Symantec Confidence in a connected world.
Download
Report
Transcript Symantec Confidence in a connected world.
Новые технологии защиты от
комплексных угроз
Алексей Чередниченко
Старший системный инженер, Symantec
История Symantec
http://www.symantec.com/about/profile/25years/
Symantec Corporate Overview
2
Сетевой мир
Заказчики
Сотрудники
Доступ
Транзакции
Расширенное
предприятие
Связь
Партнеры
Сотрудничество
Поставщики
Symantec Corporate Overview
3
Проблема: ИТ-риски
Производительность
Низкий уровень ИТ-услуг
Взаимодействие
Надежность
Природные катастрофы
и аварии
Информация
Внешние нормативы и
внутренние правила
Соответствие
Инфраструктура
Внутренние и внешние
угрозы
Безопасность
Symantec Corporate Overview
4
Широта охвата Symantec :
От вычислительного центра до
отдельного устройства
ВЦ
ОТДЕЛЕНИЕ
ФИЛИАЛ
ПОТРЕБИТЕЛЬ
Symantec Corporate Overview
5
Спектр корпоративных продуктов
Symantec
БЕЗОПАСНОСТЬ
ХРАНЕНИЕ ДАННЫХ
ИТ-СООТВЕТСТВИЕ
ИТ-ОПЕРАЦИИ
УПРАВЛЕНИЕ
ИНФОРМАЦИЕЙ
НЕПРЕРЫВНОСТЬ
БИЗНЕСА
Symantec Corporate Overview
6
Целостность информации
SQL
Exchange
Oracle
Excel
IM
Notes
DB2
Word
SAP
XML
Безопасность
информации
Целостность
информации
Доступность
информации
www.sfbasic.ru
Symantec Corporate Overview
7
Symantec Endpoint
Protection 11.0
Symantec Corporate Overview
8
Наименования составляющих SEP
SES (endpoint + network components)
• Symantec Endpoint Security 11.0
SAV piece (with FW, IDS, WholeSecurity, etc.):
• Symantec Endpoint Protection 11.0
network component (SNAC):
• Symantec Network Access Control 11.0
SAVEE will be:
• Symantec Multi-Tier Protection 11.0
Symantec Corporate Overview
9
Antivirus &
Antispyware
Symantec Corporate Overview
10
Новый интерфейс пользователя
Then:
Now:
• Each component had
separate interface
• Each component plugs into one main
interface
• Managed or unmanaged
• Designed for managed environments
Symantec Corporate Overview
11
Help & Support
• Policy serial
numbers
• Component engine
versions
• Version of virus
definitions
• Logs and log
settings
• Local user privileges
and memberships
• Physical system and
OS info
Symantec Corporate Overview
12
Улучшение производительности
клиентов
• Quicker on demand scans due to load point caching
• Eraser performance improvements
• Throttle disk activity and CPU during scans
Symantec Corporate Overview
13
Proactive Threat
Protection
Symantec Corporate Overview
14
Traditional reactive AntiVirus technologies
will always be behind
Vulnerability Announcement
Flaws
Weaknesses
Security Gap
Vulnerability Exploit
Attacks from hackers
Spyware, Trojans, Bots
Virus Signature/Definition
To protect against known
threats
0 Day
6-7 Days
~3 hours
later
Companies’ network at risk against unknown threats
Symantec Corporate Overview
15
Новый подход - Behavioral Detection Engine
• Each Engine has two sets of detection modules:
–
–
Pro-valid = evidence of valid application behavior
Pro-malicious = evidence of malicious application behavior
• Each Detection Module has a weight
–
The weight indicates the importance of the behavioral trait
• Each process gets 2 scores:
–
–
Valid Score = measure of how valid the process is
Malicious Score = measure of how malicious the process is
N
Trojan Score =
S aT
i=1
i i
M
Valid Score =
S bV
i=1
i i
a1
a2
a3
a4
a5
a6
T1
T2
T3
T4
T5
T6
TN
b1
b2
b3
b4
b5
b6
bM
V1
V2
V3
V4
V5
V6
VM
aN
** Caveat: It’s not as simple as this - detection Modules are cooperative
Symantec Corporate Overview
16
A good engine will create separation between
Valid Applications & Malicious Code
Valid
applications
Adjust Scores
(Sensitivity Settings)
to reduce FP’s
Use Signature
for edge cases
Malicious
Code
Symantec Corporate Overview
17
Proactive Threat Protection:
Behavioral Detection Engine
Enumerate
processes
Analyze
process behavior
Enumerate all
processes &
embedded
components
Assess behavior
& characteristics
of each
process
Score each
process
Automatic
protection
Detection
routines are
weighted &
processes are
classified
Malicious code
is identified,
reported &
automatically
mitigated
?
