Symantec endpoint protection 12 1
This presentation is the property of its rightful owner.
Sponsored Links
1 / 55

Symantec Endpoint Protection 12.1 PowerPoint PPT Presentation


  • 123 Views
  • Uploaded on
  • Presentation posted in: General

Symantec Endpoint Protection 12.1. Co je nov ého : Technical Features Deep Dive. Agenda. Nové ochranné technologie v SEP 12.1. Nové a vylepšené nástroje pro správu v SEP 12.1. Nové funkce pro virtualizaci v SEP 12.1. Probl é m Autoři m alware změnili taktiku. Z :

Download Presentation

Symantec Endpoint Protection 12.1

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Symantec endpoint protection 12 1

Symantec Endpoint Protection 12.1

Co je nového: Technical Features Deep Dive

SEP 12.1 - What's New


Agenda

Agenda

Nové ochranné technologie v SEP 12.1

Nové a vylepšené nástroje pro správu v SEP 12.1

Nové funkce pro virtualizaci v SEP 12.1


Probl m auto i m alware zm nili taktiku

ProblémAutoři malware změnili taktiku

Z:

Masová distribuce relativně malého množství hrozeb, např:

  • Stormsi našel cestu k milionům počítačů na celém světě

Na:

Model mikrodistribuce, např.

  • Jedna varianta červa Vundose dostala v průměru k 18-ti uživatelům řešení Symantec!

  • Průměrná varianta hrozby Harakitbyla distribuována k 1.6 uživateli!

V loňském roce objeveno přes 240M jednotlivých nových hrozeb!

Jaká je šance, že bezpečnostní výrobci objeví všechny takovéto hrozby?


Probl m mil i ny r zn ch soubor dobr ch i patn ch

ProblémMilióny různých souborů (dobrých i špatných)

  • Představte si, že víme:

    • o každém souboru na světě…

    • v kolika se vyskytuje kopiích

    • a které soubory jsou dobré a které špatné

  • Teď je seřaďme podle četnosti výskytu

    • špatné vlevo

    • dobrévpravo


Symantec endpoint protection 12 1

ProblémŽádná stávající technologie neumí dlouhou oblast uprostřed

Today, both good and bad software obey a long-tail distribution.

Dobré

Špatné

Bohužel žádná stávající technologie nefunguje dobře pro desítky miliónů souborů s nízkou četností výskytu.

(Ale to je přesně oblast, kam spadá většina dnešních škodlivých kódů)

Četnost

Pro tuhle prostřední část je třeba nová technologie.

Whitelisting funguje dobře zde.

Blacklisting funguje dobře zde.

SEC 204: SEP Next Generation Technologies


Symantec endpoint protection 12 1

Řešení:

Nové ochranné technologie

  • Insight

  • Symantec Online Network for Advanced Response (SONAR)

  • Download Insight

  • Norton Safe Web Lite

  • Pokročilá bezpečnostní pravidla


Symantec insight

Symantec Insight

  • Využívají jí různé části produktu

    • Download Insight

    • ScanLess

    • Sonar

    • Heuristika a Corroborationběhem detekce

  • Revoluční základní technologie poskytující proaktivní ochranu před novými cílenými hrozbami pomocí bezpečnostního hodnocení komunitou tvořenou více než 175 milióny koncových bodů.

  • Insight je technologie integrovaná do SEP, která umožňuje potvrzení nebo odmítnutí možné hrozby na základě „pověsti“ souboru


Symantec endpoint protection 12 1

How many copies of this file exist?

How new is this program?

Is it signed?

How often has this file been downloaded?

Insight

Kontext o souboru vypovídá stejně, jako jeho obsah

How many people are using it?

Where is it from?

Does it have a security rating?

Have other users reported infections?

Is the source associated with infections?

How will this file behave if executed?

What rights are required?

Is the file associated with files that are linked to infections?

Does the file look similar to malware?

How old is the file?

Is the source associated with SPAM?

OR

OR

Kontext, který se sleduje

Have other users reported infections?

Who created it?

BAD

LOW

NEW

OLD

HI

GOOD

Is the source associated with many new files?

Četnost

Pověst

Stáří

Who owns it?

What does it do?

