Symantec Endpoint Protection_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
Symantec Endpoint Protection v11
description
Transcript of Symantec Endpoint Protection v11
Symantec Endpoint Protection v11
Symantec Confidential
Metody doručení hrozeb
Symantec Confidential
Kudy kódy penetrují podniky?
Zdroj: Enterprise Strategy Group, January 2005 ESG Research Report, Network Security And Intrusion Prevention
0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%
Notebook zaměstnance
Internet přes FW
Notebook konzultanta
Domácí VPN systém
Není známo
Jiný
43%
39%
34%
27%
8%
8%
Nejčastější zdroje automatizovaných útoků proti podnikové infrastruktuře
Projekt „Hamlet”
Symantec Confidential
Osobní firewall
Ochrana O/S
Kontrolapaměti/procesů
Blokování podle chování
Kontrolazařízení
Síťové IPS
Integrita hostů a její
údržba/oprava
Bezpečnostnítechnologie
Antispyware
Antivirus
Síťovápřipojení
Operačnísystémy
Paměť/Procesy
Aplikace
Červi, síťové útoky
Viry, trojské koně a spyware
Kódy, rootkity, zranitelnosti
Přetečení zásobníků,injekt. procesů, log. kláves
Útoky nul. dne, krádeže identity, injektování aplikací
I/O zařízeníPodvody s IP adresami
Expozicekoncových bodů
Nepřetržitá aktualizace a
údržba
Data a souborový
systém
Symantec ConfidenceOnline
Symantec SygateEnterprise Protection
Symantec CriticalSystem Protection
Symantec ClientSecurity
Symantec Mobile Security
Symantec Network
Access Control
Symantecřešení
SymantecAntiVirus
Hamlet
Anatomie víceúrovňové bezpečnosti
Symantec Confidential
Sym
ante
c P
olic
y
Man
ager
Sym
ante
c
Sys
tem
Cen
ter
Sym
ante
c En
dpoi
nt
Prot
ectio
n M
anag
er
Co je to projekt „Hamlet“?
NetworkAccess Control
Proactive ThreatProtection
Network ThreatProtection
Antivirus& Antispyware
Firewall & IPS
Antivirus& Antispyware
Antivirus& Antispyware
NetworkAccess Control
Device Control
Firewall
ConfidenceOnline
Symantec Antivirus 10.1
Symantec Client Security 3.1 Symantec WholeSecurity
Symantec Sygate Enterprise Protection 5.1
Hamlet
Symantec Confidential 45
Optimalizace zátěže
84%Memory Reduction
SAV AP 11
SAV CE 10.1
SCS 3.1
21MB
62MB
129MB
Založeno na testech beta-verze produktu
Proaktivní strategie
Symantec Confidential
Strategie 1: blokování dle chování
Myšlenka:
Přerušit nežádoucí chování každé aplikace v systému a v reálném čase blokovat její útočné aktivity.
Zvažte jak antivirové léky blokují skutečné virové nákazy…
Každý virus má svůj životní cyklus
...přerušte životní cyklus a přerušíte virus.
Symantec Confidential
Engine pro detekce chování
• Každý engine má dvě sady detekčních modulů:– Pro-valid = evidence validního chování aplikace
– Pro-malicious = evidence nebezpečného chování aplikace
• Každý detekční modul má váhu– Váha indikuje závažnost stopovaného chování
• Každý proces získává 2 skóre:– Valid Score = měří, nakolik je proces neškodný a užitečný
– Malicious Score = měří nakolik je proces nebezpečný
** Upozornění: Zase tak jednoduché to není, detekční moduly jsou kooperativní
b1 b2 b3 b4 b5 bM
V1 V2 V3 V4 V5 V6 VM
b6
T1 T2 T3 T4 T5 T6 TN
a1 a2 a3 a4 a5 aNa6
Trojan Score = Trojan Score = i=1
N
aiTi
Valid Score = Valid Score = i=1
M
biVi
Symantec Confidential
Oddělení validních a nebezpečných aplikací
Validní aplikace
Nebezpečný ´kód
Signatury pro hraniční případy
Nastavení senzitivity skórování (redukce FP)
Symantec Confidential
Strategie 2: generické blokování
Krok 1: Charakterizuj “tvar” nové zranitelnosti
Krok 2: Použij tento tvar jako signaturu, kontroluj síťový provoz a blokuj vše, co se s ní shoduje
Lze blokovat zcela nové červy a to bez potřeby znát
jejich kód (tj. čekat na výskyt)
Myšlenka:Pouze správně vybroušený klíč může otevřít zámek, pouze správně “vybroušený” červ může otevřít zranitelnost
Symantec Confidential
Ochrana před síťovými hrozbami
Výhody nového NIPS systému
• Nejlepší firewallový engine na trhu vůbec:
• Kontrola šifrovaného a „cleartext“ síťového provozu
• IPS engine
• Generic Exploit Blocking (GEB)
• Packet- and stream-based IPS
• Zákaznické IPS signatury podobné Snort™
• Automatické přepínání lokalit
Buffer OverflowBuffer OverflowBack DoorBack Door
10101011010101
10101011010101
10101011010101
Blended ThreatBlended Threat Known ExploitsKnown Exploits
Symantec Confidential
Nejlepší osobní firewall
Zdroj: Magic Quadrant for Personal Firewalls 1Q06, John Girald, 27 June 2006
Vlastnosti osobního FW
• FW engine založený na pravidlech
• Spouštěče FW pravidel
• Aplikace, host, služba, čas
• Plná podpora TCP/IP
• TCP, UDP, ICMP, Raw IP protokol
• Podpora pro Ethernet protokoly
• Povolovací i blokovací pravidla
• Token ring, IPX/SPX, AppleTalk, NetBEUI
• Schopnost blokovat protokolové ovladače
• jako VMware, WinPcap
• Pravidla pro specifický síťový adaptér
Symantec Confidential
Rozšíření autolokace
Spouštěče autolokace
• IP adresa (rozsah nebo maska)
• DNS server
• DHCP server
• WINS server
• Gateway adresa
• TMP token exoistuje (hw token)
• DNS name resolvováno na IP
• Policy Manager připojen
• Typ síťového připojení (wireless, VPN, Ethernet, dial-up)
Podpora and/or logiky
PolitikaPolitika: : OfficeOffice
PolitikaPolitika: : RemoteRemote
PodnikováLAN
Vzdálená lokace(domov, letiště, hotel.
