be aware webinar - tecnologia avanÇada para defender o seu ambiente de forma inteligente

TECNOLOGIA AVANÇADA PARA DEFENDER O SEU AMBIENTE DE FORMA INTELIGENTE

Leandro Vicente

Sr. Systems Engineer - SP

Arthur Fang

Principal Technical Support Engineer - SP

Carlos Guervich

System Engineer - RJ

Sobre os nossos apresentadores

Copyright © 2015 Symantec Corporation

Arthur FangPrincipal Techincal Support Engineer

- 15 anos de experiência em TI- 9,5 anos na Symantec- Especialista em soluções de segurança- Atua na equipe Avançada do Suporte Técnico. Análise de Malware e Forense.

Leandro VicenteSr. Systems Engineer

- 14 anos na Symantec- Especialista em soluções de segurança e conformidade- Atua na pré-venda para clientes do segmento Financeiro, desenvolvendo soluções para proteção e gerenciamento das informações

Sobre os nossos apresentadores


Carlos GuervichSystems Engineer

- 10 anos de experiência em TI- 7 anos na Symantec- Especialista em soluções de Segurança- Atua como Engenheiro de Pré-venda para clientes governo e privado no Rio de Janeiro, Espirito Santo e Nordeste.

Segurança Corporativa| Estratégia de Produtos e Serviços

4

Threat Protection

ENDPOINTS DATA CENTER GATEWAYS

• Advanced Threat Protection através de todos os pontos de controle• Forense e Remediação embutida em cada ponto de controle• Proteção integrada para Workloads: On-Premise, Virtual e Cloud• Gestão baseada em nuvem para Endpoints, Datacenter e Gateways

Unified Security Analytics Platform

Coleta de Logs e Telemetria

Gestão Unificadasde Incidentes e Customer Hub

Integrações com Terceitos e Inteligência

Benchmarking Regional e porSegmento

Análise Integradade Comportamentoe Ameaças

Information Protection

DADOS IDENTIDADES

• Proteção integrada para Dados e Identidades• Cloud Security Broker para Apps Móveis e em Nuvem• Análise de comportamento dos usuários• Gestão de Chaves e Criptografia em Nuvem

Users

Data

Apps

Cloud

Endpoints

Gateways

Data Center

Cyber Security ServicesMonitoramento, Resposta a Incidentes, Simulação, Inteligência conta Ameaças e Adversários


TAKE THE NEXT STEP

SYMANTEC

ADVANCED THREAT PROTECTION 2.0

AS EMPRESAS ESTÃO VULNERÁVEIS A ATAQUES AVANÇADOS

Ambientes grandes e complexos com milhares de endpoints e servidores como alvos

Aumento dos ataques direcionados & violações através de ameaças

Furtivas e Persistentes que permanecem indetectáveis

As defesas tradicionais são insuficientes e as ameaças avançadas escapam dessas proteções

Remediação lenta e requer intervenção manual

28% dos malwares são

vmware-aware

5 de 6 empresas no mundo são alvos de ataques direcionados

Apenas em 2014

317 Milhões de novas variantes de malware

312 Vazamentos de dados descobertos

Copyright © 2015 Symantec Corporation 6

PREVENIR

Parar os ataquesrecebidos

DETECTAR RESPONDER

Conter & Remediaros problemas

RECUPERAR

Restaurar asoperações

PREVENÇÃO SOZINHA NÃO É SUFICIENTE


IDENTIFICAR

Saber onde os dadosimportantes estão

Identificar asInvasões/incursões

CENTENAS DE PRODUTOS PONTUAIS AUMENTAM A “CONFUSÃO”

TEM LEVADO A DIVERSOS NOVOS PRODUTOS E FORNECEDORES “AUTÔNOMOS”

$77B EM 2015

$170B EM 2020

Enorme crescimento no mercado de Segurança

Cibernética


A DETECÇÃO TEM SE TORNADO CADA VEZ MAIS DIFÍCIL

O Produtos de segurança atuais em sua maioria não são integradosAs ameaças podem “fugir” de tecnologias tradicionais de sandboxing

Conteúdo maliciosoconhecido detectado

Comportamento derede suspeito

Malware conhecido bloqueado

Comportamento suspeito do arquivo

Quando as empresas detectam ameaças avançadas, é demorado e difícil para elas limparem os artefatos de ataque em todo o ambiente

