TECNOLOGIA AVANÇADA PARA DEFENDER O SEU AMBIENTE DE FORMA INTELIGENTE
Leandro Vicente
Sr. Systems Engineer - SP
Arthur Fang
Principal Technical Support Engineer - SP
Carlos Guervich
System Engineer - RJ
Sobre os nossos apresentadores
Copyright © 2015 Symantec Corporation
Arthur FangPrincipal Techincal Support Engineer
- 15 anos de experiência em TI- 9,5 anos na Symantec- Especialista em soluções de segurança- Atua na equipe Avançada do Suporte Técnico. Análise de Malware e Forense.
Leandro VicenteSr. Systems Engineer
- 14 anos na Symantec- Especialista em soluções de segurança e conformidade- Atua na pré-venda para clientes do segmento Financeiro, desenvolvendo soluções para proteção e gerenciamento das informações
Sobre os nossos apresentadores
Copyright © 2015 Symantec Corporation
Carlos GuervichSystems Engineer
- 10 anos de experiência em TI- 7 anos na Symantec- Especialista em soluções de Segurança- Atua como Engenheiro de Pré-venda para clientes governo e privado no Rio de Janeiro, Espirito Santo e Nordeste.
Segurança Corporativa| Estratégia de Produtos e Serviços
4
Threat Protection
ENDPOINTS DATA CENTER GATEWAYS
• Advanced Threat Protection através de todos os pontos de controle• Forense e Remediação embutida em cada ponto de controle• Proteção integrada para Workloads: On-Premise, Virtual e Cloud• Gestão baseada em nuvem para Endpoints, Datacenter e Gateways
Unified Security Analytics Platform
Coleta de Logs e Telemetria
Gestão Unificadasde Incidentes e Customer Hub
Integrações com Terceitos e Inteligência
Benchmarking Regional e porSegmento
Análise Integradade Comportamentoe Ameaças
Information Protection
DADOS IDENTIDADES
• Proteção integrada para Dados e Identidades• Cloud Security Broker para Apps Móveis e em Nuvem• Análise de comportamento dos usuários• Gestão de Chaves e Criptografia em Nuvem
Users
Data
Apps
Cloud
Endpoints
Gateways
Data Center
Cyber Security ServicesMonitoramento, Resposta a Incidentes, Simulação, Inteligência conta Ameaças e Adversários
Copyright © 2015 Symantec Corporation
TAKE THE NEXT STEP
SYMANTEC
ADVANCED THREAT PROTECTION 2.0
AS EMPRESAS ESTÃO VULNERÁVEIS A ATAQUES AVANÇADOS
Ambientes grandes e complexos com milhares de endpoints e servidores como alvos
Aumento dos ataques direcionados & violações através de ameaças
Furtivas e Persistentes que permanecem indetectáveis
As defesas tradicionais são insuficientes e as ameaças avançadas escapam dessas proteções
Remediação lenta e requer intervenção manual
28% dos malwares são
vmware-aware
5 de 6 empresas no mundo são alvos de ataques direcionados
Apenas em 2014
317 Milhões de novas variantes de malware
312 Vazamentos de dados descobertos
Copyright © 2015 Symantec Corporation 6
PREVENIR
Parar os ataquesrecebidos
DETECTAR RESPONDER
Conter & Remediaros problemas
RECUPERAR
Restaurar asoperações
PREVENÇÃO SOZINHA NÃO É SUFICIENTE
Copyright © 2015 Symantec Corporation 7
IDENTIFICAR
Saber onde os dadosimportantes estão
Identificar asInvasões/incursões
CENTENAS DE PRODUTOS PONTUAIS AUMENTAM A “CONFUSÃO”
TEM LEVADO A DIVERSOS NOVOS PRODUTOS E FORNECEDORES “AUTÔNOMOS”
$77B EM 2015
$170B EM 2020
Enorme crescimento no mercado de Segurança
Cibernética
Copyright © 2015 Symantec Corporation 8
A DETECÇÃO TEM SE TORNADO CADA VEZ MAIS DIFÍCIL
O Produtos de segurança atuais em sua maioria não são integradosAs ameaças podem “fugir” de tecnologias tradicionais de sandboxing
Conteúdo maliciosoconhecido detectado
Comportamento derede suspeito
Malware conhecido bloqueado
Comportamento suspeito do arquivo
Quando as empresas detectam ameaças avançadas, é demorado e difícil para elas limparem os artefatos de ataque em todo o ambiente
Anexo maliciosobloqueado
URL maliciosa detectada
RedeEndpoints Email
Copyright © 2015 Symantec Corporation 9
E EVENTOS DEMORAM TEMPO PARA SEREM TRATADOSO analista deve entrar em contato com o usuário final e coletar manualmente um arquivo
específico nos endpoints
Conteúdo maliciosoconhecido detectado
Comportamento derede suspeito
