Blog

Symantec Content Analysis System — središčna komponenta ATP sistema

Ena izmed rešitev, ki je med prvimi tesneje integrirana v Symantec ponudbo po prevzemu Blue Coata ter je dobila največ nadgradenj, je Content Analysis System, rešitev za napredno analizo zlonamernih groženj preko spleta ali sistemov za spletno pošto.

Content Analysis System se je v dosedanji ponudbi primarno dotikal in vezal na ProxySG, secure web gateway rešitev, ki preko integracije skozi ICAP protokol pošilja sumljive datoteke na analizo. Z nedavno nadgradnjo (verzija 2.1) je bil dodan niz funkcij, ki CAS pretvarjajo v pomembno komponento ATP (Advanced Threat Protection) sistema.

Z združevanjem in integracijo Symantec ProxySG (varen dostop do spleta), Messaging Gateway (zaščita kanala spletne pošte), Content Analysis System (file analiza), Malware Analysis (sandboxing) in Endpoint Prevention 14 (zaščita končnih računalnikov) rešitev dosežemo:

  • Celovito zaščito spletnega prometa in prometa spletne pošte kot dveh najobčutljivejših točk groženj
  • Blokiranje znanih groženj – URL-jev, malwarea in spama – na gatewayju ter dodatno analizo sumljivih datotek, ki jih ProxySG ali SMG trenutno ne prepoznajo
  • Opcijska paralelna uporaba dveh antivirusnih engineov (od CAS 2.2 podpora tudi za Symantec AV engine)
  • Analizo neznanih datotek s statistično analizo in machine learning engineom
  • Izvrševanje potencijalno nevarnih vzorcev v nadzorovanem in prilagodljivem sandbox okolju
  • Integracijo z antimalware klijentom (Symantec Endpoint Prevention 14).

Slojevita zaščita in optimizacija sandboxing sistema – večina groženj je ustavljena na ProxySG-ju, dodatna analiza skozi več engine-ov se naredi na CAS-u, izvršavanje neznanih datotek pa na ločenem sandboxu.

Sandbox sedaj integriran na CAS

Funkcijo Malware Analysis rešitve je od sedaj možno doseči tudi na obstoječi Conent Analysis rešitvi. Podprti sta seriji S400 in S500, prihodnja nadgradnja (CAS 2.2) pa bo ponudila tudi opcijo simulacije datotek v cloud sandboxu na vseh CAS napravah. To omogoča fleksibilnejši ATP sistem brez potrebe po namenski opremi v manjših okoljih. Glede na uporabnikove potrebe kombinacije vključujejo namenski hardware za vsak sistem (ProxySG + CAS + MAA), Advanced Secure Gateway platformo (ProxySG in CAS na eni napravi), priključen na ločen Malware Analysis sistem ali ProxySG s sandboxingom integriranim na CAS.

Primeri možnih kombinacij in integarcij – od virtualiziranih rešitev, preko namenske opreme, do cloud rešitev.

V takšnem scenariju CAS deluje kot pred-filter, ki pokriva in odstranjuje večji del groženj preko slojevite analize – URL in file reputacije, opcijsko z dualnim antivirusnim engineom, prediktivno analizo obnašanja in s strojnim učenjem (Symantecn Advanced Machine Learning) ter sandboxingom na samem CAS-u, ločeni MAA napravi ali FireEyeu.

Web in email ATP integrana na eno rešitev

Z integracijo Blue Coat in Symantec ponudbe od sedaj CAS pokriva tudi email kanal, ki je v enterprise organizacijah najpogostejši vir groženj. Symantec Mail Gateway se od verzije 10.6.3 integrira s CAS-om za pošiljanje vzorcev najdenih v email kanalu. S tem dosežemo zaščito pred naprednimi (ATP) grožnjami. Integracija je realizirana preko REST API-ja, preko katerega je možno integrirati third-party rešitve. Dokumentacija je na voljo na support portalu.

Blokiranje najdenih groženj neposredno na endpointu – Symantec Endpoint Protection 14

Integracija s Symantec Endpoint Protection (SEP) 14 Managerjem uporabnikom omogoča hitro zaščito endpoint okolja pred neznanimi grožnjami najdenimi na CAS-u preko hevristike in sandboxinga. Po detekciji zlonamerne vsebine se informacija deli s SEP Managerjem, kjer ima administrator možnost blokiranja grožnje na SEP klijentih ter s tem ustavi širjenje infekcije.

Nadgradnja na voljo tudi na ASG-ju

Advanced Secure Gateway je hardware platforma, ki združuje ProxySG in CAS rešitve, po nedavni posodobitvi pa je možna tudi integracija s Symantec Endpoint Protection okoljem. Sandboxing funkcije so na voljo še vedno samo na ločenih CAS in MAA napravah.

Za nasvet glede konfiguracije, integracije v obstoječe okolje, informativno ponudbo ali dodatne informacije nas kontaktirajte.

Več informacij:

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter