CPU漏洞的Symantec解決之道（湖北國(guó)菱聯(lián)整理）

來(lái)源：荊州松滋軟件開(kāi)發(fā) 荊州松滋網(wǎng)站建設(shè) 荊州松滋網(wǎng)絡(luò)安全 時(shí)間：2018-01-30

1. 前言
   1月4日，國(guó)外安全研究機(jī)構(gòu)公布了兩組CPU漏洞，由于漏洞嚴(yán)重而且影響范圍廣泛，引起了全球的關(guān)注，成為2018開(kāi)年以來(lái)第一個(gè)信息安全焦點(diǎn)。本文從漏洞背景和原理分析入手，給出Symanec針對(duì)這兩個(gè)漏洞的解決方案，希望能夠幫助讀者不僅僅是理解這兩個(gè)漏洞，更從黑白名單兩種最經(jīng)典的信息安全防護(hù)技術(shù)角度了解symantec的解決方案，避免類似威脅再次發(fā)生。

2. 漏洞背景和原理
   Meltdown（熔斷），應(yīng)對(duì)漏洞CVE-2017-5754；
   Specter（幽靈），對(duì)應(yīng)漏洞CVE-2017-5753/CVE-2017-5715。
   利用Meltdown漏洞，低權(quán)限用戶可以訪問(wèn)內(nèi)核的內(nèi)容，獲取本地操作系統(tǒng)底層的信息。
   當(dāng)用戶通過(guò)瀏覽器訪問(wèn)了包含Spectre惡意利用程序的網(wǎng)站時(shí)， 用戶的如帳號(hào)，密碼，郵箱等個(gè)人隱私信息可能會(huì)被泄漏；在云服務(wù)場(chǎng)景中，利用Spectre可以突破租(用)戶間的隔離，竊取其他租(用)戶的數(shù)據(jù)。
   Meltdown漏洞影響幾乎所有的Intel CPU和部分ARM CPU，而Spectre則影響所有的Intel CPU和AMD CPU，以及主流的ARM CPU。從個(gè)人電腦、服務(wù)器、云計(jì)算機(jī)服務(wù)器到移動(dòng)端的智能手機(jī)，都受到這兩組硬件漏洞的影響。云環(huán)境下的影響更為突出，不過(guò)該漏洞可以導(dǎo)致VM1的用戶訪問(wèn)到VM2的數(shù)據(jù)，但是不能訪問(wèn)到宿主的內(nèi)存數(shù)據(jù)。
   相關(guān)漏洞利用了芯片硬件層面執(zhí)行加速機(jī)制的實(shí)現(xiàn)缺陷實(shí)現(xiàn)側(cè)信道攻擊，可以間接通過(guò)CPU緩存讀取系統(tǒng)內(nèi)存數(shù)據(jù)。在此過(guò)程中，英特爾沒(méi)有很好地將低權(quán)限的應(yīng)用程序與訪問(wèn)內(nèi)核內(nèi)存分開(kāi)，這意味著攻擊者可以使用惡意應(yīng)用程序來(lái)獲取應(yīng)該被隔離的私有數(shù)據(jù)。
   如果要在CPU層面完全彌補(bǔ)這一漏洞，CPU的性能將會(huì)退回2000年以前的水平。
   相關(guān)漏洞主要借助于CPU用來(lái)加速的『分支預(yù)測(cè)』和『亂序執(zhí)行』兩種流水線設(shè)計(jì)。先來(lái)簡(jiǎn)述這兩個(gè)機(jī)制：
   2.1. 分支預(yù)測(cè)
   分支預(yù)測(cè)(Branch Prediction)：從P5時(shí)×××始的一種先進(jìn)的解決處理分支指令（if-then-else）導(dǎo)致流水線失敗的數(shù)據(jù)處理方法，由CPU來(lái)判斷程序分支的進(jìn)行方向，能夠加快運(yùn)算速度。是一種CPU優(yōu)化技術(shù)，CPU會(huì)執(zhí)行一些可能在將來(lái)會(huì)執(zhí)行的任務(wù)。當(dāng)分支指令發(fā)出之后，無(wú)相關(guān)優(yōu)化技術(shù)的處理器，在未收到正確的反饋信息之前，是不會(huì)做任何處理；而具有優(yōu)化技術(shù)能力的新型處理器，可以預(yù)測(cè)即將執(zhí)行的指令，會(huì)預(yù)先處理一些指令所需的數(shù)據(jù)，例如將下一條指令所需 要訪問(wèn)的內(nèi)存提前加載到CPU緩存中，這就避免了執(zhí)行具體指令時(shí)再去讀內(nèi)存，從而加快了CPU的執(zhí)行速度
   流程圖如下：
   

