symantec endpoint protection 12.1
DESCRIPTION
Symantec Endpoint Protection 12.1. Co je nov ého : Technical Features Deep Dive. Agenda. Nové ochranné technologie v SEP 12.1. Nové a vylepšené nástroje pro správu v SEP 12.1. Nové funkce pro virtualizaci v SEP 12.1. Probl é m Autoři m alware změnili taktiku. Z : - PowerPoint PPT PresentationTRANSCRIPT
Symantec Confidential: Internal Use Only
SEP 12.1 - What's New 1
Symantec Endpoint Protection 12.1Co je nového: Technical Features Deep Dive
SEP 12.1 – What’s New
Agenda
2
Nové ochranné technologie v SEP 12.1
Nové a vylepšené nástroje pro správu v SEP 12.1
Nové funkce pro virtualizaci v SEP 12.1
SEP 12.1 – What’s New
ProblémAutoři malware změnili taktiku
Z:Masová distribuce relativně malého množství hrozeb, např: Storm si našel cestu k milionům
počítačů na celém světě
Na:
Model mikrodistribuce, např. Jedna varianta červa Vundo se
dostala v průměru k 18-ti uživatelům řešení Symantec!
Průměrná varianta hrozby Harakit byla distribuována k 1.6 uživateli!
3
V loňském roce objeveno přes 240M jednotlivých nových
hrozeb!
Jaká je šance, že bezpečnostní výrobci objeví všechny takovéto hrozby?
SEP 12.1 – What’s New
ProblémMilióny různých souborů (dobrých i špatných)• Představte si, že víme:
– o každém souboru na světě…
– v kolika se vyskytuje kopiích
– a které soubory jsou dobré a které špatné
• Teď je seřaďme podle četnosti výskytu– špatné vlevo
– dobré vpravo
4
SEP 12.1 – What’s New
Bohužel žádná stávající technologie nefunguje dobře pro desítky miliónů souborů s nízkou četností výskytu.
(Ale to je přesně oblast, kam spadá většina dnešních škodlivých kódů)
Today, both good and bad software obey a long-tail distribution.
Špatné Dobré
Četn
ost
Whitelisting funguje dobře
zde.
Pro tuhle prostřední část je třeba nová technologie.
Blacklisting funguje dobře
zde.
5SEC 204: SEP Next Generation Technologies
Problém
Žádná stávající technologie neumí dlouhou oblast uprostřed
SEP 12.1 – What’s New
Nové ochranné technologie
6
• Insight• Symantec Online Network for Advanced Response (SONAR)• Download Insight• Norton Safe Web Lite• Pokročilá bezpečnostní pravidla
Řešení:
SEP 12.1 – What’s New 7
• Revoluční základní technologie poskytující proaktivní ochranu před novými cílenými hrozbami pomocí bezpečnostního hodnocení komunitou tvořenou více než 175 milióny koncových bodů.
• Insight je technologie integrovaná do SEP, která umožňuje potvrzení nebo odmítnutí možné hrozby na základě „pověsti“ souboru
• Využívají jí různé části produktu• Download Insight
• ScanLess
• Sonar
• Heuristika a Corroboration během detekce
Symantec Insight
SEP 12.1 – What’s New
How often has this file been downloaded?
Where is it from?
Have other users reported infections?
Is the source associated with infections?
How many people are using it?
Does it have a security rating?
Is it signed?
Who owns it?
InsightKontext o souboru vypovídá
stejně, jako jeho obsah
What does it do?
How new is this program?How many copies of this file exist?
8
How will this file behave if executed?
How old is the file? Is the source associated with SPAM?
Is the source associated with many new files?
Does the file look similar to malware?Is the file associated with files that are linked to infections?
Who created it?
What rights are required?
Have other users reported infections?
BAD GOOD LOW HI
ORNEW OLD
OR
Pověst Četnost StáříKontext, který se sleduje
SEP 12.1 – What’s New
PověstNáš přístup
A pak jsme vytvořili silně paralelizovaný analytický algoritmus..
