狠狠撸

狠狠撸Share a Scribd company logo

賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protection

?
?
Wales Chen
Wales Chen

賽門鐵克 SEP 及 SCSP 在端點安全上的應用及防護, 此為 201 3 年 2 月底更新版本, 歡迎自行取用. 此處的端點泛指個人電腦 (PC / NB) 及伺服器 (Server).

1 of 49
端點安全教戰守則 - SEP 與 SCSP 如何協助 1 端點安全教戰守則 - Symantec Endpoint Protection (SEP) 與 Symantec Critical System Protection (SCSP) 如何協助 Wales Chen (陳瑞文) 資深顧問 技術暨解決方案
Copyright ? 2009 Symantec Corporation. All rights reserved. 2 賽門鐵克全球情報網路 辨識出更多的威脅, 更快的採取行動 & 避免衝擊發生 資 訊 保 護領 先 的 資 安 預 警 機 制 針 對 威 脅 驅 動 的 回 應 機 制 全 球 規 模 及 範 圍含 蓋 全 世 界 24x7 資 安 事 件 收 集 即時的偵測 攻擊活動 ? 240,000 sensors ? 200+ countries 惡意軟體情報 ? 130M client, server, gateways monitored ? Global coverage 漏洞 ? 32,000+ vulnerabilities ? 11,000 vendors ? 72,000 technologies 垃圾郵件/釣魚 ? 2.5M decoy accounts ? 8B+ email messages/day ? 1B+ web requests/day Austin, TXMountain View, CA Culver City, CA San Francisco, CA Taipei, Taiwan Tokyo, Japan Dublin, IrelandCalgary, Alberta Chengdu, China Chennai, India Pune, India Alexandria, VA Reading, England Sydney, AU
ISTR XVI – 資安威脅觀點 2010 - 2012 主題 3端點安全教戰守則 - SEP 與 SCSP 如何協助 ? 鏢 靶 攻 擊 持 續 演 進 ? 社 交 網 路 + 社 交 工 程 = 妥 協 ? 捉 迷 藏 零 時 差 漏 洞 及 rootkits ? 攻 擊 工 具 像喝了咖啡因般的厲害 ? 行 動 裝 置 威 脅 逐漸增加
惡意軟體作者已經改變策略型態 從: 一些相關的少量威脅之 mass distribution 舉例. ? Storm 在全球侵入了數百萬台 主機 到: A micro distribution model 舉 例. ? Vundo 的變種在平均上, 感染了 18 個使用者! ? 而 Harakit 的變種在平均上, 也 感染了 1.6 個使用者! 4 去年一共發現2億8千萬支新 的惡意軟體 有多少機會您的防毒廠商會發現病毒呢? 端點安全教戰守則 - SEP 與 SCSP 如何協助
12new 0day vulnerabilities 威脅觀點 我們多常被攻擊? ? 14 新的零時差漏洞 ? 163 新的行動裝置漏洞 ? 6,253 新的漏洞 14new public SCADA vulnerabilities 321browser plug-in vulnerabilities 4,501new vulnerabilities 17,432new bot C&C servers 30,000domains hosting malware 59,526phishing hosts 2,895,802 new AV signatures 6,798,338 bot infected computers 240,000,000 million new malware variants 3,050,000,000賽門鐵克在 2010 年所阻擋的攻擊 在這個簡報所需的時間, 我們阻擋了超過 36 萬 5 千個攻擊! 5端點安全教戰守則 - SEP 與 SCSP 如何協助
威脅觀點 誰持續被攻擊? 6 ?鏢靶攻擊 ?資料外洩 ?用戶工作中斷 ?分散式阻斷攻擊 ?銀行帳號 ?企業營業中斷 ?ID 竊取 ?騙取金錢 ?移除的費用 大型企業 中小企業 一般用戶 政府機關 ?網路詐騙 ?網路間諜 ?駭客主義 ? 端點安全教戰守則 - SEP 與 SCSP 如何協助
威脅觀點 為什麼我們會被攻擊 7 竊取資源 竊取資訊 勒索金錢 - 送出垃圾郵件 - 阻斷式攻擊 的一部份 - 竊取敏感資訊 例如. 銀行權限 - 老氣的 ‘騙人軟體’ - 坐好然後等著 $s 滾進來 破壞 - 駭客主義 - 數位破壞 Rustock Zeus Rogue AV Stuxnet 範例: 大部份是因為: 端點安全教戰守則 - SEP 與 SCSP 如何協助
威脅觀點 惡意軟體產生器 & 變種工具 簡單又好用 8 可以很簡單的透過手動或自動方式, 產生出變種的惡意軟體 端點安全教戰守則 - SEP 與 SCSP 如何協助
威脅觀點 ”地下經濟” 所帶來的價格 9端點安全教戰守則 - SEP 與 SCSP 如何協助
威脅觀點 我們是怎麼被攻擊的? ? 剛開始也許只是個附件 ? 但埋藏在其中確是個內 建的 “Flash” 物件 ? 而它確會利用漏洞, 將惡 意軟體派送進來 10端點安全教戰守則 - SEP 與 SCSP 如何協助
威脅觀點 我們是怎麼被攻擊的? ? 大部份時間你只會看到 一個連結 ? 看起來好像無害, 對吧? ? 但不要假設的那麼快… ? 把滑鼠移過去看看埋藏 在底下的真正連結 ? 點擊這個連結會將你帶 到一個惡意網站 11端點安全教戰守則 - SEP 與 SCSP 如何協助
? 任何網站都可以感染端點. 在過去, 你必須要瀏 覽具危機性的網站以便被感染 … 但現在, 罪犯確是透過合法的網站攻擊你 ? 弱點在使用者不知情的狀況下, 遭遇軟體漏洞 ? 哪一個網站會感染你? 你最喜歡的: – 新聞, 旅遊, 線上遊戲, 房仲, 政府, 其它 12端點安全教戰守則 - SEP 與 SCSP 如何協助 在 2010 年, 所阻擋的惡意網站中, 有 87.5% 都是合法的, 但皆已被入侵 資料來源: Symantec.cloud 威脅觀點 我們是怎麼被攻擊的?
