זיהוי ומניעת איומים על ידי Symantec ATP: Network

כתב: רון כהן, מנהל טכנולוגיות איזורי ישראל , רוסיה ודרום אפריקה, סימנטק (Symantec).

Symantec Advanced Threat Protection: Network, מספק הגנה מקיפה וחדשנית באזורי הכניסה לארגון מרשת האינטרנט. איך הפתרון משתלב עם מוצרים אחרים של סימנטק כגון Symantec Endpoint Protection, ואיך הוא עוזר לאחראים על אבטחת המידע והסייבר לקבל זווית ראייה רחבה ומקיפה יותר על האיומים העומדים מול הארגון?

מניעת איומים ברשת

כהתקן רשתי, Advanced Threat Protection: Network מסוגל לנטר את כל ההתקנים ברשת. בארגונים רבים קיימות מערכות אשר אינן מוגנות בסוכנים כתוצאה מבעיות תאימות, כיסוי או מוטת שליטה. Advanced Threat Protection: Network מגן ומכסה גם התקנים וציוד כזה. עם התרחבות השימוש בטלפונים והתקנים ניידים, ובמיוחד כאלה אשר אינם בבעלות הארגון (BYOD), רשת הארגון כוללת גם מחשבים ניידים, טלפונים חכמים, טאבלטים והתקנים נוספים. כל אחד מאלה הוא דלת כניסה נוספת לתוקפים. Advanced Threat Protection: Network מאפשר ניטור התעבורה של כל אחד מהתקנים אלה ומניעת איומים עליהם, כגון פעילות C&C, ללא צורך להתקין על מכשירים אלה תוכנה כלשהי.

Advanced Threat Protection: Network, מנצל יכולות טכנולוגיות מובילות של סימנטק כגון: Insight, SONAR ו-Vantage Network Intrusion Prevention. כלל היכולות מוטמעות בהתקן רשת קרוב לפיירוול הארגוני, דבר המאפשר הפעלת כלל היכולות תוך כוונון מדויק ללא הסכנה של זיהוי שגוי של אפליקציות פנים ארגוניות. התוצאה היא יכולות זיהוי גבוהות מאוד של איומים ידועים ולא ידועים.

ניתוח פוגענים מתקדם על ידי Symantec Cynic

Advanced Threat Protection: Network, מציע את השירות החדש לניתוח איומים Symantec Cynic. קבצים חשודים מנותחים דינאמית למציאת התנהגות עוינת על ידי שימוש בטכנולוגיית Symantec Workspace Virtualization, המאפשרת הרצה של הקוד החשוד על מגוון רחב של יישומים פגיעים, גרסאות חדשות לצד גרסאות ישנות יותר. בנוסף משתמש השירות בגרסאות מכווננות של מנועי SONAR ו-Vantage.

הנוזקות המתקדמות ביותר משתמשות בטכניקות התחמקות מסביבות וירטואליות (VX). ה-Cynic מזהה גם נוזקות וקוד עוין מתקדם זה על ידי הרצת הקוד העוין והנוזקה על סביבות פיזיות (Bare Metal), ועל ידי שימוש בטכנולוגיות ניתוח סטאטי ייעודיות של סימנטק (Skeptic Engine). כך מצליח שירות הניתוח לזהות ולאפיין נוזקות מתוחכמות המנסות להתחמק בדרכים שונות.

אבל, Cynic, הוא הרבה יותר ממנוע ניתוח איומים סטטי ודינאמי. Cynic, מנצל את בסיס מודיעין הסייבר הרחב מאוד של סימנטק . על ידי ניצול מודיעין זה, השירות מסוגל לא רק לזהות קוד עוין, אלא אפילו לקשר בין קוד עוין שלא נראה מעולם קודם לכן למשפחות איומים קיימות. זה נעשה על ידי הכרה וידע של התנהגות איומים וקוד עוין בכל העולם. כותבי נוזקות, כמובן, משנים את הקוד, מקפלים אותו מחדש, עוטפים ואורזים אותו בטכניקות שונות על מנת לייצר קובץ בינארי חדש. למרות זאת, גם ההתקפות המתוחכמות ביותר כוללות קוד עוין שהושקע בו מאמץ רב, ולכן קיים שימוש נרחב בקוד קיים. מאגר המידע הרחב של Cynic, מאפשר לשירות לנתח קוד שלא נראה מעולם ולזהות בו התנהגויות ומאפיינים קיימים ולשייך אותו למשפחות איומים ידועות.

מידע וידע זה מאפשר החלת מאפיינים גלובליים להתקפות ייחודיות וייעודיות. Cynic, לא רק מנתח ומראה מה עושה הקוד העוין אלא מוסיף גם תוכן גלובלי כגון: היכן נראה אותו איום, מה מקור ההתקפה ומה דרכי החדירה וההתפשטות שלו.

תמונת מצב מקיפה דרך שיתוף נתונים

Advanced Threat Protection: Network לא רק מזהה איומים בתוך הארגון שלך, אלא מצביע על דפוסי ההתקפה כגון: עמדות קצה ושרתים המותקפים בצורה שיטתית, תוקפים חיצוניים המנסים לחדור לארגון ונסיונות סריקה ופריצה לרשת. זה מראה לארגון ולאנשי אבטחת המידע וההגנה בסייבר את התמונה המלאה של "שדה הקרב" ולא רק אירוע בדיד.

Advanced Threat Protection: Network, משתמש בטכנולוגיית קישור ואחזור נתונים בשם Symantec Synapse. טכנולוגיה זו מאפשרת קישור בין Advanced Threat Protection: Network, Symantec Endpoint Prtoection ו-Email Security.Cloud. קישור ושיתוף נתונים בין שלושת הפתרונות הללו המכסים את מימדי הרשת, נקודות הקצה והדואר האלקטרוני, ומאפשרים שיוך של אירועים שונים לכלל מערכה אחת כמו למשל חיבור בין הודעת דואר ממוקדת (Spear Phishing email), לשרשרת אירועים הכוללים הורדת קבצים וזליגת מידע.

הפתרון הכולל מאחד טכנולוגיות פורצות דרך ומוכחות, על מנת לתת לארגון תמונת מצב רחבה ומקיפה, תובנות מדויקות על התקפות ואיומים ודרכים להתמודד במהירות ויעילות עם אירועי אבטחת מידע וסייבר.

להרשמה לאירוע לחצו כאן.