Symantec Client Security Integrovaná bezpečnost stanic

1. Symantec Client SecurityIntegrovaná bezpečnost stanic Radek Smolík Symantec GmbH Česká republika a Slovenská republika

2. Kombinované hrozby • Nové typy kódů, které napadají počítače kombinací několika různých způsobů: • skanování a zneužití zranitelných míst • zneužívání aplikačních protokolů v síti • šíření v síťových segmentech • degradace síťových přenosů a DoS útoky • pronikání přes sdílené disky počítačů • rozesílání souborů přes vlastní SMTP enginy • hádání uživatelských jmen a hesel • standardní virové aktivity až v poslední fázi • Proti těmto kódům se nelze účinně bránit žádným ze standardních antivirů

3. Trend zranitelností 2002 - v průměru 80 zranitelností týdně 2001 - v průměru 47 zranitelností týdně Neřešené díry v MSIE Zdroj: CERT

4. Antivirus sám o sobě plně nechrání proti současným útokům, potřebný je také klientský firewall a detekce narušení počítače Nasazování a správa vícerých produktů je výkonově náročná, příliš komplikovaná a drahá Při hromadné nákaze se riziko zvyšuje tím, že musíte aktualizovat virové definice, IDS signatury a firewallová pravidla z různých zdrojů a v různých časech nebo použít integrovaný software McAfee Virus Konzola správce Konzola správce Konzola správce Konzola správce Antivirus Filtrování obsahu Firewall Detekce narušení ZoneAlarm Firewall ISS IDS Lze kombinovat různé produkty... Počítače zákazníka

5. Symantec Client Security • Integrovaná bezpečnost klientské stanice • Vedoucí bezpečnostní technologie • Symantec AntiVirus • Klientský firewall • Detekce narušení na straně klienta • Filtrování obsahu odesílaných informací • Společná konzola pro správu • Integrovaná aktualizace definic, enginů, firewallových pravidel, signatur útoků – za pomoci LiveUpdate • Integrovaná podpora bezpečnostních center

6. Dokonalejší antivirus

7. Package A Package B Package C SAV SAV SAV SAV SAV SAV SAV SAV SAV Package D Konzola SCF SCF SCF SCF SCF SCF SCF SCF SCF SSC Notebooky Packager Desktopy SAVSRV SAVSRV SAVSRV Administrátoři Servery Nový Symantec Packager Package A Package B Package C Package D

8. SAV SAV SAV SAV SAV SAV SAV SAV SAV SAV SAV SAV SSC SCF SCF SCF SCF SCF SCFA SCF SCF SCF SCF SCF SCF SCF Server - Skupina Group 1 Notebooky Srv1Pri. Srv2Sec. Desktopy Group 2 Group 3 Group 4 Administrátoři Servery Skupiny bez závislosti na serverech Konzola

9. Staré VDTM InternetLiveUpdate 7.6xServer 7.6xClient Přírůstková tlačná technologie > 3 MB Def Nové VDTM InternetLiveUpdate 8.0 Server 8.0 Client Pokles až na ~ 80 KB Def Klientovi je i při VDTM zasílán pouze rozdíl mezi starou a novou aktualizací

10. SAV SCF SCFA SAV SSC SAV SAV SAV SAV SAV SCF SCF SCFA SCF SCF SCF SCF Servery - Skupiny Srv1Pri. Srv2Sec. Nové složky LiveUpdate Konzola InternetLiveUpdate SCF AdminKlient Klienti Klienti SSC = Symantec System Center – SCFA = Symantec Client Firewall AdministratorSAV = Symantec AntiVirus – SCF = Symantec Client Firewall

11. Server Server Server LUFiles LUFiles LUFiles SAVClient SAVClient SAVClient LiveUpdate LiveUpdate LiveUpdate Vícenásobný LiveUpdate Internet LiveUpdate Server Klienti mohou být přiřazeni k vícerým serverům, v případě, že některé servery nepracují, připojí se klienti k náhradním serverům, aby mohla bez potíží proběhnout jejich aktualizace

12. Nastavení Internet LiveUpdate SCFPolitika LUFiles VirusDefs Settings SCFPolicy VirusDefs SAV SSC SAV Server SCF SCFA SCF Server ukládá:- Nastavení klientů - Politiky firewallu- Virové definice SAV Settings Settings SCFPolicy SCFPolicy Settings VirusDefs VirusDefs VirusDefs Klienti jsou online, kdykoliv jsou k dispozici nové aktualizace, politiky aj., ihned je dostávají tlačným procesem VDTM Klienti jsou pravidelně kontrolováni. Stavové informace o klientech jsou ukládány do mezipaměti. Je-li zjištěn problém, dostane klient aktualizace hned při další kontrola Jak se aktualizují klienti

13. Společná aktualizace „na jedno tlačítko“

14. Server Server Server SAVClient SAVClient SAVClient RoamClient RoamClient RoamClient Server Roaming klientů mezi servery Internet LiveUpdate Na základě rychlosti sítě nebo počtu klientů, připadajících na jeden server, je vždy vybrán nejvhodnější server pro poskytnutí aktualizace.

