【51CTO.com原創(chuàng)稿件】近日，網(wǎng)絡(luò)安全廠商賽門鐵克宣布，其頂尖研究團(tuán)隊(duì)所使用的強(qiáng)大的威脅監(jiān)測(cè)技術(shù)將面向高級(jí)威脅防護(hù)(ATP)解決方案客戶開放，以幫助企業(yè)識(shí)別當(dāng)下最具威脅性的網(wǎng)絡(luò)攻擊。

據(jù)賽門鐵克華東及華南區(qū)售前經(jīng)理王景普向51CTO記者介紹，賽門鐵克針對(duì)性攻擊分析(Targeted Attack Analytics，簡(jiǎn)稱：TAA)技術(shù)能夠幫助采用高級(jí)威脅防御(ATP)解決方案的用戶，通過利用先進(jìn)的機(jī)器學(xué)習(xí)，自動(dòng)發(fā)現(xiàn)入侵企業(yè)網(wǎng)絡(luò)的最具威脅性的針對(duì)性攻擊。

賽門鐵克華東及華南區(qū)售前經(jīng)理王景普

以破壞為目標(biāo)的針對(duì)性攻擊激增

針對(duì)性攻擊是當(dāng)下威脅企業(yè)安全的主要攻擊方式之一。它們常常隱藏在安全系統(tǒng)所生成的大量警示之下，讓攻擊者有時(shí)間入侵企業(yè)系統(tǒng)，盜取寶貴的數(shù)據(jù)。根據(jù)賽門鐵克第23期《互聯(lián)網(wǎng)安全威脅報(bào)告》顯示，以破壞為目標(biāo)的針對(duì)性攻擊正逐年激增。

“針對(duì)性攻擊組織的數(shù)量正在逐年增加。在2017年，賽門鐵克共監(jiān)測(cè)到140個(gè)有組織性的針對(duì)性攻擊組織，較2016年，新增了19個(gè)攻擊組織。盡管這些針對(duì)性攻擊組織具有不同的動(dòng)機(jī)和目標(biāo)，但是常見動(dòng)機(jī)有三種：情報(bào)收集、破壞、金錢牟利，其中占比最高的為情報(bào)收集。” 王景普表示：“關(guān)于針對(duì)性攻擊組織的攻擊手段，據(jù)有關(guān)數(shù)據(jù)顯示，最常見的方式就是網(wǎng)絡(luò)釣魚。70%的針對(duì)性攻擊利用了最常用的攻擊手段——魚叉式網(wǎng)絡(luò)釣魚來感染計(jì)算機(jī)。反而零日漏洞作為攻擊手段被逐漸舍棄。其次是水坑式攻擊，再次是木馬化的軟件更新和網(wǎng)絡(luò)服務(wù)器利用。”

為什么針對(duì)性攻擊組織的攻擊手段大量使用網(wǎng)絡(luò)釣魚？王景普向記者分析道，這與人們的工作方式有著密切關(guān)系。通常在用手機(jī)接收郵件時(shí)，我們只能看到名字，但通常第一眼看不到域名，這一點(diǎn)往往就會(huì)被黑客所利用。因?yàn)猷]件是企業(yè)員工在使用便攜設(shè)備和智能終端時(shí)最常見的一個(gè)應(yīng)用，同時(shí)也能接觸到企業(yè)相關(guān)數(shù)據(jù)。通常情況下，員工一看是公司內(nèi)部同事或者相識(shí)的發(fā)件人名稱，就會(huì)放松警惕，點(diǎn)開郵件，但這些發(fā)件人的地址極有可能是黑客假冒的。因此大量移動(dòng)設(shè)備的使用與人們的警惕性放松，是導(dǎo)致釣魚成功比例非常高的重要原因之一。黑客可能會(huì)通過通知重置用戶名和密碼，或下載某軟件等其他和日常工作生活相關(guān)的理由，獲取用戶的信任，因此釣魚的成功率非常高，在所有方式中占的比重非常大。

“過去3年，每個(gè)針對(duì)性攻擊組織平均攻擊過42個(gè)企業(yè)，平均攻擊過65個(gè)個(gè)人。數(shù)據(jù)顯示，一次攻擊中，攻擊組織最高可以使用18個(gè)工具，平均每個(gè)組織使用過4個(gè)惡意工具，這意味著攻擊組織在發(fā)動(dòng)攻擊時(shí)會(huì)同時(shí)使用多種方式，他們了解現(xiàn)在大多數(shù)企業(yè)，多多少少都會(huì)采取安全防護(hù)措施，所以一個(gè)工具往往無法直接達(dá)成目標(biāo)。”王景普如是說。

賽門鐵克推出針對(duì)性分析工具TAA技術(shù)

賽門鐵克此次推出的TAA技術(shù)可以識(shí)別真正的針對(duì)性攻擊活動(dòng)，對(duì)其進(jìn)行優(yōu)先級(jí)劃分，并向安全團(tuán)隊(duì)發(fā)送可靠的事件報(bào)告，從而消除大量警示帶來的干擾。

TAA技術(shù)是賽門鐵克攻擊調(diào)查團(tuán)隊(duì)和賽門鐵克從事前沿機(jī)器學(xué)習(xí)研究的頂級(jí)安全數(shù)據(jù)科學(xué)家所組成的團(tuán)隊(duì)共同研發(fā)的技術(shù)，前者曾發(fā)現(xiàn)Stuxnet和Regin惡意軟件，并發(fā)現(xiàn)了SWIFT和WannaCry攻擊事件均與Lazarus黑客組織有關(guān)。

