關於進階持續性威脅(APT)的抵禦,一直是這幾年資安界的熱門話題,許多廠商爭相針對這樣的應用需求,推出專屬產品,例如FireEye、趨勢科技、Lastline、CheckPoint、Fortinet、Blue Coat,都提供了特別針對APT防護的軟硬體設備。

也有廠商從既有產品出發,延伸出相關特色。例如Symantec在10月底推出了Advanced Threat Protection(ATP)的整合式防護方案,就基於自身的企業級防毒軟體Symantec Endpoint Protection,以及雲端郵件安全服務Email Security.cloud,對於原本就導入上述Symantec產品、服務的企業用戶來說,可直接採用,無需部署額外的代理程式。

建置架構上,這套方案分為三種模組:端點防護ATP Endpoint、網路閘道防護ATP Network、郵件防護ATP Email,顧名思義,能在端點、網路、郵件等位置形成控制點,以便及時攔阻威脅。

目前Symantec ATP系統可保護的範圍分為端點、網路、電子郵件,也能與其他資安產品相互協同運作,功能上包含了雲端沙箱、事件關聯分析與列舉優先順序,而且除了偵測、提供預警之外,也同時整合了威脅矯正。

ATP也提供單一的管理主控臺,企業可藉此將本地端所有控制點發現的可疑活動,加以相互關聯,並參考Symantec Global Intelligence Network(GIN)從全球各地大量收集的威脅情報,排列出使企業蒙受極高風險的事件優先順序。

若確認是重大威脅,企業即可快速控制,並且阻擋後繼的攻擊行為。因此,對於在端點、網路與電子郵件等控制點活動的APT威脅,這套安全協防架構同時具備了偵測與矯正能力。

ATP:Endpoint偵測架構是透過虛擬設備的方式進行,這臺虛擬機器需要配置32GB記憶體和250GB硬碟空間,單臺最大支援使用者數量,可達2千5百個。

ATP:Network偵測架構,可運用實體設備或虛擬設備的形式來進行,以前者而言,有兩款型號可選擇:8840和8860,網路吞吐量各為500 Mbps和2Gbps。就部署方式而言,可用線上阻擋、線上監控或是網路分接等架構,系統主控臺最多能集中控管50臺掃描節點。

在ATP:Email偵測架構下,目前可提供目標攻擊辨識、產生惡意活動的細節報告、可匯入SIEM系統的資料與Synapse的情報,協助事件交互關聯。2015年底,Symantec預計整合Cynic,提升APT威脅的偵測能力與行為通報。

而在精準度的判斷上,ATP除了背後可仰賴GIN及本地端的資料,也特別結合了新的雲端沙箱偵測技術Cynic,防護未知的惡意威脅,以及可跨控制點分析資料關聯性的功能Synapse。

其中,Cynic的獨特之處在於,它不只能以虛擬環境的方式,觸發威脅的活動,還能同時搭配實體系統,以此探查出潛藏的惡意程式與檔案。

會這麼配置,是因為駭客手法越來越高明,這些程式能察覺身處在模擬環境當中,而按兵不動,以迴避虛擬沙箱下的觸發,因此需兼用實體系統來引爆威脅彈頭(payload)的作法,偵測上才能完備。

圖中為ATP:Network藉由Cynic技術偵測到惡意行為的突發事件,系統會顯示偵測類型、Synapse事件關聯分析結果,以及查詢知名的VirusTotal防毒引擎入口網站與Norton Safe Web的結果。

另一個特色則是它是立足於雲端服務的環境,而發展出叢集運算的惡意程式分析能力──可即時擴展系統規模,以符合探測惡意程式的需求。

目前Cynic可模擬不同版本Windows、Office、Adobe軟體的環境,能檢查的檔案類型,包含微軟Office文件、PDF、HTML,也可針對Java Applet、容器(Container),以及可單獨執行的檔案。

而另一個Synapse技術,則是能夠橫跨端點、網路與電子郵件系統,收集當中的事件記錄,將這些資料交互關聯,然後依照危害企業的風險度高低,突顯有關的可疑活動,從而找出威脅。例如會主動感染、擴散的行為,會被系統視為高風險,而對於那些系統可阻擋下來的感染行為,則被評為低風險。

圖中同樣是為ATP:Network的威脅偵測畫面,系統會運用Synapse來交叉分析關聯事件,並排列出處理的先後順序。操作介面上會以相關事件來加以分類,對於優先性較高的事件資訊當中,系統會顯示感染的用戶端與入埠(inbound)攻擊的嚴重度排行榜。
這裡也會列出系統建議採取的行動指示,協助安全團隊解決問題,未來將會提供自動處理機制。

Synapse本身也提供資安鑑識的威脅調查能力,能根據活動類型、威脅演進程度與可否分解的程度,加以自動判讀、區分。操作上也訴求簡易,只需單一主控臺即可,不需額外安裝代理程式,或實施類似安全事件管理系統(SIEM)的複雜規則。

在系統部署上,Symantec也強調ATP的環境建置不需耗費很多時間,1小時內即可完成,之後即可在開始用它來找尋攻擊行為。它也能夠匯出威脅情報,提供第三方安全突發事件的管理系統,例如SIEM。

展望未來,ATP除了整合Symantec自家產品、服務,也計畫與第三方廠商一起合作,像是防火牆或其他資安方案,讓用戶得以更靈活地運用企業既有的安全基礎架構。

能偵測到APT威脅是不夠的,要能做到快速阻擋,而ATP:Endpoint在此提供了快速回應APT惡意活動的功能,圖中的例子是管理者針對符合特定雜湊值的檔案,可設立自動阻擋規則。

 

產品資訊

●原廠:Symantec (02)8726-2000

●建議售價:1個控制點的防護,每人每年授權為35美元;2個控制點的防護,每人每年授權為55美元;3個控制點的防護,每人每年授權為65美元

●部署形式:虛擬設備或實體設備

●虛擬設備系統需求:虛擬化平臺為VMware ESXi 5.5、6.0;虛擬機器配備:4顆處理器、32GB記憶體、500GB硬碟空間

●實體設備型號:8840(1U、單路6核處理器、32GB記憶體、1TB硬碟、4個GbE埠)、8880(2U、2路12核處理器、96GB記憶體、4臺300GB硬碟RAID5、4個10GbE埠搭配2個GbE埠、750瓦電源供應器1+1備援)

 

 

 


Advertisement

更多 iThome相關內容