當前位置：安全 → 行業動態 → 正文

賽門鐵克宣稱其終端防護產品已超越所有競爭者

責任編輯：editor004 作者：qniu |來源：企業網D1Net 2017-10-30 11:24:25 本文摘自：安全牛

賽門鐵克最新發布的SEP 14.1，在其去年引入的無特征碼機器學習惡意軟件檢測基礎上，添加了新的功能，并集成了其他賽門鐵克安全解決方案。其目的，是為了在單一代理中，為終端提供端到端的防護。

　　其新增功能包括：

欺騙與設備強化；

與新版本賽門鐵克終端檢測及響應的集成；

2017年7月收購Skycure后新并入的移動威脅防御。

欺騙是SEP中的新面孔，就是在環境中部署欺騙器——誘餌文件、文件夾和注冊表。欺騙器被設計成在成功進入系統的攻擊者看來很有價值；但其實從里面得不到任何結果。其理念就是要吸引攻擊者，讓他在徒勞的尋找中拖慢腳步，并警報安全團隊入侵者的存在。

賽門鐵克產品市場營銷總監解釋稱：

安全團隊可通過觀察對手的行動來學習——他們會怎樣顯現自己的惡意軟件。然后，防御者就能緩解攻擊，并在其安全態勢中加入新的理解，以便防止未來類似的攻擊。

賽門鐵克是傳統終端安全供應商中首家在終端產品中集成進欺騙技術的。“這意味著，我們為勒索軟件和零日漏洞利用攻擊，提供了多層防御，我們提升了客戶的整體安全態勢。”

如果有欺騙器觸發并警報了安全團隊，這意味著攻擊已經發生。新集成的終端檢測響應(EDR)產品（高級威脅防護，或者說 ATP 3.0），便可進場幫助進行事件響應。

該終端產品將會識別出有壞人正試圖破壞某個欺騙器，并會通過一組被觸發的描述性警報，通告安全運營中心(SOC)攻擊者破壞欺騙器文件的方式。這有助于安全團隊理解對手的意圖。

比如說，系統中有沒有什么沒打上補丁的漏洞？這是種主動防御機制，能幫客戶檢測并響應實際發生，但可能到目前為止都尚未為人所知的入侵。

首先，欺騙功能檢測隱秘攻擊的存在。其次，它會告訴安全團隊攻擊者試圖做什么，哪些系統文件是他們想要染指的等等（提供額外的情報以調整安全姿態，清除當前攻擊和以后的類似攻擊）。再次，它能大幅拖慢攻擊，讓安全團隊可以采取行動。

然后，與EDR的集成，可驅動事件響應員收集正在進行的漏洞利用的相關數據，為鎖定泄露源提供額外信息。欺騙功能與EDR及賽門鐵克分析的集成，可向防御者呈現入侵的端到端視圖，確保有效響應。

與新的 ATP 3.0 EDR搭檔推出的，是新的EDR云產品——功能相同，但以云端SaaS的形式提供。該云產品不局限于賽門鐵克終端環境，混合環境的客戶同樣可用。該產品會記錄終端活動，收集可用于查找無文件攻擊之類新型攻擊的數據。通過預置事件響應手冊，將最老練安全分析師的技術和最佳實踐帶往任何公司企業，大幅降低響應成本，提升調查人員的生產力。

設備強化是SEP 14的新增擴展。該功能可使客戶鎖定已知良好應用，監視不怎么熟悉的App，隔離可疑應用——其應用隔離功能。每個App都會被評估并給出風險評分。賽門鐵克已擁有號稱“全球最大民用黑名單及白名單數據庫”。Office套裝這種重要應用將受到保護，免受未修復零日漏洞利用的傷害。灰色App將受到監視，以便可阻止通過這些App下載的文件。賽門鐵克將之稱為“城堡與監獄”，好App放到城堡中受保護，可疑App送進監獄，其所作所為都將受到監控。