Redefiniendo el Antivirus: Presentacion de Symantec Endpoint Protection v11.0 y Symantec Network Access Control v11.0
Raul Bazan, iSoftlandArgentinaOctubre de 2007
2
Tendencias en seguridad11
Puntos principales de EndpPoint Security22
33
44
Agenda
Control de accesos33
Evaluacion, recursos y proximos pasos44
3
Tendencias en seguridad
• Nuevas tecnologias estan cambiando la forma en la que nos comunicamos
– Symantec lanza un nuevo concepto llamado “EndPoint” el cual apunta a la seguridad de los puntos finales
– Las empresas comparten informacion a traves de sus “puntos finales” involucrandose en interacciones electronicas cada vez mas complejas. Accesos remotos, chequeos de cuentas bancarias, palms, celulares, wi-fi, notebooks, pendrive, MP3, etc.
• Las nuevas tecnologias tambien estan introduciendo nuevos riesgos a la seguridad
– Los riesgos ya no apuntan solo al los dispositivos – ahora apuntan a la informacion y las interacciones
– Por ejemplo el phishing, el robo de identidad, usuarios maliciosos y el incumplimiento de las politicas, son los nuevos riesgos de hoy
• Symantec esta juntando un ecosistema de productos, servicios y partners que ayudan a crear un mundo seguro y conectado.
4
Los problemas en el Endpoint
Source: Infonetics Research - The Cost of Network Security Attacks: North America 2007
• El numero de amenazas conocidas y desconocidas esta en aumento
– Los ataques silenciosos y dirigidos son los que mas aumentan
• Los costos asociados a los endpoints administrados estan en aumento
– El costo de downtime (tiempo de inactividad) impacta tanto la productividad como las ganancias
– Los costos de comprar y administrar productos puntuales para cada problematica incrementan los gastos
• La complejidad tambien esta aumentando
– Administrar distintas tecnologias de proteccion para el endpoint resultan cada vez mas complejas y requieren capacitacion adicional.
Numero de amenazas de dia cero
5
Worm o Gusanos de Internet...
Source: Enterprise Strategy Group, January 2005 ESG Research Report, Network Security And Intrusion Prevention
0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%
Notebooks de empleados
Internet a traves del Firewall
Notebooks externas
Desde el hogar via VPN
Desconocida
Otra
43%
39%
34%
27%
8%
8%
“Cuales son las fuentes mas comunes de ataques de gusanos automaticos de Internet?”
66
Repaso de Endpoint Security
7
Los problemas actuales de los endpoints son atendidos por varias tecnologias…
Client Firewall
O/S Protection
Buffer overflow &exploit protection
Anti crimeware
Devicecontrols
Network IPS
Host integrity & remediation
Tecnologia de Proteccion
Anti-spyware
Antivirus
NetworkConnection
OperatingSystem
Memory/Processes
Applications
Gusanos, exploits & ataques
Virus, Troyanos, malware & spyware
Malware, Rootkits, Ataques de dia cero
Buffer Overflow, key logging
Ataques de dia cero, Malware, Troyanos
I/O DevicesSlurping, robo de informacionmalware
Exposiciones del Endpoint
Always on, always up-to-
date
Data & FileSystem
8
NetworkConnection
OperatingSystem
Memory/Processes
Applications
I/O Devices
…incluso de Symantec
Always on, always up-to-
date
Client Firewall
O/S Protection
Buffer overflow &exploit protection
Anti crimeware
Devicecontrols
Network IPS
Host integrity & remediation
Tecnologia de Proteccion
Anti-spyware
AntivirusData & File
System
Symantec Confidence
Online
Symantec Sygate
EnterpriseProtection
Symantec Network
Access Control
Solucion de Symantec
SymantecAntiVirus
NetworkConnection
OperatingSystem
Memory/Processes
Applications
Gusanos, exploits & ataques
Virus, Troyanos, malware & spyware
Malware, Rootkits, vulnerabilidades de dia cero
Buffer Overflow, inyeccionde procesos, key logging
Ataques de dia cero, Malware, Troyanos, inyeccion de
aplicaciones
I/O DevicesSlurping, robo de IP, malware
Exposiciones del Endpoint
Always on, always up-to-
date
Data & FileSystem
9
Nuevo Symantec Endpoint Security - Resumen
• El lider mundial en solucion anti-virus 1
• Mayor cantidad de premios VB 100 consecutivos (31) 2
• Lider en deteccion de amenazas polimorficas3
• Tecnologia de punta en antispyware, lo mejor de deteccion y remocion de rootkit 4