? 駭客也逐漸採用社交工程手法 – 根據個人資訊, 建立鏢靶式社交工程 – 假裝是朋友, 以便採取攻擊 – 利用 news feed 去傳遞垃圾郵件, 進行竊取及大量攻擊 13 威脅觀點 我們是怎麼被攻擊的? 端點安全教戰守則 - SEP 與 SCSP 如何協助
? 罪犯透過 Search Engine Optimization (SEO) poisoning – 不道德的技術, 用來拉高搜索結果的排名 – 在幾個小時內, 注入有害的搜索結果, 例如受歡迎的關鍵字, 全球重大 事件等等 ? 連結會指到惡意軟體, 或惡意網站 ? PHP 工具包, 可以隨意取得, 用來產生整個流程 端點安全教戰守則 - SEP 與 SCSP 如何協助 14 威脅觀點 我們是怎麼被攻擊的?
15 個人電腦/筆電 伺服器 ?可用性及效能 ?高度敏感的資料 ?遵循的需求 ?內部員工風險 ?複雜的環境 行動裝置 虛擬化 ?密度是關鍵 ?高價值 ?新漏洞 ?虛擬主機蔓延 ?大架構, 攻擊表面 ?對效能敏感的使 用者 ?擴展快速 ?敏感資料 ?高失竊率 威脅觀點 哪些端點會受到攻擊? 端點安全教戰守則 - SEP 與 SCSP 如何協助
Symantec Endpoint Protection 惡意程式 防護 防火牆 入侵防護 設備管控 應用程式 管控 存取管控 Symantec Endpoint Protection 12.1 One console One agent Win, OS X, Linux Powered by Insight 端點安全教戰守則 - SEP 與 SCSP 如何協助 16
Symantec Endpoint Protection 12 17 ? 減少約 70% 的掃瞄 時間 ? 更聰明的更新機制 ? 更快速的管理方式 ? Powered by Insight ? 透過 SONAR 的即時 行為監控 ? 針對虛擬環境進行測 試及最佳化 ? 更高的 VM 密度 無以倫比的 資訊安全 專門針對虛擬環 境所設計出來 火速般的 效能 端點安全教戰守則 - SEP 與 SCSP 如何協助
Symantec Insight ? 從超過 2 億 1 千萬台機器, 以匿名方式, 所收集而來的資料, 建構出由檔案, 主機, 及網域的超大型雲端資料庫架構 ? 追蹤幾乎全世界上的每個執行檔 – 31 億個檔案, 每個星期增加 3 千 7 百萬個 – 使用 age, prevalence, source 及其它屬性, 以便針對檔案給予評等 ? 即使只有一個賽門鐵克用戶碰到它們, 也可以準確的辨識出 並阻擋威脅 主動式 防護, 避免受到全新及鏢靶攻擊的威脅 Bad Safety Rating File is blocked Good Safety Rating File is whitelisted No Safety Rating Yet IT can set block/ allow thresholds 18端點安全教戰守則 - SEP 與 SCSP 如何協助
19 2 Prevalence Age Source Behavior 3 4 Look for associations Check the DB during scans Rate nearly every file on the internet 5 Provide actionable data 1 Associations Is it new? Bad reputation? 210 million PCs 3.1 billion files Insight 運作原理 端點安全教戰守則 - SEP 與 SCSP 如何協助
BAD GOOD Reputation LOW HI Prevalence OR NEW OLD Age OR 為什麼 Insight 可以增加安全性? 傳統的防毒採用的是無罪推定論方式直到證明有罪 假使檔案並沒有符合『指紋特徵』 . . . 准許該檔案使用 ? 但是如果您能夠知道… ? 相信能夠更能保護您在各種情境之下 端點安全教戰守則 - SEP 與 SCSP 如何協助 20
2121 Insight – 最佳化掃瞄 略 過 任 何 一 個 我 們 認 為 是 好 的 檔 案, 大 大 加 快 了 掃 瞄 的 時 間 傳 統 的 掃 毒 機 制 必 須 掃 瞄 每 一 個 檔 案 在一個標準的系統上, 70% 經常 被使用的應用程式可以略過! 快速掃瞄 端點安全教戰守則 - SEP 與 SCSP 如何協助
強化防護: 行為模式偵測 - SONAR 透過其智慧型引擎的判斷, 忽略那些 疑似 的威脅 但會偵測出那些威脅實際上 做了什麼 而採取行動 22端點安全教戰守則 - SEP 與 SCSP 如何協助
SONAR 主要功能 端點安全教戰守則 - SEP 與 SCSP 如何協助 系統 防護 SymProtect 啟發式 人工智慧 人類用戶 行為模式 封鎖 行為不良的 應用程式 最 即 時 的 防 護 23
端點安全縱深防禦機制 端點安全教戰守則 - SEP 與 SCSP 如何協助 24 入侵防禦? ? 檔案掃描 ? 行為分析? 信譽評級 阻擋網路攻擊,不使 其有機會將惡意程 式帶進系統裡 搜尋病毒特徵,以 阻擋惡意文件 監控程式的可疑行 為,以即時攔阻惡意 程式碼 利用超過一億人 的信譽評級來阻 擋惡意文件及網 站的存取 ?防病毒引擎 ?啟發式掃描 ?自動防護 ?SONAR行為偵測引擎 ?行為特徵庫 ?入侵防護偵測 ?流覽器防護 網路 信譽網路 檔案 行為 Internet 伺服器 ?文件信譽 ?網站信譽 X
虛擬化主要功能 Virtual Image Exception ? 應用在 cloned images ? 排除所有檔案 ? 降低掃瞄造成的負載 Shared Insight Cache ? Clients 共享掃瞄的結果 ? 只掃瞄檔案一次 ? 使用 Insight Virtual Client Tagging ? 辨識出 hypervisor ? 設定特定群組專用的政策 ? 可針對虛擬電腦進行搜索 Resource Leveling ? 應用在所有的虛擬主機 ? 降低事件的重疊 ? 掃瞄及定義檔更新 強化管理能力並同時 降低 90% 掃瞄造成的負載 25端點安全教戰守則 - SEP 與 SCSP 如何協助
