Be Aware Webinar - TECNOLOGIA AVANÇADA PARA DEFENDER O SEU AMBIENTE DE FORMA INTELIGENTE

TECNOLOGIA AVANÇADA PARA DEFENDER O SEU
AMBIENTE DE FORMA INTELIGENTE
Leandro Vicente
Sr. Systems Engineer - SP
Arthur Fang
Principal Technical Support
Engineer - SP
Carlos Guervich
System Engineer - RJ

Sobre os nossos apresentadores
Copyright © 2015 Symantec Corporation
Arthur Fang
Principal Techincal Support Engineer
- 15 anos de experiência em TI
- 9,5 anos na Symantec
- Especialista em soluções de segurança
- Atua na equipe Avançada do Suporte Técnico. Análise de Malware e
Forense.
Leandro Vicente
Sr. Systems Engineer
- 14 anos na Symantec
- Especialista em soluções de segurança e conformidade
- Atua na pré-venda para clientes do segmento Financeiro,
desenvolvendo soluções para proteção e gerenciamento das
informações

Sobre os nossos apresentadores
Carlos Guervich
Systems Engineer
- 10 anos de experiência em TI
- 7 anos na Symantec
- Especialista em soluções de Segurança
- Atua como Engenheiro de Pré-venda para clientes governo e privado
no Rio de Janeiro, Espirito Santo e Nordeste.

Segurança Corporativa| Estratégia de Produtos e Serviços
4
Threat Protection
ENDPOINTS DATA CENTER GATEWAYS
• Advanced Threat Protection através de todos os pontos de controle
• Forense e Remediação embutida em cada ponto de controle
• Proteção integrada para Workloads: On-Premise, Virtual e Cloud
• Gestão baseada em nuvem para Endpoints, Datacenter e Gateways
Unified Security Analytics Platform
Coleta de Logs
e Telemetria
Gestão Unificadas
de Incidentes e
Customer Hub
Integrações com
Terceitos e Inteligência
Benchmarking
Regional e por
Segmento
Análise Integrada
de Comportamento
e Ameaças
Information Protection
DADOS IDENTIDADES
• Proteção integrada para Dados e Identidades
• Cloud Security Broker para Apps Móveis e em Nuvem
• Análise de comportamento dos usuários
• Gestão de Chaves e Criptografia em Nuvem
Users
Data
Apps
Cloud
Endpoints
Gateways
Data
Center
Cyber Security Services
Monitoramento, Resposta a Incidentes, Simulação, Inteligência conta Ameaças e Adversários

TAKE THE NEXT STEP
SYMANTEC
ADVANCED THREAT
PROTECTION 2.0

AS EMPRESAS ESTÃO VULNERÁVEIS A ATAQUES AVANÇADOS
Ambientes grandes e complexos com milhares de endpoints e servidores como alvos
Aumento dos ataques direcionados & violações através de ameaças
Furtivas e Persistentes que permanecem indetectáveis
As defesas tradicionais são insuficientes e as ameaças avançadas escapam dessas proteções
Remediação lenta e requer intervenção manual
28% dos malwares são
vmware-aware
5 de 6 empresas no mundo são alvos de
ataques direcionados
Apenas em 2014
317 Milhões de novas variantes de malware
312 Vazamentos de dados descobertos
6

PREVENIR
Parar os ataques
recebidos
DETECTAR RESPONDER
Conter & Remediar
os problemas
RECUPERAR
Restaurar as
operações
PREVENÇÃO SOZINHA NÃO É SUFICIENTE
7
IDENTIFICAR
Saber onde os dados
importantes estão
Identificar as
Invasões/incursões

CENTENAS DE PRODUTOS PONTUAIS AUMENTAM A “CONFUSÃO”
TEM LEVADO A DIVERSOS NOVOS PRODUTOS E FORNECEDORES “AUTÔNOMOS”
$77B
EM 2015
$170B
EM 2020
Enorme crescimento no
mercado de Segurança
Cibernética
8

A DETECÇÃO TEM SE TORNADO CADA VEZ MAIS DIFÍCIL
O Produtos de segurança atuais em sua maioria não são integrados
As ameaças podem “fugir” de tecnologias tradicionais de sandboxing
Conteúdo malicioso
conhecido detectado
Comportamento de
rede suspeito
Malware conhecido
bloqueado
Comportamento
suspeito do arquivo
Quando as empresas detectam ameaças avançadas, é demorado e difícil para elas
limparem os artefatos de ataque em todo o ambiente
Anexo malicioso
bloqueado
URL maliciosa
detectada
RedeEndpoints Email
9

