Il nuovo concetto di protezione: Symantec Endpoint Protection 12.1

Transcript

Il nuovo concetto di protezione:
Symantec Endpoint Protection 12.1
Massimiliano Galvagna
Principal Consultant TSO
Agenda
•Panorama delle minacce
•Symantec Endpoint Protection 12.1
•Symantec Protection Center
DISCLAIMER:
SYMANTEC TECHNOLOGY DAY 2011
Gennaio, 2007 - 250,000 virus
Dicembre, 2009 – oltre 240 millioni
Quest’oggi saranno creati circa:
650.000
Una catastrofe assicurata… la crescita delle signature
del AntiVirus
10.000.000
8.000.000
6.000.000
4.000.000
Presto,
La scansione
un mondo
solo
con
con
100
Qualcosa deve cambiare
Signature
milioni
nondipuò
virus
bastare
2.000.000
0
Distribuzione della Global Intelligence Network
Identifica più minacce, entrando in azione più velocemente e prevenendo
ripercussioni
Calgary, Alberta
San Francisco, CA
Mountain View, CA
Culver City, CA
Dublin, Ireland
Tokyo, Japan
Chengdu, China
Austin, TX
Taipei, Taiwan
Chennai, India
Pune, India
Copertura Mondiale
Visione Globale
Collezione Eventi 24x7
Detection Rapida
Rilevazione Attacchi
• 240,000+ sensori
• 200+ nazioni
Malware Intelligence
• 150M Client, Server
Gateway monitorati
• Copertura Globale
Security Alerts Preventivi
Vulnerabilità
• 35,000+ vulnerabilità
• 11,000 vendor
• 80,000 tecnologie
Spam/Phishing
• 5M account esca
• 8B+ email messagi/giorno
• 1B+ web richieste/giorno
Protezione dei Dati
Perché il management delle aziende
non vuole investire negli Antivirus?
Perché tanto
uno vale l'altro!
Introduzione alla nuova tecnologia
Con l’ausilio di Insight
Sicurezza Senza Rivali
Performance Straordinarie
Concepito per Ambienti Virtuali
Cosa c’è di nuovo
Malware
Protection
- Sicurezza senza Rivali
 Insight
 SONAR
 Browser Protection
Personal
Access
Control
Firewall
Symantec
Endpoint
Protection
App
Control
- Performance Straordinarie
 Scansione rapida
Intrusion
Prevention
Device
Control
- Nato per ambienti Virtuali
 Identifica e Gestisce
automaticamente Virtual
Client
 Scan Overhead eliminato
Insight
Una tecnologia rivoluzionaria che fornisce
protezione proattiva dalle nuove minacce
con valutazioni mirate di sicurezza su di una
base comunitaria con più di 175 milioni di
computer grazie a Norton Antivirus.
L’idea
Solo i malware mutano.
Quindi . . . se un eseguibile è unico, è sospetto.
. . . Ma . . . come posso sapere se un file è unico?
Tutto ciò che serve è un database
. . . . di quasi tutti i file di programmi in Internet
Quante copie esistono di questo file?
Quanto è recente questo programma?
È firmato digitalmente?
Quante volte è stato scaricato questo file?
Quante persone stanno usando questo sw?
Chi è la sorgente?
Ha un rating di sicurezza?
Altri utenti hanno segnalato un infezione?
Insight
La fonte è associata con questa infezione?
Come si comporterà questo file quando eseguito?
Quali diritti sono necessari?
Perché il contesto di un file
Il file è associato ad altri file che si sono rivelati infetti?
rivela il suo contenuto
Il file è simile ad un malware?
Quanto tempo ha il file?
La sorgente è associata a SPAM?
Quanti altri utenti hanno segnalato l’infezione?
Chi l’ha creato?
La fonte è associata a molti nuovi files?
Chi è il proprietario?
Cosa fa?
Come funziona Insight
2
1
4
Votare
2.5quasi
tutti
i file di
su
miliardi
internet
file
Controllo del
DB durante la
scansione
Costruire
175
un
network
millioni
di
di raccolta
PC
È nuovo?
Ha un cattivo
rating?
Prevalenza
5
Rilascio dei dati
3
Ricerca di
associazioni
Età
Sorgente
Comportamento
Associazioni
Cosa ha di speciale Insight
Solo Insight può rispondere:
Symantec
Insight
•
•
•
•
Classifica tutti i file binari
Traccia la diffusione
Traccia l’età
Signature per i nuovi
malware
• Quanto è vecchio il file?
• Quante copie ne esistono?
• E’ associato ad un’infezione?
Solo con Insight si può usare la
reputazione per identificare le
minacce mutate
Una tecnologia innovativa ma consolidata,
rende la soluzione più potente di qualunque altra!
Sicurezza Senza Rivali
