symantec endpoint protection 12.1

Symantec Confidential: Internal Use Only

SEP 12.1 - What's New 1

Symantec Endpoint Protection 12.1Co je nového: Technical Features Deep Dive

SEP 12.1 – What’s New

Agenda

2

Nové ochranné technologie v SEP 12.1

Nové a vylepšené nástroje pro správu v SEP 12.1

Nové funkce pro virtualizaci v SEP 12.1


ProblémAutoři malware změnili taktiku

Z:Masová distribuce relativně malého množství hrozeb, např: Storm si našel cestu k milionům

počítačů na celém světě

Na:

Model mikrodistribuce, např. Jedna varianta červa Vundo se

dostala v průměru k 18-ti uživatelům řešení Symantec!

Průměrná varianta hrozby Harakit byla distribuována k 1.6 uživateli!

3

V loňském roce objeveno přes 240M jednotlivých nových

hrozeb!

Jaká je šance, že bezpečnostní výrobci objeví všechny takovéto hrozby?


ProblémMilióny různých souborů (dobrých i špatných)• Představte si, že víme:

– o každém souboru na světě…

– v kolika se vyskytuje kopiích

– a které soubory jsou dobré a které špatné

• Teď je seřaďme podle četnosti výskytu– špatné vlevo

– dobré vpravo

4


Bohužel žádná stávající technologie nefunguje dobře pro desítky miliónů souborů s nízkou četností výskytu.

(Ale to je přesně oblast, kam spadá většina dnešních škodlivých kódů)

Today, both good and bad software obey a long-tail distribution.

Špatné Dobré

Četn

ost

Whitelisting funguje dobře

zde.

Pro tuhle prostřední část je třeba nová technologie.

Blacklisting funguje dobře

zde.

5SEC 204: SEP Next Generation Technologies

Problém

Žádná stávající technologie neumí dlouhou oblast uprostřed


Nové ochranné technologie

6

• Insight• Symantec Online Network for Advanced Response (SONAR)• Download Insight• Norton Safe Web Lite• Pokročilá bezpečnostní pravidla

Řešení:

SEP 12.1 – What’s New 7

• Revoluční základní technologie poskytující proaktivní ochranu před novými cílenými hrozbami pomocí bezpečnostního hodnocení komunitou tvořenou více než 175 milióny koncových bodů.

• Insight je technologie integrovaná do SEP, která umožňuje potvrzení nebo odmítnutí možné hrozby na základě „pověsti“ souboru

• Využívají jí různé části produktu• Download Insight

• ScanLess

• Sonar

• Heuristika a Corroboration během detekce

Symantec Insight


How often has this file been downloaded?

Where is it from?

Have other users reported infections?

Is the source associated with infections?

How many people are using it?

Does it have a security rating?

Is it signed?

Who owns it?

InsightKontext o souboru vypovídá

stejně, jako jeho obsah

What does it do?

How new is this program?How many copies of this file exist?

8

How will this file behave if executed?

How old is the file? Is the source associated with SPAM?

Is the source associated with many new files?

Does the file look similar to malware?Is the file associated with files that are linked to infections?

Who created it?

What rights are required?

Have other users reported infections?

BAD GOOD LOW HI

ORNEW OLD

OR

Pověst Četnost StáříKontext, který se sleduje


PověstNáš přístup

A pak jsme vytvořili silně paralelizovaný analytický algoritmus..

9

Norton Community Watch Program s volitelnou účastí pro sběr anonymních dat

Symantec Reputation EnginePoužívá nasbíraná data k určení bezpečnostní pověsti

Náš systém sleduje téměř všechny aplikace na světě- 1.6 mld. unikátních aplikačních souborů všech verzí a jazyků

– má informace o všech souborech: EXE, ovladačích, DLL, plug-in modulech

– poskytuje pověst, četnost a datum objevní každého souboru

– a je velmi přesný

Symantec File Safety

Reputations

Obdoba: PageRank™ na Google

2

Četnost

Stáří

Zdroj

Chování

3

4

Hledání souvislostí

Kontrola DB během

skenováníHodnocení téměř každého

souboru na internetu

5 Poskytuje data pro rozhodnutí

1 Budování sběrné sítě

Souvislosti

Jak to funguje

Allow

Je to nové?Špatná pověst?

10SEP 12.1 - What's New

11

Nenahrazuje jiné technologiePodporuje účinnost ostatních technologií

Nesrovnatelná bezpečnost

Insight

Skvělý výkon

Proč Insight?

