威脅防護– 如何以賽門鐵克最新的 atp 解決 ... · 如何以賽門鐵克最新的atp...

威脅防護 –如何以賽門鐵克最新的 ATP 解決方案快速偵測、評估及回應進階目標式攻擊

Dragon Chang (張士龍)

Presenter’s Title Here

Agenda

1 現狀威脅分析

2 賽門鐵克 APT 安全防護架構

3 防護功能說明

4 結論

Copyright © 2014 Symantec Corporation2

Agenda

1 現狀威脅分析

2 賽門鐵克ATP防護架構

3 防護功能說明

4 結論


惡意程式氾濫每天約有一百萬支惡意變種程式1M new

threats daily

一般防護並不足夠新型態的攻擊將可躲避現有防護

28% of malware was virtual

machine aware

In 2014 alone

317 Million new malware strains

312 Data breaches disclosed

為什麼攻擊是容易成功呢?

標的式的攻擊大增

大型企業中83%都曾經遭遇過針對性攻擊

5 of 6 largecompanies attacked

“ There are only two types of companies in the world: The ones that have been hacked, and those that will be.”

“世界上只有兩種公司，一種是已經被駭的公司，另外一種是將來會被駭的公司”

- FBI Director Robert Mueller


賽門鐵克威脅防護策略

•針對進階式攻擊提供一個全方位防護架構

•在每一個控制點上，提供事件分析與矯正能力

•可以透過內部部署、虛擬化或是雲端來實現流程化整合管理平台

•雲端管理平台可以可以同時管理端點，伺服器，與閘道口

6

AdvancedThreat

Protection

Network/Gateways

DataCenter(Server)

Endpoints

賽門鐵克 ATP 全方位防護架構示意圖

7

Core Switch

DMZ

Internet FW

Internet

ATP Gateway

ATP GW 防護：結合安全機制應變中心，運用沙箱模擬可疑檔案進

行深層檔案檢測

Client

ATP Endpoint 防護：整合端點安全防護(SEP),

有效防堵進階式攻擊

APT Endpoint

Critical Server

ATP DMZ 防護：設定應用程式白名單，既使惡意程式也無法成功執行或安裝

ATP EMAIL

Email Server

伺服器防護：

主機區域安全防護(DMZ/Server Farm Protection)


為什麼我們需要額外主機安全防護


稽核與告警進階防護

10

Intrusion Prevention (IPS)

網路防護

系統管控

監控、合併與轉送記錄檔，以便儲存和製作報表

即時監控檔案完整性

提出警示/通知，以便早期應變

鎖住組態設定值

防止提高系統管理員權限

限制裝置存取

防止未授權安裝

vSphere 保護

依應用程式限制連線能力

關閉後門程式

詳細紀錄存取資訊

應用程式白名單

防止零時差攻擊

限制作業系統行為

緩衝區溢位及 DLL Inject防護

漏洞攻擊預防

建構主機防護四大構面

可以透過 Least Privilege Application Control (Sandboxing) 達到系統安全鎖定 (lockdown)

透過定義最小權限控管或允許的資源存取之政策，針對一個或多個應用程式(processes) 建造一個“sandbox”

檔案

機碼

網路

設備

Read/Write Data Files

Read OnlyConfigurationInformation

Usage of Selected Ports

and Devices

…RSH Shell

Browser

Mail

Web

…crond

RPC

LPD Printer

核心系統服務

應用程式

互動程式

Granular Resource ConstraintsHost Programs

…

大部分應用程式只需要部分的系統資源及存取權限來維持其正常運作

但大部分應用系統都取得大於其原本所需之資源及權限

而攻擊隨時虎視眈眈地在尋找及利用這樣的 gap

攻擊防護

應用程式白名單價值與優勢

Symantec 12 12

滿足外部監管單位要求降低業務營運風險減少安全維運壓力

“安全鎖定” 保障業務端點電腦最小權限的安全運作環境

零病毒、低維護支援各平台作業系統

通過全球黑帽大會測試，公認最安全之保護方案 Patch 保護

保護零時差攻擊

統一安全政策管理和稽核

最低資源需求 CPU < 1% RAM 20 M 檔案 100 M

PCI 認證機構認可

網路層存取控制應用層存取控制系統層存取控制

APT 防護：

端點，網路，郵件（Endpoint, Gateway, Email）


賽門鐵克觀點: APT 攻擊該如何保護呢?