Gli Hackers mutano le minacce per evadere i fingerprints
Minaccia mutata, sicurezza evasa
Risultato: un paradosso per chi scrive virus
– Il file muta troppo velocemente = Insight lo rileva
– Il file muta troppo poco velocemente = facile da scoprire e rilevare con
fingerprint
Come fa Insight ad aumentare la Security?
Gli AV usano il concetto del “Innocente fino a prova contraria”
Se un file non è rilevato da una signature. . . È consentito
• Ma cosa si farebbe sapendo che il file:
O
BAD
Reputazione
GOOD
O
LOW
Diffusione
HI
NEW
Età
• Non sarebbe opportuno proteggersi in questo caso?
OLD
Policy basate sul Rischio
Solo software con
almeno 10.000 utenti
con almeno 2 mesi di
vita.
È possibile installare
software con media
reputazione da almeno
100 utenti.
Nessuna restrizione ma i
PC devono essere
conformi con le policy di
controllo degli accessi
Dip. Finanziario
Help Desk
Sviluppo
Perché i Security Admin delle aziende
non credono negli Antivirus?
Perché si basano su
tecnologie reattive!
SONAR – Symantec Online Network for Advanced
Response
SONAR
Network IPS &
Browser
Protect
Insight
Lookup
File Based
Protection –
Sigs/Heuristics
Real time
behavioral
SONAR
• Controlla i processi ed i
thread degli eseguibili
• Giudica i comportamenti
• Alimenta Insight
L’unico motore ibrido
comportamento/reputazione al
mondo
Controlla 400 differenti
comportamenti delle
applicazioni
1/10
?
SEP 12.1 – Difesa nel dettaglio
X
Internet
Server
Network
Network
Intrusion
 Network
Prevention
Blocca gli attacchi via rete
prima che abbiano una
possibiltà di introdursi nel
sistema
 Protocol-aware IPS
 Browser Protection
basata
 Protezione
sulla Reputazione
Reputation
basata
 Protezione
Sui File
Blocca l’accesso ai file
maligni ed ai siti Web
compromessi tramite la
conoscenza di oltre 175
milioni di utenti
Blocca i file dannosi
tramite attributi sospetti
e signatures di virus
 Domain Reputation
 File Reputation
 Antivirus Engine
 Auto Protect
 Malheur
File
Behavioral
Protezione basata
 Sul
Comportamento
Blocca i malware
controllando i processi
ed i comportamenti
sospetti mentre
avvengono
 SONAR
 Behavioral Signatures
In tre recenti test, lo stack Symantec ha bloccato oltre il 96.2 % di tutte le minacce!
Negli stessi test, McAfee non riconosce il 48% delle minacce!
http://www.av-test.org
Test nel mondo reale
100%
100%
3,8%
13,5%
90%
90%
3,8%
32,7%
26,9%
40,4%
44,2%
70%
70%
3,8%
15,4%
60%
60%
5,8%
50%
80%
3,8%
50%
96,2%
82,7%
40%
40%
63,5%
30%
57,7%
% Falsi positivi
% del campione
80%
30%
53,8%
51,9%
20%
20%
Infected
10%
10%
Partial
Blocked
4%
0%
Symantec
Sophos
0%
Kaspersky
Trend Micro
Microsoft
McAfee
FP
Test di Remediation
120
30
110
104
25
94
93
80
20
75
69
60
15
40
10
24
20
1
0
Symantec
Kaspersky
5
0
Microsoft
Sophos
Malwarebytes
McAfee
Trend Micro
Numero di Falsi Positivi
Remediation punteggio
100
Safe Web Lite
fornisce una ricerca più sicura con l'avvertimento di siti Web pericolosi nei
risultati di ricerca, quindi è possibile cercare, sfogliare e fare acquisti online
senza preoccupazioni.
• RICERCHE in sicurezza
– Segnala i siti Web non sicuri direttamente
nei risultati di ricerca
– Si integra perfettamente con i motori di
ricerca Google, Yahoo e Bing
• NAVIGAZIONE in sicurezza
– Lancia l'allarme se un sito Web è
potenzialmente pericolosi per un download
– Consente di evitare accidentalmente
download di virus, spyware e altre minacce
online
• ACQUISTI in sicurezza
– Avvisa l’utente di sospetti venditori online
– Aiuta a trovare rispettabili commercianti
online
http://safeweb.norton.com/lite
Classificazione
• Norton Secured: Indica che il sito Web è stato verificato per
business legittimo ed è autenticato da un certificato SSL valido.
• Green OK: indica che il sito non è legittimato ma non risultano
problemi di sicurezza o rischi nell’acquisto
• Yellow ! + shopping cart: il sito non contiene rischi per la
sicurezza ma sono state segnalate merci contraffatte e/o false
• Yellow !: il sito ha alcuni rischi non critici per la sicurezza