Anexo maliciosobloqueado

URL maliciosa detectada

RedeEndpoints Email


E EVENTOS DEMORAM TEMPO PARA SEREM TRATADOSO analista deve entrar em contato com o usuário final e coletar manualmente um arquivo

específico nos endpoints

Conteúdo maliciosoconhecido detectado

Comportamento derede suspeito

Malware conhecido bloqueado

Comportamento suspeito do arquivo

Seguido por atualizações de políticas individuais para cada produto de segurança para remover o arquivo onde ele estiver

Anexo maliciosobloqueado

URL maliciosa detectada

RedeEndpoints Email


VISIBILIDADE E INTELIGÊNCIA SÃO NECESSÁRIAS


Conexão de rede bloqueada

Vírus detectado

Email malicioso bloqueado

INTELIGÊNCIA TRADICIONAL

Todas as conexões de rede de todas as máquinas

Hash do arquivo, fonte, endpointsinfectados

Categoria do malware, método de detecção, Informações da URL

INTELIGÊNCIA “RICA”

SYMANTEC™ ADVANCED THREAT PROTECTIONSOLUCIONA ESTES PONTOS

Prioriza o que mais importa

Remedia rapidamente

Aproveita investimentos atuais

Descobre ameaças avançadas através de endpoints, rede, e email


DESCOBRE AMEAÇAS AVANÇADAS ATRAVÉS DEENDPOINTS, REDE, E EMAIL

Descobre ataques em menos de uma hora.

Procura por qualquer artefato de ataque em toda

a infraestrutura, por hash de arquivo, chave de

registro, ou endereço de IP e URL de origem, com

o simples clique de um botão.

Descobre ataques através de endpoints, rede, e

email, com uma console, não três.


REDE E-MAIL

ENDPOINTS

PRIORIZA O QUE É MAIS IMPORTANTE COM O SYMANTEC SYNAPSE™

Reuni e correlaciona todas as atividades suspeitas através dos endpoints, rede, e email

Correlaciona com dados da rede de inteligência Symantec (GIN - Global IntelligenceNetwork)

PRIORIZAÇÃO EFETIVA

Visão única de todo o ataque através de todos os pontos de controle

Visualize e elimine todos os artefatos de ataque envolvidos Ex.. arquivos, endereços de email, ou IP

INVESTIGAÇÃO UNIFICADA

Reduza o número de analistas de segurança necessários para investigar incidentes

Sem necessidades de novos agentes ou construção de regras de SIEM complexas

RESULTADOS TANGÍVEIS

“As operações de segurança com o Symantec ATP reduziram em até 70% dos nossos alertas redundantes de email e rede. Isso nos poupou muito tempo.”

– Grande prestador de serviços


DETECTE E PRIORIZE RAPIDAMENTE OS ATAQUES AVANÇADOSCOM O SYMANTEC CYNIC™

Ampla cobertura: Office docs, PDF, Java, containers, executáveis portáveis

Rápida, análise apurada de quase todos os tipos de conteúdo malicioso em potencial

Detecta ameaças desenvolvidas para evitar VMsutilizando máquinas físicas & virtuais

Projetado para tirar malwares VM-aware; executa e analisa os resultados

Advanced machine learning analysiscombinada com a inteligência global da Symantec

Detecta ameaças furtivas e persistentes que defesas tradicionais não conseguem

"Cynic detectou uma versão de cavalo de Tróia em um pacote de software legítimo que um membro da minha equipe de segurança

baixou. Ele nos salvou de uma falha de segurança enorme. ”- Líder no fornecimento de alimentos

“O Symantec Cynic detectou um ataque direcionado vindo de outro pais assim que o recebeu permitindo nosso time de segurança responder

rapidamente a ele.” – Companhia de eletricidade internacional

Análise/Resultado e inteligência sempre disponível em minutos não horas

Plataforma na núvem permite atualizações rápidas uma vez que os malwares evoluem para evitar a deteção


Contenha e solucione um ataque complexo em minutos, não em dias, semanas ou meses

Clique uma vez, solucione em todos os lugares

Localize e solucione ataques antes que eles façam danos irrecuperáveis

Veja todos os dados de ataque em um só lugar, sem Qualquer busca manual ou recuperação de dados

REMEDIAÇÃO RÁPIDA COM UM CLIQUE


Integração com o Symantec™ Endpoint Protection 12.1 sem novos agentes fornecendo valor imediato

Monitoramento com o Symantec™ Managed Security Services

Enviar inteligência rica em Incidentes de Segurança e Sistemas de Gestão de Eventos (SIEMs) para posterior correlação e investigação.

