Il nuovo concetto di protezione: Symantec Endpoint Protection 12.1 Massimiliano Galvagna Principal Consultant TSO
Agenda Panorama delle minacce Symantec Endpoint Protection 12.1 Symantec Protection Center DISCLAIMER:
Gennaio, 2007-250,000 virus Dicembre, 2009 oltre 240 millioni
Quest oggi saranno creati circa: 650.000
Una catastrofe assicurata la crescita delle signature del AntiVirus 10.000.000 8.000.000 6.000.000 4.000.000 Presto, La scansione un mondo solo con con 100 Qualcosa deve cambiare Signature milioni non di può virus bastare 2.000.000 0
Distribuzione della Global Intelligence Network Identifica più minacce, entrando in azione più velocemente e prevenendo ripercussioni Calgary, Alberta Dublin, Ireland San Francisco, CA Mountain View, CA Culver City, CA Austin, TX Pune, India Chengdu, China Chennai, India Taipei, Taiwan Tokyo, Japan Copertura Mondiale Visione Globale Detection Rapida Collezione Eventi 24x7 Rilevazione Attacchi 240,000+ sensori 200+ nazioni Malware Intelligence 150M Client, Server Gateway monitorati Copertura Globale Vulnerabilità 35,000+ vulnerabilità 11,000 vendor 80,000 tecnologie Spam/Phishing 5M account esca 8B+ email messagi/giorno 1B+ web richieste/giorno Security Alerts Preventivi Protezione dei Dati
Symantec Endpoint Protection 12.1
Perché il management delle aziende non vuole investire negli Antivirus? Perché tanto uno vale l'altro!
Introduzione alla nuova tecnologia Symantec Endpoint Protection 12.1 Con l ausilio di Insight Sicurezza Senza Rivali Performance Straordinarie Concepito per Ambienti Virtuali
Symantec Endpoint Protection 12.1 Access Control Malware Protection Symantec Endpoint Protection Personal Firewall Cosa c è di nuovo - Sicurezza senza Rivali Insight SONAR Browser Protection - Performance Straordinarie Scansione rapida App Control Device Control Intrusion Prevention - Nato per ambienti Virtuali Identifica e Gestisce automaticamente Virtual Client Scan Overhead eliminato
Insight Una tecnologia rivoluzionaria che fornisce protezione proattiva dalle nuove minacce con valutazioni mirate di sicurezza su di una base comunitaria con più di 175 milioni di computer grazie a Norton Antivirus.
L idea Solo i malware mutano. Quindi... se un eseguibile è unico, è sospetto.... Ma... come posso sapere se un file è unico?
Tutto ciò che serve è un database.... di quasi tutti i file di programmi in Internet
Quante copie esistono di questo file? Quanto è recente questo programma? Quante volte è stato scaricato questo file? È firmato digitalmente? Quante persone stanno usando questo sw? Chi è la sorgente? Ha un rating di sicurezza? Altri utenti hanno segnalato un infezione? La fonte è associata con questa infezione? Come si comporterà questo file quando eseguito? Quali diritti sono necessari? Perché il contesto di un file Il file è associato ad altri file che si sono rivelati infetti? Il file è simile ad un malware? Insight rivela il suo contenuto Quanto tempo ha il file? La sorgente è associata a SPAM? Quanti altri utenti hanno segnalato l infezione? Chi l ha creato? La fonte è associata a molti nuovi files? Chi è il proprietario? Cosa fa?
Come funziona Insight 2 Votare 2.5 quasi tutti miliardi i file di su internet file 4 Controllo del DB durante la scansione 1 Costruire 175 un millioni network di di raccolta PC È nuovo? Ha un cattivo rating? 5 Rilascio dei dati 3 Ricerca di associazioni Prevalenza Età Sorgente Comportamento Associazioni
Cosa ha di speciale Insight Symantec Insight Classifica tutti i file binari Traccia la diffusione Traccia l età Signature per i nuovi malware Solo Insight può rispondere: Quanto è vecchio il file? Quante copie ne esistono? E associato ad un infezione? Solo con Insight si può usare la reputazione per identificare le minacce mutate Una tecnologia innovativa ma consolidata, rende la soluzione più potente di qualunque altra!
