Symantec Client Security Symantec Client Security Integrovaná bezpečnost stanic Integrovaná bezpečnost stanic Radek Smolík Radek Smolík Symantec GmbH Symantec GmbH Česká republika a Slovenská republika Česká republika a Slovenská republika
Jan 04, 2016
Symantec Client SecuritySymantec Client SecurityIntegrovaná bezpečnost stanicIntegrovaná bezpečnost stanic
Radek SmolíkRadek SmolíkSymantec GmbHSymantec GmbHČeská republika a Slovenská republikaČeská republika a Slovenská republika
Kombinované hrozbyKombinované hrozby
• Nové typy kódů, které napadají počítače kombinací Nové typy kódů, které napadají počítače kombinací několika různých způsobů:několika různých způsobů:
• skanování a zneužití zranitelných míst
• zneužívání aplikačních protokolů v síti
• šíření v síťových segmentech
• degradace síťových přenosů a DoS útoky
• pronikání přes sdílené disky počítačů
• rozesílání souborů přes vlastní SMTP enginy
• hádání uživatelských jmen a hesel
• standardní virové aktivity až v poslední fázi
• Proti těmto kódům se nelze účinně bránit žádným ze Proti těmto kódům se nelze účinně bránit žádným ze standardních antivirůstandardních antivirů
171345 311 262
417
1090
2437
4129
0
500
1000
1500
2000
2500
3000
3500
4000
4500
1995 1997 1999 2001
Zdroj: CERT
Neřešenédíry v MSIE
Trend zranitelnostíTrend zranitelností
2002 - v průměru 80 zranitelností týdně
2001 - v průměru 47 zranitelností týdně
Počítače zákazníka
Filtrování obsahu
Detekce narušení
Antivirus
Firewall
nebo použít integrovaný
software
Konzolasprávce
Lze kombinovat různé produkty...Lze kombinovat různé produkty...
• Antivirus Antivirus sám o sobě plně nechrání proti současným útokům, potřebný je také sám o sobě plně nechrání proti současným útokům, potřebný je také klientský firewall a detekce narušení počítačeklientský firewall a detekce narušení počítače
• Nasazování a správa vícerých produktů je výkonově náročná, příliš Nasazování a správa vícerých produktů je výkonově náročná, příliš komplikovaná a drahákomplikovaná a drahá
• Při hromadné nákaze se riziko zvyšuje tím, že musíte aktualizovat virové Při hromadné nákaze se riziko zvyšuje tím, že musíte aktualizovat virové definice, IDS signatury a firewallová pravidla z různých zdrojů a v různých definice, IDS signatury a firewallová pravidla z různých zdrojů a v různých časechčasech
ZoneAlarm Firewall
Konzola správce
Konzola správce
Konzola správce
McAfee Virus
ISS IDS
Symantec Client SecuritySymantec Client Security
•Integrovaná bezpečnost klientské staniceIntegrovaná bezpečnost klientské stanice•Vedoucí bezpečnostní technologieVedoucí bezpečnostní technologie
•Symantec AntiVirus•Klientský firewall•Detekce narušení na straně klienta•Filtrování obsahu odesílaných informací
•Společná konzola pro správuSpolečná konzola pro správu•Integrovaná aktualizace definic, enginů, Integrovaná aktualizace definic, enginů,
firewallových pravidel, signatur útoků – za pomoci firewallových pravidel, signatur útoků – za pomoci LiveUpdateLiveUpdate
•Integrovaná podpora bezpečnostních centerIntegrovaná podpora bezpečnostních center
Dokonalejší antivirusDokonalejší antivirus
Packager
SSC
KonzolaSCF
SAV
SCF
SAV
SCF
SAV
Desktopy
SCF
SAV
SCF
SAV
SCF
SAV
Administrátoři
SCF
SAV
SCF
SAV
SCF
SAV
NotebookyPackage A
Package B
Package C
Package D
Package D
Package C
Package B
Package A
Servery
SAVSRVSAV
SRVSAVSRV
Nový Symantec PackagerNový Symantec Packager
Server - SkupinaServer - Skupina
Srv1Pri.
Srv2Sec.
