針對端點未知威脅的偵測與反制,Symantec推出Advanced Threat Protection:Endpoint(ATP:Endpoint),強調與自家的企業防毒軟體Symantec Endpoint Protection(SEP)高度整合,對於已經採用這款防毒軟體的企業來說,能在既有的端點部署中,加入未知威脅的偵測與阻擋能力。
而Symantec不只提供端點未知威脅的偵測功能,也針對網頁安全與電子郵件,分別推出ATP:Network與ATP:Email等模組。ATP:Endpoint與這些模組,皆可個別獨立購買,而對於企業而言,只需架設一臺ATP伺服器即可使用這3個模組,這些防護功能也可在同一個介面下管理,不像多數進階威脅系列解決方案,對於端點、網路與電子郵件的防護,各自獨立運作。
不過,這些ATP模組都必須搭配指定的產品,才能使用。導入ATP:Endpoint或ATP:Network時,端點防毒軟體需採用SEP,而ATP:Email則要與電子郵件閘道服務Email Security.cloud配合,提供電子郵件進階的未知威脅偵測能力。
在端點的偵測功能是由ATP:Endpoint模組負責,儘管必須搭配SEP才能運作,但目前該產品只支援Windows平臺,不能在採用Linux與macOS等作業系統的SEP端點電腦中使用。此外,對於管理者來說,這兩個產品的管理平臺尚未彼此整合,還是必須在ATP與SEP的管理平臺之間分別控管與設定,較為美中不足。
這套ATP:Endpoint在5至24人的環境下,每人每年的費用為1,925元(未稅),而在與其搭配的防毒軟體SEP當中,基於上述同樣的使用規模下,標準版每人每年的費用則是2,060元(未稅),因此,每個ATP:Endpoint含SEP防毒軟體每年價格約為4,000元,與其他產品比較起來,算是相當便宜的方案。
總覽網路流量與零時差攻擊數量的儀表板
針對所有端點的狀態統計,Symantec ATP:Endpoint提供3大指標,分別是網路流量、零時差攻擊,以及受感染的端點電腦數量統計,供管理者快速得知企業內部端點的狀態,而在上方,則是對於系統運作,顯示ATP閘道的處理器、記憶體等可用資源訊息。
針對威脅事件,提供端點、檔案與網路之間的關係圖,並能快速隔離
我們在登入ATP的管理介面後,首先,可以透過儀表板,得知目前企業內部的環境,包含網路的動態、發現的零時差威脅數量,以及遭受影響的端點電腦與使用者數量。管理者可在儀表板中的圖表,對於系統提供的資料,往下探索更為詳細的事件記錄。只是,這套產品的偵測政策設定,只提供檔案的黑名單與白名單列管,管理者能自行調整的部分實在不多。
如果是管理者想針對特定的檔案名稱、MD5值、路徑等資訊,進行調查,也能經由搜尋功能,找尋存在同樣資料的端點電腦。
而對於單一事件的統整,ATP:Endpoint採用動態攻擊鏈的方式,呈現與有關的端點電腦、檔案、網站等,依據其關係顯示,相當視覺化。例如,在一臺電腦上,使用者從網站上下載了具有惡意攻擊行為的檔案,執行後產生的一連串不尋常處理程序的記錄,或是連線到特定中繼站等情況,ATP:Endpoint便會彙整為事件,通報管理者。
再者,當管理者接收到資安通報時,很可能會想要得知有那些電腦遭受攻擊,此時,就能透過管理平臺的搜尋功能,找出擁有相同惡意程式檔案的端點電腦,並進行隔離等措施。
不過,當我們把疑似為惡意軟體的檔案送到雲端沙箱Cynic執行進階分析後,ATP:Endpoint會以文字逐項敘述呈現惡意軟體和電腦、檔案、網路之間的行為關連,如果ATP:Endpoint能像原本把多筆記錄彙整成完整的事件時,同樣以關係圖來呈現雲端沙箱Cynic分析的結果,或許管理者在檢視上會更能了解其攻擊途徑。而實際上,如果兩者能夠隨時切換檢視會更好。
閘道建置方式多元,提供專用硬體設備,亦支援於虛擬化平臺部署
基本上,ATP採用伺服器與SEP端點的主從式架構,企業想要架設ATP伺服器,可選擇購買專屬的實體設備,或是直接在VMware ESXi虛擬化平臺中,匯入OVF檔案快速建置(若需要進階的部署設定,原廠也提供ISO安裝映像檔案),是本次測試的產品中,少數同時擁有硬體設備與軟體建置選項的解決方案。
只是, ATP伺服器必須於VMware ESXi 5.5以上版本的虛擬化平臺建置,不像其他同類型的軟體產品,普遍能夠支援多種虛擬化平臺,若企業採用Hyper-V或其他平臺,可能還是得考慮購買硬體。
此外,相較於其他以軟體形式提供的產品,ATP所需的記憶體門檻較高,ATP最低的系統需求是4個處理器核心、32GB記憶體,以及500GB儲存空間,在本次能採用企業自有設備部署的解決方案中,記憶體的基本需求是其他產品的2至4倍之多。
Symantec ATP:Endpoint特色總覽
在Symantec的解決方案中,他們採取極為圖像化的呈現手法,將有問題的檔案、關連的電腦端點等資源連接成關係圖顯示,因此,管理者可立即得知單一事件中受到牽連的端點電腦,並以右鍵選單執行封鎖,或是查看詳細資訊等後續調查工作。
以攻擊鏈連結端點和惡意軟體
在攻擊事件中,ATP提供管理者能夠總覽所有受害端點,以及檔案或是網站之間的關連。管理者則能對疑似有問題的檔案,執行如圖中顯示的回應措施,包含加入黑白名單、隔離、顯示擁有這個檔案的端點電腦清單等。
提供單一檔案鑑識詳細資訊
在ATP中,管理者也能依據檔案名稱進行調查,系統列出可能含有的惡意病毒之外,也協助管理綜覽,像是與這個檔案的威脅種類、信譽評等、有關的行為記錄與攻擊事件,以及受影響的端點PC數量等。
可由雲端沙箱進行檔案深度檢測
針對可疑檔案的調查,ATP提供可送交VirusTotal,或是Cynic 雲端沙箱進行檢測,若由後者檢測,結果便會如圖顯示可疑檔案執行路徑、所產生的檔案,以及會修改系統那些設定和登錄檔等,供管理者調查其相關行為。
產品資訊
Advanced Threat Protection: Endpoint
● 原廠:Symantec(02)8726-2000
● 建議售價:5至24個使用者環境下,每人每年的費用為1,925元(未稅)
● 伺服器部署形式:實體設備、軟體部署
● 管理功能:端點AD整合、報表輸出、警示通知
● 政策設定:檔案黑名單與白名單
● 支援端點平臺:Windows XP、Windows 7~10、Windows Server
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】