赛门铁克ATP方案简介介绍.docx

赛门铁克主动式威胁安全方案简介  TOC \o 1-3 一、 前言  PAGEREF _Toc311924914 \h 2 1.1 什么是APT  PAGEREF _Toc311924915 \h 2 1.2 如何防御APT  PAGEREF _Toc311924916 \h 2 二、 赛门铁克的全新安全方案ATP  PAGEREF _Toc311924917 \h 4 2.1 可视的主动式安全威胁防护  PAGEREF _Toc311924918 \h 5 2.2 智慧的主动式安全威胁防护方案  PAGEREF _Toc311924919 \h 5 2.3 融合的主动式安全威胁防护方案  PAGEREF _Toc311924920 \h 6 2.4 简单的主动式安全威胁防护方案  PAGEREF _Toc311924921 \h 6 2.5 工作方式简介  PAGEREF _Toc311924922 \h 7 2.6 总结  PAGEREF _Toc311924923 \h 8 三、 赛门铁克方案的主要特点  PAGEREF _Toc311924924 \h 8   前言 什么是APT 高???持续性攻击APT是黑客以窃取核心资料或是从事系统破坏为目的，针对客户所发动的网络攻击和侵袭行为。这种攻击的最终目标通常是为了导致数据的渗出。APT攻击手法的特点，在于隐藏自己的各种攻击行迹。入侵者针对特定对象，长期、有计划和有组织地窃取数据。因此，这种攻击通常采取“低而缓”的方式，攻击行为往往在较长的时间内不会被注意到。 各大企业都在想方设法地在造成数据泄漏之前，将攻击行为检测出来，并加以控制。从开始感染恶意程序到威胁被检测出来，中间的这段时间又被称作“驻留时间”，这段时间往往很长，导致入侵者有能力快速盗走数据，并转向一个新的目标下手。这些攻击特点意味着用户所面临的攻击和威胁将是长期的、持续的，因此对于企业而言必须时刻保持“战备”状态，这是一场不会结束的战争。 高危持续性攻击APT与其它安全威胁相比，他的特点可以总结为如下十六个字：“敌暗我明，有备而来，无孔不入，长久持续”。 如何防御APT 难以探测的攻击正在进一步改变安全防护领域的格局，进而也在改变企业的现有安全架构。这些攻击会在网络的多个不同的点上发生，使得企业更加难以探测和响应。对于 APT 攻击者而言，攻击行为是被伪装成合法流量侵入网络的，依赖于标准的签名检测机制（比如黑、白名单机制）的安全防护技术很难加以分辨，因此防范效果甚微。这些防护技术只能对文件或网络流量简单地判断为“好”或“不好”，不能这些信息进行深入分析。攻击者只有在成功进入企业网络内部后，才开始实施真正的破坏和攻击。 针对这些全新的安全威胁和挑战，对于某个以前从未见过的东西，你应该怎样防御？这个关键的问题困扰了许多企业。对于恶意软件呈现出了定向化、多样化、动态化的特点。用户如果仅依靠单一的技术手段并无法有效全面控制安全风险。 为了保护用户的IT系统免受外部威胁攻击，我们也需要改变信息安全防护思路和技术手段，由原先的防护型转变为主动预防型。针对APT的防护需要通过主动式的安全威胁监控，行为分析，异常流量监控配合完善的安全响应管理流程，并结合外部安全大平台分析能力将潜在的黑客入侵，APT攻击在攻击的初始阶段就进行有效发现和拦截。 传统的安全防护技术手段中，各个防护功能点技术如终端安全、邮件安全与网络安全分属于不同专业领域，各自为政，独立工作。用户很难将这些信息孤岛中的数据整合在一起，提取全面、可相互印证的黑客入侵企业网络的完整行迹视图。缺少后台可及时更新的知识平台的支撑，使得企业用户很难准确识别这些利用零日漏洞的安全威胁。如果仅仅关注终端侧或网络侧等某一个控制点的技术防范技术，也很难有效及时发现攻击行为，全面评估攻击对企业内部网络的渗透范围和造成损失，准确消除APT攻击给企业造成的破坏，清理所有已经被感染主机上的木马、跳板及恶意软件。 为了实现更快速度的攻击检测和解决各种新型未知威胁这一目标，我们需要同时结合在终端上操作系统层的可疑文件行为分析发现、本地网络侧持续不间断的通信内容分析以及来自外部全球情报网络的安全性情报网络威胁告警数据的关联分析三种能力，形成立体化、多层次的、简单宜维护的安全防护体系。 赛门铁克的全新安全方案ATP 通过多年的技术积累，赛门铁克的终端安全方案再次自我革命。Symantec发布史上最全、最强的主动式安全威胁防护解决方案Symantec Advanced Threat Protection(ATP)。赛门铁克的ATP同时关注企业信息系统的安全边界三个控制点：终端、网络、邮件，并打通三者之间的信息共享通道