9
Norton Community Watch Program s volitelnou účastí pro sběr anonymních dat
Symantec Reputation EnginePoužívá nasbíraná data k určení bezpečnostní pověsti
Náš systém sleduje téměř všechny aplikace na světě- 1.6 mld. unikátních aplikačních souborů všech verzí a jazyků
– má informace o všech souborech: EXE, ovladačích, DLL, plug-in modulech
– poskytuje pověst, četnost a datum objevní každého souboru
– a je velmi přesný
Symantec File Safety
Reputations
Obdoba: PageRank™ na Google
2
Četnost
Stáří
Zdroj
Chování
3
4
Hledání souvislostí
Kontrola DB během
skenováníHodnocení téměř každého
souboru na internetu
5 Poskytuje data pro rozhodnutí
1 Budování sběrné sítě
Souvislosti
Jak to funguje
Allow
Je to nové?Špatná pověst?
10SEP 12.1 - What's New
11
Nenahrazuje jiné technologiePodporuje účinnost ostatních technologií
Nesrovnatelná bezpečnost
Insight
Skvělý výkon
Proč Insight?
SEP 12.1 - What's New
SEP 12.1 – What’s New 12
Výjimečná detekce
Blokuje škodlivý kód pomocí znalostí komunity – i pokud nemáme otisk
Zpřesňuje fungování naší heuristiky a blokace chování
Ničí škodlivé kódy, napoprvé a provždy
SEP 12.1 – What’s New
Analýza chování a systémová heuristika
• Symantec Online Network for Advanced Response (SONAR)– detekce podezřelého chování
– detekce změn systému• změny v souboru hosts a nastavení DNS
– Tamper Protection (SymProtect)
• Nová generace heuristického engine• Narozdíl od SEP 11, SONAR poskytuje ochranu v reálném čase• Reaguje na spouštění procesů– Chování aplikací vyhodnocuje okamžitě, v reálném čase
• Vylepšení o ochranu souborů a registru• Je možné aktualizovat pomocí LiveUpdate
13
SEP 12.1 – What’s New
Funkce technologie SONAR
14
Nasazení heuristiky umožňuje tyto tři bezpečnostní novinky
Klasifikační engine založený na umělé inteligenci
Signatury chovánítvořené lidmi
Uzamčení pravidelchování
SEP 12.1 – What’s New
SONAR
15
Detekce:Podezřelé chování
Detekce:Změny v systému
SEP 12.1 – What’s New
Download Insight
• Download Insight je technologie kontrolující pověst stahovaných binárních souborů a blokování těch „špatných“
• Download Insight skenuje soubory při stahování pomocí portálové aplikace (IE. Firefox, IE)
16
SEP 12.1 – What’s New
Safe Web Lite
• Bezpečné HLEDÁNÍ– Varuje před nebezpečnými webovými
stránkami přímo ve výsledcích vyhledávání– Funguje dobře s vyhledávači Google, Yahoo!
& Bing• Bezpečné PROCHÁZENÍ– spustí poplach pokud stránka obsahuje
potenciálně nebezpečný soubor ke stažení– Pomáhá zamezit nechtěným stažením virů,
spyware a dalších on-line hrozeb• Bezpečné NAKUPOVÁNÍ– Varuje před podezřelými online prodejci– Pomáhá najít ověřené online obchodníky,
kterým můžete důvěřovat
17
Safe Web Lite poskytuje bezpečnější vyhledávání – varuje před nebezpečnými webovými stránkami ve výsledcích vyhledávání, takže můžete bez obav používat jen bezpečné služby
SEP 12.1 – What’s New
Aktualizovaný firewall/IDS
19
• Podpora NDIS5/NDIS6
• Firewallová pravidla lze použít na provoz IPv6
• FW nezávisí na AV/DC/IDS
• Lepší integrace s Windows Firewall
• Vylepšená obsluha chyb a reporting u IDS
SEP 12.1 – What’s New
Pokročilá bezpečnostní pravidla
20
• Vylepšená výchozí pravidla relevantní pro dnešní hrozby
• Nový ICMP přepínač pro Location Awareness
• Vylepšená Tamper Protection
SEP 12.1 – What’s New
Výsledky:Nesrovnatelné zabezpečení
21
SEP 12.1 – What’s New
• Lepší možnosti nastavení restartů• Poskytuje lepší informace o zavedení• Pro instalaci klientu jsou kroky jednodušší• Během instalace trvá ochrana• Informace o obnově licencí jsou dobře dostupné• Postačuje jeden nástroj pro centralizované hledání a zavedení nebo