SEP 12.1 - What's New


Výjimečná detekce

Blokuje škodlivý kód pomocí znalostí komunity – i pokud nemáme otisk

Zpřesňuje fungování naší heuristiky a blokace chování

Ničí škodlivé kódy, napoprvé a provždy


Analýza chování a systémová heuristika

• Symantec Online Network for Advanced Response (SONAR)– detekce podezřelého chování

– detekce změn systému• změny v souboru hosts a nastavení DNS

– Tamper Protection (SymProtect)

• Nová generace heuristického engine• Narozdíl od SEP 11, SONAR poskytuje ochranu v reálném čase• Reaguje na spouštění procesů– Chování aplikací vyhodnocuje okamžitě, v reálném čase

• Vylepšení o ochranu souborů a registru• Je možné aktualizovat pomocí LiveUpdate

13


Funkce technologie SONAR

14

Nasazení heuristiky umožňuje tyto tři bezpečnostní novinky

Klasifikační engine založený na umělé inteligenci

Signatury chovánítvořené lidmi

Uzamčení pravidelchování


SONAR

15

Detekce:Podezřelé chování

Detekce:Změny v systému


Download Insight

• Download Insight je technologie kontrolující pověst stahovaných binárních souborů a blokování těch „špatných“

• Download Insight skenuje soubory při stahování pomocí portálové aplikace (IE. Firefox, IE)

16


Safe Web Lite

• Bezpečné HLEDÁNÍ– Varuje před nebezpečnými webovými

stránkami přímo ve výsledcích vyhledávání– Funguje dobře s vyhledávači Google, Yahoo!

& Bing• Bezpečné PROCHÁZENÍ– spustí poplach pokud stránka obsahuje

potenciálně nebezpečný soubor ke stažení– Pomáhá zamezit nechtěným stažením virů,

spyware a dalších on-line hrozeb• Bezpečné NAKUPOVÁNÍ– Varuje před podezřelými online prodejci– Pomáhá najít ověřené online obchodníky,

kterým můžete důvěřovat

17

Safe Web Lite poskytuje bezpečnější vyhledávání – varuje před nebezpečnými webovými stránkami ve výsledcích vyhledávání, takže můžete bez obav používat jen bezpečné služby


Aktualizovaný firewall/IDS

19

• Podpora NDIS5/NDIS6

• Firewallová pravidla lze použít na provoz IPv6

• FW nezávisí na AV/DC/IDS

• Lepší integrace s Windows Firewall

• Vylepšená obsluha chyb a reporting u IDS


Pokročilá bezpečnostní pravidla

20

• Vylepšená výchozí pravidla relevantní pro dnešní hrozby

• Nový ICMP přepínač pro Location Awareness

• Vylepšená Tamper Protection


Výsledky:Nesrovnatelné zabezpečení

21


• Lepší možnosti nastavení restartů• Poskytuje lepší informace o zavedení• Pro instalaci klientu jsou kroky jednodušší• Během instalace trvá ochrana• Informace o obnově licencí jsou dobře dostupné• Postačuje jeden nástroj pro centralizované hledání a zavedení nebo

upgrade klientů

22

ProblémObtížné a pomalé instalace


Nové možnosti zavedení

23

• Vylepšená instalace klientů• Aktualizovaný průvodce Client Deployment Wizard• Lepší přehledy• Vylepšená upozornění• Přehledná nastavení restartů• Správa licencí

Řešení:


Vylepšená instalace klientů

• Používá se MSI technologie, stávající verze/soubory se nahradí při restartu

• Side by Side instalace vytvoří nový adresář

• Zákazník může změnit instalační cestu během migrace

• Starý software během migrace stále běží beze změny, až do příštího restartu

24


Aktualizovaný průvodce Client Deployment Wizard

•Automatický výběr balíčků 32/64 bitů

•Ochrana a obsah se nastavují ve stejném nástroji

•Nové možnosti zavedení– Remote Push

– Web Link nebo Email

– Export pro 3rd Party řešení

•Vylepšený improt klientů

25


Lepší přehledy o výsledku zavádění klientů

• Klienti se spojí s konzolí ihned po začátku instalace, o průběhu jsou proto k dispozici podrobné informace

• Přehledy teď ukazují– Úspěch

– Chyby

– Zrušené instalace

– Nepodporované OS

– Požadavek na reboot

26


Nová vestavěná upozornění

27

• Přehledný stav s podrobnostmi na kliknutí – o definicích, zavedení, stavu ochrany a prosazení licencování

• Přidána nová upozornění– Licencování

– Změny klientů

– Zdraví

– Nové SW balíčky

• Oblíbená/požadovaná mailová upozornění povolená ve výchozím nastavení, PDA-friendly

