Upload
others
View
8
Download
0
Embed Size (px)
Citation preview
威脅防護 –如何以賽門鐵克最新的 ATP 解決方案快速偵測、評估及回應進階目標式攻擊
Dragon Chang (張士龍)
Presenter’s Title Here
Agenda
1 現狀威脅分析
2 賽門鐵克 APT 安全防護架構
3 防護功能說明
4 結論
Copyright © 2014 Symantec Corporation2
Agenda
1 現狀威脅分析
2 賽門鐵克ATP防護架構
3 防護功能說明
4 結論
Copyright © 2014 Symantec Corporation3
惡意程式氾濫每天約有一百萬支惡意變種程式1M new
threats daily
一般防護並不足夠 新型態的攻擊將可躲避現有防護
28% of malware was virtual
machine aware
In 2014 alone
317 Million new malware strains
312 Data breaches disclosed
為什麼攻擊是容易成功呢?
標的式的攻擊大增
大型企業中83%都曾經遭遇過針對性攻擊
5 of 6 largecompanies attacked
“ There are only two types of companies in the world: The ones that have been hacked, and those that will be.”
“世界上只有兩種公司,一種是已經被駭的公司,另外一種是將來會被駭的公司”
- FBI Director Robert Mueller
Copyright © 2015 Symantec Corporation5
賽門鐵克威脅防護策略
•針對進階式攻擊提供一個全方位防護架構
•在每一個控制點上,提供事件分析與矯正能力
•可以透過內部部署、虛擬化或是雲端來實現流程化整合管理平台
•雲端管理平台可以可以同時管理端點,伺服器,與閘道口
6
AdvancedThreat
Protection
Network/Gateways
DataCenter(Server)
Endpoints
賽門鐵克 ATP 全方位防護架構示意圖
7
Core Switch
DMZ
Internet FW
Internet
ATP Gateway
ATP GW 防護:結合安全機制應變中心,運用沙箱模擬可疑檔案進
行深層檔案檢測
Client
ATP Endpoint 防護:整合端點安全防護(SEP),
有效防堵進階式攻擊
APT Endpoint
Critical Server
ATP DMZ 防護:設定應用程式白名單,既使惡意程式也無法成功執行或安裝
ATP EMAIL
Email Server
伺服器防護:
主機區域安全防護(DMZ/Server Farm Protection)
Copyright © 2014 Symantec Corporation8
為什麼我們需要額外主機安全防護
Copyright © 2014 Symantec Corporation9
稽核與告警進階防護
10
Intrusion Prevention (IPS)
網路防護
系統管控
監控、合併與轉送記錄檔,以便儲存和製作報表
即時監控檔案完整性
提出警示/通知,以便早期應變
鎖住組態設定值
防止提高系統管理員權限
限制裝置存取
防止未授權安裝
vSphere 保護
依應用程式限制連線能力
關閉後門程式
詳細紀錄存取資訊
應用程式白名單
防止零時差攻擊
限制作業系統行為
緩衝區溢位及 DLL Inject防護
漏洞攻擊預防
建構主機防護四大構面
可以透過 Least Privilege Application Control (Sandboxing) 達到系統安全鎖定 (lockdown)
透過定義最小權限控管或允許的資源存取之政策,針對一個或多個應用程式(processes) 建造一個“sandbox”
檔案
機碼
網路
設備
Read/Write Data Files
Read OnlyConfigurationInformation
Usage of Selected Ports
and Devices
…RSH Shell
Browser
Web
…crond
RPC
LPD Printer
核心系統服務
應用程式
互動程式
Granular Resource ConstraintsHost Programs
…
大部分應用程式只需要部分的系統資源及存取權限來維持其正常運作
但大部分應用系統都取得大於其原本所需之資源及權限
而攻擊隨時虎視眈眈地在尋找及利用這樣的 gap
攻擊防護
應用程式白名單價值與優勢
Symantec 12 12
滿足外部監管單位要求 降低業務營運風險 減少安全維運壓力
“安全鎖定” 保障業務端點電腦最小權限的安全運作環境
零病毒、低維護 支援各平台作業系統
通過全球黑帽大會測試,公認最安全之保護方案 Patch 保護
保護零時差攻擊
統一安全政策管理和稽核
最低資源需求 CPU < 1% RAM 20 M 檔案 100 M
PCI 認證機構認可
網路層存取控制 應用層存取控制 系統層存取控制
APT 防護:
端點,網路,郵件(Endpoint, Gateway, Email)
Copyright © 2014 Symantec Corporation13
賽門鐵克觀點: APT 攻擊該如何保護呢?
