Symantec Endpoint Protection 11.0 주요기능 매체 제어
Download
Report
Transcript Symantec Endpoint Protection 11.0 주요기능 매체 제어
Future of AntiVirus
통합 엔드포인트 보안솔루션
Symantec Endpoint Protection 11.0
목차
1
엔드포인트 보안 환경의 변화 : Future of AV
2
Symantec Endpoint Protection 11.0 개요
3
Symantec Endpoint Protection 11.0 구성요소
4
Symantec Endpoint Protection 11.0 주요기능
5
기대효과 : Value
6
별첨 : Why Symantec
2
엔드포인트 보안 환경의 변화
보안 위협의 변화
보안 위협의 종류는 날로 다양하고 고도화 되고 있으며, 이에 대응하기 위한 보안 조치의 방향도 변화되고 있다.
특히 기존에 네트워크 보안기술 위주의 보안 투자의 방향에서 보안 사고의 근원인 엔드포인트에 대한 직접적인
보안 강화로 그 방향이 바뀌고 있다. 따라서 기존의 엔드포인트 보안기술의 대명사였던 안티바이러스에 대한
범죄행위
인식도 그 한계가 점차 인식되면서 이를 극복할 수 있는 대안 기술들이 주목받고 있다. (Future of AntiVirus)
피싱, 제로데이 공격
애드웨어, 스파이웨어
봇 공격
단순 호기심
스팸 메일
웜 : 취약점 공격, 대용량 메일발송, 네크워크 트래픽 발생
바이러스
과시목적 : 기술력
1986
Symantec Endpoint Protection 11
금전적 목적
2006
3
엔드포인트 보안 환경의 변화
관리 환경의 변화
IT 관리 환경의 복잡성 증가
–
전통적인 안티바이러스 제품 뿐만 아니라 패치관리 솔루션, PC 방화벽, 매체제어 솔루션 등 진화하는 보안위협에
대응하기 위해 개별 보안솔루션의 지속적인 도입으로 다양한 제품에 대한 정책관리 및 운영의 복잡성 증가
관리/소유 비용의 증가
–
새로운 보안 위협이 출현할때마다 그를 위한 개별 솔루션을 지속적으로 도입함으로써 보안 솔루션 도입비용이
지속적으로 증가하고 또한 그를 관리하기 위한 운영/유지 비용 및 관리 인력이 지속적으로 증가해야 하는 악순환
기존 보안솔루션의 기술적 한계
–
안티바이러스 도입 고객이 전체의 99%를 차지함에도 불구하고 지속적으로 바이러스 사고가 발생하며 68%의
기업이 안티바이러스를 사용함에도 불구하고 보안사고가 끊이지 않음. 따라서 이를 극복할 대안기술이 필요함.
복잡성 증가
비용증가
사용자 단말
제어 기능 부재
비 효율성
Symantec Endpoint Protection 11
4
Symantec Endpoint Protection 11.0 개요
SEP 11.0 개요
Symantec Endpoint Protection은 하나의 에이전트에 Symantec AntiVirus 기능과 최신 위협 차단 기능을 조합함
으로써 노트북, 데스크탑, 서버를 대상으로 하는 악성 프로그램을 효과적으로 차단하는 혁신적인 솔루션.
Symantec Endpoint Protection은 업계 선두로 인정받아온 각 분야의 다양한 보안기술들을 단일 제품내에 통합함
으로써 기업 고객에 3대 가치(보안성, 단순성, 유연성) 제공
Symantec Endpoint Protection 11.0
보안성
단순성
유연성
포괄적인 엔트포인트 보호
단일 관리콘솔, 단일 에이전트
기존 환경과의 유연한 통합지원
단순한 안티바이러스 제품, 그이상
중앙 집중적 관리
단일 에이전트/단일 콘솔
전례없는 수준의 보호 범위
편리한 구축 및 관리
관리 오버헤드의 절감
시만텍 글로벌 인텔리전스
포괄적인 엔트포인트 가시성
유연한 아키텍쳐
자동 보안 업데이트
기존 보안/IT 기술의 활용도 개선
비용의 절감
Symantec NAC 옵션
네트워크
Symantec Endpoint Protection 11
5
Symantec Endpoint Protection 11.0 개요
SEP 11.0 개요
Symantec Endpoint Protection은 기존의 Symantec AntiVirus 제품을 획기적으로 개선함과 동시에 업계 리더의 각
솔루션의 인수합병을 통해 갖춘 각 포인트 기술을 하나의 제품으로 통합함으로써 보안성 향상과 관리의 단순화를
이룸.
