symantec合作伙伴培训2015-1v2.0.for partner

1、Symantec 合作伙伴培训 2015-1 v2.0.1林晓明Presenters Title Here培训日程Copyright 2015 Symantec Corporation21Symantec 企业安全战略2Symantec Endpoint Protection 终端安全3Symantec Datacenter Security 数据中心安全4Symantec Advanced Threat Protection 高级威胁保护Symantec 企业安全战略3当前企业安全威胁环境4攻击者的变化更加迅速数字勒索在上升恶意软件更智能零日安全威胁不同类型的结构都在遭受攻击5 of 6 l

2、arge companies attacked317M new malware created1M new threats daily60% of attacks targeted SMEs113% increase in ransomware45X more devices held hostage 28% of malware was Virtual Machine Aware24 all-time highTop 5 unpatched for 295 days24 Healthcare + 37% Retail+11% Education +10%Government+8%Financ

3、ial+6%Source: Symantec Internet Security Threat Report 2015ISTR互联网安全威胁报告中文报告下载： Copyright 2015 Symantec Corporation重要的趋势变化在重塑企业安全市场终端安全市场的再次复兴Rapid shift to mobile and IoT逐渐消亡的企业边界Decreasingly relevant with “fuzzy” perimeter云服务被越来越多的采用Enterprise data and applications moving to cloud服务开始取代传统的“盒子”Secu

4、rity as a Service; box fatigue网络战争Governments and regulators playing ever larger role5Copyright 2015 Symantec CorporationSymantec 企业安全| 技术被广泛认可6#1 share; AAA ratingnine quarters in a row终端安全#1 share; 100% uptime with Targeted threat response - Full protection Optimized out of the box hardening for d

5、ata center applications不断增强的保护技术Copyright 2015 Symantec Corporation53Symantec Data Center Security: Monitoring Edition & Server AdvancedCopyright 2015 Symantec Corporation54HypervisorEnterprise Data CenterWINDOWSLINUXUNIXSymantec Data Center Security: Server Advanced系统加固，应用程序白名单最小化权限控制，资源访问锁定加固OpenS

6、tack KeystoneSymantec Data Center Security: Monitoring EditionSecurity Monitoring:实时文件完整性系统关键安全配置系统及自定义事件日志支持多类OS及hypervisorsAmazon Web ServiceOpenStack (all modules)Symantec Data Center Security: ServerSDCS: Monitoring Edition 实时分析服务器上的蛛丝马迹Copyright 2015 Symantec Corporation55Symantec IPS creates a

7、 “shell” around each program & service that defines acceptable behavior如何工作Email ClientOfficeBrowserMailWebDatabaseDNARPCPrint SpoolerCore OSServicesApplication ServicesInteractivePrograms文件创建、修改、删除文件设置创建、修改、删除设置系统操作主机操作系统系统、应用和安全日志系统日志 &Text Logs Symantec收集器收集事件，并且同IDS签名库（或自定义签名）进行比较一旦满足策略，产生动作记录事件

8、到本地的SCSP日志发送到管理控制台文件和注册表的变化检测安全配置的变化组管理的变化活动目录的变化共享配置的变化域信任的变化用户/组帐户的修改细粒度的系统活动恶意软件/间谍软件检测USB设备的活动监控ESXi主机配置和vmx文件Data Center Security for OpenstackCopyright 2015 Symantec Corporation56Data Center Security 可用于监控所有Openstack模块并加固保护Keystone监控配置文件变更: configuration files changes monitored using real-time

9、 file integrity monitoring 监控Keystone 程序文件: Python files of modules monitored to avoid file tampering of important system services.监控Keystone数据: Changes to user account, role and tenant data monitored closely to be aware of changes to identify data.访问监控: Monitor user access through web interfaceSyma

10、ntec DCS: Server Advanced 技术原理Copyright 2015 Symantec Corporation57DCS:SA为每一个程序集分配一个沙箱，每个沙箱根据策略的定义实现有限的资源访问和行为控制，实现资源访问的最小化控制FilesRegistryNetworkDevices文件系统及配置信息进程访问控制OutlookCMDDNS ServerKernelRPC服务及后台进程交互式程序被保护主机Chrome默认的服务及程序Etc.Etc.Memory使用端口或设备默认沙箱资源访问控制大多数应用只需要有限的资源以完成相关工作但却拥有远远超出其自身要求的权限，恶意的入侵

