Il nuovo concetto di protezione: Symantec Endpoint Protection 12.1

Commenti

Transcript

Il nuovo concetto di protezione: Symantec Endpoint Protection 12.1
Il nuovo concetto di protezione:
Symantec Endpoint Protection 12.1
Massimiliano Galvagna
Principal Consultant TSO
Agenda
•Panorama delle minacce
•Symantec Endpoint Protection 12.1
•Symantec Protection Center
DISCLAIMER:
SYMANTEC TECHNOLOGY DAY 2011
Gennaio, 2007 - 250,000 virus
Dicembre, 2009 – oltre 240 millioni
SYMANTEC TECHNOLOGY DAY 2011
Quest’oggi saranno creati circa:
650.000
SYMANTEC TECHNOLOGY DAY 2011
Una catastrofe assicurata… la crescita delle signature
del AntiVirus
10.000.000
8.000.000
6.000.000
4.000.000
Presto,
La scansione
un mondo
solo
con
con
100
Qualcosa deve cambiare
Signature
milioni
nondipuò
virus
bastare
2.000.000
0
SYMANTEC TECHNOLOGY DAY 2011
Distribuzione della Global Intelligence Network
Identifica più minacce, entrando in azione più velocemente e prevenendo
ripercussioni
Calgary, Alberta
San Francisco, CA
Mountain View, CA
Culver City, CA
Dublin, Ireland
Tokyo, Japan
Chengdu, China
Austin, TX
Taipei, Taiwan
Chennai, India
Pune, India
Copertura Mondiale
Visione Globale
Collezione Eventi 24x7
Detection Rapida
Rilevazione Attacchi
• 240,000+ sensori
• 200+ nazioni
Malware Intelligence
• 150M Client, Server
Gateway monitorati
• Copertura Globale
Security Alerts Preventivi
Vulnerabilità
• 35,000+ vulnerabilità
• 11,000 vendor
• 80,000 tecnologie
Spam/Phishing
• 5M account esca
• 8B+ email messagi/giorno
• 1B+ web richieste/giorno
Protezione dei Dati
SYMANTEC TECHNOLOGY DAY 2011
Symantec Endpoint Protection 12.1
SYMANTEC TECHNOLOGY DAY 2011
Perché il management delle aziende
non vuole investire negli Antivirus?
Perché tanto
uno vale l'altro!
SYMANTEC TECHNOLOGY DAY 2011
Introduzione alla nuova tecnologia
Symantec Endpoint Protection 12.1
Con l’ausilio di Insight
Sicurezza Senza Rivali
Performance Straordinarie
Concepito per Ambienti Virtuali
SYMANTEC TECHNOLOGY DAY 2011
Symantec Endpoint Protection 12.1
Cosa c’è di nuovo
Malware
Protection
- Sicurezza senza Rivali
 Insight
 SONAR
 Browser Protection
Personal
Access
Control
Firewall
Symantec
Endpoint
Protection
App
Control
- Performance Straordinarie
 Scansione rapida
Intrusion
Prevention
Device
Control
- Nato per ambienti Virtuali
 Identifica e Gestisce
automaticamente Virtual
Client
 Scan Overhead eliminato
SYMANTEC TECHNOLOGY DAY 2011
Insight
Una tecnologia rivoluzionaria che fornisce
protezione proattiva dalle nuove minacce
con valutazioni mirate di sicurezza su di una
base comunitaria con più di 175 milioni di
computer grazie a Norton Antivirus.
SYMANTEC TECHNOLOGY DAY 2011
L’idea
Solo i malware mutano.
Quindi . . . se un eseguibile è unico, è sospetto.
. . . Ma . . . come posso sapere se un file è unico?
SYMANTEC TECHNOLOGY DAY 2011
Tutto ciò che serve è un database
. . . . di quasi tutti i file di programmi in Internet
SYMANTEC TECHNOLOGY DAY 2011
Quante copie esistono di questo file?
Quanto è recente questo programma?
È firmato digitalmente?
Quante volte è stato scaricato questo file?
Quante persone stanno usando questo sw?
Chi è la sorgente?
Ha un rating di sicurezza?
Altri utenti hanno segnalato un infezione?
Insight
La fonte è associata con questa infezione?
Come si comporterà questo file quando eseguito?