Sicurezza Senza Rivali Gli Hackers mutano le minacce per evadere i fingerprints Minaccia mutata, sicurezza evasa Risultato: un paradosso per chi scrive virus Il file muta troppo velocemente = Insight lo rileva Il file muta troppo poco velocemente = facile da scoprire e rilevare con fingerprint
Come fa Insight ad aumentare la Security? Gli AV usano il concetto del Innocente fino a prova contraria Se un file non è rilevato da una signature... È consentito Ma cosa si farebbe sapendo che il file: O O BAD GOOD LOW HI NEW Reputazione Diffusione Età OLD Non sarebbe opportuno proteggersi in questo caso?
Policy basate sul Rischio Solo software con almeno 10.000 utenti con almeno 2 mesi di vita. È possibile installare software con media reputazione da almeno 100 utenti. Nessuna restrizione ma i PC devono essere conformi con le policy di controllo degli accessi Dip. Finanziario Help Desk Sviluppo
Perché i Security Admin delle aziende non credono negli Antivirus? Perché si basano su tecnologie reattive!
SONAR Symantec Online Network for Advanced Response Network IPS & Browser Protect Insight Lookup SONAR Controlla i processi ed i thread degli eseguibili Giudica i comportamenti Alimenta Insight File Based Protection Sigs/Heuristics Real time behavioral SONAR L unico motore ibrido comportamento/reputazione al mondo Controlla 400 differenti comportamenti delle applicazioni
SEP 12.1 Difesa nel dettaglio 1/10? X Internet Server Network Network Reputation File Behavioral Network Intrusion Prevention Protezione basata sulla Reputazione Protezione basata Sui File Protezione basata Sul Comportamento Blocca gli attacchi via rete prima che abbiano una possibiltà di introdursi nel sistema Blocca l accesso ai file maligni ed ai siti Web compromessi tramite la conoscenza di oltre 175 milioni di utenti Blocca i file dannosi tramite attributi sospetti e signatures di virus Blocca i malware controllando i processi ed i comportamenti sospetti mentre avvengono Protocol-aware IPS Browser Protection Domain Reputation File Reputation Antivirus Engine Auto Protect Malheur SONAR Behavioral Signatures In tre recenti test, lo stack Symantec ha bloccato oltre il 96.2 % di tutte le minacce! Negli stessi test, McAfee non riconosce il 48% delle minacce! http://www.av-test.org
% del campione Test nel mondo reale 100% 3,8% 100% 90% 80% 13,5% 3,8% 32,7% 26,9% 40,4% 44,2% 90% 80% 70% 70% 3,8% 15,4% 60% 50% 40% 30% 96,2% 82,7% 63,5% 57,7% 5,8% 3,8% 53,8% 51,9% 60% 50% 40% 30% % Falsi positivi 20% 20% Infected 10% 0% 4% 10% 0% Partial Blocked FP Symantec Sophos Kaspersky Trend Micro Microsoft McAfee http://www.av-test.org
Remediation punteggio Test di Remediation 120 30 100 110 104 25 80 60 40 94 93 75 69 20 15 10 Numero di Falsi Positivi 20 24 5 0 1 Symantec Kaspersky Microsoft Sophos Malwarebytes McAfee Trend Micro 0 http://www.av-test.org
Safe Web Lite fornisce una ricerca più sicura con l'avvertimento di siti Web pericolosi nei risultati di ricerca, quindi è possibile cercare, sfogliare e fare acquisti online senza preoccupazioni. RICERCHE in sicurezza Segnala i siti Web non sicuri direttamente nei risultati di ricerca Si integra perfettamente con i motori di ricerca Google, Yahoo e Bing NAVIGAZIONE in sicurezza Lancia l'allarme se un sito Web è potenzialmente pericolosi per un download Consente di evitare accidentalmente download di virus, spyware e altre minacce online ACQUISTI in sicurezza Avvisa l utente di sospetti venditori online Aiuta a trovare rispettabili commercianti online http://safeweb.norton.com/lite
Classificazione Norton Secured: Indica che il sito Web è stato verificato per business legittimo ed è autenticato da un certificato SSL valido. Green OK: indica che il sito non è legittimato ma non risultano problemi di sicurezza o rischi nell acquisto Yellow! + shopping cart: il sito non contiene rischi per la sicurezza ma sono state segnalate merci contraffatte e/o false Yellow!: il sito ha alcuni rischi non critici per la sicurezza Red X: il sito ha rischi critici per la sicurezza o contiene nolti rischi non critici Gray?: il sito non è stato classificato http://safeweb.norton.com/lite
Perché gli utenti delle aziende odiano gli Antivirus? Perché rallentano Il computer!