• Incluye tecnologia de escaneo VxMS (Veritas)
• El mejor personal firewall administrado de la industria 5
• Tecnologia Sygate
• Politicas adaptables – lo mejor en deteccion de ubicacion
• Prevencion de intrusos por comportamiento (Whole Security)
• Inspeccion del trafico de red por vulnerabilidades
• Control de uso de dispositivos externos para prevenir el robo de informacion desde el endpoint (Sygate)
• Proteccion contra pen drives USB, iPods, CD-RW, etc
• Incluye un agente NAC (Sygate)
• Agrega cumplimiento de politicas a la proteccion del endpoint
Antivirus
Antispyware
Firewall
IntrusionPrevention
Device Control
Network AccessControl
See backup slides for sources cited
1010
Presentando…
Antivirus
Antispyware
Firewall
IntrusionPrevention
Device Control
Network AccessControl
Symantec Network Access Control 11.0
Symantec Endpoint Protection 11.0
11
Symantec EndPoint Protection v. 11.0Caracteristicas Principales
• Proteccion en multiples capas
– Proteccion integral contra amenazas conocidas y desconocidas
– Proteccion contra amenazas sofisticadas como ataques de dia cero y rootkits
– Todo en un paquete integrado versus otros fabricantes que tienen productos separados
• Tecnologia Raw Disc Scan
– Detecta y remueve los rootkits mas dificiles que otros vendors no ven
– Ahorra el tiempo, el dinero y la perdida de productividad asociados a tener que re-instalar maquinas infectadas
• Generic Exploit Blocking
– Bloquea todos los nuevos exploits (incluyendo variantes) de una vulnerabilidad con una sola firma
– Bloquea el malware ANTES de que ingrese al sistema
• Deep Packet Inspection
– Le brinda a los administradores completo control para administrar las firmas de IPS y adecuar el nivel de proteccion a su entorno
12
Symantec EndPoint Protection v. 11.0Caracteristicas Principales
• Escaneo proactivo de amenazas
– Detecta malware en forma precisa sin necesidad de configurar reglas y sin la preocupacion por falsos positivos
– Brinda una deteccion mas precisa del malware
• Control de aplicaciones
– Evita que el malware se propague o dañe al endpoint
– Bloquea los endpoints para prevenir filtraciones de datos
– Permite a los administradores restringir actividades sospechosas o de alto riesgo
• Control de dispositivos
– Previene la extraccion o robo de datos confidenciales o sensibles de los endpoints
– Previene la infeccion de endpoints por parte de virus propagandose desde dispositivos perifericos
• Unico agente
– Disminuye el costo total de propiedad para la seguridad endpoint
– Reduce la carga administrativa
– Ofrece reportes, licenciamiento y mantenimiento unificados y centralizados
– No requiere ningun cambio sobre el cliente cuando se agrega SNAC
13
Symantec EndPoint Protection v. 11.0Caracteristicas Principales
• Interfaz cliente simplificada
– Control administrativo
– Amigable al usuario
– Navegacion intuitiva
• Soporte de Active Directory
– Reduce los esfuerzos administrativos
– Aumenta la eficiencia operativa
• Administracion por roles
– Ofrece administracion flexible
– Aumenta la eficiencia operativa
14
Symantec Network Access Control
• Opciones de cuarentena, remediacion o acceso total
– Controla el cumplimiento de la politica antes de garantizar el acceso
– Ejecuta actualizaciones, programas, servicios, etc.
– Limita la coneccion a la VLAN, etc
Garantiza que los endpoints esten protegidos y en cumplimiento con la politica antes de que accedan a los recursos de la red
15
IT Policy
Proceso de Symantec Endpoint Compliance
Se determina lo que debe cumplir el endpoint en relacion
a la configuracion de la red
Paso 1
Se revisa el cumplimiento de la configuracion
contra la politica
Paso 2
✗
Se toma accion segun el resultado del chequeo
de la politica
Paso 3 PatchQuarantineVirtual Desktop
Se monitorea el endpoint para garantizar el
cumplimiento continuo
Paso 4
1616
Un solo agente, una sola consola
Resultados:
Menor costo, complejidad y
exposicion al riesgo
Mayor proteccion, control y
administrabilidad
Symantec Network Access Control 11.0
Symantec Endpoint Protection 11.0
1717
Como disminuimos el costo, la complejidad y el riesgo?
• Costo
– Menor demanda de recursos del sistema, menor utilizacion de memoria.
– Todas las soluciones en un solo producto
– Eficiencia operativa
• Complejidad
– Menos consolas y agentes, lo cual permite estandarizar las tecnologias
– Nueva interfaz mejorada para organizaciones de cualquier tamaño
• Riesgo
– Incluye IPS por comportamiento para proteger contra ataques desconocidos
– El control de dispositivos ayuda a proteger contra la perdida de datos y el robo de propiedad intelectual
Average of 84% reduction in memory usage requirements
Product Baseline Memory Usage
Symantec AntiVirus Corporate Edition 62 MB
Symantec Client Security 129 MB
Symantec AntiVirus + Symantec Sygate Enterprise Protection
72 MB
McAfee Total Protection SMB 71 MB
Trend Micro OfficeScan Client Server 50 MB
Symantec Endpoint Protection 11.0
21 MB!????
18
Necesidades de los clientes que cubrimos con SEP
• Entornos complejos de seguridad para clientes– SEP combina las principales tecnologias de seguridad en un solo cliente
– SEP ofrece una sola consola para todas las tecnologias reduciendo la carga administrativa
• Proteger datos, correo y dispositivos de las crecientes amenazas– SEP brinda prevencion avanzada contra amenazas protegiendo tanto de amenazas conocidas
como desconocidas
• Reducir los costos asociados con la administracion de multiples soluciones de seguridad para los clientes de la red
– SEP reduce los costos de adquisicion, soporte y mantenimiento utilizando un solo agente y consola
• Comprobar el cumplimiento de las politicas de seguridad de regulaciones internas y externas
– SEP permite aplicar las politicas de seguridad relacionadas a los clientes de la red, tal como comprobar que el antivirus y el firewall esten activos antes de permitir conexion con la red corporativa
20
Nombre y Packaging
• Como se llamara comercialmente la nueva version?
– Symantec™ Endpoint Protection 11.0
– Symantec™ Network Access Control 11.0
• Nuevas Suites
– Symantec™ Multi-tier Protection 11.0
– Symantec™ Endpoint Protection Small Business Edition 11.0
• Disponibilidad: 10 de Octubre
21
Comparativa entre licencias
Symantec Endpoint Protection
Symantec Endpoint Protection Small Business Edition
Symantec Multi-Tier Protection
Antivirus X X X
Antispyware X X X
Desktop Firewall X X X
Intrusion Prevention
X X X
Control de dispositivos
X X X
SMS for Exchange
X X
SMS for Domino X
SMS for SMTP X
*Grisado = administracion central de un mismo agente en la misma consola
22
Endpoint Protection Endpoint ComplianceSo
luti
on
Redefiniendo la seguridad del endpoint
Symantec Endpoint Security
Key
Pro
du
cts
Def
init
ion
Endpoint Protection protege proactivamente laptops, desktops y servers de malware conocido y desconocido tal como virus, gusanos, troyanos, spyware, adware y rootkits combinando:· Antivirus· Antispyware· Desktop firewall· Intrusion Prevention (Host & Network)· Device Control
Endpoint Compliance controla en forma segura la entrada a las redes· Chequeo continuo de la integridad del endpoint· Manejo centralizado del cumplimiento del endpoint· Remediacion automatica· Aplicacion de las politicas de acceso basada en el host· Monitoreo y reporte· Control de la configuracion de sistema, remediacion y enforcement
Oth
erP
rod
uct
s Symantec Mobile
Security
Symantec Critical System Protection
Symantec On-Demand
Protection (for OWA & Web Apps)
Symantec Network Access Control 11.0
Symantec Endpoint Protection 11.0
23
Cliente Beta de Symantec Endpoint
Protection
24
Beta Publica
• Disponible en la web publica
• Solamente la porcion cliente de Symantec Endpoint Protection 11.0 (no es el codigo final del producto)
• Info, Registracion y Download en www.symantec.com/endpointsecurity
• Foros de discusion para usuarios finales y Partners
– On STN: https://forums.symantec.com/
– PM blog: https://forums.symantec.com/blog?blog.id=EndpointSecurity
© 2006 Symantec Corporation. All rights reserved.
THIS DOCUMENT IS PROVIDED FOR INFORMATIONAL PURPOSES ONLY AND IS NOT INTENDED AS ADVERTISING. ALL WARRANTIES RELATING TO THE INFORMATION IN THIS DOCUMENT, EITHER EXPRESS OR IMPLIED, ARE DISCLAIMED TO THE MAXIMUM EXTENT ALLOWED BY LAW. THE INFORMATION IN THIS DOCUMENT IS SUBJECT TO CHANGE WITHOUT NOTICE.
Q&A
gracias.