ADATLAP Symantec Endpoint Protection 14 A legátfogóbb biztonsági megoldás a felhőgenerációs végpontok védelméhez Rövid áttekintés Végpontvédelem minden támadási vektorral szemben iparágvezető hatékonysággal, egyetlen alkalmazásba integrálva Többrétegű védelem a zsarolóprogramok és más újszerű fenyegetések ellen, amely a szignatúra nélküli technológiákat, például a fejlett gépi tanulást, a viselkedéselemzést és a támadások megelőzését bevált védelmi képességekkel, például behatolásvédelemmel, reputációalapú elemzéssel és más funkciókkal ötvözi. A hangolható védelem segítségével nagyobb rálátást nyújt a gyanús fájlokra a jobb szabályozási döntések érdekében. Megtévesztési technikák (honeypot) alkalmazásával leplezi le a rejtőzködő támadókat és szándékaikat a biztonsági stratégia javítása érdekében. Megvédi a gyakran használt alkalmazásokat a biztonsági réseken keresztüli támadásokkal szemben, és izolálja a gyanús alkalmazásokat a kártékony aktivitásoktól. Integrált kibervédelem nagy hatókörrel A SEP együttműködik a hálózatbiztonsági infrastruktúrával, például a webes és az e-mail átjárókkal, így segítségével a fenyegetések bárhol észlelhetők és elháríthatók. Az integrált végponti észlelés és elhárítás érdekében az incidensek kivizsgálása és a válaszlépések szintén elvégezhetők a SEP által védett végponton. A SEP nyílt API-k segítségével integrálható a meglévő IT-infrastruktúrával az automatizálás és az összehangolt működés érdekében. Nagy teljesítményű, kis erőforrás-igényű megoldás az üzleti igények támogatása érdekében A hálózati sávszélességre vonatkozó korlátozásokkal optimalizálható a tartalomfrissítés gyakorisága a végpontokon a védelem hatékonyságának feláldozása nélkül. A kis erőforrás-igényű alkalmazás és a csak minimális a SEP12-nél 70%-kal kisebb hálózati sávszélességet igénylő vírusdefiníciós csomagok jelentősen növelik a teljesítményt. A speciális tervezési módszerek és a szabadalmazott, valós idejű felhőalapú lekérdezés a SEP12-nél 15%-kal gyorsabb ellenőrzést tesznek lehetővé, így a veszélyforrások gyorsabban észlelhetők. Bevezetés Napjaink folyamatosan változó informatikai környezetében a támadók egyre kifinomultabb módszerekkel próbálnak bejutni a hálózatokba, ahol a végpontok jelentik az utolsó védelmi vonalat. A vállalatokat egyre jobban aggasztják a kibertámadók által okozott károk és zavarok, ahogy egyre gyakoribbak a zsarolóvírusok által elkövetett támadások, amit a WannaCry és a Petya elterjedése is egyértelműen jelzett. A támadók emellett egyre többször használnak ún. fájl nélküli és lopakodó támadásokat, ami az általános IT-eszközök támadó célú felhasználásával együtt jelentősen veszélyezteti a végponti eszközök biztonságát, integritását és rendelkezésre állását. Mit tehetnek a biztonsági csapatok a kibertámadások ellen? Több, egymással nem integrált termék és technológia kezelése megterhelő feladat, a nehézségeket pedig csak fokozza, ha több rendszerben kell figyelni a biztonsági eseményeket, bizonyos esetekben különböző operációs rendszereken és platformokon. A korlátozott erőforrások és költségvetés miatt a szakemberek olyan könnyen kezelhető technológiákat igényelnek, amelyek együttműködnek egymással az általános biztonság javítása érdekében a csupán egy célt szolgáló eszközök azonban erre nem alkalmasak. Lásd az 1. ábrát.
