【51CTO.com原創稿件】近日，網絡安全廠商賽門鐵克宣布，其頂尖研究團隊所使用的強大的威脅監測技術將面向高級威脅防護(ATP)解決方案客戶開放，以幫助企業識別當下最具威脅性的網絡攻擊。

據賽門鐵克華東及華南區售前經理王景普向51CTO記者介紹，賽門鐵克針對性攻擊分析(Targeted Attack Analytics，簡稱：TAA)技術能夠幫助采用高級威脅防御(ATP)解決方案的用戶，通過利用先進的機器學習，自動發現入侵企業網絡的最具威脅性的針對性攻擊。

賽門鐵克華東及華南區售前經理王景普

以破壞為目標的針對性攻擊激增

針對性攻擊是當下威脅企業安全的主要攻擊方式之一。它們常常隱藏在安全系統所生成的大量警示之下，讓攻擊者有時間入侵企業系統，盜取寶貴的數據。根據賽門鐵克第23期《互聯網安全威脅報告》顯示，以破壞為目標的針對性攻擊正逐年激增。

“針對性攻擊組織的數量正在逐年增加。在2017年，賽門鐵克共監測到140個有組織性的針對性攻擊組織，較2016年，新增了19個攻擊組織。盡管這些針對性攻擊組織具有不同的動機和目標，但是常見動機有三種：情報收集、破壞、金錢牟利，其中占比最高的為情報收集。” 王景普表示：“關于針對性攻擊組織的攻擊手段，據有關數據顯示，最常見的方式就是網絡釣魚。70%的針對性攻擊利用了最常用的攻擊手段——魚叉式網絡釣魚來感染計算機。反而零日漏洞作為攻擊手段被逐漸舍棄。其次是水坑式攻擊，再次是木馬化的軟件更新和網絡服務器利用。”

為什么針對性攻擊組織的攻擊手段大量使用網絡釣魚？王景普向記者分析道，這與人們的工作方式有著密切關系。通常在用手機接收郵件時，我們只能看到名字，但通常第一眼看不到域名，這一點往往就會被黑客所利用。因為郵件是企業員工在使用便攜設備和智能終端時最常見的一個應用，同時也能接觸到企業相關數據。通常情況下，員工一看是公司內部同事或者相識的發件人名稱，就會放松警惕，點開郵件，但這些發件人的地址極有可能是黑客假冒的。因此大量移動設備的使用與人們的警惕性放松，是導致釣魚成功比例非常高的重要原因之一。黑客可能會通過通知重置用戶名和密碼，或下載某軟件等其他和日常工作生活相關的理由，獲取用戶的信任，因此釣魚的成功率非常高，在所有方式中占的比重非常大。

“過去3年，每個針對性攻擊組織平均攻擊過42個企業，平均攻擊過65個個人。數據顯示，一次攻擊中，攻擊組織最高可以使用18個工具，平均每個組織使用過4個惡意工具，這意味著攻擊組織在發動攻擊時會同時使用多種方式，他們了解現在大多數企業，多多少少都會采取安全防護措施，所以一個工具往往無法直接達成目標。”王景普如是說。

賽門鐵克推出針對性分析工具TAA技術

賽門鐵克此次推出的TAA技術可以識別真正的針對性攻擊活動，對其進行優先級劃分，并向安全團隊發送可靠的事件報告，從而消除大量警示帶來的干擾。

TAA技術是賽門鐵克攻擊調查團隊和賽門鐵克從事前沿機器學習研究的頂級安全數據科學家所組成的團隊共同研發的技術，前者曾發現Stuxnet和Regin惡意軟件，并發現了SWIFT和WannaCry攻擊事件均與Lazarus黑客組織有關。

與傳統解決方案不同，TAA技術汲取了全球領先安全專家的智慧，將相關流程、知識和功能進行整合，并轉化成人工智能，為公司提供精英級“虛擬分析師”，避免安全專家將時間浪費在篩選誤報中，從而將有限的時間和資源投入到最為關鍵的攻擊。

與傳統的檢測技術相比，TAA有哪些優勢呢?對此，王景普表示，對這些攻擊、惡意程序、惡意代碼等的傳統檢測方式和TAA對比，主要有幾點不同，詳見下圖：

現在很多企業防攻擊或未知危險時會大量使用到沙盒等產品和技術，再加上異常檢測等，用戶需要承擔的事情是非常龐大的，比如大量的分析檢測都是企業自己來做。而賽門鐵克的分析工具可幫用戶在云端完成這些事情，并把輸出結果給企業使用就可以了，這是跟傳統的不同的。

另外，過去往往會孤立掃描一個文件是否存在問題，或者說單看某一時間點或某一短期內時間段的網絡流量，這個被稱為單獨掃描。但賽門鐵克的檢測和掃描會涉及到整個企業內部所有的活動，無論好壞，無論是終端活動還是網絡流量，都可以進行分析。

TAA技術使用機器學習技術，對賽門鐵克全球規模最大的威脅情報網絡所收集的系統與網絡遙測數據進行分析，所有數據均來自于賽門鐵克的全球客戶群。這項技術是一項基于云的技術，無需更新產品，僅通過定期的重新訓練和更新分析，便可檢測新型攻擊手段。這種新技術能夠幫助ATP解決方案用戶自動檢測針對性攻擊威脅，識別其他解決方案無法識別的復雜攻擊。

“賽門鐵克最大的優勢在于我們擁有跨數億控制點和龐大的客戶群，我們所收集的數據量、廣大的客戶群體，廣大的分析樣本，相比一個客戶來講是大很多的，所以分析效果也會很精準。因為就算分析的算法、引擎再好，如果樣本不夠大，不具備典型性，分析出來的和輸出的結果也不會太好。” 王景普說。

賽門鐵克TAA技術的基礎技術與用于發現Dragonfly 2.0的工具集相同。Dragonfly 2.0攻擊通過入侵受害者的運營網絡，對數十家能源企業發動了大范圍攻擊。自成功研發以來，賽門鐵克TAA技術已經幫助超過1,400家企業成功檢測到安全威脅。

賽門鐵克公司大中華區首席運營官羅少輝表示：“盡管賽門鐵克擁有強大的遙測技術和海量數據，能夠幫助企業發現針對性攻擊的警告信號。但目前，業內尚沒有相應的技術來快速分析，并對數據進行編碼。憑借TAA技術，賽門鐵克能夠將領先研究團隊的智慧與高級機器學習功能相結合，幫助客戶自動識別威脅，并立即采取行動。”

TAA技術現已集成至賽門鐵克高級威脅防護(ATP)解決方案，并作為集成式網絡防護平臺中的功能為用戶提供安全防護。

那么，究竟什么樣的企業用戶才能使用這項分析技術呢？記者了解到，如果原來已經安裝了賽門鐵克的SEP終端防護軟件，也使用了ATP高級威脅防護設備的用戶，就可以直接使用針對性攻擊分析產品。如果用戶是以前買的操作系統，則要升級到新的版本。如果企業沒有這兩個設備，則需要購買，因此至少這兩個終端的和網絡有了之后才可以享受TAA分析的報告。

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】