防護、偵測、回應並整合企業內的主要安全控制點

Uncover malicious activity and advanced threats using Cloud Based Payload Detonation and Behavioral Analysis within minutes.

快速偵測

Intelligently Correlate and Prioritize security incidents, perform Forensic Analysis with Security Analysts to investigate, and Remediate – all with complete confidence.

即時回應

完善防護Block threats Across Control Points in real-time

PREVENT DETECT

RESPOND

Symantec Advanced Threat Protection

Copyright © 2015 Symantec Corporation


More Intelligence | Better Detection & Faster Response | Correlated Across Control Points | Integrated with Endpoint Protection

雲端沙箱關連分析事件分析

郵件端點網路 3RD PARTY

Global Intelligence

Exported Data

威脅矯正Physical & Virtual

Detonationand

PrioritizationDetect once,

Find everywhereBlock, Clean, Fix

in real-time

賽門鐵克 ATP 架構概述

SYMANTEC CYNIC™NEW: CLOUD-BASED PAYLOAD DETONATION

SYMANTEC SYNAPSE™NEW: CORRELATION AND PRIORITIZATION

事件的分析調查: 惡意程式威脅分析與解決方式

容易使用: 沒有任何代理程式或是複雜的SIEM 整合介面

雲端優勢: 創新技術。例如最新惡意程式變種更新，即時擴展以符合需求

更有效偵測: 模擬使用者在真實環境中操作。並同時運行於虛擬與實體環境中

有效優先級 : 根據已經感染或是已經被阻隔進行事件分級

全面性涵蓋: 包含有 Office docs, PDF, HTML, Java, containers, 及可執行檔


雲端沙箱關連分析

賽門鐵克 ATP 模組簡介

18

• 整合現提高端點惡意威脅能見度

• 端點異常，可疑檔案及威脅矯正

• 有 SEP – 需不要額外安裝其他程式

• 檢視分析所有裝置與網路協定

• 除檔案沙箱進階分析還可以針對網頁攻擊與 C&C 惡意連線進行偵測

• 可以部署於實體機器、虛擬環境，操作於 In-Line 與 TAP

• Email 內容進階分析 (依然是 APT 攻擊重要關鍵通道)

• 電子郵件提供豐富的有針對性的攻擊的報告，透過Cynic 與Synapse 關聯分析更清楚知道威脅來源

• 可以透過Symantec. Cloud 來提供


• 網路裝置

• 硬體 (8840, 8880) 或 Virtual (VMWare ESXi 5.1, 5.5)

• 部署架構

• TAP/SPAN – Monitoring 或 In-line – Blocking mode

• 監控內部 inbound 與 outbound 連外流量

• 可以檢測所有的裝置與所有通訊協定(protocols)

• 自動沙箱, 網站攻擊 & 殭屍網路偵測

• Agentless 整合包含 Email Security.cloud 與 Symantec Endpoint Protection

ADVANCED THREAT PROTECTION: NETWORK

INCLUDES THE CORE PLATFORM

SYMANTEC CYNIC™ SYMANTEC SYNAPSE™

New cloud-based sandboxand file analysis platform.

New unified security event correlation.

賽門鐵克 ATP 網路模組概述

ATP:Network 偵測架構機制


Endpoints, Users

Internet Fire

wal

l

Pro

xy

• 虛擬與實體 Appliance

– 2 款硬體裝置

• 8840 network throughput 500 Mbps

• 8860: network throughput 2Gbps

– 3 種部署模式

• TAP, In-line Block, In-line Monitor

– 集中式管理：最高可以支援 50 台Scanner Nodes

• 檢測所有 inbound 與 outbound 網路流量

• Cynic 分析將透過賽門鐵克雲端

ATP Network 偵測機制

ATP Network

疑似惡意檔案將送回至Cynic 平台進行分析

Cynic 執行與分析該檔案行為透過不同的沙箱同時進行，其中也透過實體機分析以避免VM-aware 惡意程式.

透過 Synapse 把該事件的行為與賽門鐵克智能數據, 郵件, 端點進行關連分

析

根據Cynic觀察到行為執行相對應動作，包含事件優先處理等級.