8


Pov st n p stup

PověstNáš přístup

Obdoba:PageRank™ na Google

A pak jsme vytvořili silně paralelizovaný analytický algoritmus..

Symantec Reputation Engine

Používá nasbíraná data k určení bezpečnostní pověsti

Norton Community Watch

Program s volitelnou účastí pro sběr anonymních dat

  • Náš systém sleduje téměř všechny aplikace na světě

    • 1.6 mld. unikátních aplikačních souborů všech verzí a jazyků

    • má informace o všech souborech: EXE, ovladačích, DLL, plug-in modulech

    • poskytuje pověst, četnost a datum objevní každého souboru

    • a je velmi přesný

Symantec File Safety Reputations


Jak to funguje

Jak to funguje

Kontrola DB během skenování

Hodnocení téměř každého souboru na internetu

1

2

4

3

5

Budování sběrné sítě

Je to nové?

Špatná pověst?

Allow

Deny

Hledání souvislostí

Poskytuje data pro rozhodnutí

SEP 12.1 - What's New

Souvislosti


Symantec endpoint protection 12 1

Proč Insight?

Skvělý výkon

Nesrovnatelná bezpečnost

Insight

Nenahrazuje jiné technologie

Podporuje účinnost ostatních technologií

SEP 12.1 - What's New


Symantec endpoint protection 12 1

Výjimečná detekce

  • Blokuje škodlivý kód pomocí znalostí komunity – i pokud nemáme otisk

Zpřesňuje fungování naší heuristiky a blokace chování

Ničí škodlivé kódy, napoprvé a provždy


Anal za chov n a syst mov heuristika

Analýza chování a systémová heuristika

  • Symantec Online Network for Advanced Response (SONAR)

    • detekce podezřelého chování

    • detekce změn systému

      • změny v souboru hosts a nastavení DNS

    • Tamper Protection (SymProtect)

  • Nová generace heuristického engine

  • Narozdíl od SEP 11, SONAR poskytuje ochranu v reálném čase

  • Reaguje na spouštění procesů

    • Chování aplikací vyhodnocuje okamžitě, v reálném čase

  • Vylepšení o ochranu souborů a registru

  • Je možné aktualizovat pomocí LiveUpdate


Funkce technologie s onar

Funkce technologie SONAR

Nasazení heuristiky umožňuje tyto tři bezpečnostní novinky

Klasifikační engine založený na umělé inteligenci

Signatury chovánítvořené lidmi

Uzamčení pravidelchování


Sonar

SONAR

Detekce:

Změny v systému

Detekce:

Podezřelé chování


Download insight

Download Insight

  • Download Insight je technologie kontrolující pověst stahovaných binárních souborů a blokování těch „špatných“

  • Download Insight skenuje soubory při stahování pomocí portálové aplikace (IE. Firefox, IE)


Safe web lite

Safe Web Lite

  • Bezpečné HLEDÁNÍ

    • Varuje před nebezpečnými webovými stránkami přímo ve výsledcích vyhledávání

    • Funguje dobře s vyhledávači Google, Yahoo! & Bing

  • Bezpečné PROCHÁZENÍ

    • spustí poplach pokud stránka obsahuje potenciálně nebezpečný soubor ke stažení

    • Pomáhá zamezit nechtěným stažením virů, spyware a dalších on-line hrozeb

  • Bezpečné NAKUPOVÁNÍ

    • Varuje před podezřelými online prodejci

    • Pomáhá najít ověřené online obchodníky, kterým můžete důvěřovat

Safe Web Lite poskytuje bezpečnější vyhledávání – varuje před nebezpečnými webovými stránkami ve výsledcích vyhledávání, takže můžete bez obav používat jen bezpečné služby


Aktualizovan f irewall ids

Aktualizovaný firewall/IDS

  • Podpora NDIS5/NDIS6

  • Firewallová pravidla lze použít na provoz IPv6

  • FW nezávisí na AV/DC/IDS

  • Lepší integrace s Windows Firewall

  • Vylepšená obsluha chyb a reporting u IDS


Pokro il bezpe nostn pravidla

Pokročilá bezpečnostní pravidla

  • Vylepšená výchozí pravidla relevantní pro dnešní hrozby

  • Nový ICMP přepínač pro Location Awareness

  • Vylepšená Tamper Protection


V sledky nesrovnateln zabezpe en

Výsledky:Nesrovnatelné zabezpečení


Symantec endpoint protection 12 1

ProblémObtížné a pomalé instalace

  • Lepší možnosti nastavení restartů

  • Poskytuje lepší informace o zavedení

  • Pro instalaci klientu jsou kroky jednodušší

  • Během instalace trvá ochrana

  • Informace o obnově licencí jsou dobře dostupné

  • Postačuje jeden nástroj pro centralizované hledání a zavedení nebo upgrade klientů