防護、偵測、回應並整合企業內的主要安全控制點
Uncover malicious activity and advanced threats using Cloud Based Payload Detonation and Behavioral Analysis within minutes.
快速偵測
Intelligently Correlate and Prioritize security incidents, perform Forensic Analysis with Security Analysts to investigate, and Remediate – all with complete confidence.
即時回應
完善防護Block threats Across Control Points in real-time
PREVENT DETECT
RESPOND
Symantec Advanced Threat Protection
Copyright © 2015 Symantec Corporation
Copyright © 2015 Symantec Corporation15
More Intelligence | Better Detection & Faster Response | Correlated Across Control Points | Integrated with Endpoint Protection
雲端沙箱 關連分析 事件分析
郵件端點 網路 3RD PARTY
Global Intelligence
Exported Data
威脅矯正Physical & Virtual
Detonationand
PrioritizationDetect once,
Find everywhereBlock, Clean, Fix
in real-time
賽門鐵克 ATP 架構概述
SYMANTEC CYNIC™NEW: CLOUD-BASED PAYLOAD DETONATION
SYMANTEC SYNAPSE™NEW: CORRELATION AND PRIORITIZATION
事件的分析調查: 惡意程式威脅分析與解決方式
容易使用: 沒有任何代理程式或是複雜的SIEM 整合介面
雲端優勢: 創新技術。例如最新惡意程式變種更新,即時擴展以符合需求
更有效偵測: 模擬使用者在真實環境中操作。並同時運行於虛擬與實體環境中
有效優先級 : 根據已經感染或是已經被阻隔進行事件分級
全面性涵蓋: 包含有 Office docs, PDF, HTML, Java, containers, 及可執行檔
Copyright © 2015 Symantec Corporation
雲端沙箱 關連分析
賽門鐵克 ATP 模組簡介
18
• 整合現提高端點惡意威脅能見度
• 端點異常,可疑檔案及威脅矯正
• 有 SEP – 需不要額外安裝其他程式
• 檢視分析所有裝置與網路協定
• 除檔案沙箱進階分析還可以針對網頁攻擊與 C&C 惡意連線進行偵測
• 可以部署於實體機器、虛擬環境,操作於 In-Line 與 TAP
• Email 內容進階分析 (依然是 APT 攻擊重要關鍵通道)
• 電子郵件提供豐富的有針對性的攻擊的報告,透過Cynic 與Synapse 關聯分析更清楚知道威脅來源
• 可以透過Symantec. Cloud 來提供
Copyright © 2015 Symantec Corporation
• 網路裝置
• 硬體 (8840, 8880) 或 Virtual (VMWare ESXi 5.1, 5.5)
• 部署架構
• TAP/SPAN – Monitoring 或 In-line – Blocking mode
• 監控內部 inbound 與 outbound 連外流量
• 可以檢測所有的裝置與所有通訊協定(protocols)
• 自動沙箱, 網站攻擊 & 殭屍網路偵測
• Agentless 整合包含 Email Security.cloud 與 Symantec Endpoint Protection
ADVANCED THREAT PROTECTION: NETWORK
INCLUDES THE CORE PLATFORM
SYMANTEC CYNIC™ SYMANTEC SYNAPSE™
New cloud-based sandboxand file analysis platform.
