獨(dú)立的安全產(chǎn)品上，以此刪除所有的惡意文件或阻斷攻擊NetworksKnown BadContent DetectedSuspiciousNetwork BehaviorEndpointsKnown Malware BlockedSuspiciousFile BehaviorEmailMalicious Attachment BlockedMalicious URL Detected 14威脅可視和威脅情報(bào)是必要的 15

8、網(wǎng)絡(luò)連接已阻斷病毒已檢測到惡意郵件已隔離傳統(tǒng)的情報(bào)每一臺機(jī)器的每一個(gè)網(wǎng)絡(luò)連接每一個(gè)文件的hash、來源、受影響的端點(diǎn)每一個(gè)可疑程序的行為、信譽(yù)、URL、IP豐富的情報(bào)SYMANTEC ADVANCED THREAT PROTECTION解決這些問題優(yōu)先 什么是最需要的關(guān)注的修復(fù) 更快利用 已有投資的價(jià)值可見 跨越端點(diǎn)、網(wǎng)絡(luò)、郵件的高級威脅 16看見跨越端點(diǎn)、網(wǎng)絡(luò)、郵件的高級威脅部署簡單，一個(gè)小時(shí)內(nèi)即可實(shí)現(xiàn)威脅可視只需一個(gè)按鍵即可搜索IT基礎(chǔ)設(shè)施中任何的攻擊痕跡，根據(jù)文件名、hash、注冊表鍵值、IP、URL一個(gè)控制臺即可看到端點(diǎn)、網(wǎng)絡(luò)、郵件中的攻擊 17優(yōu)先化什么是最需要關(guān)心的 WITH SY

9、MANTEC SYNAPSE聚合與關(guān)聯(lián)端點(diǎn)、網(wǎng)絡(luò)、郵件中的所有的可疑活動(dòng)融合賽門鐵克全球威脅情報(bào)網(wǎng)絡(luò)的數(shù)據(jù)未處理、處理中、關(guān)閉影響優(yōu)先一個(gè)界面觀察所有控制點(diǎn)上的所有攻擊活動(dòng)可視化和修復(fù)所有相關(guān)攻擊痕跡，如文件、電子郵件地址或IP統(tǒng)一調(diào)查減少安全人員需要調(diào)查的事件數(shù)量不需要額外的客戶端程序，或者復(fù)雜的SIEM規(guī)則有形結(jié)果“賽門鐵克ATP的事件流操作減少了高達(dá)70%的多余的電子郵件和網(wǎng)絡(luò)安全告警，這節(jié)省了我們很多時(shí)間?！贝笮头?wù)提供商.” 18更快檢測到高級威脅 WITH SYMANTEC CYNIC覆蓋度: Office docs, PDF, Java, containers, portable

10、 executables快速、準(zhǔn)確地分析幾乎所有類型的潛在惡意內(nèi)容使用虛擬機(jī)和物理機(jī)檢測虛擬機(jī)逃逸威脅揪出虛擬機(jī)感知惡意程序，執(zhí)行分析結(jié)果結(jié)合了賽門鐵克全球智能情報(bào)的高級機(jī)器學(xué)習(xí)分析Sandbox, Skeptic, SONAR, Insight, Vantage人機(jī)交互模擬檢測傳統(tǒng)技術(shù)無法發(fā)覺的隱蔽持續(xù)型威脅“Cynic detected a trojanized version of a legitimate software package that a member of my security team downloaded. It saved us from a massive s

11、ecurity breach.” leading food provider “Symantec Cynic detected a targeted attack from a nation state as it came in and enabled our security operations team to respond to it quickly.” international electric company在幾分鐘內(nèi)拿出證據(jù)和情報(bào)云服務(wù)支持快速更新，避免惡意軟件進(jìn)化，逃逸檢測彈性擴(kuò)展、無需維護(hù)、永不宕機(jī) 19幾分鐘內(nèi)抑制、修復(fù)復(fù)雜攻擊一鍵修復(fù)所有控制點(diǎn)在造成不可恢復(fù)的損失前發(fā)

12、現(xiàn)和修復(fù)攻擊影響統(tǒng)一觀察攻擊影響，無需手動(dòng)查找，無需手工恢復(fù)更快修復(fù) 20無縫集成Symantec Endpoint Protection 12.1，無需安裝新的客戶端，提升SEP的價(jià)值監(jiān)控with Symantec Managed Security ServicesAPI支持與第三方防火墻、SIEM集成聯(lián)動(dòng)利用已有投資關(guān)聯(lián)網(wǎng)絡(luò)郵件和端點(diǎn)事件with Symantec Email Security.cloud 21ADVANCED THREAT PROTECTION 模塊22Symantec Advanced Threat Protection: Modules端點(diǎn)可見性：大多數(shù)攻擊的立足點(diǎn)端

13、點(diǎn)環(huán)境上下文、可疑事件、修復(fù)集成SEP一體機(jī)部署網(wǎng)絡(luò)可見性：網(wǎng)內(nèi)所有的設(shè)備自動(dòng)提交可疑文件到沙盒執(zhí)行一體機(jī)旁路鏡像部署郵件可見性：最多采用的攻擊方式郵件趨勢、定向攻擊識別基于Email Security.cloud2324Email Security.cloudATP: EmailClientNetATP: NetworkATP: EndpointWANLANATP Management ConsoleSynapseCynicMTASEPMSEP Installed ClientsFirewallInsightInternetData / ConfigData / ConfigData / C

14、onfigNetworkEndpointEmailATP: NetworkATP: EndpointATP: EmailSynapseATP ApplianceDataDataDataData多個(gè)控制點(diǎn)協(xié)同阻斷、檢測、響應(yīng)、修復(fù)，最大化安全投資價(jià)值 25tEmail Security.cloud + Advanced Threat Protection: EmailSymantec GlobalIntelligenceSymantec CynicSymantec Synapse Remote / Roaming SEP Endpoints Blacklist Vantage Insight A

15、V Mobile InsightBLACKLISTReal-time InspectionSEP ManagerRemote / Roaming SEP Endpoints可見優(yōu)先修復(fù)虛擬和物理的沙盒關(guān)聯(lián)端點(diǎn)、網(wǎng)絡(luò)及郵件的安全事件隔離、阻止、清除SEP EndpointsSymantec Advanced Threat Protection ATP Model Reference Information88408880CPU1* 6 Core (HT)2* 12 Core (HT)Memory32 GB96 GBDisks1 x 1TB4 x 300GB (Raid 5)Redundant P

16、owerNOYESForm Factor1U2UNICs copper (optional fiber on 8880)Dual port 1 Gbps Bypass card1 Management2 Monitor Quad port 10 Gbps Bypass card1 Management4 Monitor Optional 10G fiberSegmentEnterpriseLarge Enterprise/EnterpriseSizing Network Control Points88408880SPAN / TAP ModeThroughput Mbps5002,000Total Endpoints (estimate)3,33313,333典型部署28Network AAll in oneLog & remediationLog & remediationATP: EndpointInsight獨(dú)立第三方評測機(jī)構(gòu)測試結(jié)果Miercom Labs, 18th Dec 2015 301310 NX v7.5.1Network appliancev5.4CISCO IPS, inlinev2.0Network sensor31AET: Advanced Evasive Techniques 高級規(guī)避檢測技術(shù)3