Malware conhecido bloqueado
Comportamento suspeito do arquivo
Seguido por atualizações de políticas individuais para cada produto de segurança para remover o arquivo onde ele estiver
Anexo maliciosobloqueado
URL maliciosa detectada
RedeEndpoints Email
Copyright © 2015 Symantec Corporation 10
VISIBILIDADE E INTELIGÊNCIA SÃO NECESSÁRIAS
Copyright © 2015 Symantec Corporation 11
Conexão de rede bloqueada
Vírus detectado
Email malicioso bloqueado
INTELIGÊNCIA TRADICIONAL
Todas as conexões de rede de todas as máquinas
Hash do arquivo, fonte, endpointsinfectados
Categoria do malware, método de detecção, Informações da URL
INTELIGÊNCIA “RICA”
SYMANTEC™ ADVANCED THREAT PROTECTIONSOLUCIONA ESTES PONTOS
Prioriza o que mais importa
Remedia rapidamente
Aproveita investimentos atuais
Descobre ameaças avançadas através de endpoints, rede, e email
Copyright © 2015 Symantec Corporation 12
DESCOBRE AMEAÇAS AVANÇADAS ATRAVÉS DEENDPOINTS, REDE, E EMAIL
Descobre ataques em menos de uma hora.
Procura por qualquer artefato de ataque em toda
a infraestrutura, por hash de arquivo, chave de
registro, ou endereço de IP e URL de origem, com
o simples clique de um botão.
Descobre ataques através de endpoints, rede, e
email, com uma console, não três.
Copyright © 2015 Symantec Corporation 13
REDE E-MAIL
ENDPOINTS
PRIORIZA O QUE É MAIS IMPORTANTE COM O SYMANTEC SYNAPSE™
Reuni e correlaciona todas as atividades suspeitas através dos endpoints, rede, e email
Correlaciona com dados da rede de inteligência Symantec (GIN - Global IntelligenceNetwork)
PRIORIZAÇÃO EFETIVA
Visão única de todo o ataque através de todos os pontos de controle
Visualize e elimine todos os artefatos de ataque envolvidos Ex.. arquivos, endereços de email, ou IP
INVESTIGAÇÃO UNIFICADA
Reduza o número de analistas de segurança necessários para investigar incidentes
Sem necessidades de novos agentes ou construção de regras de SIEM complexas
RESULTADOS TANGÍVEIS
“As operações de segurança com o Symantec ATP reduziram em até 70% dos nossos alertas redundantes de email e rede. Isso nos poupou muito tempo.”
– Grande prestador de serviços
Copyright © 2015 Symantec Corporation 14
DETECTE E PRIORIZE RAPIDAMENTE OS ATAQUES AVANÇADOSCOM O SYMANTEC CYNIC™
Ampla cobertura: Office docs, PDF, Java, containers, executáveis portáveis
Rápida, análise apurada de quase todos os tipos de conteúdo malicioso em potencial
Detecta ameaças desenvolvidas para evitar VMsutilizando máquinas físicas & virtuais
Projetado para tirar malwares VM-aware; executa e analisa os resultados
Advanced machine learning analysiscombinada com a inteligência global da Symantec
Detecta ameaças furtivas e persistentes que defesas tradicionais não conseguem
"Cynic detectou uma versão de cavalo de Tróia em um pacote de software legítimo que um membro da minha equipe de segurança
baixou. Ele nos salvou de uma falha de segurança enorme. ”- Líder no fornecimento de alimentos
“O Symantec Cynic detectou um ataque direcionado vindo de outro pais assim que o recebeu permitindo nosso time de segurança responder
rapidamente a ele.” – Companhia de eletricidade internacional
Análise/Resultado e inteligência sempre disponível em minutos não horas
Plataforma na núvem permite atualizações rápidas uma vez que os malwares evoluem para evitar a deteção
Copyright © 2015 Symantec Corporation 15
Contenha e solucione um ataque complexo em minutos, não em dias, semanas ou meses
Clique uma vez, solucione em todos os lugares
Localize e solucione ataques antes que eles façam danos irrecuperáveis
Veja todos os dados de ataque em um só lugar, sem Qualquer busca manual ou recuperação de dados
REMEDIAÇÃO RÁPIDA COM UM CLIQUE
Copyright © 2015 Symantec Corporation 16
Integração com o Symantec™ Endpoint Protection 12.1 sem novos agentes fornecendo valor imediato
Monitoramento com o Symantec™ Managed Security Services
Enviar inteligência rica em Incidentes de Segurança e Sistemas de Gestão de Eventos (SIEMs) para posterior correlação e investigação.
APROVEITE INVESTIMENTOS ATUAIS EM SOLUÇÕES SYMANTEC
Correlaciona eventos de rede e endpoint com o Symantec™ EmailSecurity.cloud em minutos
Copyright © 2015 Symantec Corporation 17
ADVANCED THREAT PROTECTION MÓDULOS
18
SYMANTEC ADVANCED THREAT PROTECTION: ENDPOINT
Adicione recursos de Endpoint Detection and Response (EDR) no seu Symantec Endpoint Protection
• Sem a necessidade de novos agentes.
• Máquina Virtual ou hardware físico.
• Procure por eventos suspeitos e novas ameaças em tempo real.
• Varredura dos endpoints para Indicators of Compromise (IOC)
• Responda e bloqueie as ameaças imediatamente.
• Use o Cynic sandboxing para detectar ameaças avançadas.
• Correlacione automaticamente com ATP: Rede e eventos de Email Security.cloud
INCLUI A PLATAFORMA CORE
SYMANTEC CYNIC™ SYMANTEC SYNAPSE™Novo sandboxing baseado em cloud e serviço de payload detonation.
Nova priorização de evento e correlação.
Copyright © 2015 Symantec Corporation 19
CAÇANDO OS INDICATORS OF COMPROMISE COM ADVANCED THREAT PROTECTION: ENDPOINT
1. O analista de segurança inicia a busca na console Symantec Advanced Threat Protection a varredura nos clientes.
2. A requisição de varredura está na fila para o heartbeat e será entregue para o cliente no próximo heartbeat. Por padrão o tempo máximo é de 5 minutos.
3. SEPM inicia a busca em cada endpoint com o SEP cliente, e pode verificar os seguintes itens (Na varredura rápida ou varredura completa):
• Arquivos por hash (SHA256, SHA1 and MD5) ou nome
• IP externos ou website
• Chave de registros
4. Verificação de resultados são retornados para o SEPM em tempo real.
5. Os dados são disponibilizados na console de Symantec Advanced Threat Protection.
6. O arquivo(s) podem ser recuperadas de qualquer endpoint para análises futuras.
1
2
3
4
5
Copyright © 2015 Symantec Corporation 20
Descubra e priorize ataques avançados que entram na sua organização através de HTTP, FTP e outros
protocolos comuns.
• Máquina Virtual ou hardware físico.
• Implante na porta do switch central da rede (Tap/Span).
• Monitore o tráfego de entrada e saída da internet.
• Visibilidade da rede em todos os dispositivos e todos os protocolos.
• Sandboxing automático com Symantec™ Cynic
• Correlacione automaticamente com Symantec Endpoint Protection e eventos de Email Security.cloud.
INCLUI A PLATAFORMA CORE
SYMANTEC CYNIC™ SYMANTEC SYNAPSE™Novo sandboxing baseado em cloud e serviçode payload detonation.
Nova priorização de evento e correlação.
SYMANTEC ADVANCED THREAT PROTECTION: NETWORK
Copyright © 2015 Symantec Corporation 21
DETECTE AMEAÇAS ATRAVÉS DE TODOS OS PROTOCOLOS COM ADVANCED THREAT PROTECTION: NETWORK
Todos os arquivos suspeitos processados pelo ATP: Network são enviados para Cynic (Office docs, PDF,
Java, containers, executáveis portáteis)
Cynic executa e analisa o comportamento do arquivo em múltiplos VMs sandboxs, hardware físico para
detectar malware
O comportamento do arquivo é avaliado com o Symantec Intelligence Data e a segurança é correlacionado com o ATP:Email e eventos
ATP:Endpoint via Synapse.
Um relatório é gerado com detalhes do eventos/tarefas com priorização de formas adequadas contra os
eventos de seguranças existentes.
Network Traffic
EndpointsThreat data and actionable intelligence
Symantec Cynic™
Internet
Blacklist Vantage Insight AV Mobile Insight
BLACKLIST
Real-time Inspection
ATP: Network
Men
os
de
15
min
uto
s
Symantec Synapse ™
Copyright © 2015 Symantec Corporation 22
Melhore a capacidade de relatórios e detecção avançada no Symantec Email Security.cloud
• Detecção de ameaças avançadas de anexos com Cynic sandboxing.
• Identifique alvos de ataques contra uma organização ou um usuário específico.
• Relatório detalhado e níveis de severidade para priorização.