Quali diritti sono necessari?
Perché il contesto di un file
Il file è associato ad altri file che si sono rivelati infetti?
rivela il suo contenuto
Il file è simile ad un malware?
Quanto tempo ha il file?
La sorgente è associata a SPAM?
Quanti altri utenti hanno segnalato l’infezione?
Chi l’ha creato?
La fonte è associata a molti nuovi files?
Chi è il proprietario?
Cosa fa?
SYMANTEC TECHNOLOGY DAY 2011
Come funziona Insight
2
1
4
Votare
2.5quasi
tutti
i file di
su
miliardi
internet
file
Controllo del
DB durante la
scansione
Costruire
175
un
network
millioni
di
di raccolta
PC
È nuovo?
Ha un cattivo
rating?
Prevalenza
5
Rilascio dei dati
3
Ricerca di
associazioni
Età
Sorgente
Comportamento
Associazioni
Cosa ha di speciale Insight
Solo Insight può rispondere:
Symantec
Insight
•
•
•
•
Classifica tutti i file binari
Traccia la diffusione
Traccia l’età
Signature per i nuovi
malware
• Quanto è vecchio il file?
• Quante copie ne esistono?
• E’ associato ad un’infezione?
Solo con Insight si può usare la
reputazione per identificare le
minacce mutate
Una tecnologia innovativa ma consolidata,
rende la soluzione più potente di qualunque altra!
SYMANTEC TECHNOLOGY DAY 2011
Sicurezza Senza Rivali
Gli Hackers mutano le minacce per evadere i fingerprints
Minaccia mutata, sicurezza evasa
Risultato: un paradosso per chi scrive virus
– Il file muta troppo velocemente = Insight lo rileva
– Il file muta troppo poco velocemente = facile da scoprire e rilevare con
fingerprint
SYMANTEC TECHNOLOGY DAY 2011
Come fa Insight ad aumentare la Security?
Gli AV usano il concetto del “Innocente fino a prova contraria”
Se un file non è rilevato da una signature. . . È consentito
• Ma cosa si farebbe sapendo che il file:
O
BAD
Reputazione
GOOD
O
LOW
Diffusione
HI
NEW
Età
• Non sarebbe opportuno proteggersi in questo caso?
SYMANTEC TECHNOLOGY DAY 2011
OLD
Policy basate sul Rischio
Solo software con
almeno 10.000 utenti
con almeno 2 mesi di
vita.
È possibile installare
software con media
reputazione da almeno
100 utenti.
Nessuna restrizione ma i
PC devono essere
conformi con le policy di
controllo degli accessi
Dip. Finanziario
Help Desk
Sviluppo
SYMANTEC TECHNOLOGY DAY 2011
Perché i Security Admin delle aziende
non credono negli Antivirus?
Perché si basano su
tecnologie reattive!
SYMANTEC TECHNOLOGY DAY 2011
SONAR – Symantec Online Network for Advanced
Response
SONAR
Network IPS &
Browser
Protect
Insight
Lookup
File Based
Protection –
Sigs/Heuristics
Real time
behavioral
SONAR
• Controlla i processi ed i
thread degli eseguibili
• Giudica i comportamenti
• Alimenta Insight
L’unico motore ibrido
comportamento/reputazione al
mondo
Controlla 400 differenti
comportamenti delle
applicazioni
SYMANTEC TECHNOLOGY DAY 2011
1/10
?
SEP 12.1 – Difesa nel dettaglio
X
Internet
Server
Network
Network
Intrusion
 Network
Prevention
Blocca gli attacchi via rete
prima che abbiano una
possibiltà di introdursi nel
sistema
 Protocol-aware IPS
 Browser Protection
basata
 Protezione
sulla Reputazione
Reputation
basata
 Protezione
Sui File
Blocca l’accesso ai file
maligni ed ai siti Web
compromessi tramite la
conoscenza di oltre 175
milioni di utenti
Blocca i file dannosi
tramite attributi sospetti
e signatures di virus
 Domain Reputation
 File Reputation
 Antivirus Engine
 Auto Protect
