1 / 55

Symantec Endpoint Protection 12.1

Symantec Endpoint Protection 12.1. Co je nov ého : Technical Features Deep Dive. Agenda. Nové ochranné technologie v SEP 12.1. Nové a vylepšené nástroje pro správu v SEP 12.1. Nové funkce pro virtualizaci v SEP 12.1. Probl é m Autoři m alware změnili taktiku. Z :

russell-white
Download Presentation

Symantec Endpoint Protection 12.1

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Symantec Endpoint Protection 12.1 Co je nového: Technical Features Deep Dive SEP 12.1 - What's New

  2. Agenda Nové ochranné technologie v SEP 12.1 Nové a vylepšené nástroje pro správu v SEP 12.1 Nové funkce pro virtualizaci v SEP 12.1

  3. ProblémAutoři malware změnili taktiku Z: Masová distribuce relativně malého množství hrozeb, např: • Stormsi našel cestu k milionům počítačů na celém světě Na: Model mikrodistribuce, např. • Jedna varianta červa Vundose dostala v průměru k 18-ti uživatelům řešení Symantec! • Průměrná varianta hrozby Harakitbyla distribuována k 1.6 uživateli! V loňském roce objeveno přes 240M jednotlivých nových hrozeb! Jaká je šance, že bezpečnostní výrobci objeví všechny takovéto hrozby?

  4. ProblémMilióny různých souborů (dobrých i špatných) • Představte si, že víme: • o každém souboru na světě… • v kolika se vyskytuje kopiích • a které soubory jsou dobré a které špatné • Teď je seřaďme podle četnosti výskytu • špatné vlevo • dobrévpravo

  5. ProblémŽádná stávající technologie neumí dlouhou oblast uprostřed Today, both good and bad software obey a long-tail distribution. Dobré Špatné Bohužel žádná stávající technologie nefunguje dobře pro desítky miliónů souborů s nízkou četností výskytu. (Ale to je přesně oblast, kam spadá většina dnešních škodlivých kódů) Četnost Pro tuhle prostřední část je třeba nová technologie. Whitelisting funguje dobře zde. Blacklisting funguje dobře zde. SEC 204: SEP Next Generation Technologies

  6. Řešení: Nové ochranné technologie • Insight • Symantec Online Network for Advanced Response (SONAR) • Download Insight • Norton Safe Web Lite • Pokročilá bezpečnostní pravidla

  7. Symantec Insight • Využívají jí různé části produktu • Download Insight • ScanLess • Sonar • Heuristika a Corroborationběhem detekce • Revoluční základní technologie poskytující proaktivní ochranu před novými cílenými hrozbami pomocí bezpečnostního hodnocení komunitou tvořenou více než 175 milióny koncových bodů. • Insight je technologie integrovaná do SEP, která umožňuje potvrzení nebo odmítnutí možné hrozby na základě „pověsti“ souboru

  8. How many copies of this file exist? How new is this program? Is it signed? How often has this file been downloaded? Insight Kontext o souboru vypovídá stejně, jako jeho obsah How many people are using it? Where is it from? Does it have a security rating? Have other users reported infections? Is the source associated with infections? How will this file behave if executed? What rights are required? Is the file associated with files that are linked to infections? Does the file look similar to malware? How old is the file? Is the source associated with SPAM? OR OR Kontext, který se sleduje Have other users reported infections? Who created it? BAD LOW NEW OLD HI GOOD Is the source associated with many new files? Četnost Pověst Stáří Who owns it? What does it do? 8

  9. PověstNáš přístup Obdoba:PageRank™ na Google A pak jsme vytvořili silně paralelizovaný analytický algoritmus.. Symantec Reputation Engine Používá nasbíraná data k určení bezpečnostní pověsti Norton Community Watch Program s volitelnou účastí pro sběr anonymních dat • Náš systém sleduje téměř všechny aplikace na světě • 1.6 mld. unikátních aplikačních souborů všech verzí a jazyků • má informace o všech souborech: EXE, ovladačích, DLL, plug-in modulech • poskytuje pověst, četnost a datum objevní každého souboru • a je velmi přesný Symantec File Safety Reputations

