Blog

Symantec Endpoint Security – konsolidirana i cjelovita endpoint zaštita

Symantec je redizajnirao svoje rješenje za zaštitu endpointa, predstavio novu generaciju proizvoda te ponudu proširio na nekoliko paketa koji odgovaraju različitim zahtjevima i očekivanjima korisnika – standardnu zaštitu, napredniju sa dodatnim metodama zaštite te kompletnu, koja sadrži niz dodatnih modula sa širokim spektrom sigurnosnih kontrola.

Symantec zaštitu krajnjih računala bazira na slojevitom rješenju koje već u standardnoj verziji nudi niz detekcijskih tehnologija, realiziranih kroz jedan agent. Baza ponude je Symantec Endpoint Protection, proizvod koji je u najnovijoj verziji ponuđen kao cloud-hosted rješenje, sa pojednostavljenim menadžmentom i upravljačkom konzolom koja daje automatske preporuke konfiguracije.

Symantec je prihvatio cloud kao strategiju i budućnost ovakvih rješenja, no za korisnike koji ostaju vjerni instalacijama u vlastitom okruženju, i dalje nudi i razvija takvu soluciju. Na izbor tako stoji postojeće on-premise rješenje, cloud varijanta koja ne zahtjeva dodatnu instalaciju menadžment softvera i nudi centralno upravljanje klijentima iz uvijek dostupne i ažurne konzole. Opcija je i hibridna instalacija kao kombinacije obaju modela.

SEP podržava instalaciju u različitim klijentskim okolinama – od starih i dalje prisutnih Windowsa XP i Servera 2003, do posljednjih verzija Windowsa 10 i Servera 2019. Osim toga, podržane su popularne Linux distribucije poput CentOS-a, Debiana, RHEL-a i Ubuntua, kao i Appleov macOS operativni sustav. U jedan proizvod objedinjene su i klasične i famozne “next-generation antivirus” funkcionalnosti:

  • Firewall i IPS za kao prva linija obrane računala koja blokira preko polovice napada prije nego se malware ‘naseli’ na računalo, a koristi deep packet inspection princip za detekciju malicioznog ponašanja u mrežnom prometu
  • Antivirusni engine za uklanjanje malicioznih fileova i poništavanje sistemskih promjena koje je malware napravio
  • Reputacijska analiza datoteka i URL-ova kojima se pristupa, bazirana na cloud bazi prijetnji i upitima u realnom vremenu
  • Advanced Machine Learning engine za predegzekuciju fileova i detekciju novih, nepoznatih prijetnji
  • Behavior Monitoring za proaktivno praćenje promjena na operacijskom sustavu i blokiranje fileova sa sumnjivim ponašanjem
  • Emulator za simulaciju izvršavanja fileova čime se detektira polimorfni malware (packers)
  • Memory Exploit Mitigation, koji koristi različite tehnike mitigacije ranjivosti na često korištenim aplikacijama poput browsera, Office paketa, Adobeovog softvera, Jave…
  • Na kraju, Application i Device Control kontrolira dopuštene i zabranjene aplikacije te korištenje prijenosnih medija
  • Dodatno, uz Deception modul, SEP klijent može funkcionirati kao svojevrsni endpoint honeypot za nedetektirani malware, postavljanjem deceptora, resursa koji mame malware da se razotkrije

Primjerice, famozni WannaCry ransomware koji je dospio na naslovnice mainstream medija sredinom 2017. godine bio je u potpunosti blokiran na svim računalima pokrivenim SEP agentima, kroz Advanced Machine Learning engine, a njegovo širenje kroz IPS modul.

Za one koji žele znati—odnosno, štititi više, postoji niz dodatnih proizvoda koji zajedno čine cjelovitu zaštitu krajnjih računala – Complete Endpoint Defense – a svi zaštitu pružaju kroz jedan agent, sa integriranim funkcionalnostima. Radi se o dodatnim proizvodima koji nude napredne funkcionalnosti zaštite i kontrole krajnjih računala, a dostupni su odvojeno, kao i u sklopu paketa:

  • Cyber Defense Manager je nova cloud-based management platforma koja nudi dinamičke preporuke na osnovu administratorovih prijašnjih akcija ili pronađenih problema u konfiguraciji. Dio je standardne licence svih cloud-based proizvoda
  • Endpoint Detection and Response, odnosno u prijašnjem nazivu ATP: Endpoint, prati i bilježi promjene na računalu, pronalazi prijetnje koje su uspjele zaobići postojeće sigurnosne kontrole te kreira sigurnosne incidente na osnovu procjene rizika. Radi se o forenzičkom alatu koji security administratorima i Security Operations Centrima omogućava punu vidljivost i forenziku zaraženih računala, te pruža opcije remedijacije i odgovora na incidente. U sklopu licence je i cloud sandboxing funkcionalnost za naprednu analizu fileova, a opcionalna je integracija sa Content Analysis System sandboxing uređajem za on-premise simulaciju fileova u sigurnoj okolini
  • Endpoint Application Control pruža uvid u aplikacije instalirane na računalu, te daje mogućnosti kontrole, whitelistinga definitivno legitimnih aplikacija, odnosno blacklisting onih sa lošom reputacijom
  • Endpont Application Isolation temelji se na principu jailova i castleova: sumnjive aplikacije se izoliraju i izvršavaju u sigurnom containeru (jail) te im se brani pristup neautoriziranim i potencijalno malicioznim, dok se legitimne štite od napada (castle) sprečavanjem iskorištavanja poznatih ranjivosti
  • Endpoint Threat Defense for Active Directory štiti kritičan, iako često zanemaren resurs prisutan u gotovo svakoj organizaciji – Microsoftov imenički servis Active Directory. Velika većina malwarea koristi upravo Active Directory kao prvi korak u lateralnom širenju kroz mrežu, u svrhu pronalaska kritičnih resursa koji se mogu zlorabiti. U to spadaju administratorski računi, domain controlleri, file shareovi, SQL serveri, Exchange serveri i slično. Proizvod štiti AD kreiranjem lažiranih odgovora i deceptora, odnosno mamaca – primjerice, malwareu će dati ‘odgovor’ sa lažnom file sharing servera pronađenih u AD-u, te ukoliko se malware pokuša spojiti na neki od njih – biti će detektiran i blokiran
  • Cloud Connect Defense služi osiguravanju sigurnog pristupa internetu i štiti od napada kada korisnik pristupa sumnjivim bežičnim mrežama te u tim slučajevima brani pristup korporativnoj VPN mreži

Ovi proizvodi dostupni su i kroz nekoliko različitih paketa koji nude odgovarajuću razinu zaštite ovisno o potrebama organizacije. Svaki od tih proizvoda je realiziran kroz jedinstvenog agenta, upravljan kroz centralnu konzolu — bila ona on-premise ili u cloudu.

Symantec je 16 godina za redom leader na tržištu, prema Gartnerovom istraživanju koje pokriva rješenja za zaštitu radnih stanica. Kategorija “Endpoint Protection Platforms” pokriva sigurnosne proizvode za zaštitu krajnjih računala (endpointa), a funkcionalnosti koje se očekuju, uz sad već standardnu bihevioralnu i anti-virusnu zaštitu su hardening (smanjivanje površine napada na računalo) te analiza, detekcija i odgovor na incidente (EDR – Endpoint Detection and Response). Gartner ističe upravo ove funkcionalnosti kao transformacijske na ovom tržištu te karakteristike koje će se u budućnosti tražiti od ovakvih rješenja.

Više informacija:

Za više informacija, kao i informativnu ponudu, slobodno nas kontaktirajte.

Share on LinkedInShare on FacebookTweet about this on Twitter
Treba Vam ponuda ili pomoć pri izradi rješenja? Tražite partnera za implementaciju?
Kontaktirajte nas!