Symantec ATP – це єдина платформа, що дозволяє скоротити час виявлення кіберзагроз або їх слідів, а також час реакції на них. Дане комплексне рішення дозволить виявляти кореляцію шкідливої активності на рівні мережі та окремих вузлів, що істотно знизить кількість помилкових спрацьовувань, точно виділяючи лише значущі інциденти й прискорюючи реагування на найбільш критичні. Дві нові інноваційні технології, які є природним продовженням попередніх розробок, посилять можливості виявлення й нейтралізації...
Показати все
Symantec ATP – це єдина платформа, що дозволяє скоротити час виявлення кіберзагроз або їх слідів, а також час реакції на них. Дане комплексне рішення дозволить виявляти кореляцію шкідливої активності на рівні мережі та окремих вузлів, що істотно знизить кількість помилкових спрацьовувань, точно виділяючи лише значущі інциденти й прискорюючи реагування на найбільш критичні. Дві нові інноваційні технології, які є природним продовженням попередніх розробок, посилять можливості виявлення й нейтралізації загроз: cервіс динамічного аналізу шкідливих програм Cynic (хмарне закрите тестове середовище або «пісочниця», в якій проводиться поведінковий аналіз) і технологія Synapse (середовище взаємодії між засобами захисту вузлів, електронної пошти та шлюзів для кореляції подій в усіх точках контролю).
В рамках Symantec Advanced Threat Protection Platform With Endpoint And Network And Email пропонує відразу три модулі: ATP: Endpoint, ATP: Email і ATP: Network, що розгортаються на одному або декількох апплайнсах (віртуальних або фізичних) і керованих з єдиної консолі.
Агентом ATP: Endpoint на кінцевих точках є SEP клієнт (версії 12.1.6 і вище). Завдяки цьому на кінцевих точках не потрібно розгортання ніяких додаткових агентів. Для SEP клієнта ATP: Endpoint виступає в ролі серверу обробки запитів репутації (Insight), що дозволяє моментально застосувати власні blacklist / whitelist для SEP клієнтів. Завдяки цьому стає відомо, на яких робочих станціях, коли й ким був оброблений той чи інший файл. Тепер, як тільки виявиться небезпечний файл, його хеш додається до blacklist, щоб моментально запобігти його подальшому розповсюдженню або використання де б то не було. І навпаки, в разі помилкового спрацьовування, «небезпечний» файл можна додати до whitelist. Для можливості розслідування наслідків атаки та прискорення реагування, модуль ATP: Endpoint отримує доступ до подій, що зберігаються в базі даних SEP, а також може через консоль управління SEP давати різні завдання SEP клієнтам: пошук доказів злому (за іменем або хешем файлу, за реєстром) , відправку файлу на аналіз до пісочниці, видалення файлу, блокування робочої станції.
Це доповнення Symantec Email Security.cloud, яке виявляє додаткові загрози, відправлені по електронній пошті з ізольованим програмним середовищем Symantec Cynic і надає докладні звіти про шкідливі програми та адресні атаки для того, щоб швидко та ефективно реагувати на загрози. Cynic виявляє невідоме шкідливе ПЗ і розширені загрози, виконавши контент у віртуальних і фізичних середовищах ізольованого програмного середовища, а також те, що імітує людську поведінку.
Сканери ATP: Network підключаються або до SPAN порту, або в розрив. Сканований вихідний і вхідний мережевий трафік аналізується по чотирьом технологіям (whitelist / blacklist, IPS / IDS, антивірус, репутація). У разі, якщо жодна з технологій не виявила загрозу, файл відправляється в пісочницю для «детонації», і в разі виявлення ознак небезпечних дій автоматично додається в blacklist хеш файлу, що тут же застосовується на всіх інших точках контролю: сканерах ATP: Network і SEP клієнтів (через модуль ATP: Endpoint). У blacklist / whiltelist сканерів ATP: Network також можуть бути занесені домени, URL, IP і IP subnet. ATP: Network також завантажує дані про події з бази даних сервера управління SEP, аналізуючи і корелюючи їх з подіями ATP: Network, щоб виявити ознаки кіберзагрози. Пісочниця Cynic - хмарна, що підвищує ймовірність виявлення шкідників, так як реверс- інжиніринг не застосовуються і розробники шкідливого софту знаходяться в скрутному становищі. Також завдяки цьому відсутня проблема з виділенням обчислювальних ресурсів, достатніх для виконання аналізу поведінки без черг. У пісочниці Cynic використовуються не тільки віртуальні, але і фізичні машини, що підвищують ймовірність виявлення шкідників, так як більш 30% шкідників проявляються лише на фізичних системах.
Приховати