7 m

inut

es

Network Traffic

EndpointsThreat data and actionable intelligence

Symantec Cynic™

Symantec Synapse ™

Internet

Blacklist Vantage Insight AV Mobile Insight

BLACKLIST

Real-time Inspection

ATP: Network

網路型ATP提供本機及時檔案檢測與防護技術, 雲端沙箱, 網站攻擊及殭屍網路偵測

APT 網路模組：偵測所有通訊協定

ATP in Action疑似惡意檔案經由網路下載

Copyright © 2015 Symantec Corporation - Published 5/5/201522

經過 Cynic 判定，此為一個惡意檔案3

ATPN 偵測出此為一個可疑檔案並送至雲端 Cynic

2

1 使用者正在下載一個檔案 5

通知資安管理者，並提供該惡意檔案分析報告

7

管理者亦可以判斷是否還有其他機器感染，則可以從 ATP Console 執行Power Erase 修復工具

ATPNetwork

ATPEndpoint

ATPEmail

CynicTM SynapseTM Portal

6 管理者可以封鎖該檔案，透過： ATP Network, ATP Endpoint 與 ATP Email4

Highpriorityevent

!


23

Detection Type

Safeweb lookup

Virustotal lookup

Synapse correlation

賽門鐵克 APT ： Cynic Conviction （Network）-1


24

Global intelligence on the threat

List of malicious behaviors

Short note on why it was malicious

賽門鐵克 APT ： Cynic Conviction （Network）- 2


25

SEP Blocked events are lowest priority

賽門鐵克 APT ： Faster Response – Synapse & Prioritization （Network）- 3


Campaigns grouped by related incidents

Recommended actions guide the security team (automation is on the roadmap)

Other high priority events include infected clients and inbound attacks ranked by severity

賽門鐵克 APT ： Faster Response – Synapse & Prioritization （Network）- 4

• 無需要額外代理程式(Agentless)

• 提供EDR端點偵測(Detection)與回應(Response)能力

• 可以選擇部署於虛擬或是實體環境

• 搜尋即時可疑事件與新威脅

• 可以透過『刪除』，『黑名單』，『白名單』等方式即時事件增加事件處理

• 迅速與確實封鎖威脅已判定可疑威脅程式

• 記錄與監控端點平時正常活動，異常時可以透過 IoC 找出異常內容

ADVANCED THREAT PROTECTION: ENDPOINT

INCLUDES THE CORE PLATFORM


New cloud-based sandboxand file analysis platform.


賽門鐵克 ATP 端點模組概述


Endpoints, Users

Internet Fire

wal

l

Pro

xy

• Virtual appliance

– 32 GB RAM, 250 GB hard disk

– 單一台 Appliance 最高可以支援 25000 使用者

• 整合所有： Insight, AV, SONAR 偵測

• 惡意程式威脅搜尋包含： hashs, files, host, domain

• Cynic 分析將透過賽門鐵克雲端

Endpoint 偵測機制

ATP Endpoint

完整偵測機制: Advanced Threat Protection (Endpoint)

APT 端點模組： IoC 搜尋

1. Enter IOC to search for The Incident Responder initiates a search in the ATP console and requests a client sweep.

2. Request is queued for the client. Scan request is queued for heartbeat and delivered to client at next heartbeat

3. Search starts SEPM initiates search on each endpoint with a SEP client, and can scan for the following items (either quick scan or full scan):

• Files by hash (SHA256, SHA1 and MD5) or name

• Folders by name

• Registry keys

• Can use wildcards

4. Results returned to SEPM. Scan results are returned to SEPM in real-time

5. Data shown in ATP SEPM returns data to ATP portal via REST API

1

2

3

4

5

ATP in Action疑似惡意檔案經由端點下載



ATP：Endpoint 偵測出此為一個可疑檔案並送至雲端 Cynic

2

1 使用者正在下載一個檔案 5


7


ATPNetwork

ATPEndpoint

ATPEmail



Highpriorityevent

!

賽門鐵克 APT ：快速回應 – 遏止與矯正（Endpoint）



Blacklist by file hash & contain the threat across the environment

賽門鐵克 APT ：快速回應 – 遏止與矯正（Endpoint）

• 整合至賽門鐵克 Email Security.cloud 服務強化郵件威脅防護

• 增加 Cynic™ 沙箱機制偵測進階式威脅的郵件

• 可以提供詳細 Targeted Attack 報表資料

• 可以針對組織或是個人使用者提供 Identifies targeted attacks 通報

• 可以將ATP 郵件日誌傳送至賽門鐵克可以與 SEP 事件『進行關連分析』

• 容易管理 – 透過賽門鐵克.cloud 整合管理頁面

ADVANCED THREAT PROTECTION: EMAIL

INTEGRATES WITH THE CORE PLATFORM


New cloud-based sandbox and file analysis platform.


