賽門鐵克企業版SEP 11.0 RU5試用心得

賽門鐵克企業版SEP 11.0 RU5試用心得

企業資訊安全比起個人的電腦資訊安全需要控管的項目更多也更複雜,與個人電腦資訊安全一個很大的不同點在於,企業使用的軟體需要快速且方便進行控管,以便在問題發生前能確實的防患未然,若遇到資安問題發生時也能快速的排除。因此賽門鐵克針對企業的需求推出了Symantec Endpoint Protection (SEP)這套軟體,讓企業防毒防駭可以輕鬆的在彈指間完成。

通常企業在使用軟體前都會考量軟體的架構是不是合乎企業的人數需求,這點Symantec Endpoint Protection(以下用SEP簡稱)也幫企業想好了,安裝完SEP管理端SEPM(Symantec Endpoint Protection Manager)之後,我們可以在管理伺服器架構精靈中方便的選擇簡易(100個以下用戶端)進階(100個以上用戶端)兩種模式,因此不管是中小企業或者是大型企業,SEP絕對都可以滿足企業的需求。

SEP不是一般只擁有防毒單一功能的軟體,它包含了以下功能
1. 防毒和防間諜軟體
2. 防火牆
3. 入侵預防
4. 主動型威脅防護
5. 應用程式與裝置控制

1. 防毒和防間諜軟體
防毒的部分一向都是賽門鐵克的強項,防毒除了要預防用戶端免於病毒的威脅,誤判率也是相當的重要。如果號稱防毒功能相當強大但誤判率卻很高,這樣的情形就會導致狼來了的故事,等到真正的病毒感染時,使用者也會由於軟體過於頻繁的誤判而疏忽它。賽門鐵克在這個部分做得相當的好,不僅擁有好的防毒功能,誤判率也一直維持在業界最低。

另外一個非常實用的功能就是風險追蹤程式,企業中如果爆發病毒感染,這時候最令人頭痛的就是要找出感染源,所謂擒賊先擒王,找出帶原者並且修復它才能阻止企業內病毒不斷的蔓延與重生。

2. 防火牆
防火牆的重點在於規則的設定要快速簡單,當我們開啟SPEM的防火牆規則時,可以看到一目了然的規則設定畫面。
SEP firewall rules setting

如果要變更規則的內容,只需要在規則中需要變更的欄位雙擊就可以開啟變更的視窗,操作相當的簡單。
SEP change firewall rules

3. 入侵預防(IPS)
入侵預防是SEP用戶端在防火牆後的第二層防護。如果偵測到已知的攻擊,IPS會自動以一種或者多種的入侵預防方法攔截攻擊。

入侵預防會掃描網路中每個進出電腦的封包,偵測每個封包的攻擊特徵,如果比對相符合,就會自動將封包捨棄,必要的時候還可以切斷與來源電腦的連線一段時間,保護電腦不會受到影響。

SEP的入侵預防是業界整合最齊全的產品,包含了網路型主機型的兩種功能。
網路型的入侵預防採用了三種技術
     (1) 弱點型IPS技術:GEB (Generic Exploit Blocking)
     (2) 深層封包檢測IPS技術:Deep packet inspection
     (3) 自訂特徵的IPS技術:SNORT-like

主機型的入侵預防則是採用主動型威脅防護(TruScan)

現在透過系統漏洞進行攻擊的病毒通常在很短的時間就會出現相當多的變種在網路上流竄,這時候單靠病毒定義檔來防護常常會造成防護上的漏洞。透過GEB技術可以在不需要更新病毒檔的情況下,針對病毒的特徵進行偵測與攔阻。

4. 主動型威脅防護(TruScan)
當有新的病毒被發現到各資安廠商提供新病毒定義檔大約至少需三個小時;而GEB大約在漏洞被公告的24小時內會提供特徵更新。這樣看來即使GEB功能再強大但是在獲得病毒特徵前,我們依然暴露在會被攻擊的風險之中。

為了補足這塊安全性上的漏洞,賽門鐵克透過SONAR(Symantec Online Network for Advanced Response)為核心技術架構了Truscan。

TruScan不像防毒和防間諜軟體需要依靠病毒定義檔或特徵來偵測已知的威脅,它會使用啟發方式來偵測未知的威脅。所謂的啟發方式就是分析應用程式的行為,然後主動判斷是否具有威脅或者是可疑的行為

加上現在大部分的攻擊皆屬於零時差(註)攻擊,若是依賴傳統的病毒定義檔或特徵,使用者對於這類型的攻擊完全無招架之力。透過TruScan特有的防護機制可以讓使用者受到此類型的威脅降到最低。

TruScan可以偵測的威脅包含以下幾種
     (1) 特洛伊木馬程式和蠕蟲
     (2) 按鍵記錄器
     (3) 惡意的商用應用程式
     (4) 廣告軟體和間諜軟體
搭配防毒、防間諜軟體、入侵預防以及防火牆,可以架構出全面性的安全防護,將來自於網路的威脅降至最低。

註: 零時差攻擊可參閱維基百科http://en.wikipedia.org/wiki/Zero_day_attack

5. 應用程式控制與裝置控管
企業資訊安全除了來自於外在的威脅,有部分的威脅是來自於內部。廣義的資訊安全除了不受來自於外部的病毒、蠕蟲與木馬程式攻擊,也包含了企業資料的保全

SEP的應用程式控制功能,可以避免惡意的程式危害公司機密資料的安全,也可以避免使用者任意存取公司資料到外接式儲存媒體。
SEP device control

SEP的裝置控管功能,可以將USB、紅外線、藍牙、序列埠、平行埠、1394、SCSI及PCMICA等各種連接埠的裝置全部列入控管。
SEP device detail control

搭配應用程式控制與裝置控管功能,可以避免使用者任意將公司的機密資料透過這些裝置存取而流落到外。

阿維

阿維雜記本的偷懶維護者