11、攻击常常利用这些问题DCS:SA通过最小化权限控制降低了其被利用的可能SDCS: Server Advanced白名单策略锁定关键业务系统防护策略配置向导，减少配置的创建时间和复杂性在配置策略时可使用应用发现功能内置赛门铁克的Insight应用信誉库使用文件哈希规则实现细粒度控制进程继承自动关联识别Copyright 2015 Symantec Corporation58SDCS: Server Advanced控制用户权限和系统资源4. 允许信任的用户或应用有选择性的改变2. 禁止非授权访问和特权3. 配置策略允许指定用户或应用做改变1. SDCS:SA 定义策略限制所有用户和进程访问关键业

12、务Copyright 2015 Symantec Corporation59Copyright 2015 Symantec Corporation60与多类虚拟化平台进行集成由客户端实现高级安全控制VSMPGPDLP ThreatProtectionHypervisorHardening/SODEncryptionData ProtectionData StoreSecurityDSSUAPANCSP/SEPCSPServerHardeningSDN/SDDC PlatformSoftware Defined Security Service将安全控制嵌入的至软件定义数据中心1集成多种安全控制

13、技术3自动化的安全策略调配2Server SecurityData Store SecurityFirewallUnified Assessment将多种安全控制技术的部署与策略进行集中基于已有的部署更容易进行安全策略横向扩展关键流程自动化确保每一个负载得到保护自动调整安全策略基于外部威胁或主机的变化Symantec Data Center Security Vision Symantec Datacenter Security: Server AdvancedorSymantec Data Center Security: Monitoring Edition服务器 增强安全需求：白名单锁定

14、、加固与安全监控 Symantec Datacenter Security: Server AdvancedorSymantec Data Center Security: Monitoring Edition(Agent-Base)针对不同场景下解决方案的定位VMware vSphere服务器虚拟化VMware HorizonView 桌面虚拟化Hyper- V/Xen/KVM等其他虚拟化技术Physics Server物理服务器DesktopLaptop终端桌面 Symantec Endpoint Protection(Agent-Base) Symantec Datacenter Sec

15、urity: Server终端与服务器 基础安全需求：恶意代码防护 Symantec Datacenter Security: Server(Agent-Less)Copyright 2015 Symantec Corporation61典型需求场景Copyright 2015 Symantec Corporation62序号方案名称适用场景1数据中心系统安全加固（防护）系统安全加固（防护）2数据中心系统安全管理系统安全状态监控，信息采集3OpenStack安全加固云安全加固和管理4网页防篡改及网站防护网页应用安全加固和管理5虚拟化环境防毒虚拟化环境无Agent防毒VMware环境竞争分析 T

16、rend Micro Deep SecurityTrendMicro DS 9.5Symantec DCS 6.5+AV防恶意软件恶意代码防护ReputationWeb信誉Insight文件信誉IPS入侵阻止（虚拟补丁）网络入侵防护FW双向状态防火墙应用程序防火墙（SA）HI完整性监控 完整性监控 （SA）Log Inspect日志检查（需要代理） 日志检查（SA）Security Orchestratio N/A自动化策略调配Operations DirectorHardeningN/A应用白名单，系统锁定（SA）Copyright 2015 Symantec Corporation63与D

17、eep Security的竞争多数都是源于用户VMware环境虚拟化的安全需求。多数场景下客户只需要无代理安全技术。DS一般提供三种打包功能集，或他们的组合。1.无代理防病毒模块（AV）2.无代理深度包检测模块DPI（Web Reputation, IPS. FW）3.无代理完整性监控模块（HI）Symantec目前在VMware环境下只能提供三类安全功能，恶意代码防护、Insight文件信誉、网络入侵防护，最好用户技术需求不要超出以上范围，防火墙需求可建议用户日后采用VMware vCNS或NSX的防火墙，Deep Security提供的防火墙功能单一并不适用于未来SDDC及SDN软件定义网

18、络的架构，HI在国内多数客户并无真实需求。另一方面，自动化策略调配Operations Director是Symantec独有功能，适用于VMware环境，如果用户接受客户端部署，对部分关键应用可实施DCS:SA，即应用白名单，系统锁定，这同样是我们的优势。在线测试环境 VMware Hands-on Labs - HOL-PRT-1464 VMware及NSX环境下DCS Agent-Less 防病毒与网络入侵防护的配置指南 Copyright 2015 Symantec Corporation64 注册用户并登陆选择All Lab并搜索1464或Symantec选择注册实验并选择开始，只需

19、要半分钟即可完成环境部署，推荐使用Chrome浏览器可用于演示DEMO选择注册HOL 1464Symantec DCS部署架构Symantec DCS Manager提供DCS: S/SA/ME的集中管理Security Virtual Appliance在物理机上部署，支持无代理AV与IPSSymantec DCS Agent用于DCS:SA/ME的客户端服务器部署Unified Management Console 可选多个DCS组件的Web集中管理Operation Director 可选实现多种安全控制手段（包括第三方产品）在虚拟化环境中的自动化调度。Copyright 2015 Sy