Symantec Endpoint Protection 12.1.2 新功能 端點安全教戰守則 - SEP 與 SCSP 如何協助 26
支援 Windows 8 作業系統 ? Metro 應用程式的修正 ? Toaster 通知方式 ? 支援 ELAM (Early Launch Anti-Malware) ? 效能上的調校 保護不受到零時差攻擊 端點安全教戰守則 - SEP 與 SCSP 如何協助
支援 Mac OS X 10.8 作業系統 ? 支援 Mac OS X v10.8 ? 支援對大小寫格式敏感的 HSFX 磁碟 ? 支援全新的 “Gatekeeper” 功能 ? 針對 Mac 用戶端安裝程式有相關異動 ? 針對 Mac 的 SEP 安裝程式會透過全新的 Apple Developer ID 憑證進行簽署 ? 安裝程式本身也會被全新的 Apple Developer ID 簽署 端點安全教戰守則 - SEP 與 SCSP 如何協助 28
自動化的第三方產品移轉功能 * 不同平台或語系會有相關限制 (詳情請參考 KB) AhnLab V3 Internet Security 8.0 AntiSpyware 8.x* Rising Internet Security 21.x AhnLab V3 Internet Security 8.0 8.x* Rising AntiVirus 23.x AhnLab V3 Internet Security 7.0 Platinum Enterprise AntiSpyware 7.x Rising Personal Firewall 20.x AhnLab V3 Internet Security 7.0 Platinum Enterprise 7.x Rising Internet Security 23.x avast! Antivirus 4.x BitDefender Business Client 3.x* avast! Free Antivirus 5.x CA eTrust Antivirus 7.x avast! Antivirus Professional 4.8.x CA eTrustITM Agent 8.x avast! Pro Antivirus 5.x CA eTrustITM Agent (AntiSpyware) 8.x AVG 10 [AntiVirus] 10.x CA Total Defense 12.x Avira AntiVir Premium 10.x CA Anti-Virus 9.x Avira Premium Security Suite 10.x ESET NOD32 Antivirus 3.x Avira Antivirus Premium 12.x ESET NOD32 Antivirus 4.x ESET Smart Security 3.x* 端點安全教戰守則 - SEP 與 SCSP 如何協助 29
提供全新 vSIC 功能: vShield enabled Shared Insight Cache 端點安全教戰守則 - SEP 與 SCSP 如何協助 30 ? 自動化的 vSIC 關聯 : 更簡單的管理 ? 在同一個 hypervisor 上, 降低對 VM 內相同檔案的掃瞄動作 ? 針對沒有共享 shared insight cache 的端點, 降低 I/O 及 CPU 使用率 ? 更低的虛擬網路使用率 (hash Vs File) ? 允許更高的虛擬主機密度 ? 沒有應用在 auto-protect 功能上
vShield Manager SVA vShield Network SEPM Production Network CVE Sylink vSIC 元件概觀 端點安全教戰守則 - SEP 與 SCSP 如何協助 31
vSIC 溝通流程: 未知檔案 端點安全教戰守則 - SEP 與 SCSP 如何協助 32 vShield Manager SVA vShield drivers (part of VMTOOLS) SEP 12.1.2 VM (client) Scan Request Get EFA EFA: Extended File attribute. Check for reputation and whitelist flag Submit Sending some EFA attribute via the vShield “plumbing” Check if in chache: The file is unknown Scan the file: The file is Clean Update the chache Adding the hash, clean statut, AV defs sequence number 掃瞄檔案: 進一步執行 病毒掃瞄動 作
vSIC 溝通流程: 已知檔案 端點安全教戰守則 - SEP 與 SCSP 如何協助 33 vShield Manager SVA vShield drivers (part of VMTOOLS) SEP 12.1.2 VM (client) Scan Request Get EFA EFA: Extended File attribute. Check for reputation and whitelist flag Submit Sending some EFA attribute via the vShield “plumbing” Check if in chache: The file is known 跳過此檔案: 掃毒引擎將 掃瞄要求停 止 並處理下 一個檔案.