Megtévesztés Exploit elleni védelem Kártevők elleni védelem Symantec Endpoint Protection 14 Minden tudás egyetlen alkalmazásban Alkalmazásfelügyelet Kártevők elleni fejlett védelem Végponti észlelés és reagálás (EDR) Alkalmazkodás Megtévesztés Megelőzés Észlelés Reagálás 1. ábra A Symantec Endpoint Protection (SEP) kimagasló többrétegű védelmet nyújt a fenyegetések ellen, függetlenül a végpontot érő támadások jellegétől. A SEP a meglévő biztonsági infrastruktúrával együttműködve gyors és összehangolt választ ad a fenyegetésekre. A kis erőforrás-igényű SEP kliens kiváló teljesítményt kínál a felhasználók munkájának zavarása nélkül, így Ön az üzletre koncentrálhat. A SEP számos felhasználást tesz lehetővé a biztonsági szakemberek számára, ahogy ezt a 2. ábrán látható biztonsági keretrendszer is szemlélteti. 2. ábra. A SEP biztonsági keretrendszere Végpontvédelem minden támadási vektorral szemben iparágvezető hatékonysággal, egyetlen alkalmazásba integrálva MEGELŐZÉS A SEP védelmet nyújt a végpontok számára függetlenül attól, hogy a támadók hol csapnak le a 3. ábrán látható támadási láncon belül. A SEP iparágvezető védelmi hatékonyságát független tesztek igazolják. Ilyen szintű megelőző védelem csak az alapvető technológiák és a legmodernebb új technológiák ötvözésével lehetséges. Szabadalmazott, valós idejű felhőalapú keresés a gyanús fájlok vizsgálatához HÁLÓZATI TŰZFAL ÉS HIPS ALKALMA- ZÁSOK ÉS ESZKÖZÖK FELÜGYELETE MEMÓRIÁBAN TÖRTÉNŐ TÁMADÁSOK MEGELŐZÉSE REPUTÁCIÓ ALAPÚ ELEM- ZÉS FEJLETT GÉPI TANULÁS (AI/ ML) EMULÁTOR VÍRUSVÉDE- LEM VISELKE- DÉSFIGYELÉS HÁLÓZATI TŰZFAL ÉS IPS Kártevők blokkolása és fertőzés megakadályozása a hálózati forgalom figyelésével Viselkedés és hozzáférés (fájlok, eszközök, beállításjegyzék) szabályozása, engedélyezési és tiltólisták stb. Népszerű szoftverek biztonsági réseire irányuló nulladik napi támadások blokkolása Fájlok és webhelyek biztonságának megállapítása a közösségi tudás felhasználásával Új és változó fenyegetések észlelése a végrehajtás előtt Egyedi tömörítéssel elrejtett kártevők azonosítása virtuális gépen A rendszerre érkező kártevők vizsgálata és megsemmisítése Gyanúsan viselkedő fájlok figyelése és blokkolása Forgalom ellenőrzése és a kártevők blokkolása a gépre érkezés előtt BEHATOLÁS FERTŐZÉS TERJEDÉS és KIJUTÁS 3. ábra ADATLAP SYMANTEC ENDPOINT PROTECTION 14 2
SZIGNATÚRA NÉLKÜLI TECHNOLÓGIÁK Speciális gépi nyelv (AML) még a végrehajtás előtt azonosítja az új és a kibontakozóban lévő fenyegetéseket. Memóriában történő támadások megelőzése blokkolja a népszerű szoftverek biztonsági réseire irányuló nulladik napi támadásokat. Viselkedésfigyelés figyeli és blokkolja a gyanúsan viselkedő fájlokat. SPECIÁLIS KÉPESSÉGEK Global Intelligence Network (GIN) A világ legnagyobb civil kiberbiztonsági információs hálózata 157 országban 175 millió végpontról és 57 millió támadásérzékelőről gyűjt adatokat. Ezeket több mint ezer magasan képzett biztonsági szakember vizsgálja, akik az egyedülálló rálátásnak köszönhetően innovatív biztonsági megoldásokat képesek biztosítani a támadások ellen. Reputációalapú elemzés a felhőben, mesterséges intelligenciát használó módszerekkel határozza meg a fájlok és a webhelyek biztonságosságát a GIN által szolgáltatott adatok segítségével. Power Eraser távolról is