1， CPU要執(zhí)行進(jìn)程1，將該數(shù)據(jù)從內(nèi)存調(diào)入緩存
2， 進(jìn)程1的數(shù)據(jù)從緩存進(jìn)入寄存器
3， 計(jì)算器進(jìn)行運(yùn)算
4， 基于分支預(yù)測(cè)的設(shè)計(jì)，雖然進(jìn)程2和3暫時(shí)還執(zhí)行不到，但是為了加快流水線處理速度控制器會(huì)把進(jìn)程2和3的數(shù)據(jù)加載到緩存
5， 此時(shí)根據(jù)進(jìn)程1的執(zhí)行過(guò)程判斷，結(jié)果為『YES』，進(jìn)程2調(diào)入寄存器進(jìn)而執(zhí)行
6， 根據(jù)判斷結(jié)果進(jìn)程3將不會(huì)得到執(zhí)行，但是已經(jīng)調(diào)入到緩存，CPU也不會(huì)把它清除導(dǎo)致該段內(nèi)存是無(wú)權(quán)限執(zhí)行的
2.2. 亂序執(zhí)行
亂序執(zhí)行（out-of-order execution）：是指CPU允許將多條指令不按程序規(guī)定的順序分開(kāi)發(fā)送給各相應(yīng)電路單元處理的技術(shù)。這樣將根據(jù)各電路單元的狀態(tài)和各指令能否提前執(zhí)行的具體情況分析后，將能提前執(zhí)行的指令立即發(fā)送給相應(yīng)電路

為了加速CPU的處理效果，在設(shè)計(jì)執(zhí)行流程時(shí)可以不按照程序的先進(jìn)先出的順序來(lái)執(zhí)行，這樣將根據(jù)個(gè)電路單元的狀態(tài)和各指令能否提前執(zhí)行的具體情況分析后，將能 提前執(zhí)行的指令立即發(fā)送給相應(yīng)電路單元執(zhí)行，在這期間不按規(guī)定順序執(zhí)行指令，然后由重新排列單元將各執(zhí)行單元結(jié)果按指令順序重新排列。采用亂序執(zhí)行技術(shù)的 目的是為了使CPU內(nèi)部電路滿負(fù)荷運(yùn)轉(zhuǎn)并相應(yīng)提高了CPU的運(yùn)行程序的速度。
一個(gè)類比來(lái)形象理解漏洞是如何泄漏信息的:
1.KFC里賣的有薯?xiàng)l、雞塊、漢堡、可樂(lè)。
2.A去KFC點(diǎn)了個(gè)漢堡，吃完走了。
3.B排在A后面的后面，和點(diǎn)餐服務(wù)員說(shuō)：我要點(diǎn)和A一樣的。
4.點(diǎn)餐服務(wù)員說(shuō)，不好意思您前面還有一位，稍等下，但是后廚聽(tīng)到了，麻溜的做了個(gè)漢堡。
5.輪到B點(diǎn)餐了，點(diǎn)餐服務(wù)員說(shuō)。不能這樣點(diǎn)哦，侵犯別人隱私了！
6.C排在B后面，跟服務(wù)員說(shuō)：我薯?xiàng)l、雞塊、漢堡、可樂(lè)各點(diǎn)一份，餓死了餓死了，哪個(gè)快先把哪個(gè)給我！
7.C先拿到了“漢堡”！
8.C知道了A今天在KFC買(mǎi)了個(gè)漢堡！
CPU漏洞原理圖：