vSIC I/O 會因時間而越來越低 端點安全教戰守則 - SEP 與 SCSP 如何協助 34 ? 經由移除對檔案的重覆處理動作, 每次的掃瞄所產生的 I/O 也大大降低 ? 在第三次已更新過定義檔的掃瞄來看, 大部份檔案皆不需掃瞄 31500 32000 32500 33000 33500 34000 34500 35000 35500 36000 36500 1 2 3 vSIC IO Usage MB/Runs vSIC IO Usage I/O (MB) Scans with new definitions Scan over time IOvolume 90% less I/O
資安 保護實體及虛擬伺服器 -確保重要營業伺服器的可用性 -保護無法更新 patch 及老舊的系統 -針對異質環境的單一解決方案 35 “76% of all data was compromised from servers ” 2011 Verizon Breach Investigation Report 遵循 即時的監控及稽核 -降低因沒有遵循企業規範所帶來的 費用 -Logging & 報表, 可用來作為稽核證 據與舉證需求 但是… 針對 伺服器: 客戶需要 Symantec Critical System Protection 端點安全教戰守則 - SEP 與 SCSP 如何協助
36 Symantec Critical System Protection 提供 防護 稽核 監控 ?網路防護 – 伺服器端的主機防火牆 ?系統及應用程式 – 避免弱點造成的影響 & 提供系統管控 ? 主機型 ? 即時防護及偵測 ? 廣泛的 OS 及 AP 支援 ?系統及應用程式 – 資安事件及文字 Log 監控 ?系統及應用程式 – 檔案, 設定與機碼的監控 回應 ?阻擋不受到無授權的用戶/ 應用程式的異動 ?針對特定事件, 執行相對應 的回應動作 端點安全教戰守則 - SEP 與 SCSP 如何協助
37 ? 開啟即可馬上使用的 VMware ESX 4.1 主機 防護 ? 保護重要的營業用 virtual guests 與 ESX server hosts ? 開啟即可馬上使用的 檔案一致性監控 ? 協助企業遵循國際法 規需求, 如 PCI, HIPPA, NERC, SOX, GLB ? 完善的 logging, 可用作 稽核及舉證 滿足企業規範 遵循的需求 針對伺服器 最佳化的防護 專為虛擬環境 所打造 Symantec Critical System Protection 提供 ? 保護不受到如零時差, APTs 如 Stuxnet & Hydraq 與惡意的內部 外洩等攻擊 ? 多種平台的支援 ? 打造給高效能的伺服器 端點安全教戰守則 - SEP 與 SCSP 如何協助
賽門鐵克資安管理平台 Symantec Protection Center Control Compliance Suite Data Loss Prevention Suite & Encryption VeriSign Identity & Authentication IT Management Suite Symantec Protection Suites Symantec MSS & Symantec.cloud ? 免費產品 (version 2.1) ? 並不會取代原本的架構 ? 提供完善的監控與報表 集 中 管 理 介 面 提 供 模 式 Symantec Protection Center 38端點安全教戰守則 - SEP 與 SCSP 如何協助
Symantec Protection Center 相關且可即時回應的資訊安全情報 跨本地及異地環境, 辨識持續出現 的威脅 Intelligence 針對角色, 關係, 及嚴重度, 執行相 對應的動作 Priority 透過相關連的資訊, 加速防護的時 間 Action 39端點安全教戰守則 - SEP 與 SCSP 如何協助
SPC 主要功能 ? 三層式整合- Single Sign on, Data collection, Action ? 整合賽門鐵克 GIN ? 基本的事件關聯能力 ? 跨產品的報表 – 惡意軟體, 電子郵件, 資產 ? 儀表板的通知方式 ? 預先建好的 工作流程樣板 - Symantec Endpoint Protection ? STEP – 與第三方軟體廠商的 整合 40端點安全教戰守則 - SEP 與 SCSP 如何協助
41
42
43
WSMC SEC-T230 44
WSMC SEC-T230 45
WSMC SEC-T230 46
Email WSMC SEC-T230 47
SEP + SCSP = 安全 + 效能 + 虛擬化 最完整的保護 48 無以倫比的 資訊安全 專門針對虛擬環 境所設計出來 火速般的 效能 端點安全教戰守則 - SEP 與 SCSP 如何協助
Thank you! Copyright ? 2010 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. Thank you! 端點安全教戰守則 - SEP 與 SCSP 如何協助 49 Wales Chen (陳瑞文)

More Related Content

賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protection

  • 1. 端點安全教戰守則 - SEP 與 SCSP 如何協助 1 端點安全教戰守則 - Symantec Endpoint Protection (SEP) 與 Symantec Critical System Protection (SCSP) 如何協助 Wales Chen (陳瑞文) 資深顧問 技術暨解決方案