Symantec Corporate Overview
18
Defense - Device Control
• Block Devices by type (Windows Class ID)
Peripheral Deice Control
• Supports all common ports
– USB, Infrared, Bluetooth, Serial, Parallel,
FireWire, SCSI, PCMCIA
• Can block read/write/execute from removable drives
• Example:
– Block all USB devices except USB mouse and keyboard
Symantec Corporate Overview
19
OS Protection (OSP)
Application
Behavior Analysis
Monitors behavior or
applications
Process
Execution Control
File Access
Control
Blocks unwanted
programs from running
Blocks unwanted access to
files or folders
Registry
Access Control
Controls access and
writing to registry keys
Module & DLL
Loading Control
Blocks applications from
loading modules
Symantec Corporate Overview
20
Network Threat
Protection
Symantec Corporate Overview
21
Intrusion Prevention System
rule tcp, tcp_flag&ack, daddr=$LOCALHOST, msg="[182.1] RPC DCOM buffer
overflow attempt detected", content="\x05\x00\x00\x03\x10\x00\x00\x00"(0,8)
SSH
HTTP
FTP
IM
Custom Sig Engine
GEB
SMTP
Signature IDS
RCP
SMTP
RCP
SSH
HTTP
FTP
IM
Intrusion Prevention Features
• Combines Generic Exploit Blocking (GEB) and SCS IDS with Sygate IDS
• Deep packet inspection
• Sygate IDS engine allows admins to create their own signatures
• Uses signature format similar to SNORT™
• Regex support
• Signatures applied only to vulnerable applications
• Resistant to common and advanced evasion techniques
Symantec Corporate Overview
22
AutoLocation Switching Enhancements
AutoLocation Triggers
Policy:
Office
• IP address (range or mask)
• DNS server
• DHCP server
Policy:
Remote
• WINS server
• Gateway address
Corporate
LAN
• TMP token exists (hw token)
• DNS name resolves to IP
• Policy Manager connected
• Network connection type
(wireless, VPN, Ethernet, dialup)
Supports and/or relationships
Remote Location
(home, coffee shop,
hotel, etc.
Symantec Corporate Overview
24
Network Access
Control
Symantec Corporate Overview
25
Symantec Network Access Control
Процесс проактивной защиты сети
Шаг 1
Определение состояния
компьютера
Шаг 4
Постоянный мониторинг
соответствия
✗
Шаг 2
Проверка соответствия
Конфигурации политике
Шаг 3
Действия в соответствии с
Результатами иПолитикой
Внесение
изменений или
отказ в доступе
Symantec Corporate Overview
26
Symantec Network Access Control
Как это работает
Symantec NAC - Как это работает
Symantec LAN
Enforcer
Symantec Sygate
Policy Manager
EAP
RADIUS
Server
Symantec NAC
Enforcement Agent
Status
User Name
Password
Token
Защищаемая
сеть
Карантинный
VLAN
ПК
802.1x
Ресурсы
для
внесения
изменений
Host Integrity Rule
ПК
соединяется и
посылает
необходимые
данные через
EAP
Switch
посылает
данные
на LAN
Enforcer
LAN
Enforcer
проверяет
через
RADIUS
server
LAN
Enforcer
проверяет
соответств
ие
политике
Открывает
порт на
коммутатор
Соединяет в
карантинный
VLAN
Status
Anti-Virus On
Anti-Virus Updated
Personal Firewall On
Service Pack
Patch
Updated
Updated
Patch Updated
Symantec Corporate Overview
27
Symantec Network Access Control
802.1x NAC поддерживаемые производители
802.1x (W)LAN NAC
Cisco
Nortel
Alcatel
Foundry
Aruba
Extreme
HP Procurve
AireSpace (Cisco)
Enterasys
Symantec Corporate Overview
28
Управление
системой
Symantec Corporate Overview
29
Новая централизованная
консоль управления
Then:
• Customized MMC
Now:
• Java-based console
• Security status at a glance
• Client management based on
deployed policies
Symantec Corporate Overview
30
The Home page
• Security Status
• Action Summary
• Attacks Per Hour
• Status Summary
• Virus Definition
Distribution
• Security Response
• Watchlist Summary
• Favorite Reports
Symantec Corporate Overview
31