  10. Jak to funguje Kontrola DB během skenování Hodnocení téměř každého souboru na internetu 1 2 4 3 5 Budování sběrné sítě Je to nové? Špatná pověst? Allow Deny Hledání souvislostí Poskytuje data pro rozhodnutí SEP 12.1 - What's New Souvislosti

  11. Proč Insight? Skvělý výkon Nesrovnatelná bezpečnost Insight Nenahrazuje jiné technologie Podporuje účinnost ostatních technologií SEP 12.1 - What's New

  12. Výjimečná detekce • Blokuje škodlivý kód pomocí znalostí komunity – i pokud nemáme otisk Zpřesňuje fungování naší heuristiky a blokace chování Ničí škodlivé kódy, napoprvé a provždy

  13. Analýza chování a systémová heuristika • Symantec Online Network for Advanced Response (SONAR) • detekce podezřelého chování • detekce změn systému • změny v souboru hosts a nastavení DNS • Tamper Protection (SymProtect) • Nová generace heuristického engine • Narozdíl od SEP 11, SONAR poskytuje ochranu v reálném čase • Reaguje na spouštění procesů • Chování aplikací vyhodnocuje okamžitě, v reálném čase • Vylepšení o ochranu souborů a registru • Je možné aktualizovat pomocí LiveUpdate

  14. Funkce technologie SONAR Nasazení heuristiky umožňuje tyto tři bezpečnostní novinky Klasifikační engine založený na umělé inteligenci Signatury chovánítvořené lidmi Uzamčení pravidelchování

  15. SONAR Detekce: Změny v systému Detekce: Podezřelé chování

  16. Download Insight • Download Insight je technologie kontrolující pověst stahovaných binárních souborů a blokování těch „špatných“ • Download Insight skenuje soubory při stahování pomocí portálové aplikace (IE. Firefox, IE)

  17. Safe Web Lite • Bezpečné HLEDÁNÍ • Varuje před nebezpečnými webovými stránkami přímo ve výsledcích vyhledávání • Funguje dobře s vyhledávači Google, Yahoo! & Bing • Bezpečné PROCHÁZENÍ • spustí poplach pokud stránka obsahuje potenciálně nebezpečný soubor ke stažení • Pomáhá zamezit nechtěným stažením virů, spyware a dalších on-line hrozeb • Bezpečné NAKUPOVÁNÍ • Varuje před podezřelými online prodejci • Pomáhá najít ověřené online obchodníky, kterým můžete důvěřovat Safe Web Lite poskytuje bezpečnější vyhledávání – varuje před nebezpečnými webovými stránkami ve výsledcích vyhledávání, takže můžete bez obav používat jen bezpečné služby

  18. Aktualizovaný firewall/IDS • Podpora NDIS5/NDIS6 • Firewallová pravidla lze použít na provoz IPv6 • FW nezávisí na AV/DC/IDS • Lepší integrace s Windows Firewall • Vylepšená obsluha chyb a reporting u IDS

  19. Pokročilá bezpečnostní pravidla • Vylepšená výchozí pravidla relevantní pro dnešní hrozby • Nový ICMP přepínač pro Location Awareness • Vylepšená Tamper Protection

  20. Výsledky:Nesrovnatelné zabezpečení

  21. ProblémObtížné a pomalé instalace • Lepší možnosti nastavení restartů • Poskytuje lepší informace o zavedení • Pro instalaci klientu jsou kroky jednodušší • Během instalace trvá ochrana • Informace o obnově licencí jsou dobře dostupné • Postačuje jeden nástroj pro centralizované hledání a zavedení nebo upgrade klientů

  22. Řešení: Nové možnosti zavedení • Vylepšená instalace klientů • Aktualizovaný průvodce Client Deployment Wizard • Lepší přehledy • Vylepšená upozornění • Přehledná nastavení restartů • Správa licencí

  23. Vylepšená instalace klientů • Používá se MSI technologie, stávající verze/soubory se nahradí při restartu • Side by Side instalace vytvoří nový adresář • Zákazník může změnit instalační cestu během migrace • Starý software během migrace stále běží beze změny, až do příštího restartu

  24. Aktualizovaný průvodce Client Deployment Wizard • Automatický výběr balíčků 32/64 bitů • Ochrana a obsah se nastavují ve stejném nástroji • Nové možnosti zavedení • Remote Push • Web Link nebo Email • Export pro 3rd Party řešení • Vylepšený improt klientů