• Uživatelé mohou posílat licenční upozornění partnerům


Vylepšená nastavení restartů

28

• Sločení více požadavků na restart od různých komponent do jediného restartu

• Lepší možnost restart naplánovat

• Administrátor má více možností nastavení restartu na klientských stanicích


Správa licencí

• Správa licencí• Přehledy o využitých licencích• Nastavení upozornění na vypršení

29


• Administrátoři potřebují možnost získávat zapomenutá hesla

• Velké podniky požadují delegovat omezený přístup administrátorům poboček

• Lepší škálovatelnost• Potřeba pro rychlejší LiveUpdate• Potřeba oddělené konfigurace nastavení

LiveUpdate pro klienty Mac a Windows v jedné politice

• Zrychlení skenování

31

ProblémZlepšit prostředí pro administrátory


Nová vylepšení pro administrátory

32

• Vylepšení v oblasti správy hesel• Vylepšená granularita přístupových oprávnění• Vylepšená škálovatelnost• Vylepšení v LiveUpdate• Vylepšení výkonu

Řešení:


Vylepšení v oblasti správy hesel

33

33

• Nastavitelné možnosti obnovení/resetu hesel

• Hesla lze znovu získat mailem


Vylepšená granularita přístupových oprávnění


• Nově: Site rights– omezení administrátoři s

právy na pobočku

• Novinka: Command Rights• Nová oprávnění v

politikách


Vylepšené škálování

35

• Reporting je ve výchozím stavu přes SSL

• IIS nahrazen serverem Apache

• Snadné spouštění běžných úloh: zavedení SEP klienta, spuštění LiveUpdate, průvodce produktem

• Cílová hodnota: až 80,000 klientů na jeden SEPM

• Lepší výkon databáze – automatická údržba

• Integrace s SPC pomocí webových služeb


Vysoký výkon při skenování optimalizovaném díky hodnocení pověsti

37

Skenování využívající pověstPřeskakuje všechny soubory, o kterých s jistotou víme, že jsou OK. Výsledkem jsou výrazně rychlejší skeny.

Tradiční skenováníMusí se skenovat všechny soubory.

Na typickém počítači lze přeskočit 80% aktivních aplikací!

37


Výsledky:

Symantec Kaspersky Trend Micro Microsoft Sophos McAfee Average0

20

40

60

80

100

120

140

160

Skenování Symantec Endpoint Protection:3.5X rychlejší než McAfee2X rychlejší než Microsoft

Na prvním místě v celkovém výkonu!

PassMark™ Software, Feb., 2011 - http://www.passmark.com/AVReport

38


Výsledky:

Symantec Endpoint Protection používá:o 66% méně paměti než McAfeeo 76% méně paměti než Microsoft

Využití pamětiPassMark™ Software, Feb., 2011 - http://www.passmark.com/AVReport

Symantec Kaspersky Trend Micro McAfee Sophos Microsoft Average0.0

20.0

40.0

60.0

80.0

100.0

120.0

140.0

160.0

180.0

39


• Nástup virtualizace

• Roste VDI

• AV, IPS a proaktivní detekce také

rostou

Physical Environment is Shrinking but Strong

Virtual Adoption is Growing

The Scan Storm

ProblémNárůst virtuálních koncových bodů a množství hrozeb



Díky za pozornost!

Martin Meduna


SEP 12.1 je vytvořený pro virtualizaci

42

Řešení:


Vytvořeno pro virtualizaci

• Vynechávání virtuálních obrazů – umožňuje zákazníkům neskenovat všechny soubory ze vzorové baseline instalace

• Sdílená mezipaměť Insight – samostatný server díky kterému mohou klienti sdílet výsledky svých skenů. Klienti tak nemusí skenovat soubory, které už oskenoval někdo jiný.

• Značkování virtuálních klientů – Do SEPM se přenáší informace o virtualizaci klienta a platformě hypervisoru. Tato data lze použít při hledání klientů a v přehledech.

• Offline skenování obrazů – samostatný nástroj pro offline skeny VMWare souborů (VMDK).

43


Vynechávání virtuálních obrazů

Virtual Image Exception(VIE) je nástroj pro administrátory pro snadné nastavení výjimek souborů ve virtuálních prostředích.– Pouze v Enterprise Edition. Není k dispozici v SBE.

– Běží jako samostatná aplikace a nevyžaduje tradiční instalaci

– Musí se spustit z vnitřku virtuálního stroje (VMware, Citrix, of Hyper-V)

– Funguje na Windows XP SP2, SP3, Vista, Windows 7 a Windows 2008 R2

– Command-line volby pro tichý a automatický provoz

– Podrobné logy/přehledy o činnosti

– Poskytuje administrátorům nastavitelné možnosti v SEPM pro VIE výjimky v auto-protect i plánovaných skenech

44


Přehled fungování

Krok 1:Nástroje skenují systém

45



Krok 1:Nástroje skenují systém

Krok 2:Nástroj vytvoří seznam všech souborů

Krok 3:Nástroj zařadí všechnymístně nalezené známé soubory na whitelist

46



Krok 4: Aktivace administrátoremAdministrátoři mohou povolit zahrnutí nebo odmítnutí výjimek v AV pravidlech pro ochranu On-Demand i Auto-Protect.

47



Krok 5: optimalizované skenováníVynechává soubory označené nástrojem VIE

Krok 4: Aktivace administrátoremAdministrátoři mohou povolit zahrnutí nebo odmítnutí výjimek v AV pravidlech pro ochranu On-Demand i Auto-Protect.

48


Sdílená mezipaměť Insight

Sdílená mezipaměť Insight poskytuje sdílení informací mezi více virtuálními počítači pro snížení množství I/O operací; různé VM neskenují stejné soubory– Pouze v Enterprise Edition. Není k dispozici v SBE.

– Určené především pro virtuální prostředí, lze použít i na fyzických klientech

– Uplatní se u skenů na vyžádání (uživatelských, plánovaných, definovaných administrátorem). Nefunguje u rezidentní ochrany auto-protect.

– Škálování na tisíce klientů na server

– Komunikace mezi klienty a SIC je přes HTTP. Volitelně lze přepnout na HTTPS a také používat autentizaci

– Uplatní se na všechny typy souborů (nejen spustitelné binární soubory)

– Ke každému souboru se vytvoří kombinace jeho hash a verze definic. Vyhrává poslední verze definic.

– Server mezipaměti pracuje se všemi daty plně v paměti. Disk se používá jen pro logy.

49


Fungování

50

Případ 1: Pověst je známáPokud víme, co je soubor zač

a je v pořádku, přeskoč hoSdílenámezipaměť

Insight


Fungování

51

Případ 2: Pověst neznámá, ale je ve sdílené mezipaměti

Pokud neznáme pověst souboru, ověříme jeho přítomnost ve

sdílené mezipaměti.

Pokud se jedná o spustitený binární soubor, odešleme hash do Symantec Insight, abychom

získali Reputation Score

Sdílenámezipaměť

Insight

101010101 101010101 def 2

/11


Fungování

52

Případ 2: Pověst neznámá, ale je ve sdílené mezipaměti

Pokud sdílená mezipaměť tento soubor již zaregistrovala a definice zaznamenané v

mezipaměti jsou stejné nebo novější než definice na klientovi,

přeskoč skenování souboru.

Jedná-li se o binární spustitelný soubor, zaznamenej výsledek pro použití s technologií ScanLess

Sdílenámezipaměť

Insight

Soubor v

mez

ipaměti


Označování virtuálních klientů

– Značkování je vestavěné do SEP klienta

– Rozpoznává VMWare ESX/i, Microsoft Hyper-V, Citrix Xen

– Klient při startu spouští kontrolu a zjištěné informace odesílá zpět do SEPM

– Informace o stavu a platformě hypervisoru jsou k dispozici v přehledech a ve vlastnostech klienta a lze v nich vyhledávat

53

Virtual Client Tagging dává administrátorům možnost zjistit, že klient běží ve virtuálním prostředí.


Označování virtuálních klientů

54


Offline Image Scanner

Symantec Offline Image Scanner umožňuje administrátorům skenovat offline VMWare soubory a hledat v nich škodlivý kód.– Skenuje offline VMware obrazy disků (pouze soubory .vmdk)

– běží na Windows a umí skenovat souborové systémy FAT32 a NTFS

– Nepotřebuje nic dalšího, než virové definice

– Command-line volby pro tichý a automatický provoz

– Podrobné možnosti logů a tvorby přehledů

– Není třeba instalovat

55


Offline Image Scanner

56


Výsledek:Očekávaný výkon SEP 12.1

Zlepšení v IO operacích při plném skenování

12.1 vs. 11 60% snížení celkových I/O na disku

12.1 Shared Insight Cache vs. 12.1 bez 50-80% snížení celkových I/O na disk*

12.1 s Virtual Image Exception vs.12.1 bez

50-80% snížení celkových I/O na disk*

57

* Předběžné očekávané výsledky, finální hodnoty zatím nejsou k dispozici

Celkový přínos pro zákazníky s SEP 12.1 s virtualizačními funkcemi odhadujeme na snížení diskových I/O operací o 80%-90% při plných skenech (srovnání vůči verzím 11.x).



Díky za pozornost!

symantec endpoint protection 12.1

Documents