1. 對(duì)于具有預(yù)測(cè)執(zhí)行能力的新型處理器，在實(shí)際CPU執(zhí)行過(guò)程中，后續(xù)指令所需的內(nèi)存加載環(huán)節(jié)不依賴于前序指令是否能夠正常執(zhí)行，而且從內(nèi)存到緩存加載這個(gè)環(huán)節(jié)不會(huì)驗(yàn)證訪問(wèn)的內(nèi)存是否合法有效。即使指令3出現(xiàn)異常，指令4無(wú)法執(zhí)行，但指令4所需的內(nèi)存數(shù)據(jù)已加載到CPU緩存中，這一結(jié)果導(dǎo)致指令4即使加載的是無(wú)權(quán)限訪問(wèn)的內(nèi)存數(shù)據(jù)，該內(nèi)存數(shù)據(jù)也會(huì)加載到CPU緩存中。因?yàn)镃PU是在緩存到寄存器這個(gè)環(huán)節(jié)才去檢測(cè)地址是否合法，而CPU分支預(yù)測(cè)僅僅是完成內(nèi)存到CPU 緩存的加載，實(shí)際指令4并沒(méi)有被真正的執(zhí)行，所以他的非法訪問(wèn)是不會(huì)觸發(fā)異常的。
   CPU漏洞的利用首先需要目標(biāo)機(jī)中病毒或通過(guò)瀏覽器執(zhí)行惡意的JS代碼,無(wú)論是服務(wù)器側(cè)還是終端側(cè)，防護(hù)解決方案必須從非可信程序管理或者惡意代碼防護(hù)視角入手。

2. 3.Symantec的安全白名單技術(shù)解決方案-DCS/SA
   3.1. 對(duì)于虛擬化環(huán)境
   Data Center Security（DCS）是Symantec針對(duì)數(shù)據(jù)中心安全所提供的新一代安全解決方案，用戶可以通過(guò)DCS解決虛擬化環(huán)境、物理環(huán)境中所面臨的安全威脅。DCS架構(gòu)參考下圖：

在虛擬化環(huán)境中DCS通過(guò)SVA（Security Virtual Appliance）交付主機(jī)惡意代碼安全防護(hù)服務(wù)，并在vSphere環(huán)境中提供基礎(chǔ)架構(gòu)保護(hù)，包括vCenter平臺(tái)加固與ESXi主機(jī)監(jiān)控服務(wù)。
? 無(wú)代理的惡意代碼防護(hù)能力
DCS安全解決方案提供面向SDDC（software define data center）的惡意代碼防護(hù)能力。DCS有效的與VMware vSphere和VMware NSX融合，向客戶提供無(wú)安全代理的病毒及惡意代碼防護(hù)能力。惡意代碼防護(hù)服務(wù)及能力的交付跟隨虛擬資源組的變化而變化，業(yè)務(wù)的上線時(shí)間將不在受到復(fù)雜的安全措施及策略配置所影響。Symantec DCS提供了業(yè)界領(lǐng)先的惡意代碼防護(hù)技術(shù)，可作為軟件定義數(shù)據(jù)中心的基礎(chǔ)安全服務(wù)交付給所有的系統(tǒng)使用，作為一種永不下線的安全服務(wù)無(wú)縫保護(hù)所有數(shù)據(jù)中心的主機(jī)。
3.2. 對(duì)于物理服務(wù)器和IaaS環(huán)境
開(kāi)始介紹DCS:SA防御原理之前先簡(jiǎn)要回顧一下操作系統(tǒng)的架構(gòu)
操作系統(tǒng)的架構(gòu)圖：

