Blog

Symantec Content Analysis System — središnja komponenta ATP sistema

Jedan od proizvoda koji je među prvima pobliže integrisan u Symantecov portfolio akvizicijom Blue Coata i dobio ponajviše nadogradnji je Content Analysis System, proizvod za naprednu analizu malicioznih pretnji isporučenih kroz web i mail gateway sisteme.

Content Analysis System se u dosadašnjoj ponudi primarno vezao i naslanjao na ProxySG, secure web gateway rešenje koje integracijom kroz ICAP protokol šalje sumnjive datoteke na analizu. Nedavnom nadogradnjom (verzija 2.1) dodan je niz funkcionalnosti koje CAS pretvaraju u bitnu komponentu ATP (Advanced Threat Protection) sistema.

Objedinjavanjem i međusobnom integracijom Symantecovih ProxySG (siguran pristup internetu), Messaging Gateway (zaštita mail kanala), Content Analysis System (file analiza), Malware Analysis (sandboxing) i Endpoint Prevention 14 (zaštita krajnjih računara) proizvoda postižemo:

  • Celovitu zaštitu web i mail prometa, kao dva najosetljivija primarna izvora malicioznih pretnji
  • Blokiranje poznatih pretnji – URL-ova, malwarea i spama – na gatewayju kao  dodatnu analizu sumnjivih objekata koje ProxySG ili SMG trenutno ne raspoznaju
  • Opcionalno korišćenje dva paralelna antivirusna enginea (uskoro podrška i za Symantecov AV engine)
  • Analizu nepoznatih objekata statičkom analizom i machine learning engineom
  • Izvršavanje potencijalno opasnih uzoraka u kontroliranoj i prilagodljivoj sandbox okolini
  • Integraciju s antimalware klijentom (Symantec Endpoint Prevention 14)

Slojevita zaštita i optimizacija sandboxing sustava – većina pretnji biva zaustavljena na ProxySG-u, dodatna analiza kroz nekoliko enginea radi se na CAS-u, a izvršavanje nepoznatih datoteka na odvojenom sandboxu

Sandbox odsad integrisan na CAS hardveru

Funkcionalnosti Malware Analysis proizvoda od sada je moguće realizovati na postojećem Conent Analysis hardveru. Podržane su hardverske serije S400 i S500, dok će buduća nadogradnja (CAS 2.2) ponuditi opciju simulacije datoteka u cloud sandboxu na svim CAS hardverskim uređajima. Ovo omogućuje fleksibilniji ATP sastav bez potrebe za dediciranim hardverom u manjim okolinama. Zavisno o korisnikovim potrebama, kombinacije uključuju dediciran hardver za svaki sastav (ProxySG + CAS + MAA), Advanced Secure Gateway platformu (ProxySG i CAS na jednom uređaju) priključenim na zaseban Malware Analysis sastav ili ProxySG sa sandboxingom integriranim na CAS-u.

Primeri mogućih kombinacija i integarcija variraju od virtualizovanih proizvoda, preko dediciranog hardvera i cloud rešenja.

U ovakvom scenariju CAS služi kao pred-filter koji pokriva i eliminiše veći deo pretnji kroz slojevitu analizu – URL i file reputacijom, opcionalnim dualnim antivirusnim engineom, prediktivnom bihevioralnom analizom i mašinskim učenjem (Cylance) i na kraju sandboxingom na samom CAS-u, odvojenom MAA uređaju ili FireEyeu.

Web i email ATP integrani na jednom proizvodu

Integracijom Blue Coat i Symantec portfolia CAS od sada pokriva email kanal, koji je u enterprise organizacijama najčešći izvor pretnji. Symantec Mail Gateway od verzije 10.6.3 integriše se sa CAS-om za slanje uzoraka pronađenih u email kanalu. Ovime postižemo zaštitu od naprednih pretnji (ATP) pokrivanjem dva najveća vektora zaraze u organizacijama. Integracija je realizovana putem REST API-a, putem kojeg se mogu integrisati i third-party rešenja. Dokumentacija je dostupna na support portalu.

Blokiranje pronađenih pretnji direktno na endpointu – Symantec Endpoint Protection 14

Integracijom sa Symantec Endpoint Protection (SEP) 14 Managerom korisnici dobijaju mogućnost brze zaštite endpoint okoline od nepoznatih pretnji pronađenih na CAS-u putem heuristike i sandboxinga. Nakon detekcije malicioznog sadržaja, informacija se deli sa SEP Managerom, gde administrator ima mogućnost blokiranja pretnje na SEP klijentima i zaštitu od širenja infekcije.

Nadogradnja dostupna i na ASG-u

Advanced Secure Gateway je hardverska platforma koja objedinjuje ProxySG i CAS proizvode, a nedavnim ažuriranjem takođe dobija mogućnost integracije sa Symantec Endpoint Protection okolinom. Sandboxing funkcionalnosti ostaju dostupne samo na odvojenom CAS i MAA hardveru.

Za savet oko sizeinga, integracije u postojeću okolinu, informativnu ponudu i dodatne informacije o ovim proizvodima slobodno nam se obratite.

Više informacija:

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter