210 likes | 474 Views
Symantec Endpoint Protection v11. Metody doručení hrozeb. Kudy kódy penetrují podniky?. Nejčastější zdroje automatizovaných útoků proti podnikové infrastruktuře. 43%. Notebook zaměstnance. 39%. Internet přes FW. 34%. Notebook konzultanta. 27%. Domácí VPN systém. 8%. Není známo. 8%.
E N D
Kudy kódy penetrují podniky? Nejčastější zdroje automatizovaných útoků proti podnikové infrastruktuře 43% Notebook zaměstnance 39% Internet přes FW 34% Notebook konzultanta 27% Domácí VPN systém 8% Není známo 8% Jiný Zdroj: Enterprise Strategy Group, January 2005 ESG Research Report, Network Security And Intrusion Prevention
Bezpečnostní technologie Symantec řešení Expozice koncových bodů Nepřetržitá aktualizace a údržba Symantec Network Access Control Integrita hostů a její údržba/oprava Útoky nul. dne, krádeže identity, injektování aplikací Blokování podle chování Symantec ConfidenceOnline Aplikace Kontrola zařízení Symantec SygateEnterprise Protection Symantec Critical System Protection Symantec Client Security Symantec Mobile Security I/O zařízení Podvody s IP adresami Přetečení zásobníků, injekt. procesů, log. kláves Paměť/ Procesy Kontrola paměti/procesů Kódy, rootkity, zranitelnosti Operační systémy Ochrana O/S Síťové IPS Síťová připojení Červi, síťové útoky Osobní firewall Antivirus SymantecAntiVirus Viry, trojské koně a spyware Data a souborový systém Antispyware Anatomie víceúrovňové bezpečnosti Hamlet
Antivirus& Antispyware Antivirus& Antispyware Network ThreatProtection Firewall & IPS Proactive ThreatProtection NetworkAccess Control Symantec System Center Symantec Endpoint Protection Manager Firewall Device Control NetworkAccess Control Symantec Policy Manager Co je to projekt „Hamlet“? ConfidenceOnline Symantec Client Security 3.1 Symantec WholeSecurity Hamlet Antivirus& Antispyware Symantec Sygate Enterprise Protection 5.1 Symantec Antivirus 10.1
Optimalizace zátěže 129MB 62MB 21MB Založeno na testech beta-verze produktu 45
Každý virus má svůj životní cyklus ...přerušte životní cyklus a přerušíte virus. Strategie 1:blokování dle chování Myšlenka: Přerušit nežádoucí chování každé aplikace v systému a v reálném čase blokovat její útočné aktivity. Zvažte jak antivirové léky blokují skutečné virové nákazy…
Trojan Score = Valid Score = M N S S biVi aiTi T1 T2 T3 T4 T5 T6 TN i=1 i=1 a1 a2 a3 a4 a5 a6 aN b1 b2 b3 b4 b5 b6 bM V1 V2 V3 V4 V5 V6 VM Engine pro detekce chování • Každý engine má dvě sady detekčních modulů: • Pro-valid = evidence validního chování aplikace • Pro-malicious = evidence nebezpečného chování aplikace • Každý detekční modul má váhu • Váha indikuje závažnost stopovaného chování • Každý proces získává 2 skóre: • Valid Score = měří, nakolik je proces neškodný a užitečný • Malicious Score = měří nakolik je proces nebezpečný ** Upozornění: Zase tak jednoduché to není, detekční moduly jsou kooperativní
Oddělení validních a nebezpečných aplikací Validní aplikace Nastavení senzitivity skórování (redukce FP) Signatury pro hraniční případy Nebezpečný ´kód
Lze blokovat zcela nové červy a to bez potřeby znát jejich kód (tj. čekat na výskyt) Strategie 2: generické blokování Myšlenka:Pouze správně vybroušený klíč může otevřít zámek, pouze správně “vybroušený” červ může otevřít zranitelnost Krok 1: Charakterizuj “tvar” nové zranitelnosti Krok 2: Použij tento tvar jako signaturu, kontroluj síťový provoz a blokuj vše, co se s ní shoduje
1010101 1010101 1010101 Ochrana před síťovými hrozbami Back Door Blended Threat Buffer Overflow Known Exploits Výhody nového NIPS systému • Nejlepší firewallový engine na trhu vůbec: • Kontrola šifrovaného a „cleartext“ síťového provozu • IPS engine • Generic Exploit Blocking (GEB) • Packet- and stream-based IPS • Zákaznické IPS signatury podobné Snort™ • Automatické přepínání lokalit
Nejlepší osobní firewall Vlastnosti osobního FW • FW engine založený na pravidlech • Spouštěče FW pravidel • Aplikace, host, služba, čas • Plná podpora TCP/IP • TCP, UDP, ICMP, Raw IP protokol • Podpora pro Ethernet protokoly • Povolovací i blokovací pravidla • Token ring, IPX/SPX, AppleTalk, NetBEUI • Schopnost blokovat protokolové ovladače • jako VMware, WinPcap • Pravidla pro specifický síťový adaptér Zdroj: Magic Quadrant for Personal Firewalls 1Q06, John Girald, 27 June 2006
Politika: Office Spouštěče autolokace Politika: Remote • IP adresa (rozsah nebo maska) • DNS server • DHCP server • WINS server • Gateway adresa • TMP token exoistuje (hw token) • DNS name resolvováno na IP • Policy Manager připojen • Typ síťového připojení (wireless, VPN, Ethernet, dial-up) • Podpora and/or logiky VPN Rozšíření autolokace PodnikováLAN Vzdálená lokace(domov, letiště, hotel. pobočka apod.
Strategie 3: Packet Inspection Myšlenka:Přerušení datových streamů na gatewayi a na hostech, předání pouze těch dat, které splňují protokolární normy a standardy Internetu. Standard: Pouze zavazadlo, měřící 9”x14”x22” palců bude propuštěno do zavazadlové schránky v letadle. Code Red, Slammer a Blaster – všechny tyto kódy mohly být pomocí takové technologie ihned zastaveny (bez definic).
Vlastnosti IPS • Umí číst celý Ethernet packet použít všechny jeho části, včetně datagramu • Provádí hloubkovou inspekci packetu a využívá speciální signatury • Umožnuje správcům, aby si vytvářeli svoje vlastní signatury (jako SNORT) • Signatury lze aplikovat podle toho, která aplikace data posílá/přijímá • Signatury jsou tak aplikovány pouze na zranitelné aplikace • Aktualizace signatur je velmi snadná a rychlá • Technologie je odolná proti všem známým retro-technikám Signature IDS GEB Custom Sig Engine Strategie 3: kombinace s IPS rule tcp, tcp_flag&ack, daddr=$LOCALHOST, msg="[182.1] RPC DCOM bufferoverflow attempt detected", content="\x05\x00\x00\x03\x10\x00\x00\x00"(0,8) RCP SMTP RCP SMTP SSH SSH HTTP IM IM FTP HTTP FTP
? FAIL Kontrola přístupu k síti Wirelesssítě Neshodující se konc. body Neuatorizované konc. body Vzdálení uživatelé Hlavní vlastnosti NAC • NAC-ready ochrana koncových bodů • Vyhodnocení shody a automatická oprava • Předdedinované kontroly pro antivirus, antispyware a osobní FW • Vendor-agnostické – nezávisí na výrobci AV, AS, FW • Předdefinovaná kontrola patchí O/S a service packů • Nejlepší možnosti kontroly další konfigurace koncových bodů • Nejucelenější rozsah způsobů kontroly shody na trhu
Co je to NAC? • Kontrolujete, kdo může přistoupit do Vaší sítě • Prosazujete požadavky na patche, konfiguraci, bezpečnostní software a jeho aktualizace, nový obsah a siugnatury ještě před povolením přístupu • Zajišťujete automatickou opravu Autorizovaný uživatel Autorizovaný konc. bod + Chráněná síť
Vymáhání • Poskytnutí přístupu k síti • Přístup k opravným zdrojům Self-enforcement zahrnut do SEP v11 • Kontrola Host Integrity • Audit systému podle politiky • Předání výsledku kontroly • Vynucení opravy v případě • neshody
Jeden agent, jedna konzola Vyšší ochrana a lepší správa Nižší složitost a Náklady, pokles expozice IT rizik Symantec Endpoint Protection 11.0 Symantec Network Access Control 11.0 Kontrola přístupu k síti Výsledky: Kontrola USB zařízení Perence narušení Firewall Antispyware Antivirus 62