symantec advanced threat protection
TRANSCRIPT
Symantec Advanced Threat Protection
Vypracovali : Jaromír Martínek
Jaké jsou dnešní hrozby
Jaké fungují dnešní hrozby
1. Průnik Útočníci proniknou do sítě pomocí sociálního
inženýrství instalují cílený malwarem do zranitelných
systémů.
2. Průzkum Poté, co v útočníci zůstanou „low and slow",
aby zabránili odhalení. Začnou zevnitř mapovat obranu organizace pro opOmalizaci úspěšného
útoku na data společnosO.
3. Odcizení informací Poté, co v útočníci získají přístup k nechráněným systémům mohou získávat citlivá data po delší dobu.
4. Exfiltrace Získané informace útočníci odešlou k analýze pro další zneužiV, nebo
k diskreditaci společnosO.
Jaké jsou staOsOky průniků
Jaké jsou důsledky průniků
Provozní náklady Kapitálové náklady Právní poplatky
Čas Peníze
Duševní vlastnictví Peníze
Zákaznická data Údaje zaměstnanců
Pověst značky/společnosO
může být narušena
Jaká je pravděpodobnost, že jste terčem
Provozní náklady Kapitálové náklady Právní poplatky
Čas Peníze
Duševní vlastnictví Peníze
Zákaznická data Údaje zaměstnanců
Pověst značky/společnosO
může být narušena
Symantec Advanced Threat Protection: moduly
• Zobrazení všech zařízení v síO a všech síťových protokolů
• AutomaOcký sandboxing, web exploity, command & control • Nasazení v TAP modu
jako virtuální, nebo fyzická server
• Zobrazení všech koncových zařízení
• Kontext koncových zařízení, podezřelých událosV a opravných akcí
• Vyžaduje SEP – bez nutnosO nového agenta – nasazení jak virtuální, nebo fyzická server
• Zobrazení všech e-‐mailů automaOcké třídění dle nebezpečnosO
• E-‐mail trendů, idenOfikace cílených útoků, sandboxing
• Jednoduchá integrace s Cloud anOspam řešením
Symantec Advanced Threat Protection
Virtuální sandbox Fyzický sandbox Detekční enginy
Korelace a nastavení priority
Reportování a pátrání
Odstranění
Symantec Cynic™
Novinka: Cloud-‐base pla3orma určená ke spouštění, analýze a sandbox testování.
Cloud umožňuje rychlé aktualizace definic pro odhalení malwaru i přes jeho snahu vyhnout se detekci změnou kódu.
Definice jsou vždy k dispozici během několika minut ne hodin.
Napodobuje lidskou interakci v reálném prostředí.
Navržen tak, aby detekoval malware VM prostředí; testuje a analyzuje výsledky.
Nejen spuštění, ale napodobení, jak se chová koncový bod pro dosažení vyšší přesnosO odhalení hrozby.
Detekce hrozeb, jejichž cílem je VM prostředí.
Široké pokryV: Kancelářské dokumenty, PDF, HTML, Java, portable aplikace.
Rychlá, přesná analýza téměř všech typů potenciálního škodlivého kódu.
Symantec Synapse™
Nový korelační engine umožňující rychlejší reakce na bezpečnostní incidenty
Modelové řady Symantec ATP
Symantec ATP architektura
ATP aplikační role
Symantec ATP architektura
MožnosL nasazení ATP: Network
Symantec ATP architektura
MožnosL nasazení ATP: Network
Symantec ATP architektura
MožnosL nasazení ATP: Endpoint
Symantec ATP architektura
Dimenzování
Symantec ATP architektura
Dimenzování: na základě co nastane dříve
Symantec ATP architektura
Dimenzování: síťových skenerů
Porovnání s konkurencí
Detekce malwaru podle kategorii
Porovnání s konkurencí
Detekce malwaru Symantec ATP – celkové skóre 90,3%
Porovnání s konkurencí
Detekce malwaru Cisco SourceFire – celkové skóre 75,1%
Porovnání s konkurencí
Detekce malwaru FireEye 1310– celkové skóre 67,9%
Praktická ukázka ATP konzole
Jaromír Martínek
[email protected] +420 606 756 563
M-COM, s.r.o.
Jana Růžičky 1165/2a
148 00 Praha 4