  • 2. Copyright ? 2009 Symantec Corporation. All rights reserved. 2 賽門鐵克全球情報網路 辨識出更多的威脅, 更快的採取行動 & 避免衝擊發生 資 訊 保 護領 先 的 資 安 預 警 機 制 針 對 威 脅 驅 動 的 回 應 機 制 全 球 規 模 及 範 圍含 蓋 全 世 界 24x7 資 安 事 件 收 集 即時的偵測 攻擊活動 ? 240,000 sensors ? 200+ countries 惡意軟體情報 ? 130M client, server, gateways monitored ? Global coverage 漏洞 ? 32,000+ vulnerabilities ? 11,000 vendors ? 72,000 technologies 垃圾郵件/釣魚 ? 2.5M decoy accounts ? 8B+ email messages/day ? 1B+ web requests/day Austin, TXMountain View, CA Culver City, CA San Francisco, CA Taipei, Taiwan Tokyo, Japan Dublin, IrelandCalgary, Alberta Chengdu, China Chennai, India Pune, India Alexandria, VA Reading, England Sydney, AU
  • 3. ISTR XVI – 資安威脅觀點 2010 - 2012 主題 3端點安全教戰守則 - SEP 與 SCSP 如何協助 ? 鏢 靶 攻 擊 持 續 演 進 ? 社 交 網 路 + 社 交 工 程 = 妥 協 ? 捉 迷 藏 零 時 差 漏 洞 及 rootkits ? 攻 擊 工 具 像喝了咖啡因般的厲害 ? 行 動 裝 置 威 脅 逐漸增加
  • 4. 惡意軟體作者已經改變策略型態 從: 一些相關的少量威脅之 mass distribution 舉例. ? Storm 在全球侵入了數百萬台 主機 到: A micro distribution model 舉 例. ? Vundo 的變種在平均上, 感染了 18 個使用者! ? 而 Harakit 的變種在平均上, 也 感染了 1.6 個使用者! 4 去年一共發現2億8千萬支新 的惡意軟體 有多少機會您的防毒廠商會發現病毒呢? 端點安全教戰守則 - SEP 與 SCSP 如何協助
  • 5. 12new 0day vulnerabilities 威脅觀點 我們多常被攻擊? ? 14 新的零時差漏洞 ? 163 新的行動裝置漏洞 ? 6,253 新的漏洞 14new public SCADA vulnerabilities 321browser plug-in vulnerabilities 4,501new vulnerabilities 17,432new bot C&C servers 30,000domains hosting malware 59,526phishing hosts 2,895,802 new AV signatures 6,798,338 bot infected computers 240,000,000 million new malware variants 3,050,000,000賽門鐵克在 2010 年所阻擋的攻擊 在這個簡報所需的時間, 我們阻擋了超過 36 萬 5 千個攻擊! 5端點安全教戰守則 - SEP 與 SCSP 如何協助
  • 7. 威脅觀點 為什麼我們會被攻擊 7 竊取資源 竊取資訊 勒索金錢 - 送出垃圾郵件 - 阻斷式攻擊 的一部份 - 竊取敏感資訊 例如. 銀行權限 - 老氣的 ‘騙人軟體’ - 坐好然後等著 $s 滾進來 破壞 - 駭客主義 - 數位破壞 Rustock Zeus Rogue AV Stuxnet 範例: 大部份是因為: 端點安全教戰守則 - SEP 與 SCSP 如何協助
  • 8. 威脅觀點 惡意軟體產生器 & 變種工具 簡單又好用 8 可以很簡單的透過手動或自動方式, 產生出變種的惡意軟體 端點安全教戰守則 - SEP 與 SCSP 如何協助
  • 10. 威脅觀點 我們是怎麼被攻擊的? ? 剛開始也許只是個附件 ? 但埋藏在其中確是個內 建的 “Flash” 物件 ? 而它確會利用漏洞, 將惡 意軟體派送進來 10端點安全教戰守則 - SEP 與 SCSP 如何協助
  • 11. 威脅觀點 我們是怎麼被攻擊的? ? 大部份時間你只會看到 一個連結 ? 看起來好像無害, 對吧? ? 但不要假設的那麼快… ? 把滑鼠移過去看看埋藏 在底下的真正連結 ? 點擊這個連結會將你帶 到一個惡意網站 11端點安全教戰守則 - SEP 與 SCSP 如何協助
  • 12. ? 任何網站都可以感染端點. 在過去, 你必須要瀏 覽具危機性的網站以便被感染 … 但現在, 罪犯確是透過合法的網站攻擊你 ? 弱點在使用者不知情的狀況下, 遭遇軟體漏洞 ? 哪一個網站會感染你? 你最喜歡的: – 新聞, 旅遊, 線上遊戲, 房仲, 政府, 其它 12端點安全教戰守則 - SEP 與 SCSP 如何協助 在 2010 年, 所阻擋的惡意網站中, 有 87.5% 都是合法的, 但皆已被入侵 資料來源: Symantec.cloud 威脅觀點 我們是怎麼被攻擊的?