pobočka apod.
VPN
Symantec Confidential
Myšlenka:Přerušení datových streamů na gatewayi a na hostech, předání pouze těch dat, které splňují protokolární normy a standardy Internetu.
Strategie 3: Packet Inspection
Standard:
Pouze zavazadlo, měřící 9”x14”x22” palců bude
propuštěno do zavazadlové schránky v
letadle.
Code Red, Slammer a Blaster – všechny tyto kódy mohly být pomocí takové technologie ihned zastaveny (bez definic).
Symantec Confidential
SSHIM
SMTP
FTPHTTP
RCP
Strategie 3: kombinace s IPS
rule tcp, tcp_flag&ack, daddr=$LOCALHOST, msg="[182.1] RPC DCOM bufferoverflow attempt detected", content="\x05\x00\x00\x03\x10\x00\x00\x00"(0,8)
rule tcp, tcp_flag&ack, daddr=$LOCALHOST, msg="[182.1] RPC DCOM bufferoverflow attempt detected", content="\x05\x00\x00\x03\x10\x00\x00\x00"(0,8)
Custom
Sig E
ngine
Signature ID
S
GE
BSSH
IM
SMTP
FTPHTTP
RCP
Vlastnosti IPS
• Umí číst celý Ethernet packet použít všechny jeho části, včetně datagramu
• Provádí hloubkovou inspekci packetu a využívá speciální signatury
• Umožnuje správcům, aby si vytvářeli svoje vlastní signatury (jako SNORT)
• Signatury lze aplikovat podle toho, která aplikace data posílá/přijímá
• Signatury jsou tak aplikovány pouze na zranitelné aplikace
• Aktualizace signatur je velmi snadná a rychlá
• Technologie je odolná proti všem známým retro-technikám
Symantec Confidential
Kontrola přístupu k síti
Hlavní vlastnosti NAC
• NAC-ready ochrana koncových bodů
• Vyhodnocení shody a automatická oprava
• Předdedinované kontroly pro antivirus, antispyware a osobní FW
• Vendor-agnostické – nezávisí na výrobci AV, AS, FW
• Předdefinovaná kontrola patchí O/S a service packů
• Nejlepší možnosti kontroly další konfigurace koncových bodů
• Nejucelenější rozsah způsobů kontroly shody na trhu
Neshodující se Neshodující se konc. bodykonc. body
Vzdálení uživateléVzdálení uživatelé Neuatorizované Neuatorizované konc. bodykonc. body
FAIL
Wirelesssítě
Symantec Confidential
Co je to NAC?
• Kontrolujete, kdo může přistoupit do Vaší sítě
• Prosazujete požadavky na patche, konfiguraci, bezpečnostní software a jeho aktualizace, nový obsah a siugnatury ještě před povolením přístupu
• Zajišťujete automatickou opravu
Autorizovaný uživatel
Autorizovanýkonc. bod+
Chráněná síť
AV instalován a aktuální?
FW instalován a bežící?
Požadované patche a service packy?
Požadovaná konfigurace dodržena?
Symantec Confidential
Self-enforcement zahrnut do SEP v11
Kontrola Host Integrity• Audit systému podle politiky• Předání výsledku kontroly• Vynucení opravy v případě neshody
Vymáhání• Poskytnutí přístupu k síti• Přístup k opravným zdrojům
Symantec Confidential 62
Jeden agent, jedna konzola
Výsledky:
Nižší složitost aNáklady, poklesexpozice IT rizik
Vyšší ochrana alepší správa
Symantec Endpoint Protection 11.0
Symantec Network Access Control 11.0
Antivirus
Antispyware
Firewall
Perence narušení
Kontrola USBzařízení
Kontrola přístupuk síti