네트워크 접근 제어
(NAC)
매체 제어
Symantec
Endpoint
Protection
침입 탐지
방화벽
안티스파이웨어
•
•
Network access control – 기능 포함 (Sygate)
Agent에 포함, 별도의 Agent 설치가 불필요
•
•
Endpoint 매체 제어를 통한 정보 유출 보호 (Sygate)
USB 드라이브, MP3, CD-RW등 보호
•
•
행위 기반 침입 탐지 (Whole Security)
NIPS (네트워크)와 HIPS (호스트) 의 통합
•
•
•
업계 최고의 Endpoint 방화벽 기술 (Sygate)
Gartner MQ “Leader” – 4년 연속
위치에 따른 정책 적용
•
•
최고의 Rootkit 탐지 및 제거
VxMS 스캐닝 기술 포함 (Veritas)
•
•
•
세계 선두 안티바이러스 솔루션
33회 연속 VB 100 수상
다형성 바이러스 탐지의 선두
Single Agent
안티바이러스
Symantec Endpoint Protection 11
6
Symantec Endpoint Protection 11.0 구성요소
SEP 11.0 구성요소 :
Symantec Endpoint Protection은 크게 정책관리 서버와 데이타베이스 그리고 실제 보안기능을 수행하는
에이전트로 구성된다.
서버군
정책관리서버 및 데이타 베이스
Symantec Enterprise Protection Manager(SEPM)
정책관리, 모니터링, 업데이트 관리 등
10101010
10101010
1010101
10101010
1010101
에이전트
에이전트
Database Server
-임베디드 DB(Sybase) : 1,000 사용자 미만
-MS-SQL 2000/2005 : 1,000 사용자 이상
SEP Client
- 안티바이러스, 안티스파이웨어
- 방화벽
- 사전방역기능
- 침입방지 기능
- 매체제어
- 어플리케이션 제어 등.
Symantec Endpoint Protection 11
7
Symantec Endpoint Protection 11.0 구성요소
SEP 11.0 구성요소 : 부가 구성요소
Symantec Endpoint Protection은 정책관리서버와 클라이언트 외에 기업 환경에서의 관리 목적을 위해 유용한
기능들을 제공함. Group Update Provider(GUP)와 Lan Sensor는 분산 환경하에서 업데이트 관리와 관리되지 않는
(Unmanaged Client)를 감시하는 데 매우 유용함.
–
Group Update Provider(GUP) : GUP는 기존 클라이언트 중에 일부를 업데이트 중계서버로 지정하여 원격지
클라이언트에 대한 업데이트를 빠르게 제공할 수 있는 역할을 함.
–
Lan Sensor : Lan Sensor 또한 기존 클라이언트 중에 일부를 새로운 단말기(New Device) 감지 장치로써 활용하여
관리되지 않는(Unmanaged Client)를 자동으로 찾아내는 역할을 함.
10101
01010
10101
SEPM
100Mbs
SEPM
Lan Sensor
Group Update Provider
SEPM
10101
01010
10101
SEPM
새로운 단말기 감지 보고
감지
(Detect)
Managed device
Lan Sensor
GUP
100Mbs
Symantec Endpoint Protection 11
새로운 MAC
8
Symantec Endpoint Protection 11.0 주요기능
안티바이러스 기능
Symantec Endpoint Protection의 안티바이러스 기능은 글로벌 Leader의 제품인 Symantec AntiVirus를 통합하여
높은 탐지율과 시스템 안정성을 보장하여, 특히 기존 엔진을 개선하여 시스템 부하를 획기적으로 줄여서 높은
탐지율을 가벼운 엔진으로 제공함.
–
안티바이러스 시장을 선도하는 기술
–
VB100 Award 33회 연속 수상 (07년10월 현재)
Virus Bulletin – Feb 2007
Symantec Endpoint Protection 11
9
Symantec Endpoint Protection 11.0 주요기능
안티스파이웨어 기능
Symantec Endpoint Protection의 안티스파웨어 기능은 기존 버전의 기능에서 Rootkit에 대한 탐지, 제거 기능을
크게 강화하였음. 특히 최근의 Rootkit은 그 존재를 은폐하기 위해 Kernel Level에서 동작하여 파일 시스템을
감시하는 기존 안티스파이웨어 기술로는 탐지 및 제거가 불가능함. 하지만 SEP 11.0에서는 기존 Veritas의
VxMS 기술을 접목하여 하드드라이브의 섹터 데이타(Sector Data)를 직접 접근하여 악성 Rootkit을 제거 함.