 Malheur
File
Behavioral
Protezione basata
 Sul
Comportamento
Blocca i malware
controllando i processi
ed i comportamenti
sospetti mentre
avvengono
 SONAR
 Behavioral Signatures
In tre recenti test, lo stack Symantec ha bloccato oltre il 96.2 % di tutte le minacce!
Negli stessi test, McAfee non riconosce il 48% delle minacce!
http://www.av-test.org
SYMANTEC TECHNOLOGY DAY 2011
Test nel mondo reale
100%
100%
3,8%
13,5%
90%
90%
3,8%
32,7%
26,9%
40,4%
44,2%
70%
70%
3,8%
15,4%
60%
60%
5,8%
50%
80%
3,8%
50%
96,2%
82,7%
40%
40%
63,5%
30%
57,7%
% Falsi positivi
% del campione
80%
30%
53,8%
51,9%
20%
20%
Infected
10%
10%
Partial
Blocked
4%
0%
Symantec
http://www.av-test.org
Sophos
0%
Kaspersky
Trend Micro
Microsoft
SYMANTEC TECHNOLOGY DAY 2011
McAfee
FP
Test di Remediation
120
30
110
104
25
94
93
80
20
75
69
60
15
40
10
24
20
1
0
Symantec
http://www.av-test.org
Kaspersky
5
0
Microsoft
Sophos
Malwarebytes
McAfee
SYMANTEC TECHNOLOGY DAY 2011
Trend Micro
Numero di Falsi Positivi
Remediation punteggio
100
Safe Web Lite
fornisce una ricerca più sicura con l'avvertimento di siti Web pericolosi nei
risultati di ricerca, quindi è possibile cercare, sfogliare e fare acquisti online
senza preoccupazioni.
• RICERCHE in sicurezza
– Segnala i siti Web non sicuri direttamente
nei risultati di ricerca
– Si integra perfettamente con i motori di
ricerca Google, Yahoo e Bing
• NAVIGAZIONE in sicurezza
– Lancia l'allarme se un sito Web è
potenzialmente pericolosi per un download
– Consente di evitare accidentalmente
download di virus, spyware e altre minacce
online
• ACQUISTI in sicurezza
– Avvisa l’utente di sospetti venditori online
– Aiuta a trovare rispettabili commercianti
online
http://safeweb.norton.com/lite
SYMANTEC TECHNOLOGY DAY 2011
Classificazione
• Norton Secured: Indica che il sito Web è stato verificato per
business legittimo ed è autenticato da un certificato SSL valido.
• Green OK: indica che il sito non è legittimato ma non risultano
problemi di sicurezza o rischi nell’acquisto
• Yellow ! + shopping cart: il sito non contiene rischi per la
sicurezza ma sono state segnalate merci contraffatte e/o false
• Yellow !: il sito ha alcuni rischi non critici per la sicurezza
• Red X: il sito ha rischi critici per la sicurezza o
contiene nolti rischi non critici
• Gray ?: il sito non è stato classificato
http://safeweb.norton.com/lite
SYMANTEC TECHNOLOGY DAY 2011
Perché gli utenti delle aziende odiano
gli Antivirus?
Perché rallentano
Il computer!
SYMANTEC TECHNOLOGY DAY 2011
Performance Straordinarie con la scansione
ottimizzata dalla Reputazione
In media su un computer 80% dei file
può essere saltato!
Scansione tradizionale
Scansione di ogni file
Scansione Ottimizzata dalla
Reputazione
Evita i file di cui è sicuro,
velocizzando i tempi di scansione
SYMANTEC TECHNOLOGY DAY 2011
Velocità della scansione
Norton Antivirus 2011 scansiona:
3.5 volte più veloce di McAfee
2 volte più veloce di Microsoft
Posizionato 1° nelle Performance!
160
140
120
100
80
60
40
20
0
Symantec
Kaspersky
Trend Micro
Microsoft
Sophos
McAfee
Average
PassMark™ Software, Feb., 2011 - http://www.passmark.com/AVReport
SYMANTEC TECHNOLOGY DAY 2011
Uso della memoria
180,0
160,0
140,0
120,0
100,0
80,0
60,0
40,0
20,0
0,0
Uso della memoria
Symantec
Kaspersky
Trend
Micro
McAfee
Sophos
Microsoft
