Symantec Advanced Threat Protection

Vypracovali : Jaromír Martínek

Jaké  jsou  dnešní  hrozby

Jaké  fungují  dnešní  hrozby

1.  Průnik  Útočníci  proniknou  do  sítě  pomocí  sociálního  

inženýrství  instalují  cílený  malwarem  do  zranitelných  

systémů.          

2.  Průzkum  Poté,  co  v  útočníci  zůstanou  „low  and  slow",    

aby  zabránili  odhalení.  Začnou  zevnitř  mapovat  obranu  organizace  pro    opOmalizaci  úspěšného  

útoku  na  data  společnosO.  

3.  Odcizení  informací    Poté,  co  v  útočníci  získají  přístup  k  nechráněným  systémům  mohou  získávat  citlivá  data  po  delší  dobu.    

4.  Exfiltrace    Získané  informace  útočníci  odešlou  k  analýze  pro  další  zneužiV,  nebo  

k  diskreditaci  společnosO.      

Jaké  jsou  staOsOky  průniků

Jaké  jsou  důsledky  průniků

Provozní  náklady  Kapitálové  náklady  Právní  poplatky  

Čas  Peníze  

Duševní  vlastnictví  Peníze  

Zákaznická  data  Údaje    zaměstnanců  

Pověst  značky/společnosO  

může  být    narušena  

Jaká  je  pravděpodobnost,  že  jste  terčem

Provozní  náklady  Kapitálové  náklady  Právní  poplatky  

Čas  Peníze  

Duševní  vlastnictví  Peníze  

Zákaznická  data  Údaje    zaměstnanců  

Pověst  značky/společnosO  

může  být    narušena  

Symantec Advanced Threat Protection: moduly

•  Zobrazení  všech  zařízení    v  síO  a  všech  síťových    protokolů  

•  AutomaOcký  sandboxing,            web  exploity,  command            &  control  •  Nasazení  v  TAP  modu    

jako  virtuální,  nebo    fyzická  server  

•  Zobrazení  všech  koncových  zařízení  

•  Kontext  koncových  zařízení,  podezřelých  událosV  a  opravných  akcí  

•  Vyžaduje  SEP  –  bez  nutnosO  nového  agenta  –  nasazení  jak  virtuální,  nebo  fyzická  server  

•  Zobrazení  všech  e-­‐mailů  automaOcké  třídění  dle  nebezpečnosO  

•  E-­‐mail  trendů,  idenOfikace    cílených  útoků,  sandboxing  

•  Jednoduchá  integrace  s  Cloud  anOspam  řešením  

Symantec Advanced Threat Protection

Virtuální  sandbox   Fyzický  sandbox   Detekční  enginy  

Korelace  a  nastavení  priority  

Reportování  a  pátrání    

Odstranění  

Symantec Cynic™

Novinka:  Cloud-­‐base  pla3orma  určená  ke  spouštění,  analýze  a  sandbox  testování.      

Cloud  umožňuje  rychlé  aktualizace  definic  pro  odhalení  malwaru  i  přes  jeho  snahu  vyhnout  se  detekci  změnou  kódu.  

Definice  jsou  vždy  k  dispozici  během  několika  minut  ne  hodin.  

Napodobuje  lidskou  interakci  v  reálném  prostředí.  

Navržen  tak,  aby  detekoval  malware  VM  prostředí;  testuje  a  analyzuje  výsledky.  

Nejen  spuštění,  ale  napodobení,  jak  se  chová  koncový  bod  pro  dosažení  vyšší  přesnosO  odhalení  hrozby.  

Detekce  hrozeb,  jejichž  cílem  je  VM  prostředí.  

Široké  pokryV:  Kancelářské  dokumenty,  PDF,  HTML,  Java,  portable  aplikace.  

Rychlá,  přesná  analýza  téměř  všech  typů  potenciálního  škodlivého  kódu.  

Symantec Synapse™

Nový  korelační  engine  umožňující  rychlejší  reakce  na  bezpečnostní  incidenty      

Modelové řady Symantec ATP

Symantec ATP architektura

ATP  aplikační  role    

Symantec ATP architektura

MožnosL  nasazení  ATP:  Network    

Symantec ATP architektura

MožnosL  nasazení  ATP:  Network    

Symantec ATP architektura

MožnosL  nasazení  ATP:  Endpoint    

Symantec ATP architektura

Dimenzování      

Symantec ATP architektura

Dimenzování:  na  základě  co  nastane  dříve      

Symantec ATP architektura

Dimenzování:  síťových  skenerů  

Porovnání  s  konkurencí

Detekce  malwaru  podle  kategorii  

Porovnání  s  konkurencí

Detekce  malwaru  Symantec  ATP  –  celkové  skóre  90,3%  

Porovnání  s  konkurencí

Detekce  malwaru  Cisco  SourceFire    –  celkové  skóre  75,1%  

Porovnání  s  konkurencí

Detekce  malwaru  FireEye  1310–  celkové  skóre  67,9%  

Praktická ukázka ATP konzole

Jaromír Martínek

jaromir.martinek@m-com.cz +420 606 756 563

M-COM, s.r.o.

Jana Růžičky 1165/2a

148 00 Praha 4