–
VxMS 기술을 이용한 Kernel Lever Rootkit 제거
–
Thompson Security Lab 테스트 결과(Sep, 2006)
•
여러 제품중에 유일하게 20개 Rootkit 모두 탐지
•
치료 개수 또한 경쟁사 대비 거의 2배수 기록
Source: Thompson Cyber Security Labs, August 2006
Symantec Endpoint Protection 11
10
Symantec Endpoint Protection 11.0 주요기능
방화벽 기능
방화벽 기능의 모든 방화벽 정책은 개인 사용자관리가 아닌 중앙 서버에서 정책 관리가 이루어 지며 정책 적용 시
모든 사용자 PC로 일괄 배포 됩니다. 특히 어플리케이션 기반의 방화벽 정책(예:e동키P2P 어플리케이션 금지)
설정으로 관리자가 쉽게 PC의 방화벽 정책을 설정 가능
–
가장 가볍고 가장 강력한 방화벽 엔진 (By Gartner MQ Report)
–
4년 연속 Gartner MQ Report Leader 평가
–
직관적인 정책설정 인터페이스로 손쉬운 관리
–
Sygate NAC Agent의 방화벽 모듈 채용
Application+Host+서비스+시간+인터페이스
조건을 복합적으로 설정
SEPM
F/W Policy 관리/배포
Central Management
F/W 정책
향상된 Application Centric 기반 Firewall Rule 생성 지원
Symantec Endpoint Protection 11
11
Symantec Endpoint Protection 11.0 주요기능
방화벽 기능
방화벽 정책 설정은 다양한 선택사항을 통해 관리자가 원하는 수준을 충족할 수 있으며 URL 차단을 통해 유해
싸이트 차단 또는 시간 설정을 통해 정책이 자동으로 시간에 따라 Enable / Disable 될 수 있음. 또한 이러한 방화벽
기능은 시스템 부하를 거의 주지 않음.
구분
설
명
번호
규칙의번호
실행됨
확인란을 체크하면 규칙을 실행하고, 체크를 취소하면 규칙실행을 중지
이름
규칙의 이름
심각도
규칙이 실패한 경우의 심각도. 0 ~ 15 사이 값으로 설정. 로그에 사용됨
응용프로그램
규칙을 실행하는 응용프로그램. 응용프로그램이 탐지되면 규칙이 적용됨
시간
규칙이 활성화 되거나 비활성화되는 기간
서비스
방화벽 규칙을 실행하는 서비스
인터페이스
모든 어댑터, 임의의 VPN, 전화접속, 이더넷, 무선 등의 방화벽 규칙을 실행하는 어댑터
화면보호기
화면보호기 상태[켜짐], [꺼짐]은 규칙에 영향을 줌. [모두]는 규칙에 영항을 주지 않음.
작업
허용 – 패킷을 허용, 중단-패킷전송을 중단, 질의-사용자가 패킷을 허용할지 중단할지 물음
추적
규칙에 대한 정보를 로그에 기록하거나 이메일 알림을 보냄
생성된 위치
규칙이 작성된 위치(정책 관리자나 그룹이나 위치수준)
설명
규칙의 작동 방법 등 규칙에 대한 정보
Symantec Endpoint Protection 11
12
Symantec Endpoint Protection 11.0 주요기능
침입방지(IPS) 기능
Symantec Endpoint Protection의 침입방지기능은 Symantec이 기존에 보유하고 있던 네트워크기반 IPS 기술과
호스트 IPS기술을 접목하였음. 게다가 제로데이 공격에 대한 대안 기술을 제공함으로써 신종 웜 공격에 효과적으로
대응 할 수 있음.
침입방지기능(IPS)
네트워크기반 IPS 기술
호스트기반 IPS 기술
Generic Exploit Blocking
취약성 기반 사전방역
(Sigs for vulnerability)
Deep packet inspection
시그너쳐 기반 IPS
(SNORT-like)
Symantec Endpoint Protection 11
행동기반 사전방역
(Whole Security-SONAR)
정책기반 침입차단
Proactive Threat Scan
Application Control
13
Symantec Endpoint Protection 11.0 주요기능
사전 방역 기능 : 행동기반
Symantec Endpoint Protection는 안티바이러스 및 기존 IPS 등 시그너쳐 기반의 알려진 공격 위주로 보호하는
기술을 넘어서 행동기반 또는 취약성 기반 차단방식을 통해 제로데이 웜공격과 같은 신종 위협에 효과적으로
대처함.
Application Behabior Data
행동기반 사전방역기능
OS
Proactive Threat Scan
메모리
Devices
- 행동기반 사전방역 기술의 Leader 인 Whole Security사를 인수
- 시스템 메모리에 로드 되는 프로세스의 행위 감시
- 메모리 상주 프로세스에 대해서 수백개의 탐지모듈을 이용하여
정상(Valid) 또는 악성(Malicious) 프로세스로 구분
- 실제 제로데이 탐지사례 : Sasser-d, Mytob-bd, Sober-F 등
다수
- 오탐율 0.005%
No False
Alarm
악성코드 탐지모듈
모듈A
모듈B
모듈C
모듈D
16M Installations
스코어링 알고리즘
False
Alarms
Only 20 False Positives
for every 1 Million PC’s
Symantec Endpoint Protection 11
14
Symantec Endpoint Protection 11.0 주요기능
사전 방역 기능 : 취약성 기반
Symantec Endpoint Protection는 안티바이러스 및 기존 IPS 등 시그너쳐 기반의 알려진 공격 위주로 보호하는
기술을 넘어서 행동기반 또는 취약성 기반 차단방식을 통해 제로데이 웜공격과 같은 신종 위협에 효과적으로
대처함.
- OS 및 어플리케이션의 취약성이 발견된 후 점점 더 빨라지는 악성코드의
취약성 기반 사전방역기능
Generic Exploit Blocking(GEB)
출현에 대응하기 위한 수단 (Generic Exploit Blocking – GEB 및 시그너처
기반의 IDS)
- 취약성이 발견되면 그 취약성을 악용하는 공격행위에 대한 탐지 기법 제공
- 취약성을 가진 어플리케이션/서비스에 대한 버퍼오버플로우 시도 등을
탐지/차단
SSH
HTTP
FTP
IM
Symantec Endpoint Protection 11
Custom Sig Engine
GEB
SMTP
Signature IDS
RCP
SMTP
RCP
SSH
HTTP
FTP
IM
15
Symantec Endpoint Protection 11.0 주요기능
매체 제어
Symantec Endpoint Protection의 매체제어는 장치별 Class ID값을 이용하여, 매체를 차단하거나 허용할 수 있고, 또한
매체별 Read / Write권한 제어를 수행 할 수 있음.
–
USB, Floppy, 1394, IDE, Tape, CD/DVD, 프린트 장비, PCMCIA, 이미징 장비(스캐너, 디지털카메라 등),
적외선장비, 블루투스 등 무선장비, SCSI, 모뎀, 스마트카드 리더, 스토리지 볼륨 등.
USB
SEPM(관리서버)
Agent
Floppy
Human Interface Device
1394 Device
Devices of Class ID
OS Driver 기반의 다양한 매체를 SEPM에서 쉽게 제어
Symantec Endpoint Protection 11
16
Symantec Endpoint Protection 11.0 주요기능
매체제어
조직내 사용자 그룹별로 매체제어 정책을 정의하여 내부사용자 또는 임시 방문자를 구별하여 사내에서 USB 등의
저장장치 및 비인가 네트워크 접근과 관련한 무선 및 와이브로 통신을 제어할 수 있음.
정직원
사내 매체제어 보안정책
외부방문자
다양한 매체에 대한 사용자 그룹별 사용제한
Symantec Endpoint Protection 11
17
Symantec Endpoint Protection 11.0 주요기능
매체 제어
모든 사용자에 대해서 무작정 모든 매체에 대해서 사용을 제한하는 것이 아니라, 운용목적상 필요한 경우 사용자의
노트북 등이 특정 네트워크 위치에서 사용될 경우에 한해서 사용 매체를 제한할 수 있음.
매체제어 보안정책
1.
사내
출장시(사외)
VPN 접속시(사외)
본사 네트워크에서는 모든
매체 차단
2.
출장자에 대해서 무선랜 사용
허용
3.
외주 업체에 대해서는 내부
정직원
정직원
정직원
방문자
방문자
방문자
네트워크 접속시 에만
USB/무선랜 등 사용차단
4.
정직원 외부에서 사내로
VPN연결시 USB 사용차단
네트워크 위치인식 기능을 활용한 매체제어
Symantec Endpoint Protection 11
18
Symantec Endpoint Protection 11.0 주요기능
네트워크 접근제어 (NAC) : Option(라이센스 별도구매)
Symantec Endpoint Protection의 기존 인프라를 기반으로 별도의 소프트웨어 배포 없이 라이센스 입력만으로 NAC
기능을 그대로 사용(NAC Ready) , 엔드포인트 보안정책을 기반으로 보안정책을 따르지 않는 단말에 대해
자동치료하거나 네트워크 접근제어 및 접근권한 할당.
3
3. 해당 취약성에 대한 복구
2
2. 특정 PC 보안 취약성 발견
- 자동 OS Patch 설치
예시) 무결성 검사 항목
항목
결과
Health Check List
1
규정 AV 설치 유무/실행 여부
2
AV 최신 Pattern update
OK
3
최신 OS 보안 패치 update
Fail
4
규정 보안 SW 설치/실행 여부
OK
5
Host OS 보안 설정 점검 사항
OK
1
OK
1. 주기적인 PC 보안 무결성 검사
4. 정상 PC 치료/복구
예시) 무결성 검사 항목
항목
Health Check List
4
- 고객이 규정하는 보안 수준으로 복구
결과
항목
Health Check List
결과
1
규정 AV 설치 유무/실행 여부
1
규정 AV 설치 유무/실행 여부
OK
2
AV 최신 Pattern update
2
AV 최신 Pattern update
OK
3
최신 OS 보안 패치 update
3
최신 OS 보안 패치 update
OK
4
규정 보안 SW 설치/실행 여부
4
규정 보안 SW 설치/실행 여부
OK
5
Host OS 보안 설정 점검 사항
5
Host OS 보안 설정 점검 사항
OK
Self Host Integrity Control Process
(PC 보안상태를 검사 & 취약성 복구)
Symantec Endpoint Protection 11
19
Symantec Endpoint Protection 11.0 주요기능
시스템 안정성
시스템 리소스 사용량 감소
–
클라이언트 보안 프로세스/서비스/프로그램 삭제 방지
–
다양한 보안 기술을 동시에 제공하지만 반면에 시스템 리소스 사용량은 단독 안티바이러스 제품 사용시 보다 낮은
사용률 유지
설치상태, 서비스, 프로세스 등에 대한 사용자에 의한 임의 중지를 차단. 또한 서비스 상태를 “사용하지 않음”으로
강제 설정하더라도 부팅시에 강제 서비스를 실행하여 상시 보안상태 유지(Always ON)
임의 변경 방지 기능
–
SEP 컨텐츠, 파일 등 정상 동작을 방해하고자 하는 목적의 손상 행위를 차단.
129MB
SCS 3.1
84%
62MB
Memory Reduction
SAV CE 10.1
24MB
SEP 11.0
Symantec Endpoint Protection 11
20
Symantec Endpoint Protection 11.0 주요기능
중앙 관리 기능
중앙 집중식 이벤트 로깅
–
클라이언트 상의 감염, 패턴
미업데이트, 자동 보호 기능 중지등의
이벤트 및 통계를 Dash Board등을
통하여 파악
–
정의한 이벤트 경고 발생 시 (감염,
서비스 중지 클라이언트, 패턴
미업데이트) 중앙 콘솔을 통한 경고
발생
–
클라이언트 시스템 재시작, 강제 패턴
업데이트, 관리자에 의한 검색등의
명령 실행 시 중앙 콘솔을 통한 명령
실행 완료 여부 확인 가능
역할에 따른 관리자 권한 지정
–
대규모 기업 환경에 따른 관리자
등록을 위하여, 정책 설정 권한 또는
보기 권한 등의 관리자 권한 부여
가능
배포를 위한 기능 제공
–
패키지 작성 기능
–