The Monitors page
• Summary View tab:
charts admin needs
on a daily basis
• Logs tab: detailed
event info from clients
• Command Status tab:
list of actions invoked
from log view and
monitors
• Notifications tab: filter
and view notifications
Symantec Corporate Overview
32
The Reports page
• Quick Reports
– Audit
– Behavior
Blocking
– Compliance
– Computer
Status
– Firewall
– Risks
– Scans
– System
• Scheduled
Reports
Symantec Corporate Overview
33
Connecting to an unmanaged client
• LAN Sensor
– Runs continuously
– Listens to ARPs to
identify unknown
machines
• Network Audit
– Run on an ad-hoc
basis
– Disseminate install
packages from same
panel
Symantec Corporate Overview
34
Распространение
обновлений
Symantec Corporate Overview
35
Update distribution architectures
Default out
of box
Symantec Corporate Overview
36
Update types
• Antivirus definitions
• SynApps
• IPS
• COH
• Submission Control
• Decomposer
• Product Updates
Symantec Corporate Overview
37
Решения Symantec в
области обнаружения и
предотвращения
вторжений.
Symantec Corporate Overview
38
Critical System Protection 5.1 - обзор
возможностей
• Соответствие и аудит
–
File Collector (Blocking and
Logging)
–
Audit Collector (Logging)
–
Event and Text Log Collector
(Logging)
–
Log Forwarding and consolidation
–
File and Registry Monitoring
• Защита
–
Out-of-the-box protection
–
File & Registry protection
–
Buffer Overflow protection
–
Device controls
–
Administrator privilege deescalation
–
OS and user-application interaction
• Свойства серверного файрволла
–
–
Reporting, High performance for minimum
latency
Port-blocking
• Поддерживаемые платформы
–
–
–
UNIX: Solaris, AIX, HP-UX
Linux: RedHat AS/ES, SuSE
Microsoft Windows Server
• Расширения
–
Policy authoring and verification tools
• Отчеты
–
Operational and Event Based Reporting
39
Symantec Corporate Overview
39
Архитектура
Symantec Critical System Protection 5.0 Architecture
Behavior Control Agents
Servers
Behavior Control Agents
HTTPS
Desktops &
Laptops
Policy Management
Agent Registration
Configuration Data
Agent Management
Policy Configuration
Logging
Real-time Monitoring
Event Logging
Operation State
Users and Roles
Management
Console
HTTPS
Event Data
JDBC
Management
Server
SQL Data
Store
40
Symantec Corporate Overview
40
Intrusion Prevention Solution (Обзор)
Host Programs
Core OS
Services
…
DNS
RPC
Print Spooler
Application
Services
Как это работает
Files
…
Mail
Web
Database
…
Email Client
Office
Browser
Interactive
Programs
Normal Resource Access
Read/Write
Data Files
Symantec
IPS
Symantec
Critical
System Protection
creates
a “shell”
создает
“оболочку”
around
each
вокруг каждой
program &
программы и
service
that
сервиса,
которая
определяет
defines
допустимое
acceptable
поведение
Registry
Read Only
Configuration
Information
Network
Usage of
Selected Ports
and Devices
behavior
Devices
41
Symantec Corporate Overview
41
Высокоуровневая архитектура
Symantec Critical System
Protection 5 Architecture
Client and Server Edition
• Behavior Control Agents
Server
Edition
– Kernel-mode driver
– User-mode agent
service
Servers
Servers
SCSP Administration
HTTPS
JDBC
Administration
• Management Server
Management
Console
SCSP
Management Server
SCSP
Data
Store
• Management Console
• Database
Client
Edition
Desktops
Laptops
42
Symantec Corporate Overview
42
Функции агента контроля за
поведением
• Проводит перехват системных вызовов на уровне
ядра
• Загружает политики без перезапуска системы
• Проверяет процессы
• Устанавливает политики в обязательном порядке
• Защищает от переполнения буферов
• Собирает детальную информацию из логов
User
Applications
Web, DB,
Mail, etc.