  • 13. ? 駭客也逐漸採用社交工程手法 – 根據個人資訊, 建立鏢靶式社交工程 – 假裝是朋友, 以便採取攻擊 – 利用 news feed 去傳遞垃圾郵件, 進行竊取及大量攻擊 13 威脅觀點 我們是怎麼被攻擊的? 端點安全教戰守則 - SEP 與 SCSP 如何協助
  • 14. ? 罪犯透過 Search Engine Optimization (SEO) poisoning – 不道德的技術, 用來拉高搜索結果的排名 – 在幾個小時內, 注入有害的搜索結果, 例如受歡迎的關鍵字, 全球重大 事件等等 ? 連結會指到惡意軟體, 或惡意網站 ? PHP 工具包, 可以隨意取得, 用來產生整個流程 端點安全教戰守則 - SEP 與 SCSP 如何協助 14 威脅觀點 我們是怎麼被攻擊的?
  • 15. 15 個人電腦/筆電 伺服器 ?可用性及效能 ?高度敏感的資料 ?遵循的需求 ?內部員工風險 ?複雜的環境 行動裝置 虛擬化 ?密度是關鍵 ?高價值 ?新漏洞 ?虛擬主機蔓延 ?大架構, 攻擊表面 ?對效能敏感的使 用者 ?擴展快速 ?敏感資料 ?高失竊率 威脅觀點 哪些端點會受到攻擊? 端點安全教戰守則 - SEP 與 SCSP 如何協助
  • 16. Symantec Endpoint Protection 惡意程式 防護 防火牆 入侵防護 設備管控 應用程式 管控 存取管控 Symantec Endpoint Protection 12.1 One console One agent Win, OS X, Linux Powered by Insight 端點安全教戰守則 - SEP 與 SCSP 如何協助 16
  • 17. Symantec Endpoint Protection 12 17 ? 減少約 70% 的掃瞄 時間 ? 更聰明的更新機制 ? 更快速的管理方式 ? Powered by Insight ? 透過 SONAR 的即時 行為監控 ? 針對虛擬環境進行測 試及最佳化 ? 更高的 VM 密度 無以倫比的 資訊安全 專門針對虛擬環 境所設計出來 火速般的 效能 端點安全教戰守則 - SEP 與 SCSP 如何協助
  • 18. Symantec Insight ? 從超過 2 億 1 千萬台機器, 以匿名方式, 所收集而來的資料, 建構出由檔案, 主機, 及網域的超大型雲端資料庫架構 ? 追蹤幾乎全世界上的每個執行檔 – 31 億個檔案, 每個星期增加 3 千 7 百萬個 – 使用 age, prevalence, source 及其它屬性, 以便針對檔案給予評等 ? 即使只有一個賽門鐵克用戶碰到它們, 也可以準確的辨識出 並阻擋威脅 主動式 防護, 避免受到全新及鏢靶攻擊的威脅 Bad Safety Rating File is blocked Good Safety Rating File is whitelisted No Safety Rating Yet IT can set block/ allow thresholds 18端點安全教戰守則 - SEP 與 SCSP 如何協助
  • 19. 19 2 Prevalence Age Source Behavior 3 4 Look for associations Check the DB during scans Rate nearly every file on the internet 5 Provide actionable data 1 Associations Is it new? Bad reputation? 210 million PCs 3.1 billion files Insight 運作原理 端點安全教戰守則 - SEP 與 SCSP 如何協助
  • 20. BAD GOOD Reputation LOW HI Prevalence OR NEW OLD Age OR 為什麼 Insight 可以增加安全性? 傳統的防毒採用的是無罪推定論方式直到證明有罪 假使檔案並沒有符合『指紋特徵』 . . . 准許該檔案使用 ? 但是如果您能夠知道… ? 相信能夠更能保護您在各種情境之下 端點安全教戰守則 - SEP 與 SCSP 如何協助 20
  • 21. 2121 Insight – 最佳化掃瞄 略 過 任 何 一 個 我 們 認 為 是 好 的 檔 案, 大 大 加 快 了 掃 瞄 的 時 間 傳 統 的 掃 毒 機 制 必 須 掃 瞄 每 一 個 檔 案 在一個標準的系統上, 70% 經常 被使用的應用程式可以略過! 快速掃瞄 端點安全教戰守則 - SEP 與 SCSP 如何協助
  • 22. 強化防護: 行為模式偵測 - SONAR 透過其智慧型引擎的判斷, 忽略那些 疑似 的威脅 但會偵測出那些威脅實際上 做了什麼 而採取行動 22端點安全教戰守則 - SEP 與 SCSP 如何協助
  • 23. SONAR 主要功能 端點安全教戰守則 - SEP 與 SCSP 如何協助 系統 防護 SymProtect 啟發式 人工智慧 人類用戶 行為模式 封鎖 行為不良的 應用程式 最 即 時 的 防 護 23
  • 24. 端點安全縱深防禦機制 端點安全教戰守則 - SEP 與 SCSP 如何協助 24 入侵防禦? ? 檔案掃描 ? 行為分析? 信譽評級 阻擋網路攻擊,不使 其有機會將惡意程 式帶進系統裡 搜尋病毒特徵,以 阻擋惡意文件 監控程式的可疑行 為,以即時攔阻惡意 程式碼 利用超過一億人 的信譽評級來阻 擋惡意文件及網 站的存取 ?防病毒引擎 ?啟發式掃描 ?自動防護 ?SONAR行為偵測引擎 ?行為特徵庫 ?入侵防護偵測 ?流覽器防護 網路 信譽網路 檔案 行為 Internet 伺服器 ?文件信譽 ?網站信譽 X
  • 25. 虛擬化主要功能 Virtual Image Exception ? 應用在 cloned images ? 排除所有檔案 ? 降低掃瞄造成的負載 Shared Insight Cache ? Clients 共享掃瞄的結果 ? 只掃瞄檔案一次 ? 使用 Insight Virtual Client Tagging ? 辨識出 hypervisor ? 設定特定群組專用的政策 ? 可針對虛擬電腦進行搜索 Resource Leveling ? 應用在所有的虛擬主機 ? 降低事件的重疊 ? 掃瞄及定義檔更新 強化管理能力並同時 降低 90% 掃瞄造成的負載 25端點安全教戰守則 - SEP 與 SCSP 如何協助