New unified security event correlation.
賽門鐵克 ATP 網路模組概述
ATP:Network 偵測架構機制
Copyright © 2015 Symantec Corporation20
Endpoints, Users
Internet Fire
wal
l
Pro
xy
• 虛擬與實體 Appliance
– 2 款硬體裝置
• 8840 network throughput 500 Mbps
• 8860: network throughput 2Gbps
– 3 種部署模式
• TAP, In-line Block, In-line Monitor
– 集中式管理:最高可以支援 50 台Scanner Nodes
• 檢測所有 inbound 與 outbound 網路流量
• Cynic 分析將透過賽門鐵克雲端
ATP Network 偵測機制
ATP Network
疑似惡意檔案將送回至Cynic 平台進行分析
Cynic 執行與分析該檔案行為透過不同的沙箱同時進行,其中也透過實體機分析以避免VM-aware 惡意程式.
透過 Synapse 把該事件的行為與賽門鐵克智能數據, 郵件, 端點進行關連分
析
根據Cynic觀察到行為執行相對應動作,包含事件優先處理等級.
7 m
inut
es
Network Traffic
EndpointsThreat data and actionable intelligence
Symantec Cynic™
Symantec Synapse ™
Internet
Blacklist Vantage Insight AV Mobile Insight
BLACKLIST
Real-time Inspection
ATP: Network
網路型ATP提供本機及時檔案檢測與防護技術, 雲端沙箱, 網站攻擊 及 殭屍網路偵測
APT 網路模組:偵測所有通訊協定
ATP in Action疑似惡意檔案經由網路下載
Copyright © 2015 Symantec Corporation - Published 5/5/201522
經過 Cynic 判定,此為一個惡意檔案3
ATPN 偵測出此為一個可疑檔案並送至雲端 Cynic
2
1 使用者正在下載一個檔案 5
通知資安管理者,並提供該惡意檔案分析報告
7
管理者亦可以判斷是否還有其他機器感染,則可以從 ATP Console 執行Power Erase 修復工具
ATPNetwork
ATPEndpoint
ATPEmail
CynicTM SynapseTM Portal
6 管理者可以封鎖該檔案,透過: ATP Network, ATP Endpoint 與 ATP Email4
Highpriorityevent
!
Copyright © 2015 Symantec Corporation
23
Detection Type
Safeweb lookup
Virustotal lookup
Synapse correlation
賽門鐵克 APT : Cynic Conviction (Network)-1
Copyright © 2015 Symantec Corporation
24
Global intelligence on the threat
List of malicious behaviors
Short note on why it was malicious
賽門鐵克 APT : Cynic Conviction (Network)- 2
Copyright © 2015 Symantec Corporation
25
SEP Blocked events are lowest priority
賽門鐵克 APT : Faster Response – Synapse & Prioritization (Network)- 3
Copyright © 2015 Symantec Corporation26
Campaigns grouped by related incidents
Recommended actions guide the security team (automation is on the roadmap)
Other high priority events include infected clients and inbound attacks ranked by severity
賽門鐵克 APT : Faster Response – Synapse & Prioritization (Network)- 4
• 無需要額外代理程式(Agentless)
• 提供EDR端點偵測(Detection)與回應(Response)能力
• 可以選擇部署於虛擬或是實體環境
• 搜尋即時可疑事件與新威脅
• 可以透過『刪除』,『黑名單』,『白名單』等方式即時事件增加事件處理
• 迅速與確實封鎖威脅已判定可疑威脅程式
• 記錄與監控端點平時正常活動,異常時可以透過 IoC 找出異常內容
ADVANCED THREAT PROTECTION: ENDPOINT
INCLUDES THE CORE PLATFORM
SYMANTEC CYNIC™ SYMANTEC SYNAPSE™
New cloud-based sandboxand file analysis platform.
New unified security event correlation.