在操作系統(tǒng)的架構(gòu)設(shè)計(jì)中內(nèi)核負(fù)責(zé)管理所有硬件設(shè)備并將其抽象化，有系統(tǒng)庫(kù)提供API來(lái)供應(yīng)用程序使用。一般情況下一個(gè)程序運(yùn)行的大致流程如下：當(dāng)應(yīng)用態(tài)程序提出執(zhí)行請(qǐng)求時(shí)，CPU發(fā)出中斷并由內(nèi)核態(tài)進(jìn)程負(fù)責(zé)分配內(nèi)存空間，操作磁盤(pán)DMA把該程序的數(shù)據(jù)調(diào)入已分配的內(nèi)存空間；同時(shí)把內(nèi)存的物理地址翻譯為邏輯地址進(jìn)而將數(shù)據(jù)調(diào)入緩存、寄存器，下一步由運(yùn)算器負(fù)責(zé)計(jì)算。得出運(yùn)算結(jié)果后再把內(nèi)存的頁(yè)面文件翻譯為物理地址寫(xiě)入內(nèi)存，由內(nèi)核進(jìn)程再回寫(xiě)到硬盤(pán)或是網(wǎng)絡(luò)棧、外設(shè)等。
DCS:SA防御體系如下：

它的特點(diǎn)是對(duì)于安全需求較高的主機(jī)（無(wú)論是虛擬主機(jī)還是物理主機(jī)）提供基于本地代理Advanced Agent的主機(jī)安全加固能力，區(qū)別對(duì)待不同重要性的虛擬主機(jī)
? 基于主機(jī)代理的安全加固與主動(dòng)防御能力
DCS在基于代理的系統(tǒng)上提供的防護(hù)能力是系統(tǒng)安全鎖定防護(hù)，這種防護(hù)措施基于操作系統(tǒng)代理部署，建議部署于關(guān)鍵業(yè)務(wù)的虛擬或物理服務(wù)器，提供主動(dòng)的安全防護(hù)措施。DCS安全防護(hù)基于白名單機(jī)制，不同于防病毒等黑名單機(jī)制，更加適用于功能任務(wù)相對(duì)單一、維護(hù)變更較少的服務(wù)器環(huán)境。DCS可有效抵御零日漏洞的攻擊，減少補(bǔ)丁管理的成本。
DCS是基于代理的沙盒技術(shù)進(jìn)行安全防護(hù)；應(yīng)用只需要有限的資源以完成相關(guān)工作，但大多數(shù)程序擁有遠(yuǎn)遠(yuǎn)超出其自身要求的資源，惡意的入侵攻擊常常利用這些空隙逐步完成系統(tǒng)的滲透。如下圖所示，用戶、程序、參數(shù)、行為、資源，只有從左到右是一個(gè)“通路”這樣的資源訪問(wèn)才是允許的。相當(dāng)于將系統(tǒng)每一個(gè)允許的行為限制在一個(gè)沙盒中，超出沙盒的資源或行為是明確禁止的。不必去窮舉所有的惡意行為，只需要將明確允許的行為即可保證系統(tǒng)安全穩(wěn)定運(yùn)行。DCS系統(tǒng)自帶了大量的沙盒，用戶只需要勾選自己需要的沙盒即可完成策略配置。