20、mantec Corporation65关于DCS你可以获取的在线技术资源30天试用 - Symantec Data Center Security: Server 30天试用 - Symantec Data Center Security: Server Advanced SDC: S Agentless部署手册及注意项 （6.0 中文） SDCS: SA Web页面防篡改技术实现 （5.2.9 中文） SDCA:S 配置指南 （6.5 英文） Copyright 2015 Symantec Corporation66Symantec Data Center Security 报价方式：基于

21、服务器数量（物理环境或VM数量）基于物理CPU数量（VMware虚拟化环境）Symantec Data Center Security v6.5 文档合集 Symantec Advanced Threat Protection 高级威胁保护Available on September 2015由于环境与攻击者变化信息安全风险逐渐超出控制Copyright 2015 Symantec Corporation68不断增大且越来越复杂的环境更加资深的攻击者易受攻击影响的设施持续增加被资助的组织地下市场国家与国家之间移动化/BYOD物联网云计算数据更快速的增长匮乏的IT人员数以千计的终端与服务器下面的

22、信息是我们所看到的，还有很多我们没有看到的数据泄漏事件统计的总数312共计被泄漏的身份数量348JANUARY 2014 DECEMBER 2014MILLIONJANUARY 2014 DECEMBER 2014平均检测发现所需的时间平均每次事件造成的损失3.5JANUARY 2014 DECEMBER 2014MILLION DOLLARSJANUARY 2014 DECEMBER 2014Unencrypted POS post-Target5 months to detection2 weeks to uncoverVia vendor + 0-day vulnerability56

23、million credit cards stolenAttackers wanted instant impact4 unreleased movies25GB, 33K files Disabled email, wifiDelayed paychecks1 months to detection5 DB admins compromised80 million medical records stolenMedical records 10 times more valuable than credit cards on black market6+MONTHSCopyright 201

24、5 Symantec Corporation69识别针对性攻击分析解析攻击过程70攻击者会尝试获取目标企业中的多个可能的受害者的信息，并分析他们经常使用的互联网公开资源High-value UsersCopyright 2015 Symantec Corporation针对性攻击分析解析攻击过程通过各方面信息的收集，攻击者会尝试与每一个可能的受害者联系，利用社会攻击及钓鱼攻击欺骗让受害者访问并下载恶意代码High-value Users用户下载访问恶意的邮件附件或者点击某一个恶意的连接，随后恶意代码将在系统中开放后门并对其进行远程控制。识别渗透Copyright 2015 Symantec C

25、orporation71识别渗透针对性攻击分析解析攻击过程72High-value UsersMalwareServer用户下载访问恶意的邮件附件或者点击某一个恶意的连接，随后恶意代码将在系统中开放后门并对其进行远程控制。Copyright 2015 Symantec Corporation针对性攻击分析解析攻击过程73识别恶意代码生成的后门会通过命令与控制通道与攻击者联系，攻击者并以此盗取用户访问企业服务器所使用的用户名及密码渗透High-value Users凭据采集FilerDomainControllerLDAPDirectoryDatabaseC&CServerMalwareServ

26、er“What should I do now?”“Gather logins and passwords”Copyright 2015 Symantec Corporation针对性攻击分析解析攻击过程74识别通过盗取的用户企业凭据信息，攻击者可以逐步绘制出网络拓扑结构并识别到关键资产的服务器。渗透High-value Users凭据采集FilerDomainControllerLDAPDirectoryDatabase发现C&CServerMalwareServerCopyright 2015 Symantec CorporationDropServer针对性攻击分析解析攻击过程75识别攻

27、击者拷贝所需的数据至一个临时的企业内部中转服务器，并借由此将数据导出至企业外部攻击者所控制的服务器。渗透High-value Users凭据采集FilerDomainControllerLDAPDirectoryDatabase发现数据盗取StagingServerC&CServerMalwareServerCopyright 2015 Symantec Corporation更多的安全技术不意味着更好的防护76NetworkEndpointEmailCopyright 2015 Symantec CorporationKnown BadContent DetectedSuspiciousNe

28、twork BehaviorKnown BadContent Detected SuspiciousNetwork BehaviorKnown BadContent DetectedSuspiciousNetwork BehaviorMalicious URL DetectedSYMANTEC的观点: 什么是真正意义上的安全防护？包括阻止, 检测与响应技术, 在所有主要的安全控制点上集成这些技术防护检测响应对于被遗漏的恶意软件活动或者是高级威胁，可通过基于云端的代码分析、沙箱检测和行为分析技术实现，并在数分钟内完成检测持续检测对多个位置的安全事件进行关联分析，并对安全事件进行归并与优先级排列，

