Symantec Advanced Threat Protection

Bijna alle hedendaagse geavanceerde malware maakt misbruik van endpoints om het netwerk van een beoogde organisatie binnen te dringen. Dit doen ze door misbruik te maken van zwakheden in software, door ‘social engineering’, via phishing websites of een combinatie hiervan. Eenmaal binnen worden deze endpoints ook misbruikt om het netwerk door te spitten, wachtwoorden te stelen en contact te leggen met verborgen commando servers met als doel de meest waardevolle systemen en data bloot te leggen.

Dit probleem wordt alleen maar groter. Gemiddeld vijf van elke zes grote bedrijven (>2500 werknemers) zijn slachtoffer geweest van een gerichte aanval. Daarnaast zijn 60% van alle aanvallen gericht tegen mkb organisaties. We zien dat hedendaagse IT beveiligingsoplossingen vaak tekort schieten, waardoor bedrijven van elke omvang en in alle windstreken een groot risico lopen.

Symantec Advanced Threat Protection (ATP) is een oplossing die geavanceerde malware proactief opspoort, prioriteert en verwijdert binnen het volledige netwerk. ATP haakt in op en verbetert de bestaande Symantec Endpoint Protection virusscanner en Symantec.cloud email filter.

Met 1 druk op de knop kan de geavanceerde malware worden opgespoord, direct onderzocht worden, de herkomst worden achterhaald en al dan niet aktie worden ondernomen (verwijderen, patchen, blokkeren). De correlatie technologie binnen Symantec ATP genereert events en geeft daarmee een duidelijk overzicht van de acute bedreigingen binnen het netwerk en de acties die ondernomen moeten worden.

Geavanceerde malware ontmaskeren en prioriteren

Symantec ATP combineert wereldwijde telemetrie informatie van ’s werelds grootste kennisnetwerk van digitale bedreigingen (Symantec Global Intelligence Network) met de situatie bij de klant om zodoende malware op te sporen die anders onder de radar zou zijn gebleven. De security analist ziet alle componenten van de aanval op 1 plek – hoe deze de organisatie is binnengekomen, welke nieuwe bestanden het heeft gecreëerd of gedownload, etc. De analyst kan ook een zoekactie uitvoeren om een overzicht van besmette endpoints binnen het gehele netwerk te krijgen. Bijvoorbeeld: “laat me elke machine zien die de file bad.exe bevat”, of “laat me elke machine zien met registry key x of setting y, en die gelinkt is geweest met website Z.com”. Aangezien ATP inhaakt op Symantec Endpoint Protection hoeft hiervoor geen separate agent worden uitgerold.

Verder geeft ATP aan waar direct aandacht aan moet worden geschonken. De security analyst krijgt de prioriteiten in een helder overzicht voorgeschoteld.

Symantec Cynic op cloud gebaseerde ‘sandbox and detonation service’.

Symatec ATP verstuurt verdachte files naar Symantec Cynic, waar ze binnen een afgeschermde omgeving (sandbox) worden geactiveerd. Vooruitstrevende analyse technieken, gecombineerd met informatie uit Symantec’s Global Intelligence Network ontmaskeren op deze manier de meest geavanceerde en hardnekkige malware. Cynic verschaft de analist vervolgens met de details van de betreffende files, zodat de benodigde acties kunnen worden ondernomen.

Zo is de hedendaagse malware in veel gevallen ‘virtual machine aware’. Dat houdt in dat ze binnen fysieke omgevingen geen verdacht gedrag vertonen. Cynic activeert verdachte files binnen meerder platforms, zodat het gedrag goed in kaart kan worden gebracht.

Symantec Synapse correlatie

Symantec Synapse is een in ATP ingebouwde technologie dat verdacht gedrag correleert op alle ATP controlepunten (Endpoint, Netwerk en Email Gateway). Ze geeft aan welke systemen besmet zijn geraakt en direct aandacht nodig hebben. Ook wordt gemeld als de Symantec virusscanner of Symantec.cloud Email Security het bestand al heeft onderschept.

Snel herstel

Als een file eenmaal als kwaadaardig is bestempeld, biedt Symantec ATP snel herstel. Met 1 druk op de knop kunnen deze files snel worden verwijderd over het gehele netwerk en verdere schade kan worden voorkomen. Het product toont bovendien een uitgebreid grafisch overzicht van de geïnfecteerde netwerkonderdelen, hoe ze met elkaar in verbinding staan, welke files zijn misbruikt tijdens de aanval, van welke IP adressen de file is gedownload, welke registry keys geïnstalleerd zijn etc.

Toevoeging op al aanwezige Symantec oplossingen

Symantec ATP haakt in op zowel Symantec Endpoint Protection als de Symantec.cloud Email Security. Het is een aanvulling op beide oplossingen dat proactieve informatie verschaft, een beter overzicht geeft en eenvoudiger herstel biedt in het geval van een infectie met geavanceerde malware.

De informatie kan overigens worden geïmporteerd in een Security Incident en Event Manager systeem (SIEM). Tot slot bestaat de mogelijkheid om ATP te laten monitoren door Symantec Managed Security Services.

Symantec Endpoint Protection

Er bestaan veel verschillende oplossingen voor het beveiligen van de endpoint. Waarom zou u dan kiezen voor Symantec Endpoint Protection (SEP)? Allereerst biedt SEP ongeëvenaarde beveiliging voor zowel fysieke- als virtuele platforms. SEP bevat 5 verschillende beveiligingscomponenten in 1 agent voor de optimale beveiliging van de client. Deze componenten zijn:

  • AntiVirus
  • Intrusion Prevention
  • Client Firewall
  • Device & Application Control
  • Host Integrity

Door de revolutionaire ‘Insight’ -techniek worden bestanden die door Symantec als ‘veilig’ bestempeld zijn niet meer onnodig gescand. Dit heeft een enorme performance verbetering tot gevolg, waardoor Symantec Endpoint Protection de beste performance biedt in de markt.

Binnen virtuele omgevingen bestaan veel dubbele systeembestanden en de bovengenoemde techniek heeft met name veel voordelen binnen dit soort omgevingen. Daarnaast heeft SEP nog een aantal handige features voor virtuele omgevingen om de performance nog verder te verbeteren, zonder in te boeten op beveiliging.

Symantec Mail Security

Deze on premise email filter biedt bescherming tegen malware, phishing en spam.

Mail Security kan ook in- en uitgaande email filteren op inhoud en blokkeren wanneer de inhoud in strijd is met het beleid van uw organisatie.

Deze oplossing kan zowel op een fysieke- als een virtuele email server draaien.

Symantec Messaging Gateway (Brightmail)

Sinds de overname van Brightmail heeft Symantec de beste spamfilter op de markt, die 99% van binnenkomende spam filtert met een lage kans op ‘false positives’ (1 op 1 miljoen). Het is een volledig geautomatiseerde anti-spam oplossing, die uw beheerder een hoop werk uit handen neemt.

De Messaging Gateway zorgt er bovendien voor dat spam verwijderd wordt, voordat het uw email server bereikt, hetgeen de performance van de email server en de productiviteit van uw medewerkers ten goede komt. Bovendien wordt spam zo niet onnodig bewaard.

Deze oplossing kunt u installeren op een fysieke of een virtuele server. Ook is het mogelijk de Messaging Gateway-appliance van Symantec aan te schaffen.

Symantec Datacenter Security Server

Voor servers die niet gepatcht kunnen of mogen worden of servers waarop het installeren van een client niet gewenst is, heeft Symantec Datacenter Security Server (SDSS) ontwikkeld. Het betreft een agentless malware scanner voor zowel fysieke als virtuele omgevingen.

Binnen virtuele omgevingen heeft u de mogelijkheid om malware af te vangen op de hypervisor laag. SDSS biedt support voor zowel VmWare NSX als vShield/vCNS.

In fysieke omgevingen heeft u de mogelijkheid om servers te ‘hardenen’ door ze alleen die taken te laten uitvoeren die ze zijn opgelegd. De techniek die hiervoor gebruikt wordt betreft een combinatie van Host Based Intrusion Detection & Host Based Intrusion Prevention. Veranderingen van instellingen of in de registry door malware worden simpelweg geweigerd.

Geïntereseerd in Cloud oplossingen?

Wij begrijpen dat de aard van de bedrijfsvoering per bedrijf verschilt. Een advies op maat is daarom belangrijk. Wij komen dan ook graag langs voor een toelichting en om te kijken welke oplossing het best bij uw organisatie past.

Afspraak maken