aktiválható, agresszív eszköz a folyamatos fenyegetést jelentő támadások és az ellenálló kártevők ellen. Végpontintegritás szabályzatok érvényesítésével, az illetéktelen módosítások azonosításával, kárfelméréssel, valamint a követelményeket nem teljesítő felügyelt rendszerek elkülönítésével gondoskodik a végpontok védelméről és megfelelőségéről. Rendszerzárolás az ismerten megbízható alkalmazások futása engedélyezhető, a tiltólistára vett, kártékonynak ismert alkalmazások futása pedig letiltható. Az előzőek mellett kizárólag a SEP teszi lehetővé az ITbiztonsági csapatok számára az észlelési és blokkolási szint beállítását az adott ügyfélkörnyezetben a védelem optimalizálása és a gyanús fájlokba való jobb betekintés érdekében (lásd a 4. ábrát). Az Intensive Protection elnevezésű hangolható védelem egy új, felhőalapú konzolon érhető el, amely automatikusan együttműködik a helyi SEP Manager konzollal, és egyszerű munkafolyamatot biztosít a gyanús fájlok tiltólistára helyezéséhez és a téves riasztást adó fájlok engedélyezéséhez. Emulátor kis erőforrás-igényű virtuális sandbox környezetet használ az egyedi tömörítéssel elrejtett polimorfikus kártevők azonosítására. Az Intelligent Threat Cloud speciális módszereket például adat-pipeline-okat, a megbízhatóság propagálását és kötegelt lekérdezéseket alkalmazó gyors vizsgálati képességeinek köszönhetően a hatékony védelemhez nincs szükség a végpontokon az összes kártevődefiníció letöltésére. Ennek megfelelően a végpont csak a legfrissebb biztonsági információkat tölti le, így a definíciós fájlok mérete akár 70%-kal is csökkenhet, ami a sávszélességigényt is csökkenti. Secure Web Gateway-integráció Az új, programozható REST API-k lehetővé teszik az integrációt a meglévő biztonsági infrastruktúrával, benne a Secure Web Gateway virtuális rendszerrel, így a fertőzés terjedése gyorsan megállítható a végpontokon. ALAPVETŐ KÉPESSÉGEK Vírusvédelem a rendszerre érkező kártevők vizsgálata és megsemmisítése. Tűzfal és IPS forgalom ellenőrzése és a kártevők blokkolása a gépre érkezés előtt. Alkalmazások és eszközök felügyelete viselkedés és hozzáférés (fájlok, eszközök, beállításjegyzék) szabályozása, engedélyezési és tiltólisták. 4. ábra. Az Intensive Protection által kínált hangolható figyelés és blokkolás A Symantec architektúrájával az IT-biztonsági csapatok egyszerűen, további alkalmazás telepítése nélkül alkalmazhatnak új, innovatív biztonsági technológiákat. VÉGPONTI ÉSZLELÉS ÉS REAGÁLÁS (EDR) A Symantec Advanced Threat Protection: Endpoint a SEP integrált EDR-képességeivel gondoskodik az incidensek kivizsgálásáról és a megfelelő reagálásról. A megoldás egy óra alatt üzembe helyezhető a célzott támadások precíziós gépi tanulás, viselkedéselemzés és kiberbiztonsági információk segítségével történő észlelése érdekében, ezáltal minimalizálható a téves riasztások száma, és biztosítható a biztonsági csapatok hatékony munkája. ADATLAP SYMANTEC ENDPOINT PROTECTION 14 3
