symantec endpoint protection v11

Symantec Endpoint Protection v11

Symantec Confidential

Metody doručení hrozeb


Kudy kódy penetrují podniky?

Zdroj: Enterprise Strategy Group, January 2005 ESG Research Report, Network Security And Intrusion Prevention

0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%

Notebook zaměstnance

Internet přes FW

Notebook konzultanta

Domácí VPN systém

Není známo

Jiný

43%

39%

34%

27%

8%

8%

Nejčastější zdroje automatizovaných útoků proti podnikové infrastruktuře

Projekt „Hamlet”


Osobní firewall

Ochrana O/S

Kontrolapaměti/procesů

Blokování podle chování

Kontrolazařízení

Síťové IPS

Integrita hostů a její

údržba/oprava

Bezpečnostnítechnologie

Antispyware

Antivirus

Síťovápřipojení

Operačnísystémy

Paměť/Procesy

Aplikace

Červi, síťové útoky

Viry, trojské koně a spyware

Kódy, rootkity, zranitelnosti

Přetečení zásobníků,injekt. procesů, log. kláves

Útoky nul. dne, krádeže identity, injektování aplikací

I/O zařízeníPodvody s IP adresami

Expozicekoncových bodů

Nepřetržitá aktualizace a

údržba

Data a souborový

systém

Symantec ConfidenceOnline

Symantec SygateEnterprise Protection

Symantec CriticalSystem Protection

Symantec ClientSecurity

Symantec Mobile Security

Symantec Network

Access Control

Symantecřešení

SymantecAntiVirus

Hamlet

Anatomie víceúrovňové bezpečnosti


Sym

ante

c P

olic

y

Man

ager

Sym

ante

c

Sys

tem

Cen

ter

Sym

ante

c En

dpoi

nt

Prot

ectio

n M

anag

er

Co je to projekt „Hamlet“?

NetworkAccess Control

Proactive ThreatProtection

Network ThreatProtection

Antivirus& Antispyware

Firewall & IPS



NetworkAccess Control

Device Control

Firewall

ConfidenceOnline

Symantec Antivirus 10.1

Symantec Client Security 3.1 Symantec WholeSecurity

Symantec Sygate Enterprise Protection 5.1

Hamlet

Symantec Confidential 45

Optimalizace zátěže

84%Memory Reduction

SAV AP 11

SAV CE 10.1

SCS 3.1

21MB

62MB

129MB

Založeno na testech beta-verze produktu

Proaktivní strategie


Strategie 1: blokování dle chování

Myšlenka:

Přerušit nežádoucí chování každé aplikace v systému a v reálném čase blokovat její útočné aktivity.

Zvažte jak antivirové léky blokují skutečné virové nákazy…

Každý virus má svůj životní cyklus

...přerušte životní cyklus a přerušíte virus.


Engine pro detekce chování

• Každý engine má dvě sady detekčních modulů:– Pro-valid = evidence validního chování aplikace

– Pro-malicious = evidence nebezpečného chování aplikace

• Každý detekční modul má váhu– Váha indikuje závažnost stopovaného chování

• Každý proces získává 2 skóre:– Valid Score = měří, nakolik je proces neškodný a užitečný

– Malicious Score = měří nakolik je proces nebezpečný

** Upozornění: Zase tak jednoduché to není, detekční moduly jsou kooperativní

b1 b2 b3 b4 b5 bM

V1 V2 V3 V4 V5 V6 VM

b6

T1 T2 T3 T4 T5 T6 TN

a1 a2 a3 a4 a5 aNa6

Trojan Score = Trojan Score = i=1

N

aiTi

Valid Score = Valid Score = i=1

M

biVi


Oddělení validních a nebezpečných aplikací

Validní aplikace

Nebezpečný ´kód

Signatury pro hraniční případy

Nastavení senzitivity skórování (redukce FP)


Strategie 2: generické blokování

Krok 1: Charakterizuj “tvar” nové zranitelnosti

Krok 2: Použij tento tvar jako signaturu, kontroluj síťový provoz a blokuj vše, co se s ní shoduje

Lze blokovat zcela nové červy a to bez potřeby znát

jejich kód (tj. čekat na výskyt)

Myšlenka:Pouze správně vybroušený klíč může otevřít zámek, pouze správně “vybroušený” červ může otevřít zranitelnost


Ochrana před síťovými hrozbami

Výhody nového NIPS systému

• Nejlepší firewallový engine na trhu vůbec:

• Kontrola šifrovaného a „cleartext“ síťového provozu

• IPS engine

• Generic Exploit Blocking (GEB)