對(duì)于運(yùn)行核心業(yè)務(wù)或?qū)Ｓ脴I(yè)務(wù)的服務(wù)器，其運(yùn)行任務(wù)單一，需要業(yè)務(wù)長(zhǎng)期、穩(wěn)定、不間斷的運(yùn)行。因傳統(tǒng)的基于特征庫(kù)升級(jí)、打補(bǔ)丁等技術(shù)已經(jīng)不能滿足客戶的業(yè)務(wù)需求。
未知的威脅不斷變化，基于特征庫(kù)的防護(hù)無(wú)法有效防御0-Day威脅。但在這些業(yè)務(wù)單一的服務(wù)器上面，我們明確知道什么業(yè)務(wù)是運(yùn)行運(yùn)行的，這就是白名單技術(shù)。
將系統(tǒng)每一個(gè)允許的程序放入一個(gè)沙箱，只允許指定的應(yīng)用訪問(wèn)指定的系統(tǒng)資源，其他訪問(wèn)定位為非法訪問(wèn)。
在實(shí)際環(huán)境中常常會(huì)發(fā)現(xiàn)某個(gè)應(yīng)用程序存在漏洞，但由于應(yīng)用可用性要求或者應(yīng)用只能在該版本下運(yùn)行導(dǎo)致無(wú)法對(duì)該漏洞進(jìn)行補(bǔ)丁更新，這時(shí)DCS就可提供基于自定義應(yīng)用的保護(hù)策略，實(shí)現(xiàn)對(duì)該應(yīng)用的最小化資源權(quán)限保護(hù)，相對(duì)于補(bǔ)丁安全成本更低風(fēng)險(xiǎn)更小，因?yàn)镈CS的策略可以回退，而補(bǔ)丁安裝失敗一般是不可回退的。這一點(diǎn)對(duì)系統(tǒng)的可用性至關(guān)重要。
Symantec DCS提供了一套按需的數(shù)據(jù)中心安全防護(hù)套件，交付VMware SDDC環(huán)境中的安全服務(wù)集成與基礎(chǔ)架構(gòu)保護(hù)。這只是Symantec面向數(shù)據(jù)中心安全整合的一部分，Symantec將不斷提供更多類型的安全服務(wù)能力幫助用戶搭建面向快速應(yīng)用交付、彈性化、智能化的軟件定義數(shù)據(jù)中心。
受DCS:SA保護(hù)下的系統(tǒng)架構(gòu)圖
安裝DCS:SA后會(huì)在內(nèi)核基礎(chǔ)上添加一層保護(hù)，任何在白名單內(nèi)的用戶態(tài)進(jìn)程發(fā)起內(nèi)存申請(qǐng)/訪問(wèn)、文件讀取/寫(xiě)入、外設(shè)訪問(wèn)、用戶提權(quán)/變更等操作在CPU切換到內(nèi)核態(tài)進(jìn)程前都會(huì)過(guò)DCS:SA HIPS的沙箱進(jìn)行控制和約束及HIDS的審計(jì)，從根本上保護(hù)了系統(tǒng)的安全。

