Blog

Symantec Content Analysis System — središnja komponenta ATP sustava

Jedan od proizvoda koji je među prvima pobliže integriran u Symantecov portfelj akvizicijom Blue Coata te dobio ponajviše nadogradnji je Content Analysis System, proizvod za naprednu analizu malicioznih prijetnji isporučenih kroz web i mail gateway sustave.

Content Analysis System se u dosadašnjoj ponudi primarno vezao i naslanjao na ProxySG, secure web gateway rješenje koje integracijom kroz ICAP protokol šalje sumnjive datoteke na analizu. Nedavnom nadogradnjom (verzija 2.1) dodan je niz funkcionalnosti koje CAS pretvaraju u bitnu komponentu ATP (Advanced Threat Protection) sustava.

Objedinjavanjem i međusobnom integracijom Symantecovih ProxySG (siguran pristup internetu), Messaging Gateway (zaštita mail kanala), Content Analysis System (file analiza), Malware Analysis (sandboxing) i Endpoint Prevention 14 (zaštita krajnjih računala) proizvoda postižemo:

  • Cjelovitu zaštitu web i mail prometa, kao dvaju najosjetljivijih primarnih izvora malicioznih prijetnji
  • Blokiranje poznatih prijetnji – URL-ova, malwarea i spama – na gatewayju te dodatnu analizu sumnjivih objekata koje ProxySG ili SMG trenutno ne raspoznaju
  • Opcionalno korištenje dva paralelna antivirusna enginea (uskoro podrška i za Symantecov AV engine)
  • Analizu nepoznatih objekata statičkom analizom i machine learning engineom
  • Izvršavanje potencijalno opasnih uzoraka u kontroliranoj i prilagodljivoj sandbox okolini
  • Integraciju sa antimalware klijentom (Symantec Endpoint Prevention 14)

Slojevita zaštita i optimizacija sandboxing sustava – većina prijetnji biva zaustavljena na ProxySG-u, dodatna analiza kroz nekoliko enginea radi se na CAS-u, a izvršavanje nepoznatih datoteka na odvojenom sandboxu

Sandbox odsad integriran na CAS hardveru

Funkcionalnosti Malware Analysis proizvoda od sada je moguće realizirati na postojećem Conent Analysis hardveru. Podržane su hardverske serije S400 i S500, dok će buduća nadogradnja (CAS 2.2) ponuditi opciju simulacije datoteka u cloud sandboxu na svim CAS hardverskim uređajima. Ovo omogućuje fleksibilniji ATP sustav bez potrebe za dediciranim hardverom u manjim okolinama. Ovisno o korisnikovim potrebama, kombinacije uključuju dediciran hardver za svaki sustav (ProxySG + CAS + MAA), Advanced Secure Gateway platformu (ProxySG i CAS na jednom uređaju) priključenim na zaseban Malware Analysis sustav ili ProxySG sa sandboxingom integriranim na CAS-u.

Primjeri mogućih kombinacija i integarcija variraju od virtualiziranih proizvoda, preko dediciranog hardvera te cloud rješenja.

U ovakvom scenariju CAS služi kao pred-filter koji pokriva i eliminira veći dio prijetnji kroz slojevitu analizu – URL i file reputacijom, opcionalnim dualnim antivirusnim engineom, prediktivnom bihevioralnom analizom i strojnim učenjem (Cylance) te na kraju sandboxingom na samom CAS-u, odvojenom MAA uređaju ili FireEyeu.

Web i email ATP integrani na jednom proizvodu

Integracijom Blue Coat i Symantec portfelja CAS od sada pokriva email kanal, koji je u enterprise organizacijama najčešći izvor prijetnji. Symantec Mail Gateway od verzije 10.6.3 integrira se sa CAS-om za slanje uzoraka pronađenih u email kanalu. Ovime postižemo zaštitu od naprednih prijetnji (ATP) pokrivanjem dvaju najvećih vektora zaraze u organizacijama. Integracija je realizirana putem REST API-a, putem kojeg se mogu integrirati i third-party rješenja. Dokumentacija je dostupna na support portalu.

Blokiranje pronađenih prijetnji direktno na endpointu – Symantec Endpoint Protection 14

Integracijom sa Symantec Endpoint Protection (SEP) 14 Managerom korisnici dobivaju mogućnost brze zaštite endpoint okoline od nepoznatih prijetnji pronađenih na CAS-u putem heuristike i sandboxinga. Nakon detekcije malicioznog sadržaja, informacija se dijeli sa SEP Managerom, gdje administrator ima mogućnost blokiranja prijetnje na SEP klijentima te zaštitu od širenja infekcije.

Nadogradnja dostupna i na ASG-u

Advanced Secure Gateway je hardverska platforma koja objedinjuje ProxySG i CAS proizvode, a nedavnim ažuriranjem također dobiva mogućnost integracije sa Symantec Endpoint Protection okolinom. Sandboxing funkcionalnosti ostaju dostupne samo na odvojenom CAS i MAA hardveru.

Za savjet oko sizeinga, integracije u postojeću okolinu, informativnu ponudu i dodatne informacije o ovim proizvodima slobodno nam se obratite.

Više informacija:

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter