賽門鐵克如何用TAA搞定APT？

當下的網路環境情況中，大量企業面對針對性攻擊組織的威脅。根據賽門鐵克的報告，在去年一年中，有71%的針對性攻擊利用了魚叉式網路釣魚。而在過去三年里，每個攻擊組織平均攻擊過42家企業、65個個人。可以說，涉及到關鍵基礎設施的企業都必須為針對性的APT攻擊做好準備。賽門鐵克的針對性攻擊分析（Targeted Attack Analytics, TAA）則正是應對高級威脅防護（ATP）的解決方案。

TAA分為三大步：收集數據、創建資料庫、分析數據，而且每一步都考慮到了企業的需求。

在收集數據的過程中，對整個企業的活動進行掃描，而不是針對某幾個點進行；同時對數據增加保護，確保用戶的隱私性；而在資料庫方面，賽門鐵克將自己的資料庫遷移到亞馬遜AWS上，從而獲取了強大的存儲以及計算能力，已經做到6PB數據的收集以及每秒12萬安全事件的更新，並能在亞秒級內查詢10,000個指標。

賽門鐵克的TAA有下面四個特點：

1.傳統的檢測方式，主要基於沙盒、異常行為檢測、威脅情報等技術，對企業而言，成本很高。而賽門鐵克將TAA技術融入到自身原本的ATP解決方案中，可以提供更加完善的保護措施。

2.傳統檢測僅對可疑構建進行孤立掃描。這樣的方式有一個主要缺陷：惡意的行為以及文件完全可能偽裝成正常的文件、行為，從而瞞過檢測。而TAA對整個企業內的活動進行掃描，無論好壞都盡在掌握，更大限度地通過行為進行檢測，獲取更多的情報，應對更為複雜的攻擊和偽裝。

3.TAA在雲端運用高級人工智慧，可以自動適應新型攻擊手段，能趕上攻擊者的攻擊進化。另一方面，由於大量的攻擊來自有組織的攻擊團體，那麼數個不同的攻擊之間必然會存在一定的聯繫。

傳統檢測方式僅限於單個客戶與控制點，因此無法對全局進行提前的預判與防禦。而TAA又過億控制點，同時在確保用戶隱私的情況下進行跨客戶的保護，對全局中發生的事件了如指掌。TAA可以針對攻擊的軌跡、方式，在不同事件中找出相關性，對來自相同組織的攻擊或者行為類似的攻擊進行全局的預判，幫助企業在更高、更廣的角度應對威脅。

4.傳統檢測一直被詬病的兩大問題在於告警和響應：由於告警的準確性問題，在產生大量告警的同時，會有很多的誤判；造成的一個結果就是真實的攻擊事件會被大量的誤判告警所淹沒，企業無法對告警進行正確的處理，從而錯過了對真正攻擊事件的響應。而TAA技術則能幫助企業查找到實際的攻擊，而非僅僅可疑的事件，幫助企業有的放矢地解決攻擊。

賽門鐵克自啟用TAA以來，共檢測發現1,400個安全事件，其中不乏有Dragonfly2.0、Thrip、Treehopper等典型攻擊。由於TAA對Dragonfly2.0的發現，讓第一次意識到攻擊者能夠操控電力系統的運營。

TAA目前在雲端運行，利用賽門鐵克設備的可視性及及其所有資源，有效防禦APT。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！