對(duì)比剛才一般程序執(zhí)行的流程，當(dāng)應(yīng)用態(tài)程序提出執(zhí)行請(qǐng)求時(shí)，CPU發(fā)出中斷并由內(nèi)核態(tài)進(jìn)程負(fù)責(zé)分配內(nèi)存空間（此時(shí)DCS:SA會(huì)根據(jù)應(yīng)用白名單來(lái)判斷該程序是否允許運(yùn)行），操作磁盤(pán)DMA（DCS:SA會(huì)檢查該程序的目錄及數(shù)據(jù)是否有讀寫(xiě)權(quán)限）把該程序的數(shù)據(jù)調(diào)入已分配的內(nèi)存空間；同時(shí)把內(nèi)存的物理地址翻譯為邏輯地址進(jìn)而將數(shù)據(jù)調(diào)入緩存、寄存器，下一步由運(yùn)算器負(fù)責(zé)計(jì)算（DCS:SA會(huì)約束進(jìn)程在沙盒內(nèi)以最小的權(quán)限運(yùn)行）。得出運(yùn)算結(jié)果后再把內(nèi)存的頁(yè)面文件翻譯為物理地址寫(xiě)入內(nèi)存（如果出現(xiàn)內(nèi)存溢出、泄漏等危險(xiǎn)DCS:SA會(huì)保護(hù)各個(gè)程序的內(nèi)存空間不會(huì)被非法訪問(wèn)），由內(nèi)核進(jìn)程再回寫(xiě)到硬盤(pán)或是網(wǎng)絡(luò)棧、外設(shè)等（DCS:SA會(huì)判斷對(duì)應(yīng)的目錄、文件、設(shè)備是否有寫(xiě)權(quán)限，防止篡改被保護(hù)的內(nèi)容）。整個(gè)程序的加載、運(yùn)算、回寫(xiě)會(huì)在DCS:SA的嚴(yán)密約束、監(jiān)控和保護(hù)下進(jìn)行，即便是出現(xiàn)零日攻擊也會(huì)因?yàn)槠錄](méi)有響應(yīng)的權(quán)限而無(wú)法實(shí)現(xiàn)。
回到CPU漏洞的場(chǎng)景，實(shí)現(xiàn)攻擊的前提是有病毒先進(jìn)入主機(jī)，同時(shí)與漏洞進(jìn)行配合。那么分為以下兩種可能進(jìn)行分析：
A. 不可信的程序
病毒也是一種程序，假設(shè)配合CPU漏洞的病毒已經(jīng)躲過(guò)殺毒軟件的防護(hù)，但是如果它想在有DCS:SA保護(hù)的服務(wù)器上運(yùn)行就得先能夠被調(diào)入內(nèi)存。DCS:SA會(huì)以白名單的形式來(lái)允許可信的程序運(yùn)行，顯然病毒不在這個(gè)列表，那么它就根本無(wú)法運(yùn)行，何談造成攻擊。
B. 可信的程序
如果病毒感染了可信的程序，根據(jù)『分支預(yù)測(cè)』和『亂序執(zhí)行』的原理實(shí)現(xiàn)無(wú)條件執(zhí)行指令的內(nèi)存數(shù)據(jù)滯留在緩存中，造成有可能被惡意竊取的可能。但是DCS:SA是會(huì)嚴(yán)格控制每個(gè)程序可訪問(wèn)的內(nèi)存空間并且給予最小的權(quán)限，即便出現(xiàn)類似內(nèi)存泄露、溢出的情況也不允許其他進(jìn)程超范圍訪問(wèn)。
基于以上的分析，DCS:SA基于流程和方法的防護(hù)理念天生就具有防護(hù)零日攻擊的基因，不需要管理員頻繁更新特征碼，達(dá)到一勞永逸的目的。
對(duì)于CPU漏洞的防御Symantec官方鏈接和解釋
熔毀和幽靈本地權(quán)限提升漏洞這意味著必須首先在目標(biāo)系統(tǒng)上安裝惡意軟件才能利用這些漏洞。賽門(mén)鐵克數(shù)據(jù)中心安全：服務(wù)器高級(jí)(DCS：SA)通過(guò)確保只有授權(quán)軟件是允許執(zhí)行的。
對(duì)于Windows更新修補(bǔ)程序，不需要對(duì)安全代理進(jìn)行更改。作為對(duì)內(nèi)核級(jí)更改的額外預(yù)防措施，我們分析了Microsoft的修補(bǔ)程序信息，并在發(fā)布補(bǔ)丁時(shí)對(duì)其進(jìn)行測(cè)試。Windows 2016、2012R2、2008 R2已獲得全面認(rèn)證，迄今未發(fā)現(xiàn)任何其他問(wèn)題。對(duì)于Linux平臺(tái)，我們?cè)诎l(fā)布補(bǔ)丁時(shí)進(jìn)行測(cè)試。到目前為止，所有平臺(tái)都已成功測(cè)試。只有Amazon Linux需要一個(gè)驅(qū)動(dòng)程序更新。

4.Symantec 動(dòng)態(tài)威脅解決方案-SEP
SEP(Symantec Endpoint Protection) 專為解決當(dāng)今威脅態(tài)勢(shì)而設(shè)計(jì)，在整個(gè)攻擊鏈中實(shí)行全面保護(hù)并提供深層防御。運(yùn)用全球最大脅情報(bào)網(wǎng)絡(luò)的力量，SEP借助多維機(jī)器學(xué)習(xí)、信譽(yù)分析和實(shí)時(shí)行為監(jiān)控等新一代技術(shù)，有效攔截高級(jí)威脅。它可結(jié)合同樣舉足輕重的基本防護(hù)技術(shù)，為企業(yè)提供全面保護(hù)。 Symantec Endpoint Protection 是一款單一管理控制臺(tái)的輕量型代理，可與安全基礎(chǔ)架構(gòu)中的其他產(chǎn)品集成，從而快速響應(yīng)威脅，實(shí)現(xiàn)最佳的端點(diǎn)防護(hù)，以不折不扣的實(shí)力傲視同類產(chǎn)品。