APROVEITE INVESTIMENTOS ATUAIS EM SOLUÇÕES SYMANTEC

Correlaciona eventos de rede e endpoint com o Symantec™ EmailSecurity.cloud em minutos


ADVANCED THREAT PROTECTION MÓDULOS

18

SYMANTEC ADVANCED THREAT PROTECTION: ENDPOINT

Adicione recursos de Endpoint Detection and Response (EDR) no seu Symantec Endpoint Protection

• Sem a necessidade de novos agentes.

• Máquina Virtual ou hardware físico.

• Procure por eventos suspeitos e novas ameaças em tempo real.

• Varredura dos endpoints para Indicators of Compromise (IOC)

• Responda e bloqueie as ameaças imediatamente.

• Use o Cynic sandboxing para detectar ameaças avançadas.

• Correlacione automaticamente com ATP: Rede e eventos de Email Security.cloud

INCLUI A PLATAFORMA CORE

SYMANTEC CYNIC™ SYMANTEC SYNAPSE™Novo sandboxing baseado em cloud e serviço de payload detonation.

Nova priorização de evento e correlação.


CAÇANDO OS INDICATORS OF COMPROMISE COM ADVANCED THREAT PROTECTION: ENDPOINT

1. O analista de segurança inicia a busca na console Symantec Advanced Threat Protection a varredura nos clientes.

2. A requisição de varredura está na fila para o heartbeat e será entregue para o cliente no próximo heartbeat. Por padrão o tempo máximo é de 5 minutos.

3. SEPM inicia a busca em cada endpoint com o SEP cliente, e pode verificar os seguintes itens (Na varredura rápida ou varredura completa):

• Arquivos por hash (SHA256, SHA1 and MD5) ou nome

• IP externos ou website

• Chave de registros

4. Verificação de resultados são retornados para o SEPM em tempo real.

5. Os dados são disponibilizados na console de Symantec Advanced Threat Protection.

6. O arquivo(s) podem ser recuperadas de qualquer endpoint para análises futuras.

1

2

3

4

5


Descubra e priorize ataques avançados que entram na sua organização através de HTTP, FTP e outros

protocolos comuns.

• Máquina Virtual ou hardware físico.

• Implante na porta do switch central da rede (Tap/Span).

• Monitore o tráfego de entrada e saída da internet.

• Visibilidade da rede em todos os dispositivos e todos os protocolos.

• Sandboxing automático com Symantec™ Cynic

• Correlacione automaticamente com Symantec Endpoint Protection e eventos de Email Security.cloud.


SYMANTEC CYNIC™ SYMANTEC SYNAPSE™Novo sandboxing baseado em cloud e serviçode payload detonation.


SYMANTEC ADVANCED THREAT PROTECTION: NETWORK


DETECTE AMEAÇAS ATRAVÉS DE TODOS OS PROTOCOLOS COM ADVANCED THREAT PROTECTION: NETWORK

Todos os arquivos suspeitos processados pelo ATP: Network são enviados para Cynic (Office docs, PDF,

Java, containers, executáveis portáteis)

Cynic executa e analisa o comportamento do arquivo em múltiplos VMs sandboxs, hardware físico para

detectar malware

O comportamento do arquivo é avaliado com o Symantec Intelligence Data e a segurança é correlacionado com o ATP:Email e eventos

ATP:Endpoint via Synapse.

Um relatório é gerado com detalhes do eventos/tarefas com priorização de formas adequadas contra os

eventos de seguranças existentes.

Network Traffic

EndpointsThreat data and actionable intelligence

Symantec Cynic™

Internet

Blacklist Vantage Insight AV Mobile Insight

BLACKLIST

Real-time Inspection

ATP: Network

Men

os

de

15

min

uto

s

Symantec Synapse ™


Melhore a capacidade de relatórios e detecção avançada no Symantec Email Security.cloud

• Detecção de ameaças avançadas de anexos com Cynic sandboxing.

• Identifique alvos de ataques contra uma organização ou um usuário específico.

• Relatório detalhado e níveis de severidade para priorização.