upgrade klientů
22
ProblémObtížné a pomalé instalace
SEP 12.1 – What’s New
Nové možnosti zavedení
23
• Vylepšená instalace klientů• Aktualizovaný průvodce Client Deployment Wizard• Lepší přehledy• Vylepšená upozornění• Přehledná nastavení restartů• Správa licencí
Řešení:
SEP 12.1 – What’s New
Vylepšená instalace klientů
• Používá se MSI technologie, stávající verze/soubory se nahradí při restartu
• Side by Side instalace vytvoří nový adresář
• Zákazník může změnit instalační cestu během migrace
• Starý software během migrace stále běží beze změny, až do příštího restartu
24
SEP 12.1 – What’s New
Aktualizovaný průvodce Client Deployment Wizard
•Automatický výběr balíčků 32/64 bitů
•Ochrana a obsah se nastavují ve stejném nástroji
•Nové možnosti zavedení– Remote Push
– Web Link nebo Email
– Export pro 3rd Party řešení
•Vylepšený improt klientů
25
SEP 12.1 – What’s New
Lepší přehledy o výsledku zavádění klientů
• Klienti se spojí s konzolí ihned po začátku instalace, o průběhu jsou proto k dispozici podrobné informace
• Přehledy teď ukazují– Úspěch
– Chyby
– Zrušené instalace
– Nepodporované OS
– Požadavek na reboot
26
SEP 12.1 – What’s New
Nová vestavěná upozornění
27
• Přehledný stav s podrobnostmi na kliknutí – o definicích, zavedení, stavu ochrany a prosazení licencování
• Přidána nová upozornění– Licencování
– Změny klientů
– Zdraví
– Nové SW balíčky
• Oblíbená/požadovaná mailová upozornění povolená ve výchozím nastavení, PDA-friendly
• Uživatelé mohou posílat licenční upozornění partnerům
SEP 12.1 – What’s New
Vylepšená nastavení restartů
28
• Sločení více požadavků na restart od různých komponent do jediného restartu
• Lepší možnost restart naplánovat
• Administrátor má více možností nastavení restartu na klientských stanicích
SEP 12.1 – What’s New
Správa licencí
• Správa licencí• Přehledy o využitých licencích• Nastavení upozornění na vypršení
29
SEP 12.1 – What’s New
• Administrátoři potřebují možnost získávat zapomenutá hesla
• Velké podniky požadují delegovat omezený přístup administrátorům poboček
• Lepší škálovatelnost• Potřeba pro rychlejší LiveUpdate• Potřeba oddělené konfigurace nastavení
LiveUpdate pro klienty Mac a Windows v jedné politice
• Zrychlení skenování
31
ProblémZlepšit prostředí pro administrátory
SEP 12.1 – What’s New
Nová vylepšení pro administrátory
32
• Vylepšení v oblasti správy hesel• Vylepšená granularita přístupových oprávnění• Vylepšená škálovatelnost• Vylepšení v LiveUpdate• Vylepšení výkonu
Řešení:
SEP 12.1 – What’s New
Vylepšení v oblasti správy hesel
33
33
• Nastavitelné možnosti obnovení/resetu hesel
• Hesla lze znovu získat mailem
SEP 12.1 – What’s New
Vylepšená granularita přístupových oprávnění
SEP 12.1 - What's New 34
• Nově: Site rights– omezení administrátoři s
právy na pobočku
• Novinka: Command Rights• Nová oprávnění v
politikách
SEP 12.1 – What’s New
Vylepšené škálování
35
• Reporting je ve výchozím stavu přes SSL
• IIS nahrazen serverem Apache
• Snadné spouštění běžných úloh: zavedení SEP klienta, spuštění LiveUpdate, průvodce produktem
• Cílová hodnota: až 80,000 klientů na jeden SEPM
• Lepší výkon databáze – automatická údržba
• Integrace s SPC pomocí webových služeb
SEP 12.1 – What’s New
Vysoký výkon při skenování optimalizovaném díky hodnocení pověsti
37
Skenování využívající pověstPřeskakuje všechny soubory, o kterých s jistotou víme, že jsou OK. Výsledkem jsou výrazně rychlejší skeny.