入侵防御
? 網(wǎng)絡(luò)入侵防護(hù)、URL和防火墻策略：賽門(mén)鐵克的網(wǎng)絡(luò)威脅防護(hù)技術(shù)可分析傳入和傳出數(shù)據(jù)，及時(shí)阻止威脅通過(guò)網(wǎng)絡(luò)攻擊端點(diǎn)。這個(gè)防護(hù)技術(shù)同時(shí)還包含基于規(guī)則的防火墻以及瀏覽器保護(hù)功能，可有效抵御網(wǎng)絡(luò)攻擊?？傮w而言，借助強(qiáng)大的網(wǎng)絡(luò)防護(hù)技術(shù)，一半以上的威脅都會(huì)在到達(dá)端點(diǎn)前被查殺和攔截。
? 應(yīng)用程序行為控制：控制文件和注冊(cè)表訪問(wèn)權(quán)限，以及設(shè)置允許進(jìn)程運(yùn)行的方式。
? 設(shè)備控制：限制對(duì)選定硬件的訪問(wèn)，并控制哪些類型的設(shè)備可以上傳或下載信息。外設(shè)控制可以結(jié)合應(yīng)用程序控制，提供更靈活的控制策略。
? 漏洞利用防護(hù)：根除供應(yīng)商尚未發(fā)布修補(bǔ)程序的流行軟件中的零日漏洞利用，包括 Heap Spray、SEHOP Overwrite 和Java 漏洞利用。這種無(wú)特征技術(shù)效果顯著，有效防止惡意軟件利用任何缺陷、錯(cuò)誤或漏洞發(fā)起攻擊。
感染防御
? 信譽(yù)分析：賽門(mén)鐵克獨(dú)有的信譽(yù)分析技術(shù)利用我們的情報(bào)網(wǎng)絡(luò)關(guān)聯(lián)用戶、文件和網(wǎng)站之間存在的數(shù)百億種關(guān)系，可主動(dòng)攔截更多威脅并快速抵御惡意軟件變體。通過(guò)分析關(guān)鍵文件屬性（例如文件下載的頻率、文件存在的時(shí)長(zhǎng)和下載的源位置），我們可以在文件傳到端點(diǎn)之前，精準(zhǔn)判定文件是否安全并指定一個(gè)信譽(yù)分?jǐn)?shù)。利用文件信譽(yù)分析后，用戶只需僅掃描有風(fēng)險(xiǎn)的文件，從而顯著減少掃描工作量。
? 機(jī)器學(xué)習(xí)：端點(diǎn)上的多維機(jī)器學(xué)習(xí)技術(shù)運(yùn)用學(xué)習(xí)到的內(nèi)容攔截新型威脅和未知威脅，從而極度減少我們?cè)诒鎰e威脅時(shí)對(duì)特征的依賴程度。機(jī)器還經(jīng)過(guò)全球威脅情報(bào)網(wǎng)絡(luò)中數(shù)萬(wàn)億安全文件和惡意文件示例的反復(fù)訓(xùn)練，確保將誤報(bào)率降至最低。
? 模擬：高速模擬器可檢測(cè)利用多態(tài)自定義封裝程序隱藏的惡意軟件。靜態(tài)數(shù)據(jù)掃描程序在輕量型虛擬機(jī)中運(yùn)行每個(gè)文件僅需幾毫秒，從而讓威脅瞬間原形畢露，不僅提高檢測(cè)率，而且改善了工作性能。
? 防病毒文件保護(hù)：基于特征的防病毒功能和高級(jí)文件啟發(fā)式技術(shù)可發(fā)現(xiàn)并根除系統(tǒng)上的惡意軟件，從而抵御病毒、蠕蟲(chóng)、特洛伊木馬、間諜軟件、僵尸程序、廣告軟件和 Rootkit 等。
? 行為監(jiān)控：Symantec Endpoint Protection 中的行為監(jiān)控功能展現(xiàn)出了極高效率，盡管有極少數(shù)的威脅悄無(wú)聲息地抵達(dá)了端點(diǎn)。它利用機(jī)器學(xué)習(xí)提供零日防護(hù)，可監(jiān)控將近 1400 種應(yīng)用程序并且實(shí)時(shí)確定文件風(fēng)險(xiǎn)，從而有效阻止最新和未知威脅。
泄漏防護(hù)