E EVENTOS DEMORAM TEMPO PARA SEREM TRATADOS
O analista deve entrar em contato com o usuário final e coletar manualmente um arquivo
específico nos endpoints
Conteúdo malicioso
conhecido detectado
Comportamento de
rede suspeito
Malware conhecido
bloqueado
Comportamento
suspeito do arquivo
Seguido por atualizações de políticas individuais para cada produto de segurança para
remover o arquivo onde ele estiver
Anexo malicioso
bloqueado
URL maliciosa
detectada
RedeEndpoints Email
10

VISIBILIDADE E INTELIGÊNCIA SÃO NECESSÁRIAS
11
Conexão de rede bloqueada
Vírus detectado
Email malicioso bloqueado
INTELIGÊNCIA TRADICIONAL
Todas as conexões de rede de todas as
máquinas
Hash do arquivo, fonte, endpoints
infectados
Categoria do malware, método de
detecção, Informações da URL
INTELIGÊNCIA “RICA”

SYMANTEC™ ADVANCED THREAT PROTECTION
SOLUCIONA ESTES PONTOS
Prioriza o que mais importa
Remedia rapidamente
Aproveita investimentos atuais
Descobre ameaças avançadas através de
endpoints, rede, e email
12

DESCOBRE AMEAÇAS AVANÇADAS ATRAVÉS DE
ENDPOINTS, REDE, E EMAIL
Descobre ataques em menos de uma hora.
Procura por qualquer artefato de ataque em toda
a infraestrutura, por hash de arquivo, chave de
registro, ou endereço de IP e URL de origem, com
o simples clique de um botão.
Descobre ataques através de endpoints, rede, e
email, com uma console, não três.
13
REDE E-MAIL
ENDPOINTS

PRIORIZA O QUE É MAIS IMPORTANTE COM O SYMANTEC SYNAPSE™
Reuni e correlaciona todas as
atividades suspeitas através
dos endpoints, rede, e email
Correlaciona com dados da
rede de inteligência Symantec
(GIN - Global Intelligence
Network)
PRIORIZAÇÃO EFETIVA
Visão única de todo o ataque
através de todos os pontos de
controle
Visualize e elimine todos os
artefatos de ataque envolvidos
Ex.. arquivos, endereços de email,
ou IP
INVESTIGAÇÃO UNIFICADA
Reduza o número de analistas
de segurança necessários para
investigar incidentes
Sem necessidades de novos
agentes ou construção de regras
de SIEM complexas
RESULTADOS TANGÍVEIS
“As operações de segurança com o Symantec ATP reduziram em até 70% dos nossos alertas redundantes de email e rede.
Isso nos poupou muito tempo.”
– Grande prestador de serviços
14

DETECTE E PRIORIZE RAPIDAMENTE OS ATAQUES AVANÇADOS
COM O SYMANTEC CYNIC™
Ampla cobertura: Office docs, PDF, Java,
containers, executáveis portáveis
Rápida, análise apurada de quase todos os tipos de
conteúdo malicioso em potencial
Detecta ameaças desenvolvidas para evitar VMs
utilizando máquinas físicas & virtuais
Projetado para tirar malwares VM-aware;
executa e analisa os resultados
Advanced machine learning analysis
combinada com a inteligência global da
Symantec
Detecta ameaças furtivas e persistentes que
defesas tradicionais não conseguem
"Cynic detectou uma versão de cavalo de Tróia em um pacote de
software legítimo que um membro da minha equipe de segurança
baixou. Ele nos salvou de uma falha de segurança enorme. ”
- Líder no fornecimento de alimentos
“O Symantec Cynic detectou um ataque direcionado vindo de outro pais
assim que o recebeu permitindo nosso time de segurança responder
rapidamente a ele.”
– Companhia de eletricidade internacional
Análise/Resultado e inteligência sempre disponível
em minutos não horas
Plataforma na núvem permite
atualizações rápidas uma vez que os
malwares evoluem para evitar a deteção
15

Contenha e solucione um ataque complexo em
minutos, não em dias, semanas ou meses
Clique uma vez, solucione em todos os lugares
Localize e solucione ataques antes que eles façam danos irrecuperáveis
Veja todos os dados de ataque em um só lugar,
sem Qualquer busca manual ou recuperação de
dados
REMEDIAÇÃO RÁPIDA COM UM CLIQUE
16

