賽門鐵克從端點、網路、郵件防APT，整合雲端沙箱與事件關聯

關於進階持續性威脅（APT）的抵禦，一直是這幾年資安界的熱門話題，許多廠商爭相針對這樣的應用需求，推出專屬產品，例如FireEye、趨勢科技、Lastline、CheckPoint、Fortinet、Blue Coat，都提供了特別針對APT防護的軟硬體設備。

也有廠商從既有產品出發，延伸出相關特色。例如Symantec在10月底推出了Advanced Threat Protection（ATP）的整合式防護方案，就基於自身的企業級防毒軟體Symantec Endpoint Protection，以及雲端郵件安全服務Email Security.cloud，對於原本就導入上述Symantec產品、服務的企業用戶來說，可直接採用，無需部署額外的代理程式。

建置架構上，這套方案分為三種模組：端點防護ATP Endpoint、網路閘道防護ATP Network、郵件防護ATP Email，顧名思義，能在端點、網路、郵件等位置形成控制點，以便及時攔阻威脅。

目前Symantec ATP系統可保護的範圍分為端點、網路、電子郵件，也能與其他資安產品相互協同運作，功能上包含了雲端沙箱、事件關聯分析與列舉優先順序，而且除了偵測、提供預警之外，也同時整合了威脅矯正。

ATP也提供單一的管理主控臺，企業可藉此將本地端所有控制點發現的可疑活動，加以相互關聯，並參考Symantec Global Intelligence Network（GIN）從全球各地大量收集的威脅情報，排列出使企業蒙受極高風險的事件優先順序。

若確認是重大威脅，企業即可快速控制，並且阻擋後繼的攻擊行為。因此，對於在端點、網路與電子郵件等控制點活動的APT威脅，這套安全協防架構同時具備了偵測與矯正能力。

ATP:Endpoint偵測架構是透過虛擬設備的方式進行，這臺虛擬機器需要配置32GB記憶體和250GB硬碟空間，單臺最大支援使用者數量，可達2千5百個。

ATP:Network偵測架構，可運用實體設備或虛擬設備的形式來進行，以前者而言，有兩款型號可選擇：8840和8860，網路吞吐量各為500 Mbps和2Gbps。就部署方式而言，可用線上阻擋、線上監控或是網路分接等架構，系統主控臺最多能集中控管50臺掃描節點。

在ATP:Email偵測架構下，目前可提供目標攻擊辨識、產生惡意活動的細節報告、可匯入SIEM系統的資料與Synapse的情報，協助事件交互關聯。2015年底，Symantec預計整合Cynic，提升APT威脅的偵測能力與行為通報。

而在精準度的判斷上，ATP除了背後可仰賴GIN及本地端的資料，也特別結合了新的雲端沙箱偵測技術Cynic，防護未知的惡意威脅，以及可跨控制點分析資料關聯性的功能Synapse。

其中，Cynic的獨特之處在於，它不只能以虛擬環境的方式，觸發威脅的活動，還能同時搭配實體系統，以此探查出潛藏的惡意程式與檔案。

會這麼配置，是因為駭客手法越來越高明，這些程式能察覺身處在模擬環境當中，而按兵不動，以迴避虛擬沙箱下的觸發，因此需兼用實體系統來引爆威脅彈頭（payload）的作法，偵測上才能完備。

圖中為ATP:Network藉由Cynic技術偵測到惡意行為的突發事件，系統會顯示偵測類型、Synapse事件關聯分析結果，以及查詢知名的VirusTotal防毒引擎入口網站與Norton Safe Web的結果。

另一個特色則是它是立足於雲端服務的環境，而發展出叢集運算的惡意程式分析能力──可即時擴展系統規模，以符合探測惡意程式的需求。

目前Cynic可模擬不同版本Windows、Office、Adobe軟體的環境，能檢查的檔案類型，包含微軟Office文件、PDF、HTML，也可針對Java Applet、容器（Container），以及可單獨執行的檔案。

而另一個Synapse技術，則是能夠橫跨端點、網路與電子郵件系統，收集當中的事件記錄，將這些資料交互關聯，然後依照危害企業的風險度高低，突顯有關的可疑活動，從而找出威脅。例如會主動感染、擴散的行為，會被系統視為高風險，而對於那些系統可阻擋下來的感染行為，則被評為低風險。

圖中同樣是為ATP:Network的威脅偵測畫面，系統會運用Synapse來交叉分析關聯事件，並排列出處理的先後順序。操作介面上會以相關事件來加以分類，對於優先性較高的事件資訊當中，系統會顯示感染的用戶端與入埠（inbound）攻擊的嚴重度排行榜。
這裡也會列出系統建議採取的行動指示，協助安全團隊解決問題，未來將會提供自動處理機制。

Synapse本身也提供資安鑑識的威脅調查能力，能根據活動類型、威脅演進程度與可否分解的程度，加以自動判讀、區分。操作上也訴求簡易，只需單一主控臺即可，不需額外安裝代理程式，或實施類似安全事件管理系統（SIEM）的複雜規則。

在系統部署上，Symantec也強調ATP的環境建置不需耗費很多時間，1小時內即可完成，之後即可在開始用它來找尋攻擊行為。它也能夠匯出威脅情報，提供第三方安全突發事件的管理系統，例如SIEM。

展望未來，ATP除了整合Symantec自家產品、服務，也計畫與第三方廠商一起合作，像是防火牆或其他資安方案，讓用戶得以更靈活地運用企業既有的安全基礎架構。

能偵測到APT威脅是不夠的，要能做到快速阻擋，而ATP:Endpoint在此提供了快速回應APT惡意活動的功能，圖中的例子是管理者針對符合特定雜湊值的檔案，可設立自動阻擋規則。

產品資訊