1. ? 強(qiáng)力清除器：這款主動(dòng)清理工具可遠(yuǎn)程觸發(fā)，從而能夠找到高級(jí)持續(xù)性威脅并刪除難以清除的惡意軟件。
   ? 主機(jī)完整性檢查和策略實(shí)施：通過(guò)強(qiáng)制實(shí)施策略、檢測(cè)未經(jīng)授權(quán)的更改、開(kāi)展損害評(píng)估以及隔離不合規(guī)端點(diǎn)等功能，確保端點(diǎn)得到妥善保護(hù)且合規(guī)。結(jié)合威脅檢測(cè)產(chǎn)品使用，可協(xié)調(diào)響應(yīng)以隔離受感染端點(diǎn)，從而快速遏制感染傳播，便于您修復(fù)端點(diǎn)或重建端點(diǎn)映像。
   ? 系統(tǒng)鎖定：允許運(yùn)行列入白名單的應(yīng)用程序（已知為安全）或阻止運(yùn)行列入黑名單的應(yīng)用程序（已知為不安全）。Symantec Advanced Threat Protection (ATP) 和 Secure Web Gateway 可利用可編程 API 與 SEP Management (SEPM) Console進(jìn)行通信，協(xié)調(diào)響應(yīng)措施以通過(guò)應(yīng)用程序控制功能將新發(fā)現(xiàn)的惡意應(yīng)用程序列入黑名單。它可跨 Windows?、Mac?、Linux?、虛擬機(jī)和嵌入式系統(tǒng)運(yùn)行。
   ? Secure Web Gateway集成：全新可編程 REST API 支持 SEP 與 Secure Web Gateway 等第三方產(chǎn)品集成，協(xié)調(diào)端點(diǎn)響應(yīng)措施，快速遏制感染傳播。
   賽門(mén)鐵克的SEP解決方案，不僅適用于常見(jiàn)的Windows類終端的防護(hù)，也可以為MAC OS乃至移動(dòng)終端（手機(jī)）用戶提供動(dòng)態(tài)的安全防護(hù)。

2. 總結(jié)
   DCS:SA解決方案從根本上解決了服務(wù)器的防御問(wèn)題，因?yàn)樗腔诜椒ê土鞒痰姆烙⒉皇腔诤灻麃?lái)進(jìn)行的，可謂是一勞永逸，白名單技術(shù)配置簡(jiǎn)單，運(yùn)行資源占用少，能夠大幅度減輕運(yùn)維人員和安全人員對(duì)服務(wù)器的維護(hù)工作。
   SEP（Symantec Endpoint Protection）強(qiáng)大的機(jī)器學(xué)習(xí)、應(yīng)用信譽(yù)、漏洞防御體系能夠在不過(guò)多增加終端負(fù)載的前提下實(shí)現(xiàn)更加完善的防御，及時(shí)動(dòng)態(tài)調(diào)整防護(hù)測(cè)量，將病毒和威脅拒之門(mén)外。
   本文只是從服務(wù)器和端點(diǎn)保護(hù)的角度來(lái)介紹Symantec給您帶來(lái)的解決方案，臨淵慕魚(yú)不如退而結(jié)網(wǎng)，被動(dòng)應(yīng)對(duì)不如主動(dòng)防御，Symantec為企業(yè)和個(gè)人用戶提供完整的信息安全防護(hù)平臺(tái)和服務(wù)，從云、大數(shù)據(jù)、網(wǎng)絡(luò)安全、郵件、移動(dòng)應(yīng)用和終端、認(rèn)證和單點(diǎn)登錄、數(shù)據(jù)加密、ATP和廣域網(wǎng)加速等方面提供全方位的信息安全防護(hù)平臺(tái)。