Performance Straordinarie con la scansione ottimizzata dalla Reputazione In media su un computer 80% dei file puòessere saltato! Scansione tradizionale Scansione di ogni file Scansione Ottimizzata dalla Reputazione Evita i file di cui è sicuro, velocizzando i tempi di scansione
Velocità della scansione Norton Antivirus 2011 scansiona: 3.5 volte più veloce di McAfee 2 volte più veloce di Microsoft Posizionato 1 nelle Performance! 160 140 120 100 80 60 40 20 0 Symantec Kaspersky Trend Micro Microsoft Sophos McAfee Average PassMark Software, Feb., 2011 - http://www.passmark.com/avreport
Uso della memoria 180,0 160,0 140,0 120,0 100,0 80,0 60,0 40,0 20,0 Uso della memoria 0,0 Symantec Kaspersky Trend Micro McAfee Sophos Microsoft Average Norton Antivirus 2011 usa: 66% in meno di memoria di McAfee 76% in meno di memoria di Microsoft PassMark Software, Feb., 2011 - http://www.passmark.com/avreport
Perché gli Storage Admin ostacolano gli Antivirus? Perché rallentano gli Hypervisor!
Concepito per Ambienti Virtuali 36
Concepito per Ambienti Virtuali Virtual Client Tagging Virtual Image Exception Shared Insight Cache Resource Leveling Insieme fino al 90% di riduzione del IO sui dischi
Nato per la virtualizzazione Virtual Image Exception Consente di escludere dalla scansione tutti i file di una immagine base. Shared Insight Cache Un server stand alone che è in grado di condividere i risultati della scansione. Ciò consente di saltare la scansione dei file che sono già stati analizzati da un altro computer. Virtual Client Tagging Rileva l ambiente su cui è installato il client (fisico o virtuale) ed invia informazioni alla console. Tali dati possono essere utilizzati per ricerche e reporting. Offline Image Scanner Strumento stand alone che permette di fare scansioni offline di immagini VMware (VMDK) file.
Il risultato: SEP 12.1 Performance attese Scansione Full performance migliorate sul IO 12.1 vs 11 60% riduzione totale del IO su disco 12.1 Shared Insight Cache vs 12.1 senza 12 Virtual Image Exception vs 12.1 senza * Expected results, final numbers are still pending 50-80% riduzione totale del IO su disco 50-80% riduzione totale del IO su disco Con il SEP 12.1 e l utilizzo delle nuove funzioni in ambito della virtualizzazione, il beneficio totale in termini di IO sui dischi è stimato intorno ad una riduzione del 80%-90% per una scanzione full rispetto al precedente 11.x.
Symantec Protection Center 2.0
Centralizzazione della sicurezza per combattere meglio le minacce Protezione Completa SVILUPPARE & 01010101010 IMPORRE POLICY IT 10101010101 01010101010 PROTEZIONE 01010101010 INFRASTRUTTURE 10101010101 01010101010 PROTEZIONE 10101010101 INFORMAZIONI 01010101010 10101010101 PROTEZIONE 10101010101 IDENTITA 10101010101 GESTIONE SISTEMI Vista Centralizzata & Informazioni Gestite Name Severity Type Count Influenza Locale & Intelligenza Globale Tendenze ed eventi locali Minacce Globali
Symantec Endpoint Protection 12.1
Grazie Copyright 2011 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.