• Exportação de dados On-demand para SIEMs

• Facilmente gerenciado via portal de gerenciamento do Symantec.cloud.

• Correlação automática de eventos com o Symantec Endpoint Protection e ATP: Network


SYMANTEC CYNIC™ SYMANTEC SYNAPSE™Novo sandboxing baseado em cloud e serviço de payload detonation.


SYMANTEC ADVANCED THREAT PROTECTION: EMAIL


IDENTIFICAÇÃO DE ATAQUE DIRECIONADO COM ADVANCED THREAT PROTECTION: EMAIL

Painel do cliente e relatório atualizado

E-mails entregues ao destinatário limpas.

E-mail maliciosos bloqueados

Identificação de Ataques Direcionados

Analistas do STAR examinam os e-mails maliciosos

Observam para zero-day malwaree conteúdo direcionado

Ataques são categorizados com base limiar.

E-mail Security.cloud

E-mails enviados para futura análise

Detecções no Cynic após a entrega


PREVENIR, DETECTAR E RESPONDER ATRAVÉS DE VÁRIOS PONTOS DE CONTROLE PARA OBTER O MÁXIMO DE BENEFÍCIO E PROTEÇÃO


t

Email Security.cloud + AdvancedThreat Protection: Email

Symantec GlobalIntelligence

Symantec Cynic Symantec Synapse

Remote / Roaming SEP Endpoints

Blacklist Vantage Insight AV Mobile Insight

BLACKLIST

Inspeção em temporeal

SEP ManagerRemote / Roaming SEP

Endpoints

DESCOBRIR PRIORIZAR REMEDIARDetonação física e virtual em sandbox baseadas no cloud

Correlacione endpoint, network e email

Bloquear, limpar e corrigir em tempo real.

SEP Endpoints

Symantec Advanced Threat Protection

OBTENHA SUPORTE ADICIONAL E TREINAMENTO COM SERVIÇOS DA SYMANTEC.

26

Business Critical Services

Education

Essential Support

Remote Product Specialist

Acesso personalizado a um

engenheiro, com experiência

técnica em uma família de

produtos específicos, que também

é habituado com o seu ambiente.

• 24/7/365 online learning anywhere

• Instrutor presencial ou virtual

• Certificações

Premier

• Seu próprio especialista de serviços.

• Rápida resposta na resolução de problemas.

• Planejamento proativo e gerenciamento de risco.

• Acesso incluso no Symantec technical education

• Assistência Onsite.

• Acesso 24/7 de engenheiro de suporte técnicos.• Atualizações de produtos, incluindo atualizações de recursos e

correções de versões.

• Atualização de conteúdo de segurança, incluindo definições de vírus e regras de spam.

Conhecimento e experiência

em todo o ciclo de vida do

software para ajudar você a

atingir os objetivos do seu

negócio.

Consulting


ATP Demonstration


Disclaimer

Any information regarding pre-release Symantec offerings, future updates or other planned modifications is subject to ongoing evaluation by Symantec and therefore subject to change.

This information is provided without warranty of any kind, express or implied. Customers who purchase Symantec offerings should make their purchase decision based upon features that are currently available.

Como será a demonstração

Executar uma ferramenta de downloader que busque por uma ameaça de segurança no domínio AMTSO.com (Getpua.exe)

Verificar o evento do SEP

Utilizar as capacidades de busca do ATP para aprender sobre a prevalência da ameaça no ambiente

Black list da fonte (Domínio) e payload SHA256 (Insight)

Verificar os eventos e incidentes Correlação

30

Demo da ameaça

31

GetPua.exe

Downloader.exe

Nasty.exe

PotentiallyUnwanted.exe

(pua.exe)

Fornece persistência(Executa uma chave

para carregar o downloader na

inicialização)

AMSTO.com

Diagrama da rede

32

Win 7-1 .190 Win 7-2 .168 ATP:N .101 ATP:E .99 SEPM .165

192.168.2.0/24

WAN TAP

LAN TAP

VPN

192.168.4.0/24 Demo é executado daqui

Nome do Próximo Webinar BE AWARE para Brasil

Copyright © 2014 Symantec Corporation34

Securing Point of Sales

Para mais informação

@SymantecBR

https://www.facebook.com/SymantecBrasil

[email protected]

Thank you!

Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.

This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.

Obrigado!

be aware webinar - tecnologia avanÇada para defender o seu ambiente de forma inteligente

Technology