A Symantec EDR-képességeivel az incidenskezelő csapat gyorsan megkeresheti, azonosíthatja és elkülönítheti a veszélyeztetett végpontokat, miközben helyi és felhőalapú sandbox környezetben vizsgálhatja ki a fenyegetéseket. Emellett a rendszeraktivitás folyamatos rögzítése biztosítja a végpontok teljes átláthatóságát, és lehetővé teszi az adatok valós idejű lekérdezését. A Symantec EDR jellemzői: Észlelés és feltárás a támadások gyorsabban felfedezhetők, és gyorsan megállapítható a kiterjedésük. Kivizsgálás és elkülönítés növeli az incidenskezelők hatékonyságát, és gondoskodik a fenyegetések elkülönítéséről. Elhárítás gyorsan helyreállítja a végpontokat, és gondoskodik arról, hogy a fenyegetés ne térhessen vissza. Biztonsági beruházások kiterjesztése azonnali használatra kész integrációk és nyilvános API-k. MEGTÉVESZTÉS A SEP Deception 1 megtévesztő hatású csalik elhelyezésével már korán leleplezi a rejtőzködő támadókat, szándékukat és taktikáit, és az így nyert információk felhasználhatók a biztonsági stratégia javítására. A pontos és informatív észlelést biztosító SEP Deception technológia gyorsan bevezethető. A Symantec Endpoint Protection és a Symantec Managed Security Services megoldást is használó ügyfeleinknek napi 24 órában nyújt támogatást globális szakértői csapatunk, akik folyamatosan monitorozzák és megválaszolják a SEP Deception riasztásait. Egyedül a Symantec kínál olyan végpontvédelmi platformot, amely megtévesztési technológiát is tartalmaz. A SEP Deception jellemzői: Csapdákat és csalikat használ a támadók leleplezésére és feltartóztatására a proaktív biztonság érdekében. A támadók szándékainak felismerésével elősegíti a biztonsági stratégia javítását. Rugalmasan skálázható az egyszerűbb bevezetés és felügyelet érdekében. ALKALMAZKODÁS A SEP Hardening fejlett felhőalapú alkalmazásvédelmi megoldás, amely átfogó védelmet nyújt az alkalmazásoknak a gyanús alkalmazások elkülönítésével és a megbízható alkalmazások megóvásával. Más gyártók hasonló, de nem integrált termékeivel ellentétben a SEP Hardening a teljes SEP megoldással együttműködve páratlan hatékonyságú védelmet nyújt a kártevőkkel és a gyanús alkalmazásokkal szemben. A SEP Hardening emellett az általános felhasználói munkafolyamatok teljes körű támogatásával megőrzi a dolgozók magas szintű hatékonyságát. A SEP Hardening jellemzői: Átfogó alkalmazásbiztonság a támadási felület minimalizálása révén. Páratlan átláthatóság az összes végponti alkalmazás felderítése és kategorizálása révén. A leggyorsabb bevezetés a SEP architektúrájának köszönhetően. MSS SOC technológiai platform Az IT csalikat helyez el A támadó többfázisú lopakodó támadást indít A támadó oldalirányú felderítést végez, és aktiválja a csapdát A SEPM riasztást küld a SOC személyzete (vagy az MSS) részére a kivizsgálás érdekében A SOC csapata a támadó viselkedéséről szerzett információk alapján megerősíti a védelmet 5. ábra. A SEP Deception működése 1 A SEP Deception funkció konfigurálásához és üzembe helyezéséhez tanácsadási szolgáltatások igénybevétele szükséges. ADATLAP SYMANTEC ENDPOINT PROTECTION 14 4
6. ábra Telemetria SIEM Fenyegetések elemzése Analitika és láthatóság Web E-mail Végpont + hálózat Sandbox Felhőgenerációs végpont Integrált kibervédelem nagy hatókörrel Automatizálás Nyilvános API-k/ Összehangolt reagálás Védelem összehangolása Jegykezelés A legtöbb nagy szervezetnek egyre összetettebb globális IT-környezetek támogatásáról kell gondoskodnia. A bevezetett megoldások közül sok csak egy-egy konkrét feladat ellátására alkalmas. Az IT-nak ezért olyan végpontvédelmi megoldásra van szüksége, amely az integráció