Tradiční skenováníMusí se skenovat všechny soubory.
Na typickém počítači lze přeskočit 80% aktivních aplikací!
37
SEP 12.1 – What’s New
Výsledky:
Symantec Kaspersky Trend Micro Microsoft Sophos McAfee Average0
20
40
60
80
100
120
140
160
Skenování Symantec Endpoint Protection:3.5X rychlejší než McAfee2X rychlejší než Microsoft
Na prvním místě v celkovém výkonu!
PassMark™ Software, Feb., 2011 - http://www.passmark.com/AVReport
38
SEP 12.1 – What’s New
Výsledky:
Symantec Endpoint Protection používá:o 66% méně paměti než McAfeeo 76% méně paměti než Microsoft
Využití pamětiPassMark™ Software, Feb., 2011 - http://www.passmark.com/AVReport
Symantec Kaspersky Trend Micro McAfee Sophos Microsoft Average0.0
20.0
40.0
60.0
80.0
100.0
120.0
140.0
160.0
180.0
39
SEP 12.1 – What’s New 40
• Nástup virtualizace
• Roste VDI
• AV, IPS a proaktivní detekce také
rostou
Physical Environment is Shrinking but Strong
Virtual Adoption is Growing
The Scan Storm
ProblémNárůst virtuálních koncových bodů a množství hrozeb
Symantec Confidential: Internal Use Only
SEP 12.1 - What's New 41
Díky za pozornost!
Martin Meduna
SEP 12.1 – What’s New
SEP 12.1 je vytvořený pro virtualizaci
42
Řešení:
SEP 12.1 – What’s New
Vytvořeno pro virtualizaci
• Vynechávání virtuálních obrazů – umožňuje zákazníkům neskenovat všechny soubory ze vzorové baseline instalace
• Sdílená mezipaměť Insight – samostatný server díky kterému mohou klienti sdílet výsledky svých skenů. Klienti tak nemusí skenovat soubory, které už oskenoval někdo jiný.
• Značkování virtuálních klientů – Do SEPM se přenáší informace o virtualizaci klienta a platformě hypervisoru. Tato data lze použít při hledání klientů a v přehledech.
• Offline skenování obrazů – samostatný nástroj pro offline skeny VMWare souborů (VMDK).
43
SEP 12.1 – What’s New
Vynechávání virtuálních obrazů
Virtual Image Exception(VIE) je nástroj pro administrátory pro snadné nastavení výjimek souborů ve virtuálních prostředích.– Pouze v Enterprise Edition. Není k dispozici v SBE.
– Běží jako samostatná aplikace a nevyžaduje tradiční instalaci
– Musí se spustit z vnitřku virtuálního stroje (VMware, Citrix, of Hyper-V)
– Funguje na Windows XP SP2, SP3, Vista, Windows 7 a Windows 2008 R2
– Command-line volby pro tichý a automatický provoz
– Podrobné logy/přehledy o činnosti
– Poskytuje administrátorům nastavitelné možnosti v SEPM pro VIE výjimky v auto-protect i plánovaných skenech
44
SEP 12.1 – What’s New
Přehled fungování
Krok 1:Nástroje skenují systém
45
SEP 12.1 – What’s New
Přehled fungování
Krok 1:Nástroje skenují systém
Krok 2:Nástroj vytvoří seznam všech souborů
Krok 3:Nástroj zařadí všechnymístně nalezené známé soubory na whitelist
46
SEP 12.1 – What’s New
Přehled fungování
Krok 4: Aktivace administrátoremAdministrátoři mohou povolit zahrnutí nebo odmítnutí výjimek v AV pravidlech pro ochranu On-Demand i Auto-Protect.
47
SEP 12.1 – What’s New
Přehled fungování
Krok 5: optimalizované skenováníVynechává soubory označené nástrojem VIE
Krok 4: Aktivace administrátoremAdministrátoři mohou povolit zahrnutí nebo odmítnutí výjimek v AV pravidlech pro ochranu On-Demand i Auto-Protect.