• Exportação de dados On-demand para SIEMs
• Facilmente gerenciado via portal de gerenciamento do Symantec.cloud.
• Correlação automática de eventos com o Symantec Endpoint Protection e ATP: Network
INCLUI A PLATAFORMA CORE
SYMANTEC CYNIC™ SYMANTEC SYNAPSE™Novo sandboxing baseado em cloud e serviço de payload detonation.
Nova priorização de evento e correlação.
SYMANTEC ADVANCED THREAT PROTECTION: EMAIL
Copyright © 2015 Symantec Corporation 23
IDENTIFICAÇÃO DE ATAQUE DIRECIONADO COM ADVANCED THREAT PROTECTION: EMAIL
Painel do cliente e relatório atualizado
E-mails entregues ao destinatário limpas.
E-mail maliciosos bloqueados
Identificação de Ataques Direcionados
Analistas do STAR examinam os e-mails maliciosos
Observam para zero-day malwaree conteúdo direcionado
Ataques são categorizados com base limiar.
E-mail Security.cloud
E-mails enviados para futura análise
Detecções no Cynic após a entrega
Copyright © 2015 Symantec Corporation 24
PREVENIR, DETECTAR E RESPONDER ATRAVÉS DE VÁRIOS PONTOS DE CONTROLE PARA OBTER O MÁXIMO DE BENEFÍCIO E PROTEÇÃO
Copyright © 2015 Symantec Corporation 25
t
Email Security.cloud + AdvancedThreat Protection: Email
Symantec GlobalIntelligence
Symantec Cynic Symantec Synapse
Remote / Roaming SEP Endpoints
Blacklist Vantage Insight AV Mobile Insight
BLACKLIST
Inspeção em temporeal
SEP ManagerRemote / Roaming SEP
Endpoints
DESCOBRIR PRIORIZAR REMEDIARDetonação física e virtual em sandbox baseadas no cloud
Correlacione endpoint, network e email
Bloquear, limpar e corrigir em tempo real.
SEP Endpoints
Symantec Advanced Threat Protection
OBTENHA SUPORTE ADICIONAL E TREINAMENTO COM SERVIÇOS DA SYMANTEC.
26
Business Critical Services
Education
Essential Support
Remote Product Specialist
Acesso personalizado a um
engenheiro, com experiência
técnica em uma família de
produtos específicos, que também
é habituado com o seu ambiente.
• 24/7/365 online learning anywhere
• Instrutor presencial ou virtual
• Certificações
Premier
• Seu próprio especialista de serviços.
• Rápida resposta na resolução de problemas.
• Planejamento proativo e gerenciamento de risco.
• Acesso incluso no Symantec technical education
• Assistência Onsite.
• Acesso 24/7 de engenheiro de suporte técnicos.• Atualizações de produtos, incluindo atualizações de recursos e
correções de versões.
• Atualização de conteúdo de segurança, incluindo definições de vírus e regras de spam.
Conhecimento e experiência
em todo o ciclo de vida do
software para ajudar você a
atingir os objetivos do seu
negócio.
Consulting
Copyright © 2015 Symantec Corporation
Copyright © 2015 Symantec Corporation
ATP Demonstration
Copyright © 2015 Symantec Corporation 28
Disclaimer
Any information regarding pre-release Symantec offerings, future updates or other planned modifications is subject to ongoing evaluation by Symantec and therefore subject to change.
This information is provided without warranty of any kind, express or implied. Customers who purchase Symantec offerings should make their purchase decision based upon features that are currently available.
Como será a demonstração
Executar uma ferramenta de downloader que busque por uma ameaça de segurança no domínio AMTSO.com (Getpua.exe)
Verificar o evento do SEP
Utilizar as capacidades de busca do ATP para aprender sobre a prevalência da ameaça no ambiente
Black list da fonte (Domínio) e payload SHA256 (Insight)
Verificar os eventos e incidentes Correlação
30
Demo da ameaça
31
GetPua.exe
Downloader.exe
Nasty.exe
PotentiallyUnwanted.exe
(pua.exe)
Fornece persistência(Executa uma chave
para carregar o downloader na
inicialização)
AMSTO.com
Diagrama da rede
32
Win 7-1 .190 Win 7-2 .168 ATP:N .101 ATP:E .99 SEPM .165
192.168.2.0/24
WAN TAP
LAN TAP
VPN
192.168.4.0/24 Demo é executado daqui
Nome do Próximo Webinar BE AWARE para Brasil
Copyright © 2014 Symantec Corporation34
Securing Point of Sales
Para mais informação
@SymantecBR
https://www.facebook.com/SymantecBrasil
Thank you!
Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
Obrigado!