29、执行取证分析便于事件调查，最终基于检测结果对发现的问题进行自动修复，无需等待厂商的病毒定义更新。有效响应安全防护在所有的安全控制点上实时阻断已知的安全威胁，集成信誉分析、特征分析在内的多种技术，实时保护。Symantec Advanced Threat ProtectionCopyright 2015 Symantec Corporation77实时防护以外的检查与响应是ATP方案的关键防护Stopping ing Attacks准备Understanding Where Important Data Is & Who Can Access It检测Finding Incursions响应Co

30、ntaining & Remediating Problems恢复Restoring OperationsSymantec Advanced Threat ProtectionCopyright 2015 Symantec Corporation78Copyright 2015 Symantec Corporation79More Intelligence | Better Detection & Faster Response | Correlated Across Control Points | Integrated with Endpoint Protection云端沙箱 事件关联调查

31、分析邮件终端网络第三方系统Global IntelligenceExported Data事件修复物理与虚拟化检测环境与事件优先级排列在一个地方检测到问题，发现所有相同问题的地点快速的清除、阻止与恢复Symantec Advanced Threat Protection 高级威胁防护解决方案Symantec Cynic基于云端的文件执行, 分析与沙箱平台80支持发现雨分析对虚拟化环境有识别能力的恶意代码由云技术实现对变种的恶意软件快速检测广泛的文件类型支持: Office docs, PDF, HTML, Java, containers, portable executables2014年发

32、现的近28%的恶意代码可判断虚拟化运行环境，而Cynic同时提供了云端物理分析环境来屏蔽虚拟化逃逸威胁可在数分钟收到分析结果及相关联内容，而不是数小时快速且近乎准确的分析所有类别的潜在威胁内容模拟人际界面去仿真真实的终端环境不只是单单的执行文件，同时仿效真实的终端操作从而实现更准确的结果Copyright 2015 Symantec CorporationCynic 只会对进入企业且安全信誉较低的数据或用户手动提交的文件进行分析，不会涉及数据隐私风险Symantec Synapse全新的关联分析引擎可以实现更快速高效的事件处理81有效的优先级排列广泛的调查范围更容易操作维护优先将被感染且继续修

33、复的终端排列的事件队列前；事件的展现，为什么被认定为恶意代码，它做了什么，在那些方面产生了变化对已被阻止的事件分配更低的优先级，例如在网络上发现，但通过关联检测到在终端上已被阻止的事件将会分配至更低的优先级基于同样恶意代码感染不同终端，同一终端感染不同事件，多个终端访问相同恶意网站，同一恶意站点产生的多个事件进行归并即时查询已被发现的攻击信息与范围，通过文件的Hash值在整理企业环境中搜索同类或相同事件。与终端集成无需部署客户端，关联分析也无需像SIM一样编写复杂的规则用户可以手工按需将文件提交至Cynic进行分析关联在网络、终端和邮件ATP模块间相互进行Copyright 2015 Syma

34、ntec CorporationSymantec Advanced Threat Protection统一集成的平台覆盖终端、网络与邮件ATP统一的事件管理包括沙箱与各控制点的事件与现有的SEP12.1集成，无需重复部署代理覆盖多个控制点的事件关联与优先级分级技术形成安全管理闭环的事件修复，无需等待厂商的恶意代码定义修复特征的更新82Global IntelligenceExported DataAdvanced Threat ProtectionCloud SandboxCorrelationInvestigationEndpointNetworkEmail3rd partyCopyrigh

35、t 2015 Symantec Corporation竞争优势RemediationSymantec Advanced Threat Protection: 模块分类83终端安全可视化 (目标攻击的第一站)沙箱分析、终端环境、调查取证与修复基于Symantec Endpoint Protection的附加组件，需要部署虚拟设备Copyright 2015 Symantec Corporation对网络中所有数据通信、所有数据协议的全面分析自动将进入企业的不可信数据进行沙箱分析, 对Web攻击, 漏洞攻击, 僵尸网络进行检测支持Tap镜像、Inline串联部署，以及ICAP集成，提供物理设备及虚

36、拟设备邮件安全可视化Email visibility (邮件系统依旧是企业入侵最主要途径)邮件安全趋势，目标攻击，身份信息，沙箱检测技术基于Symantec Email Security.Cloud的附加组件，易于添加ATP工作过程展示网络发现可疑威胁Copyright 2015 Symantec Corporation84Cynic判断为恶意3ATP:N标记可疑并发送至Cynic21员工下载文件5管理员查看详细的分析内容7管理员在受感染终端上完成修复工作ATPNetworkATPEndpointATPEmailCynicTMSynapseTMPortal6管理员可同时在网络、终端与邮件侧阻止