Symantec endpoint protection 12 1

Řešení:

Nové možnosti zavedení

  • Vylepšená instalace klientů

  • Aktualizovaný průvodce Client Deployment Wizard

  • Lepší přehledy

  • Vylepšená upozornění

  • Přehledná nastavení restartů

  • Správa licencí


Vylep en instalace klient

Vylepšená instalace klientů

  • Používá se MSI technologie, stávající verze/soubory se nahradí při restartu

  • Side by Side instalace vytvoří nový adresář

  • Zákazník může změnit instalační cestu během migrace

  • Starý software během migrace stále běží beze změny, až do příštího restartu


Aktualizovan pr vodce client deployment wizard

Aktualizovaný průvodce Client Deployment Wizard

  • Automatický výběr balíčků 32/64 bitů

  • Ochrana a obsah se nastavují ve stejném nástroji

  • Nové možnosti zavedení

    • Remote Push

    • Web Link nebo Email

    • Export pro 3rd Party řešení

  • Vylepšený improt klientů


Lep p ehledy o v sledku zav d n klient

Lepší přehledy o výsledku zavádění klientů

  • Klienti se spojí s konzolí ihned po začátku instalace, o průběhu jsou proto k dispozici podrobné informace

  • Přehledy teď ukazují

    • Úspěch

    • Chyby

    • Zrušené instalace

    • Nepodporované OS

    • Požadavek na reboot


  • N ov vestav n upozorn n

    Přehledný stav s podrobnostmi na kliknutí – o definicích, zavedení, stavu ochrany a prosazení licencování

    Přidána nová upozornění

    Licencování

    Změny klientů

    Zdraví

    Nové SW balíčky

    Oblíbená/požadovaná mailová upozornění povolená ve výchozím nastavení, PDA-friendly

    Uživatelé mohou posílat licenční upozornění partnerům

    Nová vestavěná upozornění


    Vylep en nastaven restart

    Sločení více požadavků na restart od různých komponent do jediného restartu

    Lepší možnost restart naplánovat

    Administrátor má více možností nastavení restartu na klientských stanicích

    Vylepšená nastavení restartů


    Spr va licenc

    Správa licencí

    • Správa licencí

    • Přehledy o využitých licencích

    • Nastavení upozornění na vypršení


    Symantec endpoint protection 12 1

    ProblémZlepšit prostředí pro administrátory

    • Administrátoři potřebují možnost získávat zapomenutá hesla

    • Velké podniky požadují delegovat omezený přístup administrátorům poboček

    • Lepší škálovatelnost

    • Potřeba pro rychlejší LiveUpdate

    • Potřeba oddělené konfigurace nastavení LiveUpdate pro klienty Mac a Windows v jedné politice

    • Zrychlení skenování


    Symantec endpoint protection 12 1

    Řešení:

    Nová vylepšení pro administrátory

    • Vylepšení v oblasti správy hesel

    • Vylepšená granularita přístupových oprávnění

    • Vylepšená škálovatelnost

    • Vylepšení v LiveUpdate

    • Vylepšení výkonu


    Vylep en v oblasti spr vy hesel

    Nastavitelné možnosti obnovení/resetu hesel

    Hesla lze znovu získat mailem

    Vylepšení v oblasti správy hesel

    33


    Vylep en granularita p stupov ch opr vn n

    SEP 12.1 - What's New

    Nově: Site rights

    omezení administrátoři s právy na pobočku

    Novinka: Command Rights

    Nová oprávnění v politikách

    Vylepšená granularita přístupových oprávnění


    Vylep en k lov n

    Reporting je ve výchozím stavu přes SSL

    IIS nahrazen serverem Apache

    Snadné spouštění běžných úloh: zavedení SEP klienta, spuštění LiveUpdate, průvodce produktem

    Cílová hodnota: až 80,000 klientů na jeden SEPM

    Lepší výkon databáze – automatická údržba

    Integrace s SPC pomocí webových služeb

    Vylepšené škálování


    Symantec endpoint protection 12 1

    Vysoký výkon při skenování optimalizovaném díky hodnocení pověsti

    Na typickém počítači lze přeskočit 80% aktivníchaplikací!