與傳統(tǒng)解決方案不同，TAA技術(shù)汲取了全球領(lǐng)先安全專家的智慧，將相關(guān)流程、知識(shí)和功能進(jìn)行整合，并轉(zhuǎn)化成人工智能，為公司提供精英級(jí)“虛擬分析師”，避免安全專家將時(shí)間浪費(fèi)在篩選誤報(bào)中，從而將有限的時(shí)間和資源投入到最為關(guān)鍵的攻擊。

與傳統(tǒng)的檢測(cè)技術(shù)相比，TAA有哪些優(yōu)勢(shì)呢?對(duì)此，王景普表示，對(duì)這些攻擊、惡意程序、惡意代碼等的傳統(tǒng)檢測(cè)方式和TAA對(duì)比，主要有幾點(diǎn)不同，詳見下圖：

現(xiàn)在很多企業(yè)防攻擊或未知危險(xiǎn)時(shí)會(huì)大量使用到沙盒等產(chǎn)品和技術(shù)，再加上異常檢測(cè)等，用戶需要承擔(dān)的事情是非常龐大的，比如大量的分析檢測(cè)都是企業(yè)自己來做。而賽門鐵克的分析工具可幫用戶在云端完成這些事情，并把輸出結(jié)果給企業(yè)使用就可以了，這是跟傳統(tǒng)的不同的。

另外，過去往往會(huì)孤立掃描一個(gè)文件是否存在問題，或者說單看某一時(shí)間點(diǎn)或某一短期內(nèi)時(shí)間段的網(wǎng)絡(luò)流量，這個(gè)被稱為單獨(dú)掃描。但賽門鐵克的檢測(cè)和掃描會(huì)涉及到整個(gè)企業(yè)內(nèi)部所有的活動(dòng)，無論好壞，無論是終端活動(dòng)還是網(wǎng)絡(luò)流量，都可以進(jìn)行分析。

TAA技術(shù)使用機(jī)器學(xué)習(xí)技術(shù)，對(duì)賽門鐵克全球規(guī)模最大的威脅情報(bào)網(wǎng)絡(luò)所收集的系統(tǒng)與網(wǎng)絡(luò)遙測(cè)數(shù)據(jù)進(jìn)行分析，所有數(shù)據(jù)均來自于賽門鐵克的全球客戶群。這項(xiàng)技術(shù)是一項(xiàng)基于云的技術(shù)，無需更新產(chǎn)品，僅通過定期的重新訓(xùn)練和更新分析，便可檢測(cè)新型攻擊手段。這種新技術(shù)能夠幫助ATP解決方案用戶自動(dòng)檢測(cè)針對(duì)性攻擊威脅，識(shí)別其他解決方案無法識(shí)別的復(fù)雜攻擊。

“賽門鐵克最大的優(yōu)勢(shì)在于我們擁有跨數(shù)億控制點(diǎn)和龐大的客戶群，我們所收集的數(shù)據(jù)量、廣大的客戶群體，廣大的分析樣本，相比一個(gè)客戶來講是大很多的，所以分析效果也會(huì)很精準(zhǔn)。因?yàn)榫退惴治龅乃惴?、引擎再好，如果樣本不夠大，不具備典型性，分析出來的和輸出的結(jié)果也不會(huì)太好。” 王景普說。

賽門鐵克TAA技術(shù)的基礎(chǔ)技術(shù)與用于發(fā)現(xiàn)Dragonfly 2.0的工具集相同。Dragonfly 2.0攻擊通過入侵受害者的運(yùn)營(yíng)網(wǎng)絡(luò)，對(duì)數(shù)十家能源企業(yè)發(fā)動(dòng)了大范圍攻擊。自成功研發(fā)以來，賽門鐵克TAA技術(shù)已經(jīng)幫助超過1,400家企業(yè)成功檢測(cè)到安全威脅。

賽門鐵克公司大中華區(qū)首席運(yùn)營(yíng)官羅少輝表示：“盡管賽門鐵克擁有強(qiáng)大的遙測(cè)技術(shù)和海量數(shù)據(jù)，能夠幫助企業(yè)發(fā)現(xiàn)針對(duì)性攻擊的警告信號(hào)。但目前，業(yè)內(nèi)尚沒有相應(yīng)的技術(shù)來快速分析，并對(duì)數(shù)據(jù)進(jìn)行編碼。憑借TAA技術(shù)，賽門鐵克能夠?qū)㈩I(lǐng)先研究團(tuán)隊(duì)的智慧與高級(jí)機(jī)器學(xué)習(xí)功能相結(jié)合，幫助客戶自動(dòng)識(shí)別威脅，并立即采取行動(dòng)。”

TAA技術(shù)現(xiàn)已集成至賽門鐵克高級(jí)威脅防護(hù)(ATP)解決方案，并作為集成式網(wǎng)絡(luò)防護(hù)平臺(tái)中的功能為用戶提供安全防護(hù)。

那么，究竟什么樣的企業(yè)用戶才能使用這項(xiàng)分析技術(shù)呢？記者了解到，如果原來已經(jīng)安裝了賽門鐵克的SEP終端防護(hù)軟件，也使用了ATP高級(jí)威脅防護(hù)設(shè)備的用戶，就可以直接使用針對(duì)性攻擊分析產(chǎn)品。如果用戶是以前買的操作系統(tǒng)，則要升級(jí)到新的版本。如果企業(yè)沒有這兩個(gè)設(shè)備，則需要購(gòu)買，因此至少這兩個(gè)終端的和網(wǎng)絡(luò)有了之后才可以享受TAA分析的報(bào)告。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】