48
SEP 12.1 – What’s New
Sdílená mezipaměť Insight
Sdílená mezipaměť Insight poskytuje sdílení informací mezi více virtuálními počítači pro snížení množství I/O operací; různé VM neskenují stejné soubory– Pouze v Enterprise Edition. Není k dispozici v SBE.
– Určené především pro virtuální prostředí, lze použít i na fyzických klientech
– Uplatní se u skenů na vyžádání (uživatelských, plánovaných, definovaných administrátorem). Nefunguje u rezidentní ochrany auto-protect.
– Škálování na tisíce klientů na server
– Komunikace mezi klienty a SIC je přes HTTP. Volitelně lze přepnout na HTTPS a také používat autentizaci
– Uplatní se na všechny typy souborů (nejen spustitelné binární soubory)
– Ke každému souboru se vytvoří kombinace jeho hash a verze definic. Vyhrává poslední verze definic.
– Server mezipaměti pracuje se všemi daty plně v paměti. Disk se používá jen pro logy.
49
SEP 12.1 – What’s New
Fungování
50
Případ 1: Pověst je známáPokud víme, co je soubor zač
a je v pořádku, přeskoč hoSdílenámezipaměť
Insight
SEP 12.1 – What’s New
Fungování
51
Případ 2: Pověst neznámá, ale je ve sdílené mezipaměti
Pokud neznáme pověst souboru, ověříme jeho přítomnost ve
sdílené mezipaměti.
Pokud se jedná o spustitený binární soubor, odešleme hash do Symantec Insight, abychom
získali Reputation Score
Sdílenámezipaměť
Insight
101010101 101010101 def 2
/11
SEP 12.1 – What’s New
Fungování
52
Případ 2: Pověst neznámá, ale je ve sdílené mezipaměti
Pokud sdílená mezipaměť tento soubor již zaregistrovala a definice zaznamenané v
mezipaměti jsou stejné nebo novější než definice na klientovi,
přeskoč skenování souboru.
Jedná-li se o binární spustitelný soubor, zaznamenej výsledek pro použití s technologií ScanLess
Sdílenámezipaměť
Insight
Soubor v
mez
ipaměti
SEP 12.1 – What’s New
Označování virtuálních klientů
– Značkování je vestavěné do SEP klienta
– Rozpoznává VMWare ESX/i, Microsoft Hyper-V, Citrix Xen
– Klient při startu spouští kontrolu a zjištěné informace odesílá zpět do SEPM
– Informace o stavu a platformě hypervisoru jsou k dispozici v přehledech a ve vlastnostech klienta a lze v nich vyhledávat
53
Virtual Client Tagging dává administrátorům možnost zjistit, že klient běží ve virtuálním prostředí.
SEP 12.1 – What’s New
Označování virtuálních klientů
54
SEP 12.1 – What’s New
Offline Image Scanner
Symantec Offline Image Scanner umožňuje administrátorům skenovat offline VMWare soubory a hledat v nich škodlivý kód.– Skenuje offline VMware obrazy disků (pouze soubory .vmdk)
– běží na Windows a umí skenovat souborové systémy FAT32 a NTFS
– Nepotřebuje nic dalšího, než virové definice
– Command-line volby pro tichý a automatický provoz
– Podrobné možnosti logů a tvorby přehledů
– Není třeba instalovat
55
SEP 12.1 – What’s New
Offline Image Scanner
56
SEP 12.1 – What’s New
Výsledek:Očekávaný výkon SEP 12.1
Zlepšení v IO operacích při plném skenování
12.1 vs. 11 60% snížení celkových I/O na disku
12.1 Shared Insight Cache vs. 12.1 bez 50-80% snížení celkových I/O na disk*
12.1 s Virtual Image Exception vs.12.1 bez
50-80% snížení celkových I/O na disk*
57
* Předběžné očekávané výsledky, finální hodnoty zatím nejsou k dispozici
Celkový přínos pro zákazníky s SEP 12.1 s virtualizačními funkcemi odhadujeme na snížení diskových I/O operací o 80%-90% při plných skenech (srovnání vůči verzím 11.x).
Symantec Confidential: Internal Use Only
SEP 12.1 - What's New 58
Díky za pozornost!