  25. Lepší přehledy o výsledku zavádění klientů • Klienti se spojí s konzolí ihned po začátku instalace, o průběhu jsou proto k dispozici podrobné informace • Přehledy teď ukazují • Úspěch • Chyby • Zrušené instalace • Nepodporované OS • Požadavek na reboot

  26. Přehledný stav s podrobnostmi na kliknutí – o definicích, zavedení, stavu ochrany a prosazení licencování Přidána nová upozornění Licencování Změny klientů Zdraví Nové SW balíčky Oblíbená/požadovaná mailová upozornění povolená ve výchozím nastavení, PDA-friendly Uživatelé mohou posílat licenční upozornění partnerům Nová vestavěná upozornění

  27. Sločení více požadavků na restart od různých komponent do jediného restartu Lepší možnost restart naplánovat Administrátor má více možností nastavení restartu na klientských stanicích Vylepšená nastavení restartů

  28. Správa licencí • Správa licencí • Přehledy o využitých licencích • Nastavení upozornění na vypršení

  29. ProblémZlepšit prostředí pro administrátory • Administrátoři potřebují možnost získávat zapomenutá hesla • Velké podniky požadují delegovat omezený přístup administrátorům poboček • Lepší škálovatelnost • Potřeba pro rychlejší LiveUpdate • Potřeba oddělené konfigurace nastavení LiveUpdate pro klienty Mac a Windows v jedné politice • Zrychlení skenování

  30. Řešení: Nová vylepšení pro administrátory • Vylepšení v oblasti správy hesel • Vylepšená granularita přístupových oprávnění • Vylepšená škálovatelnost • Vylepšení v LiveUpdate • Vylepšení výkonu

  31. Nastavitelné možnosti obnovení/resetu hesel Hesla lze znovu získat mailem Vylepšení v oblasti správy hesel 33

  32. SEP 12.1 - What's New Nově: Site rights omezení administrátoři s právy na pobočku Novinka: Command Rights Nová oprávnění v politikách Vylepšená granularita přístupových oprávnění

  33. Reporting je ve výchozím stavu přes SSL IIS nahrazen serverem Apache Snadné spouštění běžných úloh: zavedení SEP klienta, spuštění LiveUpdate, průvodce produktem Cílová hodnota: až 80,000 klientů na jeden SEPM Lepší výkon databáze – automatická údržba Integrace s SPC pomocí webových služeb Vylepšené škálování

  34. Vysoký výkon při skenování optimalizovaném díky hodnocení pověsti Na typickém počítači lze přeskočit 80% aktivníchaplikací! ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü Tradiční skenování Musí se skenovat všechny soubory. Skenování využívající pověst Přeskakuje všechny soubory, o kterých s jistotou víme, že jsou OK. Výsledkem jsou výrazně rychlejší skeny. 37

  35. Výsledky: Skenování Symantec Endpoint Protection: 3.5X rychlejší než McAfee 2X rychlejší než Microsoft Na prvním místě v celkovém výkonu! • PassMark™ Software, Feb., 2011 - http://www.passmark.com/AVReport

  36. Výsledky: Využití paměti • PassMark™ Software, Feb., 2011 - http://www.passmark.com/AVReport Symantec Endpoint Protection používá: o 66% méně paměti než McAfee o 76% méně paměti než Microsoft

  37. ProblémNárůst virtuálních koncových bodů a množství hrozeb The Scan Storm • Nástup virtualizace • Roste VDI • AV, IPS a proaktivní detekce také rostou Physical Environment is Shrinking but Strong Virtual Adoption is Growing

  38. Díky za pozornost! Martin Meduna SEP 12.1 - What's New

  39. Řešení: SEP 12.1 je vytvořený pro virtualizaci

  40. Vytvořeno pro virtualizaci • Vynechávání virtuálních obrazů– umožňuje zákazníkům neskenovat všechny soubory ze vzorové baseline instalace • Sdílená mezipaměť Insight – samostatný server díky kterému mohou klienti sdílet výsledky svých skenů. Klienti tak nemusí skenovat soubory, které už oskenoval někdo jiný. • Značkování virtuálních klientů– Do SEPM se přenáší informace o virtualizaci klienta a platformě hypervisoru. Tato data lze použít při hledání klientů a v přehledech. • Offline skenování obrazů – samostatný nástroj pro offline skeny VMWare souborů (VMDK).

