Symantec Endpoint Protection 12 Carsten Hoffmann

Transkript

1 Carsten Hoffmann Presales Manager 1

2 Symantec Global Intelligence Network Identifies more threats, takes action faster & prevents impact Calgary, Alberta Dublin, Ireland San Francisco, CA Mountain View, CA Culver City, CA Austin, TX Pune, India Chengdu, China Chennai, India Taipei, Taiwan Tokyo, Japan Worldwide Coverage Global Scope and Scale Rapid Detection 24x7 Event Logging Attack Activity 240,000 sensors 200+ countries Malware Intelligence 133M client, server, gateways monitored Global coverage Vulnerabilities 40,000+ vulnerabilities 14,000 vendors 105,000 technologies Spam/Phishing 5M decoy accounts 8B+ messages/day 1B+ web requests/day Preemptive Security Alerts Information Protection Threat Triggered Actions Symantec Internet Security Threat Report (ISTR), Volume 16 2

3 Fraud Activity Trends Underground Economy Servers Credit card information & bank account credentials still on top Big range in bulk prices for credit cards Symantec Internet Security Threat Report (ISTR), Volume 16 3

4 Threat Landscape 2010 Trends Targeted Attacks continued to evolve Social Networking + social engineering = compromise Hide and Seek (zero-day vulnerabilities and rootkits) Increased Threats increase Attack Kits get a caffeine boost Symantec Internet Security Threat Report (ISTR), Volume 16 4

5 Threat Landscape Targeted Attacks continue to evolve High profile attacks in 2010 raised awareness of impact of APTs Stuxnet was incredibly sophisticated Four zero-day vulnerabilities Stolen digital signatures Ability to leap the air gap with USB key Potential damage to infrastructure More Info: Detailed review in the: W32.Stuxnet Dossier & W32.Stuxnet Symantec Internet Security Threat Report (ISTR), Volume 16 5

6 Threat Landscape Social Networking + Social Engineering = Compromise More Info: Detailed review of Social Media threats available in The Risks of Social Networking Hackers have adopted social networking Use profile information to create targeted social engineering Impersonate friends to launch attacks Leverage news feeds to spread spam, scams and massive attacks Symantec Internet Security Threat Report (ISTR), Volume 16 6

7 Threat Landscape Hide and Seek (Zero-day Vulnerabilities and Rootkits) Zero-day trend is up Being used more aggressively by hackers Attack toolkits help spread zero-day exploits more quickly Number of documented zero-day vulnerabilities Symantec Internet Security Threat Report (ISTR), Volume 16 7

8 Threat Landscape Attack Kits Get a Caffeine Boost Java exploits added to many existing kits Kits exclusively exploiting Java vulnerabilities appeared More Info: Detailed information available in ISTR Mid- Term: Attack Toolkits and Malicious Websites Symantec Internet Security Threat Report (ISTR), Volume 16 8

9 Vulnerability Trends Web Browser Plug-In Vulnerabilities Number of Flash and Reader vulnerabilities continued to grow Symantec Internet Security Threat Report (ISTR), Volume 16 9

10 Jan, ,000 Viren Dez, 2010 über 288 Millionen 10

11 Angreifer haben die Taktik geändert Masseninfektion mit wenigen Varianten Storm hat über 2 Millionen Systeme infiziert Massen von Varianten auf wenigen Systemen 75% aller Schadcode- Varianten infiziert weniger als 50 Systeme Harakit durchschnittliche nur

12 Eine Katastrophe für die IT Sicherheit Antivirus Technologie hat keine Chance

13 Virtualisierung ist das Thema #1 Welche der folgenden Themen haben in Ihrer Organisation die höchste IT-Priorität in den nächsten Monaten (Prozent der Antwortenden, N=611, 10 Antworten möglich) #1 Vermehrte Nutzung von Server Virtualisierung #3 IT Security Initiativen #6 Desktop Virtualisierung Januar 2011, Enterprise Strategy Group 13

14 Was ist neu? Unerreichte Sicherheit Malware Protection Insight SONAR Access Control App Control Symantec Endpoint Protection Personal Firewall Intrusion Prevention Rasante Geschwindigkeit Schnellere Scans Für virtuelle Umgebungen entwickelt Device Control Virtuelle Maschinen identifizieren Disk I/O minimiert 14

15 Die Idee Nur Schadcode mutiert Also... Ein Programm dass ein Unikat ist, ist verdächtig... Aber wie findet man heraus ob ein Programm ein Einzelstück ist? 15

16 Wie Insight funktioniert 2 Alle Dateien 2.5 im Millarden Internet bewerten Dateien 4 DB während Scans nutzen 1 Netzwerk 175 zum Millionen Daten sammeln PCs Ist es neu? Schlechte Reputation? 5 Umsetzbare Informationen 3 Zusammenhänge aufdecken Häufigkeit Alter Quelle Verhalten Zusammenhänge

17 Insight bringt Unerreichte Sicherheit Rasante Geschwindigkeit Insight Ersetzt keine Technologie Macht vorhandene Technologien effektiver 17

18 Was macht es anders? McAfee Global Threat Intelligence Symantec Insight Erfasst nur schlechte Dateien Erfasst keine neuen oder geänderten Dateien Signaturen für neuen Schadcode Bewertet alle ausführbaren Dateien Erfasst Verbreitung Erfasst Alter Signaturen für neuen Schadcode Nur Insight beantwortet: Wie alt ist die Datei? Wie verbreitet ist sie? Gibt es einen Zusammenhang mit Infektionen? Nur Insight kann die Reputation nutzen um mutierenden Schadcode zu finden. 18

19 Wie steigert Insight die Sicherheit? Unerreichte Sicherheit Traditionelle AV Technologie nutzt Unschuldsvermutung Aber wenn man weiß Schlecht Reputation Gut Niedrig Verbreitung Hoch Neu Alter Alt 19

20 Risikobasiert Richtlinien Unerreichte Sicherheit Nur Software mit 10,000 Anwendern und alter als 2 Monate Mittlere Reputation wenn mindesten 100 andere Anwender. Keine Einschränkung aber Unterliegen Zugriffskontrolle. Buchhaltung Help Desk Entwickler

21 Security Stack für 32 & 64 bit Systeme Network IPS & Browser Protect & FW Insight Lookup IPS & Browser Protection Firewall Network & Host IPS Monitors vulnerabilities Monitors traffic Looks for system changes Heuristics & Signature Scan Real time behavioral SONAR Verhindert heimliche Installation und Drive by Downloads Fokus ist die Schwachstelle nicht der Schadcode Überarbeitete Richtlinien und IPv6 Unterstützung 21

22 Insight Provides Context Network IPS & Browser Protect Insight Insight Reputation für 2.5 Milliarden Dateien Heuristics & Signature Scan Real time behavioral SONAR Identifiziert neue und mutierenden Schadcode Kann Feedback an Symantec geben Einzigartige Technologie.1 22

23 File Scanning Network IPS & Browser Protect Insight File Scanning Cloud und lokale Signaturen Heuristics & Signature Scan Real time behavioral SONAR Akurateste Heuristiken Insight verhindert False Positives 23

24 SONAR Komplementiert Endpoint Protection Netzwerk IPS & Browser Protection Insight SONAR Überwacht Prozesse während der Ausführung Bewertet das Verhalten Versorgt Insight Signature und Heuristik basierter AV Schutz Echtzeit Verhaltensanalyse SONAR Einzige Hybrid Engine Verhalten & Reputation Bewertet 400 Verhaltensweisen Gezielter Sandbox Einsatz (z.b. Adobe) 24

25 % Dateien Real World Test 100% 3,8% 100% 90% 80% 13,5% 3,8% 32,7% 26,9% 40,4% 44,2% 90% 80% 70% 70% 60% 50% 40% 30% 96,2% 82,7% 3,8% 15,4% 63,5% 57,7% 5,8% 3,8% 53,8% 51,9% 60% 50% 40% 30% % False Positives 20% 20% Infected 10% 0% 4% 10% 0% Partial Blocked FP Symantec Sophos Kaspersky Trend Micro Microsoft McAfee 25

26 Schnellere Scans Blazing Performance Traditioneller Scan Jede Datei wird gescannt Insight Optimierter Scan Gute Dateien werden nicht gescant, erheblich schneller Scan-Zeiten Auf einem typischen System könne 70% der aktiven Anwendung ausgelassen werden 26 26

27 Schnellere Scans Blazing Performance Symantec Endpoint Protection Scans: 3.5x schneller als McAfee 2x schneller als Microsoft Gesamtsieger im Bereich Geschwindigkeit Symantec Kaspersky Trend Micro Microsoft Sophos McAfee Average PassMark Software, Feb.,

28 Entwickelt für virtuelle Umgebungen 28

29 Virtual Insight Features Ausnahme für Virtuelle Images Ausnahmen für aller Dateien Reduziert zu scannende Daten Shared Insight Cache Clients tauschen Information Datei wird einmal gescannt Besseres Management und weniger Scans Virtual Client Tagging Identifiziert Hypervisor Gruppenspezifische Richtlinien Resource Leveling Reduziert Überlappung Scan und Signaturupdates 29

30 Entwickelt für virtuelle Umgebungen Optimiert für VMware, Citrix und Microsoft Einfache Verwaltung von virtuellen und physischen Endgeräten Maximale Performance ohne Sicherheitsverlust Hypervisor Scan Cache 30

31 Zusammenfassung ändert die Spielregeln Unerreichte Sicherheit Rasante Geschwindigkeit Entwickelt für virtuelle Umgebungen 31

32 Mittagspause