46亿收购了Blue Coat的赛门铁克在终端安全产品上做出了哪些改变?

业界 作者:HackerEye 2016-12-13 02:38:30
今年8月,赛门铁克完成对网站安全及云安全领域的领导者厂商Blue Coat的收购。在这之后不到四个月的时间内,赛门铁克便快速完成了对两家现有的威胁情报资源以及部分产品的整合,并在11月初发布了其最新的终端安全产品SEP 14%e7%bb%88%e7%ab%af%e5%ae%89%e5%85%a8 此次赛门铁克新推出的SEP 14和Blue Coat有哪些结合点?在终端安全领域赛门铁克又加入了哪些新的能力? 基于全球最大的民用威胁情报网络 SEP系列的终端安全产品一直是赛门铁克的强项。此次收购Blue Coat后,这一安全产品背后的基础能力,即更大的实时全球威胁情报网络,以及更多终端和网络中的数据,也得到了显著提升。 Blue Coat实验室下的全球智能中心,基于从全球1.5万企业用户中获取的实时网络流量数据来进行威胁情报的挖掘,并对每日超过12亿的Web请求进行分析以及威胁阻断。据统计,完成收购后的赛门铁克,其智能威胁云将覆盖全球38.5万企业用户,1.75亿个终端。 除了情报资源的整合,Blue Coat的明星产品安全Web网关ProxySG所侦测到的流量数据中的恶意威胁,以及其内嵌的内容分析、恶意软件分析以及邮件威胁防御等高级威胁防护能力,也实现了与SEP14的联动。这使得Web能看到的威胁,终端也能及时做出响应和防护,反之则亦然。这个攻击面就变得很广,网关、邮件、云端、终端都可能被同样的手段发动攻击,这时这个能力就显得尤为重要。 同时,基于其云端的威胁发现能力的极大程度的加强,此次新加入的实时云查找功能,也成为了一大亮点。 传统的终端安全产品是通过下载病毒特征库进行本地更新后,对可疑文件进行排查。而此次的云查找,则可以看做一个“云端”的病毒库,在用户没有条件进行完整病毒库更新以前,同样可以有最全面的安全防护效果。云端的特征码的用途也不再是更高的检出率,而是更低的误报率。同时,本地的病毒库更新文件,其大小和所占用带宽也在SEP14中大幅减少,而这在很大程度上得益于其内置的高级机器学习能力。 高级机器学习与漏洞利用行为检测的加入 基于高级学习的人工智能,也是此次赛门铁克首次加入到终端安全解决方案中的重要能力。通过庞大的智能威胁情报网络所训练出的高级机器学习模型对可疑文件的判断和过滤的预执行检测结果更为精准;同时,终端通过机器学习检测到的可疑内容,也会被送至云端,与赛门铁克云端的的黑/白名单数据库做比较,并将结果转化为威胁情报,服务于其它使用赛门铁克安全产品的企业。 更为精准的机器学习能力的加入,使得本地可以检测出更多的入侵威胁,也大大减少了云端云查询所需要检测的数据量,这也是实时云查找更为快速的重要原因之一。 即使在诸如工控等较为封闭网络环境下,无法使用云查找和病毒库的更新,机器学习能力也可以有效的防止恶意软件变种的攻击。但是,因为机器学习的检测基于文件,感染已经发生这一事实已无法避免,所以只能算是一种事中的检测手段。但这一点,也可以通过对内存的漏洞利用行为的监控有效予以弥补。这也是目前终端安全厂商对零日攻击或者工控网络中的威胁发现等场景下最为行之有效的防御思路。之前在安全牛关于Sophos的Intercept X,以及Palo Alto Networks的Traps的报道中都有这种防御思路的介绍,这里就不做多余赘述。 简而言之,在无恶意文件签名可检测,机器学习模型也无法做出定性判断的情况下,在操作系统层面,对可数的内存漏洞攻击行为进行针对性的监控和布防,并最终粉碎攻击者试图获取系统最高权限的意图,是这种技术的主要思路。 除此以外,此次SEP14还加入了一个名为“仿真”的类沙盒功能,其反逃避技术将用于检测已知恶意软件的变种。 更快的响应 赛门铁克对此次SEP14的定位,除了更出色的多层次保护能力,以及因为机器学习的加入和开发概念的变更而实现的轻量级和高性能外,更方便的集成以及更快的协调响应速度,也是此次SEP14的重要特点。 在响应能力方面,除了对Blue Coat原有网关和云安全产品的强耦合集成支持外,通过SEP 管理器的API接口,SEP 14也可以和SIEM类的安全管理平台进行集成后的协调响应,并通过将终端捕捉到的威胁数据反馈到此类管理平台,来实现和更多网络或安全设备的更高层面的防护联动。 sep14new-tec 安全牛评 在终端安全已不再孤立的今天,下一代终端安全产品和终端检测响应(EDR)方案的出现,要求我们在面对更为复杂的黑客攻击时,拥有多场景下的更快速有效的防护,以及更多更快的响应能力。在网络层面被黑客成功突破只是时间和成本的问题,终端已经成为了我们最容易被攻击的突破点和最后的防线。此次赛门铁克SEP 14作为单个产品,整合了多项下一代终端防护技术的同时,结合其收购Blue Coat后更为强大的云端安全能力作为支撑,不仅降低了企业总成本和端点复杂性,也让运维人员从纷繁复杂的安全工具中得到一定程度的“解脱”。而这可能对企业用户来讲这才是其最大的价值所在。

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接