패치 및 업데이트 제공
–
원격 설치 기능
Symantec Endpoint Protection 11
21
Symantec Endpoint Protection 11.0 주요기능
컨텐츠 업데이트 관리
Manager에 의한 컨텐츠 관리
–
Manager가 최신 클라이언트 패치, 바이러스 정의 패턴, IDS 시그너처등과 같은 컨텐츠를 업데이트 할 경우 각 개별
클라이언트에 포함된 컨텐츠와 차이나는 부분만 증분으로 생성하여 해당 클라이언트에 배포할 수 있음
–
클라이언트의 컨텐츠뿐만 아니라, 제품 자체의 버전 업데이트도 자동 적용가능
예) SEP 11 버전으로 12버전으로 빌드업이 될 경우에도 중앙에서 자동 배포를 통하여 재설치 등의 수작업 불필요
Symantec Endpoint Protection 11
22
Symantec Endpoint Protection 11.0 주요기능
관리되지 않는 시스템 관리(Unmanaged Device)
Lan Sensor를 이용한 미설치 시스템 확인
–
설치된 클라이언트를 Unmanaged Detector로 설정하여 네트워크 내 미설치 된 시스템의 자동 확인
–
네트워크 내 프린터, 스위치 등의 미설치 시스템 탐지 방지를 위하여 검색 예외 IP 설정 지원
콘솔 내 포함된 단독 실행 시스템 찾기 기능을 통한 검색
–
관리자의 요구에 의한 On-Demand검색 지원
–
탐지된 미설치 시스템에 대한 원격 설치 기능 포함
Symantec Endpoint Protection 11
23
Symantec Endpoint Protection 11.0 주요기능
Active Directory / LDAP 연동
Active Directory와의 연동
–
AD와의 연동을 통하여 기존
Organization Unit Import 지원
–
예약 시간에 따른 AD와의 주기적
동기화 또는 요청에 의한 동기화
지원
–
AD 연동의 경우, 클라이언트 배포
시 해당 그룹에 자동 등록
–
AD를 통한 관리자 인증
Symantec Endpoint Protection 11
24
Symantec Endpoint Protection 11.0 주요기능
보고서 및 모니터링기능
다양한 리포트 제공
–
조직내 모든 시스템에 대한 실시간
이벤트가 Dash Board
–
지정된 관리자에 대해 주기별
리포트 발송 기능
–
특정 이벤트 발송 시 정의한 배치
파일 실행 및 관리자 경고 전송
기능
–
약 50여개의 보고서 템플릿 제공
(감염, 시그너처 배포 현황,
클라이언트 미설치 시스템 등)
1.
전체 네트워크에서 바이러스 및 스파이웨어 등
악성코드별 실시간 처리현황
2.
바이러스 정의파일(패턴)이 최신이 아닌
시스템 수 통계
3.
최근 하루 동안의 악성코드 탐지추이를
시간대별로 도식화
4.
Security Response
시만텍 Global Service인 DeepSight의
데이타를 이용하여 현재 시점의 글로벌 Top
Threats 및 신종 악성코드 정보를 모니터링.
특히 확산도가 높은 웜출현시 보안등급 경고.
5.
①
②
③
④
⑤
엔진, 실시간 보호기능 등 필수 기능들의
사용상태에 대한 모니터링
Symantec Endpoint Protection 11
25
Symantec Endpoint Protection 11.0 주요기능
자동 위치 인식 기능
자동 위치 인식 기능에 의한 보안 정책 차별화
–
DNS서버, IP 주소, 서브넷 주소등의 자동 위치 인식을 위한 트리거를 통하여 Endpoint의 위치에 따라 적용되는
정책을 자동으로 할당할 수 있는 기능 (Endpoint의 위치에 따른 요구 보안 수준의 차별화 필요)
예) 노트북 사용자의 경우 사무실내에서 사용하는 경우, 집에서 사용하는 경우 또는 지사에 출장시 시스템을 사용하는 경우 각 네트워크 위치에
맞게 보안 정책을 따로 지정하여 자동으로 해당 정책이 Enable 되게 함.