révén képes információkat megosztani és más IT-biztonsági megoldásokkal együtt védeni a hálózatot, ezáltal nagyobb értéket és összességében hatékonyabb védelmet biztosít. A SEP 14 olyan alapvető termék, amely megkönnyíti az integrációt, így az IT-biztonsági csapatok bárhol észlelhetik a fenyegetéseket a hálózatban, és összehangoltan reagálhatnak rájuk. A SEP 14 a biztonsági stratégia erősítése érdekében együttműködik a Symantec más megoldásaival például az integrált kibervédelmi platform kulcselemeként, továbbá nyilvános API-kon keresztül más gyártók termékeivel is. A Symantec integrált kibervédelmi platformja egyesíti a felhőalapú és a helyi biztonsági technológiákat, és egyedülállóan gazdag kiberbiztonsági információkkal nyújt védelmet a felhasználók, az adatok, az üzenetkezelő rendszerek és a web számára. Egyetlen más gyártó sem kínál olyan integrált megoldást, amely képes a végpontokon tiltólisták és elhárítási műveletek segítségével összehangolt választ adni a webes és az e-mail biztonsági átjárókon észlelt fenyegetésekre. Nagy teljesítményű, kis erőforrás-igényű megoldás az üzleti igények támogatása érdekében A nagy méretű, illetve gyakori tartalomfrissítések sok sávszélességet foglalnak, csökkentik a végpont teljesítményét, és rontják a hatékonyságot. A tartalomfrissítések optimalizálása és a fenyegetések hatékonyabb észlelése minden szempontból előnyös. Ezek a képességek csökkentik az IT-csapatra a gyakori biztonsági frissítések ütemezése miatt háruló terheket, és a felhasználónak sem kell bajlódniuk a hatékony munkavégzést akadályozó biztonsági frissítésekkel. A SEP 14 hatékonyabb védelmet nyújt jobb teljesítmény és kisebb sávszélesség-igény mellett. A Symantec rendre az élen végez a független teljesítményteszteken, például a Passmark Software nagyvállalati végpontbiztonsági teljesítménytesztjein, Windows 7 és Windows 10 rendszereken egyaránt. Ha további független tesztek eredményeire és elemzésekre kíváncsi, keresse fel a symantec.com/products/performance-center oldalt. A SEP az alábbi területeken nyújt jelentős teljesítménynövekedést: 70%-kal kisebb tartalomfrissítési csomagok 2 15%-kal gyorsabb ellenőrzések 2 A piac új szereplőihez képest a SEP kevésbé összetett megoldást kínál a végpontokon, ugyanis egyetlen, kis erőforrás-igényű alkalmazásban egyesít számos képességet. A Symantec végpontvédelem képességeivel megegyező védelmi szintet más gyártók esetében csak több alkalmazás telepítésével lehet csak elérni. 2 A SEP 14 jellemzői a SEP 12-höz képest. ADATLAP SYMANTEC ENDPOINT PROTECTION 14 5
Rendszerkövetelmények Kliens munkaállomásokra és szerverekre vonatkozó rendszerkövetelmények* Windows operációs rendszerek Virtuális környezetek Windows Vista (32 vagy 64 bites) Microsoft Azure Windows 7 (32 vagy 64 bites; RTM és SP1) Amazon WorkSpaces Windows Embedded 7 Standard, POSReady vagy Enterprise (32 vagy 64 bites) VMware WS 5.0, GSX 3.2, ESX 2.5 vagy újabb Windows 8 (32 vagy 64 bites) VMware ESXi 4.1 5.5 Windows Embedded 8 Standard (32 vagy 64 bites) VMware ESX 6.0 Windows 8.1 (32 vagy 64 bites; Windows To Go is) Microsoft Virtual Server 2005 Windows 8.1 2014. áprilisi frissítése (32 vagy 64 bites) Microsoft Enterprise Desktop Virtualization (MED-V) Windows 8.1 2014. augusztusi frissítése (32 vagy 64 bites) Microsoft