在2017 Radicati APT  防護(Advanced Persistent Threat Protection) MQ 報告中,Symantec ATP解決方案居市場領導地位第一名。這份評估報告是依照下列各種關鍵的指標進行評估:

  • Deployment options
  • Malware detection
  • Web and Email Security
  • Forensics and Analysis of zero-day and advanced threats
  • Sandboxing and Quarantining
  • Remediation

ATP fig1

 

SE Labs 針對各家APT防護所做的測試,Symantec ATP 為精確度最高。另外SE實驗室發現賽門鐵克可以保護100%的公共網路威脅,惡意軟件下載以及測試中使用的有針對性的攻擊。Symantec ATP 在測試中獲得了SE Labs 的AAA獎,表現強勁。

ATP fig2 0

Symantec Advanced Threat Protection(ATP)分為三種模組:端點防護ATP Endpoint、網路閘道防護ATP Network、郵件防護ATP Email,能在端點、網路、郵件等位置形成控制點,以便及時攔阻威脅。

特別針對APT進階持續性滲透攻擊的安全防護,Symantec 推出Advanced Threat Protection(ATP)的整合式防護方案,就基於自身的企業級防毒軟體Symantec Endpoint Protection (SEP),以及雲端郵件安全服務Email Security cloud,對於原本就導入上述Symantec產品、服務的企業用戶來說,可直接採用,無需部署額外的代理程式。

Symantec ATP

目前Symantec ATP系統可保護的範圍分為端點、網路、電子郵件,也能與其他資安產品相互協同運作,功能上包含了雲端沙箱、事件關聯分析與列舉優先順序,而且除了偵測、提供預警之外,也同時整合了威脅矯正。

Symantec ATP提供單一的管理主控臺,企業可藉此將本地端所有控制點發現的可疑活動,加以相互關聯,並參考Symantec Global Intelligence Network(GIN)從全球各地大量收集的威脅情報,排列出使企業蒙受極高風險的事件優先順序。

若確認是重大威脅,企業即可快速控制,並且阻擋後繼的攻擊行為。因此,對於在端點、網路與電子郵件等控制點活動的APT威脅,這套安全協防架構同時具備了偵測與矯正能力。

而在精準度的判斷上,ATP除了背後可仰賴GIN及本地端的資料,也特別結合了新的雲端沙箱偵測技術Cynic,防護未知的惡意威脅,以及可跨控制點分析資料關聯性的功能Synapse。

其中,Cynic的獨特之處在於,它不只能以虛擬環境的方式,觸發威脅的活動,還能同時搭配實體系統,以此探查出潛藏的惡意程式與檔案。

Symantec ATP Network Cynic

圖中為ATP:Network藉由Cynic技術偵測到惡意行為的突發事件,系統會顯示偵測類型、Synapse事件關聯分析結果,以及查詢知名的VirusTotal防毒引擎入口網站與Norton Safe Web的結果。

另一個特色則是它是立足於雲端服務的環境,而發展出叢集運算的惡意程式分析能力──可即時擴展系統規模,以符合探測惡意程式的需求。

目前Cynic可模擬不同版本Windows、Office、Adobe軟體的環境,能檢查的檔案類型,包含微軟Office文件、PDF、HTML,也可針對Java Applet、容器(Container),以及可單獨執行的檔案。

而另一個Synapse技術,則是能夠橫跨端點、網路與電子郵件系統,收集當中的事件記錄,將這些資料交互關聯,然後依照危害企業的風險度高低,突顯有關的可疑活動,從而找出威脅。例如會主動感染、擴散的行為,會被系統視為高風險,而對於那些系統可阻擋下來的感染行為,則被評為低風險。

Symantec ATP 系統會運用Synapse來交叉分析關聯事件,並排列出處理的先後順序。操作介面上會以相關事件來加以分類,對於優先性較高的事件資訊當中,系統會顯示感染的用戶端與入埠(inbound)攻擊的嚴重度排行榜。
這裡也會列出系統建議採取的行動指示,協助安全團隊解決問題,未來將會提供自動處理機制。

Synapse本身也提供資安鑑識的威脅調查能力,能根據活動類型、威脅演進程度與可否分解的程度,加以自動判讀、區分。操作上也訴求簡易,只需單一主控臺即可,不需額外安裝代理程式,或實施類似安全事件管理系統(SIEM)的複雜規則。

在系統部署上,Symantec也強調ATP的環境建置不需耗費很多時間,1小時內即可完成,之後即可在開始用它來找尋攻擊行為。它也能夠匯出威脅情報,提供第三方安全突發事件的管理系統,例如SIEM。

 

ATP fig4

 

自動分析所有內容以封鎖進階威脅
・封鎖透過 Global Intelligence Network 發現的所有已知威脅
・部署多步分析以便只檢測可疑檔案
・攔截不明檔案
・向端點偵測技術傳送 IOC
・與 Symantec Endpoint Protection Manager 整合

提高威脅偵測和沙箱效能
・在列入沙箱前分析所有內容
・預先過濾並封鎖所有惡意內容
・使用“代理檢測”及兩個惡意軟體偵測引擎
・集中和整合沙箱以節省成本
・專注於真正的威脅,而不是假的警訊

網路至端點偵測和回應
・傳送入侵指標 (IOC) 至 Symantec Endpoint Protection Manager
・驗證端點處的網路威脅
・對所有其他端點採取預防措施
・開始迅速的回應和矯正

利用彈性沙箱封鎖惡意威脅
・自訂沙箱設定檔以代表您的「金級」影像
・建立自訂行為模式以偵測唯一的 IOC
・偵測旨在避免沙箱偵測的惡意軟體
・延遲檔案傳遞直到分析完成
・模擬使用者行為,讓惡意軟體認為它已被啟用