• Red X: il sito ha rischi critici per la sicurezza o
contiene nolti rischi non critici
• Gray ?: il sito non è stato classificato
http://safeweb.norton.com/lite
Perché gli utenti delle aziende odiano
gli Antivirus?
Perché rallentano
Il computer!
Performance Straordinarie con la scansione
ottimizzata dalla Reputazione
In media su un computer 80% dei file
può essere saltato!
Scansione tradizionale
Scansione di ogni file
Scansione Ottimizzata dalla
Reputazione
Evita i file di cui è sicuro,
velocizzando i tempi di scansione
Velocità della scansione
Norton Antivirus 2011 scansiona:
3.5 volte più veloce di McAfee
2 volte più veloce di Microsoft
Posizionato 1° nelle Performance!
160
140
120
100
80
60
40
20
0
Symantec
Kaspersky
Trend Micro
Microsoft
Sophos
McAfee
Average
PassMark™ Software, Feb., 2011 - http://www.passmark.com/AVReport
Uso della memoria
180,0
160,0
140,0
120,0
100,0
80,0
60,0
40,0
20,0
0,0
Uso della memoria
Symantec
Kaspersky
Trend
Micro
McAfee
Sophos
Microsoft
Average
Norton Antivirus 2011 usa:
66% in meno di memoria di McAfee
76% in meno di memoria di Microsoft
PassMark™ Software, Feb., 2011 - http://www.passmark.com/AVReport
Perché gli Storage Admin ostacolano gli
Antivirus?
Perché rallentano
gli Hypervisor!
36
Virtual Client
Tagging
Virtual Image
Exception
Shared Insight
Cache
Resource
Leveling
Insieme – fino al 90% di riduzione del IO sui dischi
Nato per la virtualizzazione
• Virtual Image Exception – Consente di escludere dalla
scansione tutti i file di una immagine base.
• Shared Insight Cache – Un server stand alone che è in grado di
condividere i risultati della scansione. Ciò consente di saltare la
scansione dei file che sono già stati analizzati da un altro
computer.
• Virtual Client Tagging – Rileva l’ambiente su cui è installato il
client (fisico o virtuale) ed invia informazioni alla console. Tali
dati possono essere utilizzati per ricerche e reporting.
• Offline Image Scanner – Strumento stand alone che permette
di fare scansioni offline di immagini VMware (VMDK) file.
Il risultato:
SEP 12.1 Performance attese
Scansione Full performance migliorate sul IO
12.1 vs 11
60% riduzione totale del IO su disco
12.1 Shared Insight Cache vs 12.1
senza
50-80% riduzione totale del IO su disco
12 Virtual Image Exception vs 12.1
senza
50-80% riduzione totale del IO su disco
* Expected results, final numbers are still pending
Con il SEP 12.1 e l’utilizzo delle nuove funzioni in ambito della
virtualizzazione, il beneficio totale in termini di IO sui dischi è
stimato intorno ad una riduzione del 80%-90% per una scanzione
full rispetto al precedente 11.x.
Symantec Protection Center 2.0
Centralizzazione della sicurezza per combattere meglio
le minacce
Protezione
Completa
SVILUPPARE &
IMPORRE POLICY IT
01010101010
10101010101
PROTEZIONE
01010101010
INFRASTRUTTURE
01010101010
10101010101
PROTEZIONE
01010101010
INFORMAZIONI
10101010101
01010101010
PROTEZIONE
10101010101
IDENTITA’
10101010101
10101010101
GESTIONE SISTEMI
Vista
Centralizzata &
Informazioni
Gestite
Name Severity
Type
Influenza
Locale &
Intelligenza
Globale
Count
• Tendenze ed eventi locali
• Minacce Globali
Grazie
Copyright © 2011 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in
the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied,
are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.

Il nuovo concetto di protezione: Symantec Endpoint Protection 12.1

Transcript

Documenti analoghi

TABLETUN100BLACK) già acquisiti in passato e ad oggi utilizzati

Servizi di supporto per una copertura continua

Symantec™ Endpoint Protection 12.1.5 Scheda tecnica

Informazioni di base sul supporto Symantec

Symantec Backup Exec™ System Recovery (in precedenza

PER ULTERIORI INFORMAZIONI CONTATTARE

CONTRATTO DI LICENZA SOFTWARE DI SYMANTEC Norton

Symantec™ Endpoint Protection 12.1

Aggiornamento sulla separazione di Symantec per i clienti

Aggiornamento sulla separazione di Symantec per i partner