Core OS
Service
Behavior Control Agent
Kernel mode intercept driver
Files
Memory
(Buffer
Overflow)
Registry
(Win only)
Named
Pipes
CSP Agent
HTTPS
Windows 2000/XP/2003,
Solaris, Linux
Network
Controls
OS
Calls
Symantec Critical
Protection System
Management
Server
Devices
43
Symantec Corporate Overview
43
Поддерживаемые платформы
Symantec Critical System Protection
Platform
Server
Desktop
Exploit Prevention
Auditing & Alerting
Windows 2000 Server
Windows 2000 Server
Windows Server 2003
Windows Server 2003
Windows NT
Windows NT
Solaris 8 – 32 and 64-bit
Solaris 8 – 32 and 64-bit
Solaris 9 – 32 and 64-bit
Solaris 9 – 32 and 64-bit
SuSE Linux
Professional
SuSE Linux Enterprise Server 8
SuSE Linux Enterprise Server 8
RedHat Enterprise Linux 3.0
RedHat Enterprise Linux 3.0
AIX™
Not Applicable
Not Available this release
AIX 5L (5.2 and 5.3)
HP-UX™
Not Applicable
Not Available this release
Microsoft
Windows®
Windows XP
Solaris™
Not Applicable
Linux™
Windows 2000
HP-UX 11 (11.11)
HP-UX 11i v2 (11.23)
Symantec Corporate Overview
44
Symantec Brightmail
Anti-Spam
Symantec Corporate Overview
45
Лидирующие позиции
Symantec Brightmail Anti-Spam – лучшее в мире
решение для борьбы со спамом, защищающее
миллионы пользователей на интернет-шлюзах
Защищает свыше
400 млн почтовых ящиков
25% от общего числа
почтовых ящиков в мире
9 из 12 ведущих
поставщиков услуг
Интернета в США
2500 компаний
30% компаний из списка
Fortune100
Обработка сообщений
Свыше 200 млрд
15% глобального
интернет-трафика*
* ближайший конкурент:
6 млрд сообщений,
1% глобального трафика
Symantec Corporate Overview
46
Архитектура Symantec Brightmail Anti-Spam
Центр Symantec
Сеть предприятия
Эл. почта
Тестовая сеть
Собранный
спам
Учетные
записи-ловушки
Спам
Безопасная
передача
правил
Автоматическая
группировка
Автоматическое
создание правил
Круглосуточная
работа
Проверка правил
Рассылка правил
Почтовый
шлюз
Почтовый сервер
(напр., Exchange,
Domino)
Образец спама,
присланный
пользователем
Почтовый
ящик
пользователя
Сообщения,
помеченные
как спам
Symantec Corporate Overview
47
Уникальная технология защиты от спама
Разнообразные методы защиты от спама
Фильтрация
содержимого
Список
разрешенных
отправителей
Входящие
сообщения
Список
запрещенных
отправителей
Служба
Brightmail
Reputation
Service
Сигнатуры
Фильтры
URL
Идентификация
языков
Технологии и архитектура Brightmail Anti-Spam
Фильтры службы
Reputation Service
Источники
"троянских" программ
Источники
массовых рассылок
Безопасные источники
Фильтры URL
Мошеннические URL
Почтовые URL
HTTP URL
Порнографические URL
Эвристические
методы
Заголовок
Иностранный язык
Анализ содержимого
Структурный анализ
Эвристические
фильтры
Вероятность того, что
сообщение является
спамом
Возможные действия:
Доставить входящее
сообщение
Удалить
Переместить
Сохранить на диске
Сигнатуры
Хеш тела сообщения
Нечеткие сигнатуры тела
Сигнатуры вложений
Архитектура
защиты от спама
Тестовая сеть
Специалисты BLOC
Избыточная архитектура
Структурный анализ
Оперативная рассылка
фильтров
Выявление
мошенничества
Автоматизированная
система QA
Пользовательские
фильтры
Личные "белый" и
"черный" списки
Личные языковые
фильтры
Фильтрация
содержимого
Список разрешенных
и блокируемых
отправителей
Изолировать
Переслать
Изменить
Фильтр, управляемый Brightmail
Фильтр, управляемый пользователями
Symantec Corporate Overview
48
Symantec Compliance
Management
Symantec Corporate Overview
49
Трудности Бизнеса
• Что мне делать?