    ü

    ü

    ü

    ü

    ü

    ü

    ü

    ü

    ü

    ü

    ü

    ü

    ü

    ü

    ü

    Tradiční skenování

    Musí se skenovat všechny soubory.

    Skenování využívající pověst

    Přeskakuje všechny soubory, o kterých s jistotou víme, že jsou OK. Výsledkem jsou výrazně rychlejší skeny.

    37


    V sledky

    Výsledky:

    Skenování Symantec Endpoint Protection:

    3.5X rychlejší než McAfee

    2X rychlejší než Microsoft

    Na prvním místě v celkovém výkonu!

    • PassMark™ Software, Feb., 2011 - http://www.passmark.com/AVReport


    V sledky1

    Výsledky:

    Využití paměti

    • PassMark™ Software, Feb., 2011 - http://www.passmark.com/AVReport

    Symantec Endpoint Protection používá:

    o 66% méně paměti než McAfee

    o 76% méně paměti než Microsoft


    Symantec endpoint protection 12 1

    ProblémNárůst virtuálních koncových bodů a množství hrozeb

    The Scan Storm

    • Nástup virtualizace

    • Roste VDI

    • AV, IPS a proaktivní detekce také rostou

    Physical Environment is Shrinking but Strong

    Virtual Adoption is Growing


    D ky za pozornost

    Díky za pozornost!

    Martin Meduna

    SEP 12.1 - What's New


    Symantec endpoint protection 12 1

    Řešení:

    SEP 12.1 je vytvořený pro virtualizaci


    Vytvo eno pro virtualizaci

    Vytvořeno pro virtualizaci

    • Vynechávání virtuálních obrazů– umožňuje zákazníkům neskenovat všechny soubory ze vzorové baseline instalace

    • Sdílená mezipaměť Insight – samostatný server díky kterému mohou klienti sdílet výsledky svých skenů. Klienti tak nemusí skenovat soubory, které už oskenoval někdo jiný.

    • Značkování virtuálních klientů– Do SEPM se přenáší informace o virtualizaci klienta a platformě hypervisoru. Tato data lze použít při hledání klientů a v přehledech.

    • Offline skenování obrazů – samostatný nástroj pro offline skeny VMWare souborů (VMDK).


    V ynech v n virtu ln ch obraz

    Vynechávání virtuálních obrazů

    Virtual Image Exception(VIE) je nástroj pro administrátory pro snadné nastavení výjimek souborů ve virtuálních prostředích.

    • Pouze v Enterprise Edition. Není k dispozici v SBE.

    • Běží jako samostatná aplikace a nevyžaduje tradiční instalaci

    • Musí se spustit z vnitřku virtuálního stroje (VMware, Citrix, of Hyper-V)

    • Funguje na Windows XP SP2, SP3, Vista, Windows 7 a Windows 2008 R2

    • Command-line volby pro tichý a automatický provoz

    • Podrobné logy/přehledy o činnosti

    • Poskytuje administrátorům nastavitelné možnosti v SEPM pro VIE výjimky v auto-protect i plánovaných skenech


    P ehled fungov n

    Přehled fungování

    Krok 1:

    Nástroje skenují systém


    P ehled fungov n1

    Přehled fungování

    Krok 2:

    Nástroj vytvoří seznam všech souborů

    Krok 3:

    Nástroj zařadí všechnymístně nalezené známé soubory na whitelist

    Krok 1:

    Nástroje skenují systém


    P ehled fungov n2

    Přehled fungování

    Krok 4: Aktivace administrátorem

    Administrátoři mohou povolit zahrnutí nebo odmítnutí výjimek v AV pravidlech pro ochranu On-Demand i Auto-Protect.