• Packet- and stream-based IPS

• Zákaznické IPS signatury podobné Snort™

• Automatické přepínání lokalit

Buffer OverflowBuffer OverflowBack DoorBack Door

10101011010101

10101011010101

10101011010101

Blended ThreatBlended Threat Known ExploitsKnown Exploits


Nejlepší osobní firewall

Zdroj: Magic Quadrant for Personal Firewalls 1Q06, John Girald, 27 June 2006

Vlastnosti osobního FW

• FW engine založený na pravidlech

• Spouštěče FW pravidel

• Aplikace, host, služba, čas

• Plná podpora TCP/IP

• TCP, UDP, ICMP, Raw IP protokol

• Podpora pro Ethernet protokoly

• Povolovací i blokovací pravidla

• Token ring, IPX/SPX, AppleTalk, NetBEUI

• Schopnost blokovat protokolové ovladače

• jako VMware, WinPcap

• Pravidla pro specifický síťový adaptér


Rozšíření autolokace

Spouštěče autolokace

• IP adresa (rozsah nebo maska)

• DNS server

• DHCP server

• WINS server

• Gateway adresa

• TMP token exoistuje (hw token)

• DNS name resolvováno na IP

• Policy Manager připojen

• Typ síťového připojení (wireless, VPN, Ethernet, dial-up)

Podpora and/or logiky

PolitikaPolitika: : OfficeOffice

PolitikaPolitika: : RemoteRemote

PodnikováLAN

Vzdálená lokace(domov, letiště, hotel.

pobočka apod.

VPN


Myšlenka:Přerušení datových streamů na gatewayi a na hostech, předání pouze těch dat, které splňují protokolární normy a standardy Internetu.

Strategie 3: Packet Inspection

Standard:

Pouze zavazadlo, měřící 9”x14”x22” palců bude

propuštěno do zavazadlové schránky v

letadle.

Code Red, Slammer a Blaster – všechny tyto kódy mohly být pomocí takové technologie ihned zastaveny (bez definic).


SSHIM

SMTP

FTPHTTP

RCP

Strategie 3: kombinace s IPS

rule tcp, tcp_flag&ack, daddr=$LOCALHOST, msg="[182.1] RPC DCOM bufferoverflow attempt detected", content="\x05\x00\x00\x03\x10\x00\x00\x00"(0,8)

rule tcp, tcp_flag&ack, daddr=$LOCALHOST, msg="[182.1] RPC DCOM bufferoverflow attempt detected", content="\x05\x00\x00\x03\x10\x00\x00\x00"(0,8)

Custom

Sig E

ngine

Signature ID

S

GE

BSSH

IM

SMTP

FTPHTTP

RCP

Vlastnosti IPS

• Umí číst celý Ethernet packet použít všechny jeho části, včetně datagramu

• Provádí hloubkovou inspekci packetu a využívá speciální signatury

• Umožnuje správcům, aby si vytvářeli svoje vlastní signatury (jako SNORT)

• Signatury lze aplikovat podle toho, která aplikace data posílá/přijímá

• Signatury jsou tak aplikovány pouze na zranitelné aplikace

• Aktualizace signatur je velmi snadná a rychlá

• Technologie je odolná proti všem známým retro-technikám


Kontrola přístupu k síti

Hlavní vlastnosti NAC

• NAC-ready ochrana koncových bodů

• Vyhodnocení shody a automatická oprava

• Předdedinované kontroly pro antivirus, antispyware a osobní FW

• Vendor-agnostické – nezávisí na výrobci AV, AS, FW

• Předdefinovaná kontrola patchí O/S a service packů

• Nejlepší možnosti kontroly další konfigurace koncových bodů

• Nejucelenější rozsah způsobů kontroly shody na trhu

Neshodující se Neshodující se konc. bodykonc. body

Vzdálení uživateléVzdálení uživatelé Neuatorizované Neuatorizované konc. bodykonc. body

FAIL

Wirelesssítě


Co je to NAC?

• Kontrolujete, kdo může přistoupit do Vaší sítě

• Prosazujete požadavky na patche, konfiguraci, bezpečnostní software a jeho aktualizace, nový obsah a siugnatury ještě před povolením přístupu

• Zajišťujete automatickou opravu

Autorizovaný uživatel

Autorizovanýkonc. bod+

Chráněná síť

AV instalován a aktuální?

FW instalován a bežící?

Požadované patche a service packy?

Požadovaná konfigurace dodržena?


Self-enforcement zahrnut do SEP v11

Kontrola Host Integrity• Audit systému podle politiky• Předání výsledku kontroly• Vynucení opravy v případě neshody

Vymáhání• Poskytnutí přístupu k síti• Přístup k opravným zdrojům

Symantec Confidential 62

Jeden agent, jedna konzola

Výsledky:

Nižší složitost aNáklady, poklesexpozice IT rizik

Vyšší ochrana alepší správa

Symantec Endpoint Protection 11.0

Symantec Network Access Control 11.0

Antivirus

Antispyware

Firewall

Perence narušení

Kontrola USBzařízení

Kontrola přístupuk síti

symantec endpoint protection v11

Documents