Integração com o Symantec™ Endpoint Protection 12.1 sem novos
agentes fornecendo valor imediato
Monitoramento com o Symantec™ Managed Security Services
Enviar inteligência rica em Incidentes de Segurança e Sistemas de Gestão de Eventos (SIEMs)
para posterior correlação e investigação.
APROVEITE INVESTIMENTOS ATUAIS EM SOLUÇÕES SYMANTEC
Correlaciona eventos de rede e endpoint com o Symantec™ Email
Security.cloud em minutos
17

ADVANCED THREAT PROTECTION
MÓDULOS
18

SYMANTEC ADVANCED THREAT PROTECTION: ENDPOINT
Adicione recursos de Endpoint Detection and Response (EDR) no seu Symantec Endpoint Protection
• Sem a necessidade de novos agentes.
• Máquina Virtual ou hardware físico.
• Procure por eventos suspeitos e novas ameaças em tempo real.
• Varredura dos endpoints para Indicators of Compromise (IOC)
• Responda e bloqueie as ameaças imediatamente.
• Use o Cynic sandboxing para detectar ameaças avançadas.
• Correlacione automaticamente com ATP: Rede e eventos de Email Security.cloud
INCLUI A PLATAFORMA CORE
SYMANTEC CYNIC™ SYMANTEC SYNAPSE™
Novo sandboxing baseado em cloud e serviço
de payload detonation.
Nova priorização de evento e correlação.
19

CAÇANDO OS INDICATORS OF COMPROMISE COM ADVANCED THREAT
PROTECTION: ENDPOINT
1. O analista de segurança inicia a busca na console Symantec Advanced Threat Protection a varredura nos
clientes.
2. A requisição de varredura está na fila para o heartbeat e será entregue para o cliente no próximo heartbeat. Por
padrão o tempo máximo é de 5 minutos.
3. SEPM inicia a busca em cada endpoint com o SEP cliente, e pode verificar os seguintes itens (Na varredura
rápida ou varredura completa):
• Arquivos por hash (SHA256, SHA1 and MD5) ou nome
• IP externos ou website
• Chave de registros
4. Verificação de resultados são retornados para o SEPM em tempo real.
5. Os dados são disponibilizados na console de Symantec Advanced Threat Protection.
6. O arquivo(s) podem ser recuperadas de qualquer endpoint para análises futuras.
1
2
3
4
5
20

Descubra e priorize ataques avançados que entram na sua organização através de HTTP, FTP e outros
protocolos comuns.
• Máquina Virtual ou hardware físico.
• Implante na porta do switch central da rede (Tap/Span).
• Monitore o tráfego de entrada e saída da internet.
• Visibilidade da rede em todos os dispositivos e todos os protocolos.
• Sandboxing automático com Symantec™ Cynic
• Correlacione automaticamente com Symantec Endpoint Protection e eventos de Email Security.cloud.
SYMANTEC ADVANCED THREAT PROTECTION: NETWORK
21

DETECTE AMEAÇAS ATRAVÉS DE TODOS OS PROTOCOLOS COM ADVANCED
THREAT PROTECTION: NETWORK
Todos os arquivos suspeitos processados pelo ATP:
Network são enviados para Cynic (Office docs, PDF,
Java, containers, executáveis portáteis)
Cynic executa e analisa o comportamento do arquivo
em múltiplos VMs sandboxs, hardware físico para
detectar malware
O comportamento do arquivo é avaliado com o
Symantec Intelligence Data e a segurança é
correlacionado com o ATP:Email e eventos
ATP:Endpoint via Synapse.
Um relatório é gerado com detalhes do eventos/tarefas
com priorização de formas adequadas contra os
eventos de seguranças existentes.
Network Traffic
Endpoints
Threat data and actionable intelligence
Symantec Cynic™
Internet
Blacklist Vantage Insight AV Mobile Insight
BLACKLIST
Real-time Inspection
ATP: Network
Menosde15minutos
Symantec Synapse ™
22

Melhore a capacidade de relatórios e detecção avançada no Symantec Email Security.cloud
• Detecção de ameaças avançadas de anexos com Cynic sandboxing.
• Identifique alvos de ataques contra uma organização ou um usuário específico.
• Relatório detalhado e níveis de severidade para priorização.
• Exportação de dados On-demand para SIEMs
• Facilmente gerenciado via portal de gerenciamento do Symantec.cloud.
• Correlação automática de eventos com o Symantec Endpoint Protection e ATP: Network
SYMANTEC ADVANCED THREAT PROTECTION: EMAIL
23