  • 26. Symantec Endpoint Protection 12.1.2 新功能 端點安全教戰守則 - SEP 與 SCSP 如何協助 26
  • 27. 支援 Windows 8 作業系統 ? Metro 應用程式的修正 ? Toaster 通知方式 ? 支援 ELAM (Early Launch Anti-Malware) ? 效能上的調校 保護不受到零時差攻擊 端點安全教戰守則 - SEP 與 SCSP 如何協助
  • 28. 支援 Mac OS X 10.8 作業系統 ? 支援 Mac OS X v10.8 ? 支援對大小寫格式敏感的 HSFX 磁碟 ? 支援全新的 “Gatekeeper” 功能 ? 針對 Mac 用戶端安裝程式有相關異動 ? 針對 Mac 的 SEP 安裝程式會透過全新的 Apple Developer ID 憑證進行簽署 ? 安裝程式本身也會被全新的 Apple Developer ID 簽署 端點安全教戰守則 - SEP 與 SCSP 如何協助 28
  • 29. 自動化的第三方產品移轉功能 * 不同平台或語系會有相關限制 (詳情請參考 KB) AhnLab V3 Internet Security 8.0 AntiSpyware 8.x* Rising Internet Security 21.x AhnLab V3 Internet Security 8.0 8.x* Rising AntiVirus 23.x AhnLab V3 Internet Security 7.0 Platinum Enterprise AntiSpyware 7.x Rising Personal Firewall 20.x AhnLab V3 Internet Security 7.0 Platinum Enterprise 7.x Rising Internet Security 23.x avast! Antivirus 4.x BitDefender Business Client 3.x* avast! Free Antivirus 5.x CA eTrust Antivirus 7.x avast! Antivirus Professional 4.8.x CA eTrustITM Agent 8.x avast! Pro Antivirus 5.x CA eTrustITM Agent (AntiSpyware) 8.x AVG 10 [AntiVirus] 10.x CA Total Defense 12.x Avira AntiVir Premium 10.x CA Anti-Virus 9.x Avira Premium Security Suite 10.x ESET NOD32 Antivirus 3.x Avira Antivirus Premium 12.x ESET NOD32 Antivirus 4.x ESET Smart Security 3.x* 端點安全教戰守則 - SEP 與 SCSP 如何協助 29
  • 30. 提供全新 vSIC 功能: vShield enabled Shared Insight Cache 端點安全教戰守則 - SEP 與 SCSP 如何協助 30 ? 自動化的 vSIC 關聯 : 更簡單的管理 ? 在同一個 hypervisor 上, 降低對 VM 內相同檔案的掃瞄動作 ? 針對沒有共享 shared insight cache 的端點, 降低 I/O 及 CPU 使用率 ? 更低的虛擬網路使用率 (hash Vs File) ? 允許更高的虛擬主機密度 ? 沒有應用在 auto-protect 功能上
  • 31. vShield Manager SVA vShield Network SEPM Production Network CVE Sylink vSIC 元件概觀 端點安全教戰守則 - SEP 與 SCSP 如何協助 31
  • 32. vSIC 溝通流程: 未知檔案 端點安全教戰守則 - SEP 與 SCSP 如何協助 32 vShield Manager SVA vShield drivers (part of VMTOOLS) SEP 12.1.2 VM (client) Scan Request Get EFA EFA: Extended File attribute. Check for reputation and whitelist flag Submit Sending some EFA attribute via the vShield “plumbing” Check if in chache: The file is unknown Scan the file: The file is Clean Update the chache Adding the hash, clean statut, AV defs sequence number 掃瞄檔案: 進一步執行 病毒掃瞄動 作
  • 33. vSIC 溝通流程: 已知檔案 端點安全教戰守則 - SEP 與 SCSP 如何協助 33 vShield Manager SVA vShield drivers (part of VMTOOLS) SEP 12.1.2 VM (client) Scan Request Get EFA EFA: Extended File attribute. Check for reputation and whitelist flag Submit Sending some EFA attribute via the vShield “plumbing” Check if in chache: The file is known 跳過此檔案: 掃毒引擎將 掃瞄要求停 止 並處理下 一個檔案.