사무실
- 중앙관리서버로 부터 정의파일 다운로드
- 시스템 부팅시 Quick Scan
- 예약검사 : 점심시간 자동스캔
- 점심 시간을 제외한 업무 시간 내 특정 포탈 및 주식 사이트 접근 차단
- 사내 정책에 따른 사용 금지 프로그램 실행 차단
- 이동식 미디어의 읽기만 허용하며, 실행 및 작성은 차단
- 전반적으로 사내는 안전한 네트워크라고 판단하고 상대적으로 가벼운 정책적용
집(HOME)
- 인터넷으로 부터 정의파일 다운로드
- 시스템 부팅시 Full Scan
- 모든 파일에 대한 실시간 보호기능 수행
- 백신프로그램 임의변경 방지 기능 수행
- 전반적으로 사외는 안전하지 네트워크라고 판단하고 상대적으로 강력한 정책적용
Symantec Endpoint Protection 11
26
Symantec Endpoint Protection 11.0 주요기능
아키텍처 1
Manager 및 DB, Client 지원 OS 플랫폼
Symantec Endpoint
Protection Manager
Java-based
웹접속을 통하여 위치와 관계없이
접속 가능
역할에 따른 관리자 권한 설정
SEPM 지원 OS 플랫폼
Windows XP (32 and 64 bit),
Windows 2000 (32Data
and 64 bit),
Windows 2003 (32Store
and 64 bit),
Windows Vista (32 and 64 bit)
중앙 콘솔
지원 DB
내장 Sybase DB (1000클라이언트
미만)
MS SQL Server (1000클라이언트
이상)
Servers
Desktops
Laptops
SEP 11 클라이언트 지원 OS 플랫폼
Windows XP (32 and 64 bit),
Windows 2000 (32 and 64 bit),
Windows 2003 (32 and 64 bit),
Windows Vista (32 and 64 bit)
Clients
Symantec Endpoint Protection 11
27
Symantec Endpoint Protection 11.0 주요기능
아키텍처 2
Peripheral Deice Control
Manager, Client간 통신 포트 및 정보
Symantec Endpoint
Protection Manager
To the server
이벤트
로그
상태 정보
To the client
원격 설치/패치
정책 배포
컨텐츠 배포
- Virus Definition
- IDS Signature
통신 포트
HTTPS (443/tcp)
HTTP (80/tcp)
* Manager의 80, 443/tcp 포트가
Open되어 있어야 하며,
클라이언트들에 대해서는
인바운드 오픈 정책이 불필요함
Servers
Desktops
Laptops
Clients
Symantec Endpoint Protection 11
28
Symantec Endpoint Protection 11.0 주요기능
구성 디자인
Single Site
–
가장 기본적인 방법으로써 IT 환경이 크지 않거나 지역적으로 분산되어 있지 않은 환경에 적용
- 클라이언트수가 1,000노드 미만일 경우 :
Embedded DB 사용(Sybase)
- 1,000 노드 이상일 경우 MS-SQL 서버 사용
1010101
0101010
1010101
- 필요시 이중화
SEPM
Symantec Endpoint Protection 11
SEPM(선택사항)
29
Symantec Endpoint Protection 11.0 주요기능
구성 디자인 2
Multiple Site
–
대규모 기업 환경에 적합한 구성방식으로써 하나의 SEPM 서버로 모든 클라이언트를 관리하기
어렵거나 특히 대규모 지사(Multiple Large Physical Location) 지역적으로 분산되어 있는 경우 적용
Site 1 : 서울
10101
01010
10101
01010
1
SEPM
정책, 그룹 및 컨텐츠 복제
SEPM
Site 2 : 중국지사
10101
01010
10101
01010
1
SEPM
정책 , 그룹 및 컨텐츠 복제
SEPM
Site 3 : 일본지사
10101
01010
10101
01010
1
SEPM
SEPM
모든 Site는 정해진 스케쥴에 따라 양방향 복제.(복제대상 : 그룹 및 정책/default, 컨텐츠/option)
로그는 복제되지 않음.