    P ehled fungov n3

    Přehled fungování

    ü

    ü

    ü

    ü

    ü

    ü

    ü

    ü

    ü

    ü

    ü

    ü

    ü

    ü

    ü

    Krok 4: Aktivace administrátorem

    Administrátoři mohou povolit zahrnutí nebo odmítnutí výjimek v AV pravidlech pro ochranu On-Demand i Auto-Protect.

    Krok 5: optimalizované skenování

    Vynechává soubory označené nástrojem VIE


    S d len mezipam insight

    Sdílená mezipaměť Insight

    Sdílená mezipaměť Insight poskytuje sdílení informací mezi více virtuálními počítači pro snížení množství I/O operací; různé VM neskenují stejné soubory

    • Pouze v Enterprise Edition. Není k dispozici v SBE.

    • Určené především pro virtuální prostředí, lze použít i na fyzických klientech

    • Uplatní se u skenů na vyžádání (uživatelských, plánovaných, definovaných administrátorem). Nefunguje u rezidentní ochrany auto-protect.

    • Škálování na tisíce klientů na server

    • Komunikace mezi klienty a SIC je přes HTTP. Volitelně lze přepnout na HTTPS a také používat autentizaci

    • Uplatní se na všechny typy souborů (nejen spustitelné binární soubory)

    • Ke každému souboru se vytvoří kombinace jeho hash a verze definic.Vyhrává poslední verze definic.

    • Server mezipaměti pracuje se všemi daty plně v paměti. Disk se používá jen pro logy.


    Fungov n

    Fungování

    Případ 1: Pověst je známá

    Pokud víme, co je soubor zač a je v pořádku, přeskoč ho

    Sdílenámezipaměť

    Insight


    Fungov n1

    Fungování

    Případ 2: Pověst neznámá, ale je ve sdílené mezipaměti

    Pokud neznáme pověst souboru, ověříme jeho přítomnost ve sdílené mezipaměti.

    Pokud se jedná o spustitený binární soubor, odešleme hash do Symantec Insight, abychom získali Reputation Score

    Sdílenámezipaměť

    101010101 def 2/11

    Insight

    101010101


    Fungov n2

    Fungování

    Případ 2: Pověst neznámá, ale je ve sdílené mezipaměti

    Pokud sdílená mezipaměť tento soubor již zaregistrovala a definice zaznamenané v mezipaměti jsou stejné nebo novější než definice na klientovi, přeskoč skenování souboru.

    Jedná-li se o binární spustitelný soubor, zaznamenej výsledek pro použití s technologií ScanLess

    Sdílenámezipaměť

    Soubor v mezipaměti

    Insight


    Ozna ov n virtu ln ch klient

    Označování virtuálních klientů

    • Značkování je vestavěné do SEP klienta

    • Rozpoznává VMWare ESX/i, Microsoft Hyper-V, Citrix Xen

    • Klient při startu spouští kontrolu a zjištěné informace odesílá zpět do SEPM

    • Informace o stavu a platformě hypervisoru jsou k dispozici v přehledech a ve vlastnostech klienta a lze v nich vyhledávat

    Virtual Client Tagging dává administrátorům možnost zjistit, že klient běží ve virtuálním prostředí.


    Ozna ov n virtu ln ch klient1

    Označování virtuálních klientů


    Offline image scanner

    Offline Image Scanner

    Symantec Offline Image Scanner umožňuje administrátorům skenovat offline VMWare soubory a hledat v nich škodlivý kód.

    • Skenuje offline VMware obrazy disků (pouze soubory .vmdk)

    • běží na Windows a umí skenovat souborové systémy FAT32 a NTFS

    • Nepotřebuje nic dalšího, než virové definice

    • Command-line volby pro tichý a automatický provoz

    • Podrobné možnosti logů a tvorby přehledů

    • Není třeba instalovat


    Offline image scanner1

    Offline Image Scanner


    V sledek o ek van v kon sep 12 1

    Výsledek:Očekávaný výkon SEP 12.1

    * Předběžné očekávané výsledky, finální hodnoty zatím nejsou k dispozici

    Celkový přínos pro zákazníky s SEP 12.1 s virtualizačními funkcemi odhadujeme na snížení diskových I/O operací o 80%-90% při plných skenech (srovnání vůči verzím 11.x).


    D ky za pozornost1

    Díky za pozornost!

    SEP 12.1 - What's New


  • Login