  41. Vynechávání virtuálních obrazů Virtual Image Exception(VIE) je nástroj pro administrátory pro snadné nastavení výjimek souborů ve virtuálních prostředích. • Pouze v Enterprise Edition. Není k dispozici v SBE. • Běží jako samostatná aplikace a nevyžaduje tradiční instalaci • Musí se spustit z vnitřku virtuálního stroje (VMware, Citrix, of Hyper-V) • Funguje na Windows XP SP2, SP3, Vista, Windows 7 a Windows 2008 R2 • Command-line volby pro tichý a automatický provoz • Podrobné logy/přehledy o činnosti • Poskytuje administrátorům nastavitelné možnosti v SEPM pro VIE výjimky v auto-protect i plánovaných skenech

  42. Přehled fungování Krok 1: Nástroje skenují systém

  43. Přehled fungování Krok 2: Nástroj vytvoří seznam všech souborů Krok 3: Nástroj zařadí všechnymístně nalezené známé soubory na whitelist Krok 1: Nástroje skenují systém

  44. Přehled fungování Krok 4: Aktivace administrátorem Administrátoři mohou povolit zahrnutí nebo odmítnutí výjimek v AV pravidlech pro ochranu On-Demand i Auto-Protect.

  45. Přehled fungování ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü Krok 4: Aktivace administrátorem Administrátoři mohou povolit zahrnutí nebo odmítnutí výjimek v AV pravidlech pro ochranu On-Demand i Auto-Protect. Krok 5: optimalizované skenování Vynechává soubory označené nástrojem VIE

  46. Sdílená mezipaměť Insight Sdílená mezipaměť Insight poskytuje sdílení informací mezi více virtuálními počítači pro snížení množství I/O operací; různé VM neskenují stejné soubory • Pouze v Enterprise Edition. Není k dispozici v SBE. • Určené především pro virtuální prostředí, lze použít i na fyzických klientech • Uplatní se u skenů na vyžádání (uživatelských, plánovaných, definovaných administrátorem). Nefunguje u rezidentní ochrany auto-protect. • Škálování na tisíce klientů na server • Komunikace mezi klienty a SIC je přes HTTP. Volitelně lze přepnout na HTTPS a také používat autentizaci • Uplatní se na všechny typy souborů (nejen spustitelné binární soubory) • Ke každému souboru se vytvoří kombinace jeho hash a verze definic.Vyhrává poslední verze definic. • Server mezipaměti pracuje se všemi daty plně v paměti. Disk se používá jen pro logy.

  47. Fungování Případ 1: Pověst je známá Pokud víme, co je soubor zač a je v pořádku, přeskoč ho Sdílenámezipaměť Insight

  48. Fungování Případ 2: Pověst neznámá, ale je ve sdílené mezipaměti Pokud neznáme pověst souboru, ověříme jeho přítomnost ve sdílené mezipaměti. Pokud se jedná o spustitený binární soubor, odešleme hash do Symantec Insight, abychom získali Reputation Score Sdílenámezipaměť 101010101 def 2/11 Insight 101010101

  49. Fungování Případ 2: Pověst neznámá, ale je ve sdílené mezipaměti Pokud sdílená mezipaměť tento soubor již zaregistrovala a definice zaznamenané v mezipaměti jsou stejné nebo novější než definice na klientovi, přeskoč skenování souboru. Jedná-li se o binární spustitelný soubor, zaznamenej výsledek pro použití s technologií ScanLess Sdílenámezipaměť Soubor v mezipaměti Insight

  50. Označování virtuálních klientů • Značkování je vestavěné do SEP klienta • Rozpoznává VMWare ESX/i, Microsoft Hyper-V, Citrix Xen • Klient při startu spouští kontrolu a zjištěné informace odesílá zpět do SEPM • Informace o stavu a platformě hypervisoru jsou k dispozici v přehledech a ve vlastnostech klienta a lze v nich vyhledávat Virtual Client Tagging dává administrátorům možnost zjistit, že klient běží ve virtuálním prostředí.

More Related