Windows Server 2008, 2012 és 2012 R2 Hyper-V Windows Embedded 8.1 Pro, Industry Pro vagy Industry Enterprise (32 vagy 64 bites) Citrix XenServer 5.6 vagy újabb Windows 10 (32 vagy 64 bites) Oracle Cloud Windows 10 November Update (2015) (32 vagy 64 bites) Virtual Box by Oracle Windows 10 Anniversary Update (2016) (32 vagy 64 bites) Linux operációs rendszerek (32 és 64 bites verziók) Windows Server 2008 (32 vagy 64 bites; R2, SP1 és SP2) Amazon Linux Windows Small Business Server 2008 (64 bites) CentOS 6U3, 6U4, 6U5, 6U6, 7, 7U1, 7U2, 7U3; 32 vagy 64 bites Windows Essential Business Server 2008 (64 bites) Debian 6.0.5 Squeeze, Debian 8 Jessie; 32 vagy 64 bites Windows Small Business Server 2011 (64 bites) Fedora 16, 17; 32 vagy 64 bites Windows Server 2012 Oracle Linux (OEL) 6U2, 6U4, 6U5, 7, 7.1, 7.2, 7.3 Windows Server 2012 R2 Red Hat Enterprise Linux Server (RHEL) 6U2 6U8, 7 7.3 Windows Server 2012 R2 2014. áprilisi frissítése SUSE Linux Enterprise Server (SLES) 11 SP1 11 SP3; 32 vagy 64 bites; 12 Windows Server 2012 R2 2014. augusztusi frissítése SUSE Linux Enterprise Desktop (SLED) 11 SP1 11 SP3; 32 vagy 64 bites Windows Server 2016 Ubuntu 12.04, 14.04, 16.04; 32 vagy 64 bites Hardverkövetelmények Windows esetén Hardverkövetelmények Linux esetén 1,9 GHz-es vagy gyorsabb processzor Intel Pentium 4 (2 GHz-es vagy gyorsabb) 1 GB RAM (2 GB ajánlott) 1 GB RAM 530 MB szabad terület a merevlemezen 7 GB szabad terület a merevlemezen Macintosh operációs rendszerek Mac OS X 10.10, 10.11, macos 10.12, 10.13 Hardverkövetelmények Mac esetén 64 bites Intel Core 2 Duo vagy újabb CPU 2 GB RAM 500 MB szabad terület a merevlemezen A felügyeleti rendszerre vonatkozó követelmények Windows operációs rendszerek Hardver Windows Server 2008 (64 bites R2 kiadás is) Legalább Intel Pentium Dual-Core vagy vele egyenrangú CPU Windows Server 2008 R2 2 GB RAM (8 GB ajánlott) Windows Server 2012 R2 Legalább 8 GB szabad terület a merevlemezen Windows Server 2012 R2 Adatbázis-kezelő Windows Server 2016 Beépített adatbázis-kezelő, vagy az alábbiak egyike: Webböngésző SQL Server 2008, SP4 Microsoft Internet Explorer 11 SQL Server 2008 R2, SP3 Mozilla Firefox 5.x 55.x verzió SQL Server 2012, RTM SP3 Google Chrome 61.x SQL Server 2014, RTM SP2 Microsoft Edge SQL Server 2016, RTM, SP1 A SEP Hardening technológia az alábbi operációs rendszereket támogatja: Windows 7 (64 bites; RTM és SP1) Windows 8.1 2014. augusztusi frissítése (64 bites) Windows Embedded 7 Standard, POSReady vagy Enterprise (64 bites) Windows Embedded 8.1 Pro, Industry Pro vagy Industry Enterprise (64 bites) Windows 8 (64 bites) Windows 10 (64 bites); Windows 10 November Update (2015) (64 bites) Windows Embedded 8 Standard (64 bites) Windows 10 Anniversary Update (2016) (64 bites) Windows 8.1 (64 bites; Windows To Go is) Windows 10 Creators Update (2017) (64 bites) Windows 8.1 2014. áprilisi frissítése (64 bites) *A rendszerkövetelmények teljes listája támogatási oldalunkon olvasható. www.symantec.com Copyright 2018 Symantec Corporation. Minden jog fenntartva. A Symantec név, a Symantec logó és a Checkmark logó a Symantec Corporation vagy társvállalatainak védjegye vagy bejegyzett védjegye az Egyesült Államokban és más országokban. Az egyéb nevek a megfelelő tulajdonosok védjegyei lehetnek.