赛门铁克推出针对性攻击分析技术(TAA)，利用机器学习自动发现最具威胁性攻击

【】近日，网络安全厂商赛门铁克宣布，其顶尖研究团队所使用的强大的威胁监测技术将面向高级威胁防护(ATP)解决方案客户开放，以帮助企业识别当下最具威胁性的网络攻击。

据赛门铁克华东及华南区售前经理王景普向记者介绍，赛门铁克针对性攻击分析(Targeted Attack Analytics，简称：TAA)技术能够帮助采用高级威胁防御(ATP)解决方案的用户，通过利用先进的机器学习，自动发现入侵企业网络的最具威胁性的针对性攻击。

赛门铁克华东及华南区售前经理王景普

以破坏为目标的针对性攻击激增

针对性攻击是当下威胁企业安全的主要攻击方式之一。它们常常隐藏在安全系统所生成的大量警示之下，让攻击者有时间入侵企业系统，盗取宝贵的数据。根据赛门铁克第23期《互联网安全威胁报告》显示，以破坏为目标的针对性攻击正逐年激增。

“针对性攻击组织的数量正在逐年增加。在2017年，赛门铁克共监测到140个有组织性的针对性攻击组织，较2016年，新增了19个攻击组织。尽管这些针对性攻击组织具有不同的动机和目标，但是常见动机有三种：情报收集、破坏、金钱牟利，其中占比最高的为情报收集。” 王景普表示：“关于针对性攻击组织的攻击手段，据有关数据显示，最常见的方式就是网络钓鱼。70%的针对性攻击利用了最常用的攻击手段——鱼叉式网络钓鱼来感染计算机。反而零日漏洞作为攻击手段被逐渐舍弃。其次是水坑式攻击，再次是木马化的软件更新和网络服务器利用。”

为什么针对性攻击组织的攻击手段大量使用网络钓鱼？王景普向记者分析道，这与人们的工作方式有着密切关系。通常在用手机接收邮件时，我们只能看到名字，但通常第一眼看不到域名，这一点往往就会被黑客所利用。因为邮件是企业员工在使用便携设备和智能终端时最常见的一个应用，同时也能接触到企业相关数据。通常情况下，员工一看是公司内部同事或者相识的发件人名称，就会放松警惕，点开邮件，但这些发件人的地址极有可能是黑客假冒的。因此大量移动设备的使用与人们的警惕性放松，是导致钓鱼成功比例非常高的重要原因之一。黑客可能会通过通知重置用户名和密码，或下载某软件等其他和日常工作生活相关的理由，获取用户的信任，因此钓鱼的成功率非常高，在所有方式中占的比重非常大。

“过去3年，每个针对性攻击组织平均攻击过42个企业，平均攻击过65个个人。数据显示，一次攻击中，攻击组织最高可以使用18个工具，平均每个组织使用过4个恶意工具，这意味着攻击组织在发动攻击时会同时使用多种方式，他们了解现在大多数企业，多多少少都会采取安全防护措施，所以一个工具往往无法直接达成目标。”王景普如是说。

赛门铁克推出针对性分析工具TAA技术

赛门铁克此次推出的TAA技术可以识别真正的针对性攻击活动，对其进行优先级划分，并向安全团队发送可靠的事件报告，从而消除大量警示带来的干扰。

TAA技术是赛门铁克攻击调查团队和赛门铁克从事前沿机器学习研究的顶级安全数据科学家所组成的团队共同研发的技术，前者曾发现Stuxnet和Regin恶意软件，并发现了SWIFT和WannaCry攻击事件均与Lazarus黑客组织有关。

与传统解决方案不同，TAA技术汲取了全球领先安全专家的智慧，将相关流程、知识和功能进行整合，并转化成人工智能，为公司提供精英级“虚拟分析师”，避免安全专家将时间浪费在筛选误报中，从而将有限的时间和资源投入到最为关键的攻击。

与传统的检测技术相比，TAA有哪些优势呢?对此，王景普表示，对这些攻击、恶意程序、恶意代码等的传统检测方式和TAA对比，主要有几点不同，详见下图：

现在很多企业防攻击或未知危险时会大量使用到沙盒等产品和技术，再加上异常检测等，用户需要承担的事情是非常庞大的，比如大量的分析检测都是企业自己来做。而赛门铁克的分析工具可帮用户在云端完成这些事情，并把输出结果给企业使用就可以了，这是跟传统的不同的。

另外，过去往往会孤立扫描一个文件是否存在问题，或者说单看某一时间点或某一短期内时间段的网络流量，这个被称为单独扫描。但赛门铁克的检测和扫描会涉及到整个企业内部所有的活动，无论好坏，无论是终端活动还是网络流量，都可以进行分析。

TAA技术使用机器学习技术，对赛门铁克全球规模最大的威胁情报网络所收集的系统与网络遥测数据进行分析，所有数据均来自于赛门铁克的全球客户群。这项技术是一项基于云的技术，无需更新产品，仅通过定期的重新训练和更新分析，便可检测新型攻击手段。这种新技术能够帮助ATP解决方案用户自动检测针对性攻击威胁，识别其他解决方案无法识别的复杂攻击。

“赛门铁克最大的优势在于我们拥有跨数亿控制点和庞大的客户群，我们所收集的数据量、广大的客户群体，广大的分析样本，相比一个客户来讲是大很多的，所以分析效果也会很精准。因为就算分析的算法、引擎再好，如果样本不够大，不具备典型性，分析出来的和输出的结果也不会太好。” 王景普说。

赛门铁克TAA技术的基础技术与用于发现Dragonfly 2.0的工具集相同。Dragonfly 2.0攻击通过入侵受害者的运营网络，对数十家能源企业发动了大范围攻击。自成功研发以来，赛门铁克TAA技术已经帮助超过1,400家企业成功检测到安全威胁。

赛门铁克公司大中华区首席运营官罗少辉表示：“尽管赛门铁克拥有强大的遥测技术和海量数据，能够帮助企业发现针对性攻击的警告信号。但目前，业内尚没有相应的技术来快速分析，并对数据进行编码。凭借TAA技术，赛门铁克能够将领先研究团队的智慧与高级机器学习功能相结合，帮助客户自动识别威胁，并立即采取行动。”

TAA技术现已集成至赛门铁克高级威胁防护(ATP)解决方案，并作为集成式网络防护平台中的功能为用户提供安全防护。

那么，究竟什么样的企业用户才能使用这项分析技术呢？记者了解到，如果原来已经安装了赛门铁克的SEP终端防护软件，也使用了ATP高级威胁防护设备的用户，就可以直接使用针对性攻击分析产品。如果用户是以前买的操作系统，则要升级到新的版本。如果企业没有这两个设备，则需要购买，因此至少这两个终端的和网络有了之后才可以享受TAA分析的报告。

【原创稿件，合作站点转载请注明原文作者和出处为.com】