Workshop Symantec na téma "Kybernetická bezpečnost" Praha, 27.4.2016 Prezentoval Jaromír Martínek, M-COM

1. Symantec Advanced Threat
Protection
Vypracovali : Jaromír Martínek

2. Jaké
jsou
dnešní
hrozby

3. Jaké
fungují
dnešní
hrozby
1.
Průnik
Útočníci
proniknou
do
sítě
pomocí
sociálního
inženýrství
instalují
cílený
malwarem
do
zranitelných
systémů.
2.
Průzkum
Poté,
co
v
útočníci
zůstanou
„low
and
slow",
aby
zabránili
odhalení.
Začnou
zevnitř
mapovat
obranu
organizace
pro
opOmalizaci
úspěšného
útoku
na
data
společnosO.
3.
Odcizení
informací
Poté,
co
v
útočníci
získají
přístup
k
nechráněným
systémům
mohou
získávat
citlivá
data
po
delší
dobu.
4.
Exfiltrace
Získané
informace
útočníci
odešlou
k
analýze
pro
další
zneužiV,
nebo
k
diskreditaci
společnosO.

4. Jaké
jsou
staOsOky
průniků

5. Jaké
jsou
důsledky
průniků
Provozní
náklady
Kapitálové
náklady
Právní
poplatky
Čas
Peníze
Duševní
vlastnictví
Peníze
Zákaznická
data
Údaje
zaměstnanců
Pověst
značky/společnosO
může
být
narušena

6. Jaká
je
pravděpodobnost,
že
jste
terčem
Provozní
náklady
Kapitálové
náklady
Právní
poplatky
Čas
Peníze
Duševní
vlastnictví
Peníze
Zákaznická
data
Údaje
zaměstnanců
Pověst
značky/společnosO
může
být
narušena

7. Symantec Advanced Threat Protection: moduly
• Zobrazení
všech
zařízení
v
síO
a
všech
síťových
protokolů
• AutomaOcký
sandboxing,
web
exploity,
command
&
control
• Nasazení
v
TAP
modu
jako
virtuální,
nebo
fyzická
server
• Zobrazení
všech
koncových
zařízení
• Kontext
koncových
zařízení,
podezřelých
událosV
a
opravných
akcí
• Vyžaduje
SEP
–
bez
nutnosO
nového
agenta
–
nasazení
jak
virtuální,
nebo
fyzická
server
• Zobrazení
všech
e-­‐mailů
automaOcké
třídění
dle
nebezpečnosO
• E-­‐mail
trendů,
idenOfikace
cílených
útoků,
sandboxing
• Jednoduchá
integrace
s
Cloud
anOspam
řešením

8. Symantec Advanced Threat Protection
Virtuální
sandbox
Fyzický
sandbox
Detekční
enginy
Korelace
a
nastavení
priority
Reportování
a
pátrání
Odstranění

9. Symantec Cynic™
Novinka:
Cloud-­‐base
pla3orma
určená
ke
spouštění,
analýze
a
sandbox
testování.
Cloud
umožňuje
rychlé
aktualizace
definic
pro
odhalení
malwaru
i
přes
jeho
snahu
vyhnout
se
detekci
změnou
kódu.
Definice
jsou
vždy
k
dispozici
během
několika
minut
ne
hodin.
Napodobuje
lidskou
interakci
v
reálném
prostředí.
Navržen
tak,
aby
detekoval
malware
VM
prostředí;
testuje
a
analyzuje
výsledky.
Nejen
spuštění,
ale
napodobení,
jak
se
chová
koncový
bod
pro
dosažení
vyšší
přesnosO
odhalení
hrozby.
Detekce
hrozeb,
jejichž
cílem
je
VM
prostředí.
Široké
pokryV:
Kancelářské
dokumenty,
PDF,
HTML,
Java,
portable
aplikace.
Rychlá,
přesná
analýza
téměř
všech
typů
potenciálního
škodlivého
kódu.

10. Symantec Synapse™
Nový
korelační
engine
umožňující
rychlejší
reakce
na
bezpečnostní
incidenty

11. Modelové řady Symantec ATP

12. Symantec ATP architektura
ATP
aplikační
role

13. Symantec ATP architektura
MožnosL
nasazení
ATP:
Network

14. Symantec ATP architektura
MožnosL
nasazení
ATP:
Network

15. Symantec ATP architektura
MožnosL
nasazení
ATP:
Endpoint

16. Symantec ATP architektura
Dimenzování

17. Symantec ATP architektura
Dimenzování:
na
základě
co
nastane
dříve

18. Symantec ATP architektura
Dimenzování:
síťových
skenerů

19. Porovnání
s
konkurencí
Detekce
malwaru
podle
kategorii

20. Porovnání
s
konkurencí
Detekce
malwaru
Symantec
ATP
–
celkové
skóre
90,3%

21. Porovnání
s
konkurencí
Detekce
malwaru
Cisco
SourceFire
–
celkové
skóre
75,1%

22. Porovnání
s
konkurencí
Detekce
malwaru
FireEye
1310–
celkové
skóre
67,9%

23. Praktická ukázka ATP konzole

24. Jaromír Martínek
jaromir.martinek@m-com.cz
+420 606 756 563
M-COM, s.r.o.
Jana Růžičky 1165/2a
148 00 Praha 4