Symantec Client Security Integrovaná bezpečnost stanic Radek Smolík Symantec GmbH Česká republika a Slovenská republika

Kombinované hrozby Nové typy kódů, které napadají počítače kombinací několika různých způsobů: skanování a zneužití zranitelných míst zneužívání aplikačních protokolů v síti šíření v síťových segmentech degradace síťových přenosů a DoS útoky pronikání přes sdílené disky počítačů rozesílání souborů přes vlastní SMTP enginy hádání uživatelských jmen a hesel standardní virové aktivity až v poslední fázi Proti těmto kódům se nelze účinně bránit žádným ze standardních antivirů

Trend zranitelností 2002 - v průměru 80 zranitelností týdně Neřešené díry v MSIE Zdroj: CERT

Lze kombinovat různé produkty... Antivirus sám o sobě plně nechrání proti současným útokům, potřebný je také klientský firewall a detekce narušení počítače Nasazování a správa vícerých produktů je výkonově náročná, příliš komplikovaná a drahá Při hromadné nákaze se riziko zvyšuje tím, že musíte aktualizovat virové definice, IDS signatury a firewallová pravidla z různých zdrojů a v různých časech ZoneAlarm Firewall Konzola správce McAfee Virus ISS IDS Filtrování obsahu Detekce narušení Antivirus Firewall nebo použít integrovaný software Konzola správce Počítače zákazníka

Symantec Client Security Integrovaná bezpečnost klientské stanice Vedoucí bezpečnostní technologie Symantec AntiVirus Klientský firewall Detekce narušení na straně klienta Filtrování obsahu odesílaných informací Společná konzola pro správu Integrovaná aktualizace definic, enginů, firewallových pravidel, signatur útoků – za pomoci LiveUpdate Integrovaná podpora bezpečnostních center This is the industry’s FIRST integrated client security offering – not a suite of products, but INTEGRATED technologies Based on industry leading technologies AV based on our latest corporate AV technology (SAV Corp) Client Firewall based on our award winning Norton Personal Firewall, modified to meet the demands of enterprise customers Best in class host based Intrusion Detection ·All of these provided with a single install with pre-packaged installations or conveniently customizable (uses Packager technology – pre-packaged offerings include a fully managed install, a lightly managed install, and a thin client) All of these technologies are managed by a common management console, the Symantec System Center that our installed base NAV CE customers are already familiar with For enhanced management capabilities, optional Integration with Symantec Security Management System – an advantage of our common architecture – SESA - I’ll describe in a minute A great stride forward in providing the quickest Response possible to the new types of threats today – a single, timely deployment of definitions, rules, signatures using our world-class LiveUpdate deployment mechanism Game changing because no other competitor can do FW, AV and IDS for the client. Customer Benefits: Multiple integrated security technologies provide better protection Reduces the administrative burden of network client protection Enables the enterprise to respond to threats more quickly Reduces security costs and total cost of ownership Simplifies the security problem while providing needed protection

Dokonalejší antivirus

Nový Symantec Packager SCF SAV Notebooky SCF SAV Desktopy Package A Packager SSC Konzola Package B SCF SAV Administrátoři Package D Package C Package B Package A Package C Servery SAV SRV Package D

Skupiny bez závislosti na serverech Konzola SCF SAV Notebooky SCFA SSC SCF SAV Desktopy Server - Skupina Srv1 Pri. Srv2 Sec. Group 1 Group 2 Group 3 Group 4 SCF SAV Administrátoři Client Groups even work for mixed environment with old NAV 7.x clients. On the server side 8.0 is required. Old clients are not able to see the group they belong to in the GUI. SCF SAV Servery

Přírůstková tlačná technologie Staré VDTM 7.6x Server Internet LiveUpdate 7.6x Client > 3 MB Def Nové VDTM Internet LiveUpdate Incremental updates require Version 8.0 on both sides: Client and server 8.0 Server 8.0 Client Pokles až na ~ 80 KB Def Klientovi je i při VDTM zasílán pouze rozdíl mezi starou a novou aktualizací

Nové složky LiveUpdate Konzola Internet LiveUpdate SCFA SSC SCFA SCF SAV SCF Admin Klient Servery - Skupiny Srv1 Pri. Srv2 Sec. SCF SAV SCF SAV The SCF Admin Client is for testing the Firewall settings and generating die policy files. This could be done on the Console PC, but definitly is a thing I would recommend against. Klienti Klienti SSC = Symantec System Center – SCFA = Symantec Client Firewall Administrator SAV = Symantec AntiVirus – SCF = Symantec Client Firewall

Vícenásobný LiveUpdate Server LU Files Internet LiveUpdate Live Update SAV Client Server LU Files Live Update SAV Client Server Live Update SAV Client Server LU Files Klienti mohou být přiřazeni k vícerým serverům, v případě, že některé servery nepracují, připojí se klienti k náhradním serverům, aby mohla bez potíží proběhnout jejich aktualizace

Jak se aktualizují klienti Settings Server SCFA SSC SCF Politika Internet LiveUpdate LU Files Virus Defs SCF SAV SCF Policy Server ukládá: - Nastavení klientů - Politiky firewallu - Virové definice Klienti jsou online, kdykoliv jsou k dispozici nové aktualizace, politiky aj., ihned je dostávají tlačným procesem VDTM Nastavení Klienti jsou pravidelně kontrolováni. Stavové informace o klientech jsou ukládány do mezipaměti. Je-li zjištěn problém, dostane klient aktualizace hned při další kontrola

Společná aktualizace „na jedno tlačítko“ Show them the One Button Update. Rather than it being buried in many contexts. Can be run at System Hierarchy, Server Group, or Parent Level.