15. Internet LiveUpdate LUFiles Server VDTM LUFiles LUFiles Symantec LiveUpdate servery hostující na AKAMAI LUFiles SAVClient LiveUpdate Kontinuální LiveUpdate Klienti na noteboocích mohou používat oba aktualizační mechanismy, jak tlačnou metodu VDTM, tak i sací metodu LiveUpdate. Jestliže uživatel cestuje a připojuje s k Internetu pouze sporadicky, může být LiveUpdate konfigurován tak, aby každých „x“ minut kontaktoval LiveUpdate servery, jsou-li jeho definice „y“ dnů staré.

16. Nedošlo ani k navýšení výkonové zátěže ! • Dekompozice souborů v paměti • Zcela nový dekomposer verze 3.0 • ArcManager ARJ soubory • Cabinet souborySpustitelné soubory • Symantec Ghost Image GNU kompresní formáty • BinHex Hyper-Text Transfer Protocol • LHA (LZH) soubory Microsoft kompresní formáty • Multipurpose Internet Mail Extensions OLESS kontejnery • RAR soubory Rich Text Formát • TAR archivy MS-TNEF soubory • UUE archivy Zip archivy

17. Zvýšená „ostraha“ konfigurace TANSTAAFL,jim_waggoner,"Changed value 'HKLM\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\Storages\Filesystem\RealTimeScan\OnOff' from '1' to '0'", 0,,0,,,,,0,,,,,,,,,,ZEIT,,,(IP)-155.64.153.65,,,0:6:5B:19:36:AE ,TANSTAAFL,jim_waggoner"Symantec AntiVirus Realtime Protection Unloaded.",0,,0,,,,,0,,,,,,,,,,ZEIT,,,(IP)-155.64.153.65,,,0:6:5B:19:36:AE TANSTAAFL,jim_waggoner,"Changed value 'HKLM\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\Storages\Filesystem\RealTimeScan\Exts' from 'DOT,DOC,HTML,HTT,HTM,VBS,JS...' to 'XL?,WSH,WSF,VXD,VST,VSS,VSD...'",0,,0,,,,,0,,,,,,,,,,ZEIT,,,(IP)-155.64.153.65,,,0:6:5B:19:36:AE TANSTAAFL,jim_waggoner,"Changed value 'HKLM\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\Storages\Filesystem\RealTimeScan\HeuristicsLevel' from '2' to '1'",0,,0,,,,,0,,,,,,,,,,ZEIT,,,(IP)-155.64.153.65,,,0:6:5B:19:36:AE TANSTAAFL,jim_waggoner,"Changed value 'HKLM\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\Storages\Filesystem\RealTimeScan\Reads' f rom '1' to '0'",0,,0,,,,,0,,,,,,,,,,ZEIT,,,(IP)-155.64.153.65,,,0:6:5B:19:36:AE TANSTAAFL,jim_waggoner,"Changed value 'HKLM\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\Storages\Filesystem\RealTimeScan\OnOff' f rom '0' to '1'",0,,0,,,,,0,,,,,,,,,,ZEIT,,,(IP)-155.64.153.65,,,0:6:5B:19:36:AE TANSTAAFL,jim_waggoner,"Changed value 'HKLM\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\Storages\Filesystem\RealTimeScan\FileType‘ from '0' to '1'",0,,0,,,,,0,,,,,,,,,,ZEIT,,,(IP)-155.64.153.65,,,0:6:5B:19:36:AE

18. Změna přístupových oprávnění • SDÍLENÍ • VPHOME – Read-Only • VPAlert – Read-Only • VPLogon – Read-Only • OPRÁVNĚNÍ • Application Data\Symantec\NAVCE\ 7.5 folder • Administrator = Full Control • System = Full Control • Everyone = Read and Execute

19. Stále nejlepší v detekci virů • VB100% - nejprestižnější detekční testy (http://www.virusbtn.com) • Network Associated (Mc Afee) • Grisoft (AVG) • Alwill (AVAST32) • Kaspersky Labs • Symantec (Norton AntiVirus) Nestačí aktualizovat definice! Rozhodující je aktualizovat engine!

20. Integrovaná bezpečnost

21. Centrální konfigurace firewallu a IDS

22. Centrální konfigurace firewallu a IDS

23. Centrální konfigurace firewallu a IDS

24. Detailní práce správce se signaturami

25. Kompletní statistické a analytické údaje

26. Radek Smolík National Sales Manager Symantec ČR a SR Praha City Center Klimentská 46 110 02, Praha 1 rsmolik@symantec.com +420-606-655625 Jakub Jiříček System Engineer Symantec ČR a SR Praha City Center Klimentská 46 110 02, Praha 1 jjiricek@symantec.com +420-603-552441 Kontakty na český Symantec