賽門鐵克 ATP 郵件模組概述

34

End-users

Internet

Email Security.cloud

Skeptic

Brightmail

Real-time Link Following

CynicSymantec AVConnection Process

客戶 Mail Server

Malware analysis finds unknown malware that bypassed the pipeline

• Various Windows, Office, Adobe versions

• Bare metal for VM-evasive payloads

ATP: EmailCore service

ATP: Email (May 2015)

• Targeted Attack identification

• Detailed malware reporting

• Data feed for SIEM

• Data feed to Synapse™ for correlation in ATP solution

ATP: Email R2 (2H 2015)

• Cynic™ integration – better detection and behavioral reporting


完整偵測機制: Advanced Threat Protection (Email)

Customer Dashboard and Detailed Report updated

Clean emails delivered to recipient

Malicious emails blocked by Skeptic, Cynic and Link FollowingX

Targeted Attack Analysis

STAR analysts examine malicious

emails

Look for zero-day malware and

targeted content

Attacks categorized based on thresholds

Email Security.cloud

Emails sent for further analysis

ATP 郵件模組 - 標的式攻擊確認

Skeptic

ATP in Action疑似惡意檔案經由郵件傳送



ATP：Email 偵測出此為一個可疑檔案並送至雲端 Cynic

2

1 一封含有惡意程式或連結的郵件 5


7


ATPNetwork

ATPEndpoint

ATPEmail



Highpriorityevent

!

The Advanced Threat Protection add-on for Symantec Email Security.cloud will provide more detailed reporting on blocked malware:

Email details

Date, time, timezone

Domain of recipient email

Rcpt To Envelope Recipient RFC5321

To Header RFC5322

Source IP - sender IP address

Geo-location of source

Mail From Envelope Sender RFC5321

From Header RFC5322

Subject Line

Malware details

Malware name

Malware category - Trojan, InfoStealer etc.

Malware file hash

Email URL

Link Following Intelligence – Destination URL, type of redirect, and malware analysis

Detection method – e.g. Skeptic, Link Following

Targeted Attack – Yes/No

Why Symantec deems attack to be targeted (summary)

Severity Level indicating threat sophistication

強化進階式惡意程式能見度

Advanced Threat Protection: Email (May) – 詳細報表資訊

Symantec Confidential (NDA Required) - Email Security Roadmap37

統一管理介面


ATP Network & Email – 第三方市場評比


Third Party test results demonstrated better performance in malware detection than competitors

Detected 100% of Advanced Persistent Threats malware Detected 97% in Advanced Evasive Threat (AET) malware Performed at least 15% better than Cisco SourceFire and FireEye 1310 Full report: http://www.miercom.com/2015/05/symantec-advanced-threat-

protection-network/

http://www.miercom.com/2015/05/symantec-advanced-threat-protection-network/


架構簡單

• 部署設備簡單，並且可以在實體與虛擬環境安裝

• 無需額外安裝 Agent

更佳偵測

• 透過雲端沙箱可以快速偵測，並透過實體與虛擬沙箱找出真正的惡意程式

• 自動化 Cynic 分析

更快處置

• 可以透過端點、郵件、閘道快速找出高風險事件

• 透過 IoC 快速搜尋（檔案名稱、機碼、HASH）

單一管控平台

• 透過單一管控平台可以同時監控端點、郵件、閘道

結論 – 賽門鐵克 APT 優勢說明

結論

• 結合雲端分析中心有效阻擋APT攻擊

• APT 向來是由多種複雜惡意程式混合而成，很難藉由單一設備達成滴水不漏的防禦，所以賽門鐵克是以建立聯合防禦機制的作法，保護企業內部網路安全。

• Symantec Data Center Security 是採用應用程式白名單的概念，管理者只要預先將應用伺服器中需執行名稱加入可執行清單之中。如此一來，即便駭客利用零時差漏洞入侵網站

• 賽門鐵克 ATP，採用自家雲端安全機制應變中心連動的特性，除可隨時獲得最新的威脅情報之外，亦能運用雲端沙箱模擬機制，對可疑檔案進行深層檢查，減少惡意程式入侵的機率，達成阻擋 APT 攻擊的目標。


威脅防護– 如何以賽門鐵克最新的 atp 解決 ... · 如何以賽門鐵克最新的atp...

Documents