Group 1
Group 2
Group 3
Group 4
SCFA
SSC
Konzola
SCF
SAV
SCF
SAV
SCF
SAV
Servery
SCF
SAV
SCF
SAV
SCF
SAV
Desktopy
SCF
SAV
SCF
SAV
SCF
SAV
Administrátoři
SCF
SAV
SCF
SAV
SCF
SAV
Notebooky
Skupiny bez závislosti na serverechSkupiny bez závislosti na serverech
Přírůstková tlačná technologiePřírůstková tlačná technologieStaré VDTMStaré VDTM
7.6xServer
InternetLiveUpdate
7.6xClient
Nové VDTMNové VDTM
8.0Server
InternetLiveUpdate
8.0Client
> 3 MB
Pokles až na ~ 80 KB
Klientovi je i při VDTM zasílán pouze rozdíl mezi starou a novou aktualizací
Def
Def
Servery - SkupinyServery - Skupiny
Srv1Pri.
Srv2Sec.
Klienti Klienti
InternetLiveUpdat
e
SCF
SAV
SCF
SAV
SCF
SAV SCF
SAV
SCF
SAV
SCF
SAV
SCFA
SSC
SCFA
SCF
SAV
SCF Admin Klient
Konzola
SSC = Symantec System Center – SCFA = Symantec Client Firewall AdministratorSAV = Symantec AntiVirus – SCF = Symantec Client Firewall
Nové složky LiveUpdateNové složky LiveUpdate
LiveUpdate
SAVClient
LiveUpdate
SAVClient
LiveUpdate
SAVClient
Server
LUFiles
Server
LUFiles
Server
InternetLiveUpdat
e
Server
LUFiles Klienti mohou být přiřazeni k vícerým
serverům,v případě, že některé servery nepracují, připojí se klienti k náhradním serverům, aby mohla bez potíží proběhnout jejich aktualizace
Vícenásobný LiveUpdateVícenásobný LiveUpdate
Settings
Server
SCFA
SSC SCFPolitika
InternetLiveUpda
teLU
Files
VirusDefs
SCF
SAV
SCF
SAVSettingsSCFPolicyVirusDefs
SAVSettingsVirusDefs
SCFPolicyVirusDefs
Server ukládá:
- Nastavení klientů- Politiky firewallu- Virové definice
Klienti jsou online, kdykoliv jsou k dispozici nové aktualizace, politiky aj.,ihned je dostávají tlačným procesem VDTM
Nastavení
Klienti jsou pravidelně kontrolováni.Stavové informace o klientech jsou ukládány domezipaměti. Je-li zjištěn problém, dostane klient
aktualizace hned při další kontrola
SettingsSCFPolicyVirusDefs
Jak se aktualizují Jak se aktualizují klientiklienti
Společná aktualizace „na jedno tlačítko“Společná aktualizace „na jedno tlačítko“
Server
Server
Server
Server
RoamClient
SAVClient
RoamClient
SAVClient
RoamClient
SAVClient
InternetLiveUpdat
e
Na základě rychlosti sítě nebo počtu klientů,připadajících na jeden server, je vždy vybránnejvhodnější server pro poskytnutí aktualizace.
Roaming klientů mezi serveryRoaming klientů mezi servery
InternetLiveUpdat
e
LiveUpdate
SAVClient
Server
VDTM
LUFilesLU
FilesLUFilesLU
Files
Symantec LiveUpdateservery hostující naAKAMAI
Klienti na noteboocích mohou používat oba aktualizační mechanismy, jak tlačnoumetodu VDTM, tak i sací metodu LiveUpdate.
Jestliže uživatel cestuje a připojuje s k Internetu pouze sporadicky, může býtLiveUpdate konfigurován tak, aby každých „x“ minut kontaktoval LiveUpdate servery,jsou-li jeho definice „y“ dnů staré.
Kontinuální LiveUpdateKontinuální LiveUpdate
• Dekompozice souborů v paměti
• Zcela nový dekomposer verze 3.0
ArcManager ARJ soubory
Cabinet soubory Spustitelné soubory
Symantec Ghost Image GNU kompresní formáty
BinHex Hyper-Text Transfer
Protocol
LHA (LZH) soubory Microsoft kompresní
formáty
Multipurpose Internet Mail Extensions OLESS kontejnery
RAR soubory Rich Text Formát
TAR archivy MS-TNEF soubory
UUE archivy Zip archivy
Nedošlo ani k navýšení výkonové Nedošlo ani k navýšení výkonové zátěže !zátěže !
TANSTAAFL,jim_waggoner,"Changed value 'HKLM\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\
Storages\Filesystem\RealTimeScan\OnOff' from '1' to '0'",
0,,0,,,,,0,,,,,,,,,,ZEIT,,,(IP)-155.64.153.65,,,0:6:5B:19:36:AE
,TANSTAAFL,jim_waggoner"Symantec AntiVirus Realtime Protection Unloaded.",0,,0,,,,,0,,,,,,,,,,ZEIT,,,(IP)-
155.64.153.65,,,0:6:5B:19:36:AE
TANSTAAFL,jim_waggoner,"Changed value 'HKLM\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\
Storages\Filesystem\RealTimeScan\Exts'
from 'DOT,DOC,HTML,HTT,HTM,VBS,JS...' to 'XL?,WSH,WSF,VXD,VST,VSS,VSD...'",0,,0,,,,,0,,,,,,,,,,ZEIT,,,(IP)-
155.64.153.65,,,0:6:5B:19:36:AE
TANSTAAFL,jim_waggoner,"Changed value 'HKLM\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\
Storages\Filesystem\RealTimeScan\HeuristicsLevel'
from '2' to '1'",0,,0,,,,,0,,,,,,,,,,ZEIT,,,(IP)-155.64.153.65,,,0:6:5B:19:36:AE
TANSTAAFL,jim_waggoner,"Changed value 'HKLM\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\
Storages\Filesystem\RealTimeScan\Reads' f
rom '1' to '0'",0,,0,,,,,0,,,,,,,,,,ZEIT,,,(IP)-155.64.153.65,,,0:6:5B:19:36:AE
TANSTAAFL,jim_waggoner,"Changed value 'HKLM\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\
Storages\Filesystem\RealTimeScan\OnOff' f
rom '0' to '1'",0,,0,,,,,0,,,,,,,,,,ZEIT,,,(IP)-155.64.153.65,,,0:6:5B:19:36:AE
TANSTAAFL,jim_waggoner,"Changed value 'HKLM\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\
Storages\Filesystem\RealTimeScan\FileType‘
from '0' to '1'",0,,0,,,,,0,,,,,,,,,,ZEIT,,,(IP)-155.64.153.65,,,0:6:5B:19:36:AE
Zvýšená „ostraha“ konfiguraceZvýšená „ostraha“ konfigurace
• SDÍLENÍ
• VPHOME – Read-Only
• VPAlert – Read-Only
• VPLogon – Read-Only
• OPRÁVNĚNÍ
• Application Data\Symantec\NAVCE\ 7.5
folder
• Administrator = Full Control
• System = Full Control
• Everyone = Read and Execute
Změna přístupových oprávněníZměna přístupových oprávnění
Stále nejlepší v detekci virůStále nejlepší v detekci virů
• VB100% - nejprestižnější detekční testy VB100% - nejprestižnější detekční testy (http://www.virusbtn.com)(http://www.virusbtn.com)
• Network Associated (Mc Afee)
• Grisoft (AVG)
• Alwill (AVAST32)
• Kaspersky Labs
• Symantec (Norton AntiVirus)
Nestačí aktualizovat definice!Rozhodující je aktualizovat engine!
Integrovaná bezpečnostIntegrovaná bezpečnost
Centrální konfigurace firewallu a IDSCentrální konfigurace firewallu a IDS
Centrální konfigurace firewallu a IDSCentrální konfigurace firewallu a IDS
Centrální konfigurace firewallu a IDSCentrální konfigurace firewallu a IDS
Detailní práce správce se Detailní práce správce se signaturamisignaturami
Kompletní statistické a analytické Kompletní statistické a analytické údajeúdaje
Kontakty na český SymantecKontakty na český Symantec
Radek SmolíkRadek Smolík
National Sales ManagerNational Sales Manager
Symantec ČR a SRSymantec ČR a SR
Praha City CenterPraha City Center
Klimentská 46Klimentská 46
110 02, Praha 1110 02, Praha 1
rsmolikrsmolik@@symantecsymantec..comcom
+420-606-655625+420-606-655625
Jakub JiříčekJakub Jiříček
System EngineerSystem Engineer
Symantec ČR a SRSymantec ČR a SR
Praha City CenterPraha City Center
Klimentská 46Klimentská 46
110 02, Praha 1110 02, Praha 1
jjiricekjjiricek@@symantecsymantec..comcom
+420-603-552441+420-603-552441