– Бизнес повсеместно стараясь быть эффективным, пытается
соответствовать большому числу внешних и внутренних законов и
правил государственного регулирования
• Как мне это делать?
– Производить проверку средств контроля и управления на
регулярной основе
– Быть «в соответствии» чтобы предотвратить потери данных
– Определять события в системе безопасности в реальном времени
• Почему я должен делать это?
– Аудиторы призваны следить, что политики компаний: есть,
правильные и эффективно работают
Symantec Corporate Overview
50
Ключевой фактор успеха – Частый аудит
Факторы
успеха
Малый
бизнес
(23%)
Средний
Лидеры
(67%)
(10%)
Частота
внутреннего
аудита
239 days
130 days
21 Days
Затраты времени
IT на
compliance
16%
25%
30%
Бюджет IT на
безопасность
4.5%
7.4%
12.7%
Общая нехватка
проверок
75
30
20
Тоже, но важных
проверок
33
6
2
Лидеры в 15x лучше, проводя больше аудитов…
…Но тратят в 3x больше, игнорируя автоматизацию этого
Symantec Corporate Overview
51
Наш подход – Как это работает
Определить
ПРАВИЛА
МЕТОДИКИ
РЕГУЛИРОВАНИЯ
СТАНДАРТЫ
Измерить
КОРПОРАТИВНЫЕ
ПОЛИТИКИ
Обслуживать
ПРОВЕРКИ
ИЗМЕРИТЬ
СООБЩИТЬ
SOX
COSO
Внут. политики
Operating Systems
HIPAA
COBIT
PCI-DSS
Databases
GLBA
ISO17799
CIS
Applications
FISMA
NIST
NIST
Directories
NSA
People
Basel ll
Определить риски и создать
нужные политики
Выполнить проверки и
выявить расхождения
ЗАПИСАТЬ
Обслуживать и
совершенствовать
Symantec Corporate Overview
52
Архитектура
Compliance Reporting
Information
Server
Compliance
DB
SQL
ИТ
инфраструктура
Запрос данных
Symantec Corporate Overview
53
Управление
безопасностью
Symantec Security Information
Manager
Symantec Corporate Overview
54
Symantec Security Information
Manager, обзор продукта
• Symantec™ Security Information Manager (SSIM) это
готовый программно-аппаратный комплекс,
выполняющий:
– Сбор информации ИБ, ее классификацию и
приоритетность
– Корреляцию и определение истинных причин инцидентов
– Постоянный мониторинг и управление безопасностью,
– Измерение эффективности ресурсов и элементов контроля
безопасности
Symantec Corporate Overview
55
Централизованный сбор событий и
логов безопасности
• Централизованный сбор и
хранение данных (в исходных
форматах)…
SQL
Queries
И
Отчеты
– Для forensic анализа
– Для соответствия политикам
•Поддержка долговременного
хранения
Входящие события
Общая база событий
– Архивное сжатие до 20%-50%
– Гибкая поддержка устройств
хранения (SAN/NAS/DAS)
Сжатый файловый архив событий
•Не требуется DBA!