Roaming klientů mezi servery Internet LiveUpdate Roam Client SAV Client Roam Client SAV Client Roam Client SAV Client The Roaming Client feature is not really a new one, but there are a lot of customers, who are interested in loadbalancing and never heard of this feature. Na základě rychlosti sítě nebo počtu klientů, připadajících na jeden server, je vždy vybrán nejvhodnější server pro poskytnutí aktualizace.

Kontinuální LiveUpdate Internet LiveUpdate Live Update SAV Client Server VDTM LU Files Symantec LiveUpdate servery hostující na AKAMAI Klienti na noteboocích mohou používat oba aktualizační mechanismy, jak tlačnou metodu VDTM, tak i sací metodu LiveUpdate. Jestliže uživatel cestuje a připojuje s k Internetu pouze sporadicky, může být LiveUpdate konfigurován tak, aby každých „x“ minut kontaktoval LiveUpdate servery, jsou-li jeho definice „y“ dnů staré.

Nedošlo ani k navýšení výkonové zátěže ! Dekompozice souborů v paměti Zcela nový dekomposer verze 3.0 ArcManager ARJ soubory Cabinet soubory Spustitelné soubory Symantec Ghost Image GNU kompresní formáty BinHex Hyper-Text Transfer Protocol LHA (LZH) soubory Microsoft kompresní formáty Multipurpose Internet Mail Extensions OLESS kontejnery RAR soubory Rich Text Formát TAR archivy MS-TNEF soubory UUE archivy Zip archivy Something to note. Client Groups do support clients from any server within the server group as well as legacy clients.

Zvýšená „ostraha“ konfigurace TANSTAAFL,jim_waggoner,"Changed value 'HKLM\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\Storages\Filesystem\RealTimeScan\OnOff' from '1' to '0'", 0,,0,,,,,0,,,,,,,,,,ZEIT,,,(IP)-155.64.153.65,,,0:6:5B:19:36:AE ,TANSTAAFL,jim_waggoner"Symantec AntiVirus Realtime Protection Unloaded.",0,,0,,,,,0,,,,,,,,,,ZEIT,,,(IP)-155.64.153.65,,,0:6:5B:19:36:AE TANSTAAFL,jim_waggoner,"Changed value 'HKLM\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\Storages\Filesystem\RealTimeScan\Exts' from 'DOT,DOC,HTML,HTT,HTM,VBS,JS...' to 'XL?,WSH,WSF,VXD,VST,VSS,VSD...'",0,,0,,,,,0,,,,,,,,,,ZEIT,,,(IP)-155.64.153.65,,,0:6:5B:19:36:AE TANSTAAFL,jim_waggoner,"Changed value 'HKLM\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\Storages\Filesystem\RealTimeScan\HeuristicsLevel' from '2' to '1'",0,,0,,,,,0,,,,,,,,,,ZEIT,,,(IP)-155.64.153.65,,,0:6:5B:19:36:AE TANSTAAFL,jim_waggoner,"Changed value 'HKLM\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\Storages\Filesystem\RealTimeScan\Reads' f rom '1' to '0'",0,,0,,,,,0,,,,,,,,,,ZEIT,,,(IP)-155.64.153.65,,,0:6:5B:19:36:AE TANSTAAFL,jim_waggoner,"Changed value 'HKLM\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\Storages\Filesystem\RealTimeScan\OnOff' f rom '0' to '1'",0,,0,,,,,0,,,,,,,,,,ZEIT,,,(IP)-155.64.153.65,,,0:6:5B:19:36:AE TANSTAAFL,jim_waggoner,"Changed value 'HKLM\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\Storages\Filesystem\RealTimeScan\FileType‘ from '0' to '1'",0,,0,,,,,0,,,,,,,,,,ZEIT,,,(IP)-155.64.153.65,,,0:6:5B:19:36:AE Something to note. Client Groups do support clients from any server within the server group as well as legacy clients.

Změna přístupových oprávnění SDÍLENÍ VPHOME – Read-Only VPAlert – Read-Only VPLogon – Read-Only OPRÁVNĚNÍ Application Data\Symantec\NAVCE\ 7.5 folder Administrator = Full Control System = Full Control Everyone = Read and Execute Something to note. Client Groups do support clients from any server within the server group as well as legacy clients.

Stále nejlepší v detekci virů VB100% - nejprestižnější detekční testy (http://www.virusbtn.com) Network Associated (Mc Afee) Grisoft (AVG) Alwill (AVAST32) Kaspersky Labs Symantec (Norton AntiVirus) Nestačí aktualizovat definice! Rozhodující je aktualizovat engine!

Integrovaná bezpečnost

Centrální konfigurace firewallu a IDS

Centrální konfigurace firewallu a IDS

Centrální konfigurace firewallu a IDS

Detailní práce správce se signaturami

Kompletní statistické a analytické údaje

Kontakty na český Symantec Radek Smolík National Sales Manager Symantec ČR a SR Praha City Center Klimentská 46 110 02, Praha 1 rsmolik@symantec.com +420-606-655625 Jakub Jiříček System Engineer Symantec ČR a SR Praha City Center Klimentská 46 110 02, Praha 1 jjiricek@symantec.com +420-603-552441