賽門鐵克 ATP 端點模組概述
Copyright © 2015 Symantec Corporation28
Endpoints, Users
Internet Fire
wal
l
Pro
xy
• Virtual appliance
– 32 GB RAM, 250 GB hard disk
– 單一台 Appliance 最高可以支援 25000 使用者
• 整合所有: Insight, AV, SONAR 偵測
• 惡意程式威脅搜尋包含: hashs, files, host, domain
• Cynic 分析將透過賽門鐵克雲端
Endpoint 偵測機制
ATP Endpoint
完整偵測機制: Advanced Threat Protection (Endpoint)
APT 端點模組: IoC 搜尋
1. Enter IOC to search for The Incident Responder initiates a search in the ATP console and requests a client sweep.
2. Request is queued for the client. Scan request is queued for heartbeat and delivered to client at next heartbeat
3. Search starts SEPM initiates search on each endpoint with a SEP client, and can scan for the following items (either quick scan or full scan):
• Files by hash (SHA256, SHA1 and MD5) or name
• Folders by name
• Registry keys
• Can use wildcards
4. Results returned to SEPM. Scan results are returned to SEPM in real-time
5. Data shown in ATP SEPM returns data to ATP portal via REST API
1
2
3
4
5
ATP in Action疑似惡意檔案經由端點下載
Copyright © 2015 Symantec Corporation - Published 5/5/201530
經過 Cynic 判定,此為一個惡意檔案3
ATP:Endpoint 偵測出此為一個可疑檔案並送至雲端 Cynic
2
1 使用者正在下載一個檔案 5
通知資安管理者,並提供該惡意檔案分析報告
7
管理者亦可以判斷是否還有其他機器感染,則可以從 ATP Console 執行Power Erase 修復工具
ATPNetwork
ATPEndpoint
ATPEmail
CynicTM SynapseTM Portal
6 管理者可以封鎖該檔案,透過: ATP Network, ATP Endpoint 與 ATP Email4
Highpriorityevent
!
賽門鐵克 APT : 快速回應 – 遏止與矯正(Endpoint)
Copyright © 2014 Symantec Corporation31
Copyright © 2015 Symantec Corporation32
Blacklist by file hash & contain the threat across the environment
賽門鐵克 APT : 快速回應 – 遏止與矯正(Endpoint)
• 整合至賽門鐵克 Email Security.cloud 服務強化郵件威脅防護
• 增加 Cynic™ 沙箱機制偵測進階式威脅的郵件
• 可以提供詳細 Targeted Attack 報表資料
• 可以針對組織或是個人使用者提供 Identifies targeted attacks 通報
• 可以將ATP 郵件日誌傳送至賽門鐵克可以與 SEP 事件『進行關連分析』
• 容易管理 – 透過賽門鐵克.cloud 整合管理頁面
ADVANCED THREAT PROTECTION: EMAIL
INTEGRATES WITH THE CORE PLATFORM
SYMANTEC CYNIC™ SYMANTEC SYNAPSE™
New cloud-based sandbox and file analysis platform.
New unified security event correlation.