IDENTIFICAÇÃO DE ATAQUE DIRECIONADO COM ADVANCED THREAT
PROTECTION: EMAIL
Painel do cliente e relatório atualizado
E-mails entregues ao destinatário limpas.
E-mail
maliciosos
bloqueados
Identificação de Ataques Direcionados
Analistas do STAR examinam os e-
mails maliciosos
Observam para zero-day malware
e conteúdo direcionado
Ataques são categorizados com
base limiar.
E-mail Security.cloud
E-mails enviados para futura análise
Detecções no Cynic após a entrega
24

PREVENIR, DETECTAR E RESPONDER ATRAVÉS DE VÁRIOS PONTOS DE
CONTROLE PARA OBTER O MÁXIMO DE BENEFÍCIO E PROTEÇÃO
25
t
Email Security.cloud + Advanced
Threat Protection: Email
Symantec Global
Intelligence
Symantec Cynic Symantec Synapse
Remote / Roaming SEP
Endpoints
Blacklist Vantage Insight AV Mobile Insight
BLACKLIST
Inspeção em tempo
real
SEP Manager
Remote / Roaming SEP
Endpoints
DESCOBRIR PRIORIZAR REMEDIAR
Detonação física e virtual em
sandbox baseadas no cloud
Correlacione endpoint,
network e email
Bloquear, limpar e
corrigir em tempo real.
SEP Endpoints
Symantec Advanced Threat Protection

OBTENHA SUPORTE ADICIONAL E TREINAMENTO COM SERVIÇOS DA
SYMANTEC.
26
Business Critical Services
Education
Essential Support
Remote Product Specialist
Acesso personalizado a um
engenheiro, com experiência
técnica em uma família de
produtos específicos, que também
é habituado com o seu ambiente.
• 24/7/365 online
learning anywhere
• Instrutor presencial ou
virtual
• Certificações
Premier
• Seupróprio especialista deserviços.
• Rápida resposta na resolução de
problemas.
• Planejamento proativo e gerenciamento
de risco.
• Acesso incluso no Symantec
technical education
• Assistência Onsite.
• Acesso 24/7 de engenheiro de suporte técnicos.
• Atualizações de produtos, incluindo atualizações de recursos e
correções de versões.
• Atualização de conteúdo de segurança, incluindo definições de vírus
e regras de spam.
Conhecimento e experiência
em todo o ciclo de vida do
software para ajudar você a
atingir os objetivos do seu
negócio.
Consulting

Disclaimer
Any information regarding pre-release Symantec
offerings, future updates or other planned
modifications is subject to ongoing evaluation by
Symantec and therefore subject to change.
This information is provided without warranty of any
kind, express or implied. Customers who purchase
Symantec offerings should make their purchase decision
based upon features that are currently available.

Como será a demonstração
Executar uma ferramenta de downloader que busque por uma
ameaça de segurança no domínio AMTSO.com (Getpua.exe)
Verificar o evento do SEP
Utilizar as capacidades de busca do ATP para aprender sobre a
prevalência da ameaça no ambiente
Black list da fonte (Domínio) e payload SHA256 (Insight)
Verificar os eventos e incidentes  Correlação
30

Demo da ameaça
31
GetPua.exe
Downloader.exe
Nasty.exe
PotentiallyUn
wanted.exe
(pua.exe)
Fornece persistência
(Executa uma chave
para carregar o
downloader na
inicialização)
AMSTO.com

Diagrama da rede
32
Win 7-1 .190 Win 7-2 .168 ATP:N .101 ATP:E .99 SEPM .165
192.168.2.0/24
WAN TAP
LAN TAP
VPN
192.168.4.0/24 Demo é executado daqui

Perguntas do Chat
33
SymantecMarketing_BR@symantec.com

Nome do Próximo Webinar BE AWARE para Brasil
34
Securing
Point of Sales
Para mais informação
@SymantecBR
https://www.facebook.com/SymantecBrasil
SymantecMarketing_BR@symantec.com

Thank you!
Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be
trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by
law. The information in this document is subject to change without notice.
Obrigado!

Be Aware Webinar - TECNOLOGIA AVANÇADA PARA DEFENDER O SEU AMBIENTE DE FORMA INTELIGENTE

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Be Aware Webinar - TECNOLOGIA AVANÇADA PARA DEFENDER O SEU AMBIENTE DE FORMA INTELIGENTE

Similaire à Be Aware Webinar - TECNOLOGIA AVANÇADA PARA DEFENDER O SEU AMBIENTE DE FORMA INTELIGENTE (20)

Plus de Symantec Brasil

Plus de Symantec Brasil (15)

Be Aware Webinar - TECNOLOGIA AVANÇADA PARA DEFENDER O SEU AMBIENTE DE FORMA INTELIGENTE