  • 34. vSIC I/O 會因時間而越來越低 端點安全教戰守則 - SEP 與 SCSP 如何協助 34 ? 經由移除對檔案的重覆處理動作, 每次的掃瞄所產生的 I/O 也大大降低 ? 在第三次已更新過定義檔的掃瞄來看, 大部份檔案皆不需掃瞄 31500 32000 32500 33000 33500 34000 34500 35000 35500 36000 36500 1 2 3 vSIC IO Usage MB/Runs vSIC IO Usage I/O (MB) Scans with new definitions Scan over time IOvolume 90% less I/O
  • 35. 資安 保護實體及虛擬伺服器 -確保重要營業伺服器的可用性 -保護無法更新 patch 及老舊的系統 -針對異質環境的單一解決方案 35 “76% of all data was compromised from servers ” 2011 Verizon Breach Investigation Report 遵循 即時的監控及稽核 -降低因沒有遵循企業規範所帶來的 費用 -Logging & 報表, 可用來作為稽核證 據與舉證需求 但是… 針對 伺服器: 客戶需要 Symantec Critical System Protection 端點安全教戰守則 - SEP 與 SCSP 如何協助
  • 36. 36 Symantec Critical System Protection 提供 防護 稽核 監控 ?網路防護 – 伺服器端的主機防火牆 ?系統及應用程式 – 避免弱點造成的影響 & 提供系統管控 ? 主機型 ? 即時防護及偵測 ? 廣泛的 OS 及 AP 支援 ?系統及應用程式 – 資安事件及文字 Log 監控 ?系統及應用程式 – 檔案, 設定與機碼的監控 回應 ?阻擋不受到無授權的用戶/ 應用程式的異動 ?針對特定事件, 執行相對應 的回應動作 端點安全教戰守則 - SEP 與 SCSP 如何協助
  • 37. 37 ? 開啟即可馬上使用的 VMware ESX 4.1 主機 防護 ? 保護重要的營業用 virtual guests 與 ESX server hosts ? 開啟即可馬上使用的 檔案一致性監控 ? 協助企業遵循國際法 規需求, 如 PCI, HIPPA, NERC, SOX, GLB ? 完善的 logging, 可用作 稽核及舉證 滿足企業規範 遵循的需求 針對伺服器 最佳化的防護 專為虛擬環境 所打造 Symantec Critical System Protection 提供 ? 保護不受到如零時差, APTs 如 Stuxnet & Hydraq 與惡意的內部 外洩等攻擊 ? 多種平台的支援 ? 打造給高效能的伺服器 端點安全教戰守則 - SEP 與 SCSP 如何協助
  • 38. 賽門鐵克資安管理平台 Symantec Protection Center Control Compliance Suite Data Loss Prevention Suite & Encryption VeriSign Identity & Authentication IT Management Suite Symantec Protection Suites Symantec MSS & Symantec.cloud ? 免費產品 (version 2.1) ? 並不會取代原本的架構 ? 提供完善的監控與報表 集 中 管 理 介 面 提 供 模 式 Symantec Protection Center 38端點安全教戰守則 - SEP 與 SCSP 如何協助
  • 39. Symantec Protection Center 相關且可即時回應的資訊安全情報 跨本地及異地環境, 辨識持續出現 的威脅 Intelligence 針對角色, 關係, 及嚴重度, 執行相 對應的動作 Priority 透過相關連的資訊, 加速防護的時 間 Action 39端點安全教戰守則 - SEP 與 SCSP 如何協助
  • 40. SPC 主要功能 ? 三層式整合- Single Sign on, Data collection, Action ? 整合賽門鐵克 GIN ? 基本的事件關聯能力 ? 跨產品的報表 – 惡意軟體, 電子郵件, 資產 ? 儀表板的通知方式 ? 預先建好的 工作流程樣板 - Symantec Endpoint Protection ? STEP – 與第三方軟體廠商的 整合 40端點安全教戰守則 - SEP 與 SCSP 如何協助
  • 41. 41
  • 42. 42
  • 43. 43
  • 48. SEP + SCSP = 安全 + 效能 + 虛擬化 最完整的保護 48 無以倫比的 資訊安全 專門針對虛擬環 境所設計出來 火速般的 效能 端點安全教戰守則 - SEP 與 SCSP 如何協助
  • 49. Thank you! Copyright ? 2010 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. Thank you! 端點安全教戰守則 - SEP 與 SCSP 如何協助 49 Wales Chen (陳瑞文)