Symantec Endpoint Protection 11
30
Symantec Endpoint Protection 11.0 주요기능
구성 디자인 3
Central Logging
–
Multiple Site 환경과 유사하나 각 Site의 로그가 중앙 Site로 전송된다는 차이가 있음. 이 방식은
통합 보고서가 필요한 경우 적용
Site 1 : 서울
10101
01010
10101
01010
1
SEPM
SEPM
Site 3 : 일본지사
Site 2 : 중국지사
1010
1010
1010
1010
SEPM
SEPM
SEPM
SEPM
* 로그 전송은 단방향만 가능
Symantec Endpoint Protection 11
31
Symantec Endpoint Protection 11.0 주요기능
구성 디자인 4
High Availability
–
SEPM의 장애, DB서버 장애 또는 Site내의 모든 SEPM & DB서버 장애시를 대비하여 이중화할
경우 적용
101010
101010
101010
SEPM
DB Cluster
- Veritas Cluster Server 또는 MSCS
101010
101010
101010
SEPM
Symantec Endpoint Protection 11
SEPM 서버 이중화
- 로드 밸런싱(Load Balancing)
- Fail-Over
32
기대효과
SEP 11.0 Value
Symantec Endpoint Protection
Secure
비교할수 없는 종합 기술
안티 바이러스 그 이상의 보호
기술
Symantec의 Global Intelligence
Network의 기술
Simple
단일 에이전트
단일 관리콘솔
단일 라이센스
단일 고객지원
Seamless
다양한 고객 네트워크 환경
지원
원하는 형태로 사용할 수
있도록 손쉬운 설정
필수 보호 기술 및
컴플라이언스 기능의 완벽한
조합
Symantec Endpoint Protection 11
33
별첨 : Why Symantec
Why Symantec
• 안정성
– 150,000,000 이상의 시스템에서 검증된 제품 안정성
– AV 시그너처의 신뢰성
• 탐지율
–
–
–
–
다양한 테스트와 인증기관을 통해 검증된 탐지 및 치료 능력
73,000 (07년 6월 현재)이상의 바이러스 DB 보유
행동기반 탐지 기술을 통한 zero-day 공격 방어
월등한 패턴 업데이트 제공
• 대응 및 지원
– 신종 위협에 빠르게 대처하기 위한 전세계 인프라
– 세계 각지의 보안 운영 센터(Security Operations Center)와 보안 대응 연구소
(Security Response Lab)를 통해 24x7 정보 보안 서비스 제공
– 전세계 25개 지원 센터를 통해 기업과 일반 사용자의 보안 및 가용성 요구사
항에 대응
35
Global Intelligence Network
시만텍 SOC
+
시만텍이 모니터링하는
국가
+
시만텍지원
+
180개 국에 등록된 40,000여개의
센서
베를린, 독일
런던,영국
토쿄, 일본
•
스프링필드, 오레곤
–
세계 최고의 보안 대응센터
–
180개국 40,000개 센서를 통한 인터넷
위협 모니터링
–
신종 위협에 대한 빠른 대처
•
새로 발견된 위협에 대한 바이러스 정의
는 해당 업무일에 생성됨
•
3등급 이상의 높은 확산도의 위협에 대
한 즉각적인 대처
•
Digital Immune System은 이미 알려진
바이러스에 대한 의뢰건을 95% 이상 자
동처리하여 신속하게 대응
월덤, 메사추세스
레드우드 시, 캘리포니아
샌타 모니카, 캘리포니아
샌 안토니오, 텍사스
시만텍 보안연구소
Symantectm Security Response
더블린, 아일랜드
캘거리, 캐나다
+
알랙산드리아, 버지니아
시드니, 호주
36
시장 점유도
(Source: IDC)
37
인증기관 평가
Symantec:
• 99년 이후
33회 연속
통과한 유일한
벤더
• 07년 10월
현재
• Pass: Detected all "In the Wild viruses" in
comparative tests (with no false positives)
• Fail: Missed detection after three attempts
• —: Chose not to submit for testing
38
패턴 업데이트 빈도
Vendor
Symantec
Updates
1699
Sophos
395
F-Secure
216
Fortinet
174
Panda
138
ESet Nod32
115
Norman
85
Trend Micro
82
McAfee
68
F-Prot
67
Averages 4X more updates than nearest competitor
Source: www.av-test.org
1/1/2006 – 3/31/2006
39
월별 위협 탐지 보고 빈도
Source: Symantec
Security Response
40
빠른 샘플 처리 대응
Source: Symantec
Security Response
41
AV 시그너처의 신뢰도
• 전세계 150,000,000 이상의 시스템에
서 Symantec AV 시그너처 사용
• 일일 28,000,000 이상의 다운로드
• 모든 지원 OS에 대하여 2,000,000 이상
의 정상 파일 테스트 검색을 통해 배포
되는 fully certified 된 바이러스 정의
• 주요 OS 및 주요 어플리케이션에 대해
테스트 후 배포되는 Rapid Release 바
이러스 정의
42
감사합니다!
문의 : 인성디지탈
윤태재 : 02 2105 4554
Email : [email protected]
Copyright © 2007 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and
other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to
the maximum extent allowed by law. The information in this document is subject to change without notice.
Symantec Endpoint Protection 11
43