37、相同的文件4高优先级事件!Advanced Threat Protection: NetworkCopyright 2015 Symantec Corporation85Endpoints, UsersInternetFirewallProxy物理或虚拟设备2种硬件型号3 种部署方式，TAP, In-line, ICAP集中管理最大到50个节点深入分析所有进出流量，2层网络透明桥接，代理环境在部署在代理后侧，靠近用户，或者通过ICAP进行集成Cynic 分析发生在Symantec云平台上ATP Network Detection PipelineATP NetworkSymantec Adva

38、nced Threat Protection: Endpoint86SEPClientSEPClientSEPClientSEPManagerDelivered as an on-prem. VA. Cynic On-DemandGINEndpointEnterpriseGlobalATP: EndpointSEP 客户端自动并持续将事件日志送往ATP系统进行分析，例如新的文件下载，创建或执行.ATP: Endpoint 使用机器学习算法分析可以的事件类别，并已不同的优先级进行排列优先级别的事件被自动或手动转发至Cynic进行分析，发现可能的问题或消除误报Cynic返回信息将包含详细的元数据信

39、息，行为分析结果等，IT人员可以更有信心的阻断或移除存在恶意特性的问题，同时操作十分方便在终端中阻止的恶意文件，同时也会在ATP的其他模块中进行阻止，例如ATP:Endpoint阻挡的文件也将在ATP:Network上被阻断。ATP Demo关于ATP的业务机会ATP:网络、终端与邮件的正式发布时间预计在今年9月，由于ATP:邮件短期将只支持云服务，所以推广重点为ATP:网络ATP:终端的方案重启MAA用户网络安全评估计划，通过用户实际环境试用ATP:N充分利用现已部署SEP12.1的用户，建议ATP网络ATP终端的解决方案对于未部署SEP的用户，建议建议ATP:网络方案，同时ATP:网络也适

40、用于有防病毒安全网关需求以及关注高持续性威胁的用户Copyright 2015 Symantec Corporation88产品介绍页面 产品在线帮助： 解决实时安全防护技术以外的非实时监测与响应需求。例如ATP: Endpoint定位检测与响应，SEP定位防护越来越多攻击由于存在目标性，所以恶意代码样本量较少，厂商无法收集足够的样本建立特征库，解决传统安全防护措施的漏报问题解决事件关联分析的需求，传统SOC解决方案难于编写关联规则，最后沦为日志收集的工具，ATP通过厂商自己的规则分析，并结合云端大数据呈现给用户更直观有价值的结果。Symantec ATP需求的定位回顾今天的内容：Symant

41、ec 威胁防护解决方案Advanced Threat ProtectionMobile Management SuiteData Store SecurityGateway.cloudENDPOINTSDATA CENTERGATEWAYSSymantec Endpoint ProtectionData Center SecurityCopyright 2015 Symantec Corporation89回顾问题1. 以下哪些功能是SEP所能提供的？Copyright 2015 Symantec Corporation90A支持精简客户端与精简病毒定义B支持Linux系统集中管理，可自动编译

42、Linux客户端C支持嵌入式系统如QNX，可自动修改系统的写保护设置D支持完整性监控，可以检测终端中是否存在某个进程E提供免费的数据分析软件ITA，用于数据二次分析F支持系统远程锁定，单仅限白名单锁定控制G支持VMware vShield Endpoint集成，无需在客户端中安装代理ABCDEFG回顾问题2. 根据SEP事件来源分析，哪些是建议的解决方案？Copyright 2015 Symantec Corporation91恶意代码与攻击来源于Web访问应用程序下载恶意代码与攻击来源于邮件恶意代码与攻击来源于NAS文件共享恶意代码与攻击来源于企业内部应用恶意代码与攻击来源于SharePoi

43、ntSymantec Mail Security for Exchange Symantec Protection Engine for NAS Symantec Advanced Threat Protection: Network Symantec Protection Engine for Cloud Services Symantec Protection for SharePoint Servers Symantec Messaging Gateway / 8340 & 8380串联阻断、旁路检测、代理集成，适用与NAT或代理环境用于控制进站及出站病毒与垃圾邮件用于控制内部病毒邮件传播控制对NAS上传下载文件时的安全检查对应用上传下载文件时的进行安全检查对SharePoint上传下载文件时进行安全检查通过代理进行集成备选方案Symantec DataCente