Average
Norton Antivirus 2011 usa:
66% in meno di memoria di McAfee
76% in meno di memoria di Microsoft
PassMark™ Software, Feb., 2011 - http://www.passmark.com/AVReport
SYMANTEC TECHNOLOGY DAY 2011
Perché gli Storage Admin ostacolano gli
Antivirus?
Perché rallentano
gli Hypervisor!
SYMANTEC TECHNOLOGY DAY 2011
Concepito per Ambienti Virtuali
SYMANTEC TECHNOLOGY DAY 2011
36
Concepito per Ambienti Virtuali
Virtual Client
Tagging
Virtual Image
Exception
Shared Insight
Cache
Resource
Leveling
Insieme – fino al 90% di riduzione del IO sui dischi
SYMANTEC TECHNOLOGY DAY 2011
Nato per la virtualizzazione
• Virtual Image Exception – Consente di escludere dalla
scansione tutti i file di una immagine base.
• Shared Insight Cache – Un server stand alone che è in grado di
condividere i risultati della scansione. Ciò consente di saltare la
scansione dei file che sono già stati analizzati da un altro
computer.
• Virtual Client Tagging – Rileva l’ambiente su cui è installato il
client (fisico o virtuale) ed invia informazioni alla console. Tali
dati possono essere utilizzati per ricerche e reporting.
• Offline Image Scanner – Strumento stand alone che permette
di fare scansioni offline di immagini VMware (VMDK) file.
SYMANTEC TECHNOLOGY DAY 2011
Il risultato:
SEP 12.1 Performance attese
Scansione Full performance migliorate sul IO
12.1 vs 11
60% riduzione totale del IO su disco
12.1 Shared Insight Cache vs 12.1
senza
50-80% riduzione totale del IO su disco
12 Virtual Image Exception vs 12.1
senza
50-80% riduzione totale del IO su disco
* Expected results, final numbers are still pending
Con il SEP 12.1 e l’utilizzo delle nuove funzioni in ambito della
virtualizzazione, il beneficio totale in termini di IO sui dischi è
stimato intorno ad una riduzione del 80%-90% per una scanzione
full rispetto al precedente 11.x.
SYMANTEC TECHNOLOGY DAY 2011
Symantec Protection Center 2.0
SYMANTEC TECHNOLOGY DAY 2011
Centralizzazione della sicurezza per combattere meglio
le minacce
Protezione
Completa
SVILUPPARE &
IMPORRE POLICY IT
01010101010
10101010101
PROTEZIONE
01010101010
INFRASTRUTTURE
01010101010
10101010101
PROTEZIONE
01010101010
INFORMAZIONI
10101010101
01010101010
PROTEZIONE
10101010101
IDENTITA’
10101010101
10101010101
GESTIONE SISTEMI
Vista
Centralizzata &
Informazioni
Gestite
Name Severity
Type
Influenza
Locale &
Intelligenza
Globale
Count
• Tendenze ed eventi locali
• Minacce Globali
SYMANTEC TECHNOLOGY DAY 2011
Symantec Endpoint Protection 12.1
Grazie
Copyright © 2011 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in
the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied,
are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.

Documenti analoghi

Symantec™ Endpoint Protection 12.1.5 Scheda tecnica

Symantec™ Endpoint Protection 12.1.5 Scheda tecnica esempio con quanta frequenza un file è stato scaricato, per quanto tempo non è stato spostato e da dove era stato scaricato. Queste informazioni ci consentono di bloccare più minacce e di offrire p...

Dettagli

Symantec™ Endpoint Protection 12.1

Symantec™ Endpoint Protection 12.1 • Insight identifica le minacce nuove e zero-day utilizzando le conoscenze condivise di oltre 175 milioni di sistemi in più di 200 paesi. • SONAR in tempo reale esamina i programmi durante l'esecuz...

Dettagli