当下的网络环境情况中,大量企业面对针对性攻击组织的威胁。根据赛门铁克的报告,在去年一年中,有71%的针对性攻击利用了鱼叉式网络钓鱼。而在过去三年里,每个攻击组织平均攻击过42家企业、65个个人。可以说,涉及到关键基础设施的企业都必须为针对性的APT攻击做好准备。赛门铁克的针对性攻击分析(Targeted Attack Analytics, TAA)则正是应对高级威胁防护(ATP)的解决方案。
TAA分为三大步:收集数据、创建数据库、分析数据,而且每一步都考虑到了企业的需求。
在收集数据的过程中,对整个企业的活动进行扫描,而不是针对某几个点进行;同时对数据增加保护,确保用户的隐私性;而在数据库方面,赛门铁克将自己的数据库迁移到亚马逊AWS上,从而获取了强大的存储以及计算能力,已经做到6PB数据的收集以及每秒12万安全事件的更新,并能在亚秒级内查询10,000个指标。
赛门铁克的TAA有下面四个特点:
1.传统的检测方式,主要基于沙盒、异常行为检测、威胁情报等技术,对企业而言,成本很高。而赛门铁克将TAA技术融入到自身原本的ATP解决方案中,可以提供更加完善的保护措施。
2.传统检测仅对可疑构建进行孤立扫描。这样的方式有一个主要缺陷:恶意的行为以及文件完全可能伪装成正常的文件、行为,从而瞒过检测。而TAA对整个企业内的活动进行扫描,无论好坏都尽在掌握,更大限度地通过行为进行检测,获取更多的情报,应对更为复杂的攻击和伪装。
3.TAA在云端运用高级人工智能,可以自动适应新型攻击手段,能赶上攻击者的攻击进化。另一方面,由于大量的攻击来自有组织的攻击团体,那么数个不同的攻击之间必然会存在一定的联系。
传统检测方式仅限于单个客户与控制点,因此无法对全局进行提前的预判与防御。而TAA又过亿控制点,同时在确保用户隐私的情况下进行跨客户的保护,对全局中发生的事件了如指掌。TAA可以针对攻击的轨迹、方式,在不同事件中找出相关性,对来自相同组织的攻击或者行为类似的攻击进行全局的预判,帮助企业在更高、更广的角度应对威胁。
4.传统检测一直被诟病的两大问题在于告警和响应:由于告警的准确性问题,在产生大量告警的同时,会有很多的误判;造成的一个结果就是真实的攻击事件会被大量的误判告警所淹没,企业无法对告警进行正确的处理,从而错过了对真正攻击事件的响应。而TAA技术则能帮助企业查找到实际的攻击,而非仅仅可疑的事件,帮助企业有的放矢地解决攻击。
赛门铁克自启用TAA以来,共检测发现1,400个安全事件,其中不乏有Dragonfly2.0、Thrip、Treehopper等典型攻击。由于TAA对Dragonfly2.0的发现,让第一次意识到攻击者能够操控电力系统的运营。
TAA目前在云端运行,利用赛门铁克设备的可视性及及其所有资源,有效防御APT。
原文发布时间为:2018-06-7
本文作者:星云