– Своя система архива и бэкапа
– Возможность online доступа к
нужным файлам, для поиска,
проверок и восстановления
– Не требуется обслуживание базы
данных
Повышает ROI и снижает затраты на
обслуживание
Symantec Corporate Overview
56
Система отчетов – Меряет эффективность
элементов контроля ИБ
• Perform forensics searches
–
–
–
Simplify and accelerate log review
Produce reports for auditors
Customize queries
• Automate review of key reports
–
–
–
Customize user dashboards
Identify trends over time
Schedule automatic report
distribution
• Customize with query wizard
–
–
–
Import company logo, customize
headers, footers, legends, etc.
Generate multi-page, multi-query
reports
Export to multiple file formats (CSV,
pdf, html, xml)
Измерение эффективности и отчет
Symantec Corporate Overview
57
Intrusion Detection/Prevention
Symantec Network Security (SNS)
Symantec HIDS
Symantec ITA
Snort
Symantec Sygate
Symantec Critical System Protection
Cisco IDS
Cisco Security Agents
TippingPoint NIPS
Enterasys Network Dragon
eEye Retina
JuniperIDP
ISS Siteprotector
McAfee Intrushield
SourceFire
Web servers, Filters and Proxies
Apache Web Server
IBM Websphere
Bluecoat Proxy
Microsoft ISA
Microsoft IIS
Sun One WebServer
Vulnerability/Policy Scanners
Symantec ESM
Symantec Bindview
Nessus
nCircle
Qualys QualysGuard
StillSecure VAM
Databases
Oracle Security Logs (9i & 10g)
MS SQL Server Logs
Firewalls
Symantec Gateway Security
Cisco PIX
Cisco FWSM
Nokia FW
Juniper NetScreen Firewall
Checkpoint Firewall-1
Nortel Contivity
Fortinet Fortigate
SunScreen
Microsoft Windows Firewall
Microsoft ISA
Operating systems
Microsoft Windows Event Log
Solaris OS Collector
Sun BSM
SUSE Linux
Debian Linux
RedHat Linux
IBM AIX
HP/UX
Tandem
SELinux
IPTables
Identifty Management
Microsoft Windows DHCP
Microsoft Operations Manager
Microsoft Active Directory
RSA SecurID
Cisco ACS
Routers, Switches and VPN
Cisco IOS
Juniper VPN
CyberGuard
Cisco VPN 3000 Concentrator
Enterprise AV Solutions
Symantec AntiVirus
Symantec Client Security
Symantec Mail Security for Exchange
Symantec Mail Security for Lotus Domino
Symantec Mail Security for SMTP
McAfee EPO
McAfee GroupShield
McAfee VirusScan
Trend Micro Control Manager (TMCM)
Trend Micro OfficeScan
Trend Server Protect Information Server
Trend Interscan Messaging Security Suite
Trend Scanmail for Exchange
Trend Scanmail for Notes
Trend Interscan Viruswall
Trend Interscan Web Security Suite
Other
Cisco Netflow
Fox Server Control
Blue Lance LT Auditor
PassGo UPM
Kiwi Syslog
Generic Syslog
Symantec Cyberwolf
Symantec Wholesecurity
Symantec Corporate Overview
58
ВАШИ ВОПРОСЫ
Symantec Corporate Overview
59
Спасибо за
внимание!
Алексей Чередниченко
[email protected]
+7 (985) 765-3292
© 2006 Symantec Corporation. All rights reserved.
THIS DOCUMENT IS PROVIDED FOR INFORMATIONAL PURPOSES ONLY AND IS NOT INTENDED AS ADVERTISING. ALL WARRANTIES RELATING TO THE INFORMATION
IN THIS DOCUMENT, EITHER EXPRESS OR IMPLIED, ARE DISCLAIMED TO THE MAXIMUM EXTENT ALLOWED BY LAW. THE INFORMATION IN THIS DOCUMENT IS
SUBJECT TO CHANGE WITHOUT NOTICE.
Symantec Corporate Overview
60