賽門鐵克 ATP 郵件模組概述
34
End-users
Internet
Email Security.cloud
Skeptic
Brightmail
Real-time Link Following
CynicSymantec AVConnection Process
客戶 Mail Server
Malware analysis finds unknown malware that bypassed the pipeline
• Various Windows, Office, Adobe versions
• Bare metal for VM-evasive payloads
ATP: EmailCore service
ATP: Email (May 2015)
• Targeted Attack identification
• Detailed malware reporting
• Data feed for SIEM
• Data feed to Synapse™ for correlation in ATP solution
ATP: Email R2 (2H 2015)
• Cynic™ integration – better detection and behavioral reporting
Copyright © 2015 Symantec Corporation
完整偵測機制: Advanced Threat Protection (Email)
Customer Dashboard and Detailed Report updated
Clean emails delivered to recipient
Malicious emails blocked by Skeptic, Cynic and Link FollowingX
Targeted Attack Analysis
STAR analysts examine malicious
emails
Look for zero-day malware and
targeted content
Attacks categorized based on thresholds
Email Security.cloud
Emails sent for further analysis
ATP 郵件模組 - 標的式攻擊確認
Skeptic
ATP in Action疑似惡意檔案經由郵件傳送
Copyright © 2015 Symantec Corporation - Published 5/5/201536
經過 Cynic 判定,此為一個惡意檔案3
ATP:Email 偵測出此為一個可疑檔案並送至雲端 Cynic
2
1 一封含有惡意程式或連結的郵件 5
通知資安管理者,並提供該惡意檔案分析報告
7
管理者亦可以判斷是否還有其他機器感染,則可以從 ATP Console 執行Power Erase 修復工具
ATPNetwork
ATPEndpoint
ATPEmail
CynicTM SynapseTM Portal
6 管理者可以封鎖該檔案,透過: ATP Network, ATP Endpoint 與 ATP Email4
Highpriorityevent
!
The Advanced Threat Protection add-on for Symantec Email Security.cloud will provide more detailed reporting on blocked malware:
Email details
Date, time, timezone
Domain of recipient email
Rcpt To Envelope Recipient RFC5321
To Header RFC5322
Source IP - sender IP address
Geo-location of source
Mail From Envelope Sender RFC5321
From Header RFC5322
Subject Line
Malware details
Malware name
Malware category - Trojan, InfoStealer etc.
Malware file hash
Email URL
Link Following Intelligence – Destination URL, type of redirect, and malware analysis
Detection method – e.g. Skeptic, Link Following
Targeted Attack – Yes/No
Why Symantec deems attack to be targeted (summary)
Severity Level indicating threat sophistication
強化進階式惡意程式能見度
Advanced Threat Protection: Email (May) – 詳細報表資訊
Symantec Confidential (NDA Required) - Email Security Roadmap37
統一管理介面
Copyright © 2014 Symantec Corporation38
ATP Network & Email – 第三方市場評比
Copyright © 2015 Symantec Corporation39
Third Party test results demonstrated better performance in malware detection than competitors
Detected 100% of Advanced Persistent Threats malware Detected 97% in Advanced Evasive Threat (AET) malware Performed at least 15% better than Cisco SourceFire and FireEye 1310 Full report: http://www.miercom.com/2015/05/symantec-advanced-threat-
protection-network/
Copyright © 2014 Symantec Corporation40
架構簡單
• 部署設備簡單,並且可以在實體與虛擬環境安裝
• 無需額外安裝 Agent
更佳偵測
• 透過雲端沙箱可以快速偵測,並透過實體與虛擬沙箱找出真正的惡意程式
• 自動化 Cynic 分析
更快處置
• 可以透過端點、郵件、閘道快速找出高風險事件
• 透過 IoC 快速搜尋(檔案名稱、機碼、HASH)
單一管控平台
• 透過單一管控平台可以同時監控端點、郵件、閘道
結論 – 賽門鐵克 APT 優勢說明
結論
• 結合雲端分析中心 有效阻擋APT攻擊
• APT 向來是由多種複雜惡意程式混合而成,很難藉由單一設備達成滴水不漏的防禦,所以賽門鐵克是以建立聯合防禦機制的作法,保護企業內部網路安全。
• Symantec Data Center Security 是採用應用程式白名單的概念,管理者只要預先將應用伺服器中需執行名稱加入可執行清單之中。如此一來,即便駭客利用零時差漏洞入侵網站
• 賽門鐵克 ATP,採用自家雲端安全機制應變中心連動的特性,除可隨時獲得最新的威脅情報之外,亦能運用雲端沙箱模擬機制,對可疑檔案進行深層檢查,減少惡意程式入侵的機率,達成阻擋 APT 攻擊的目標。
Copyright © 2014 Symantec Corporation41
謝謝您的聆聽 !!!Dragon Chang
Copyright © 2014 Symantec Corporation 42