Symantec Web Gateway 5.0 Gilles Sarquiz Ingénieur Technico-Commercial Securité, CISSP Symantec France Symantec Web Gateway 1
Agenda 1 2 3 4 5 Les défis des clients Symantec Web Gateway 5.0 Meilleure Protection Meilleur Contrôle Administration facile Messaging Gateway 9.5 2
Les défis des clients 3
Les menaces web 38.9% des domaines malveillants étaient Nouveaux en 2011 20.3% des malware web étaient Nouveaux en 2011 90% des sites web malicieux étaient des sites Legitimes compromis Il faut donc être proactif, pour pouvoir se protéger en temps réel Source: MessageLabs Intelligence February 2011 4
Les défis pour la sécurité des entreprises Des malware inconnus se diffusent via le Web Les postes compromis sont la clef du cybercrime Les nouveaux malware web sont ciblés et/ou polymorphiques Or, La détection par signature est réactive Certains utilisateurs sont plus souvents infectés et/ou sont à haut-risques en cas d infection : les détecter et les isoler Les clients veulent pouvoir facilement et rapidement identifier les machines infectées par des spyware Pouvoir analyser le traffic Internet entrant et sortant pour détecter les malwares et contrôler les applications et l utilisation d Internet 5
Janvier 2007 250 000 virus Decembre 2010 plus de 286 million Symantec Web Gateway 5.0 6
Aujourd hui, ~750 000 nouveaux virus seront créés! 7
Comment gérer la sécurité avec l explosion du nombre de signatures? 10 000 000 8 000 000 6 000 000 4 000 000 Bientôt Une L analyse nouvelle les 100 à base millions méthode de signatures s impose virus ne suffit plus 2 000 000 0 Symantec Web Gateway 5.0 8
Symantec Web Gateway 5.0 : nouveautés Plus de Protection Insight: Réputation des fichiers Plus de contrôle Integration avec DLP HTTPS: analyse en clair Architecture Flexible Déploiement machine virtuelle Proxies et cache Symantec Web Gateway 5.0 9
Qu est ce que Symantec Web Gateway 5.0 10
Symantec redéfinit la sécurité web Une solution complète, précise et performante Couvre tous les ports et tous les protocoles Fournit plusieurs niveaux de protection Haut débit : 1 Gb/s; Mode coupure transparent et/ou proxy Une vraie solution de sécurité : Détection Prévention Remédiation
Protection multi-couches contre les malwares 6 niveaux de protection : 3 couches de protection contre les malwares en provenance d Internet : Liste des noms de domaine des sites Web comportant des Malwares (HTTP) Liste des IP des domaines comportant des Malwares (IP) Filtrage de contenu par catégories d URL (Malware, Phishing, spam ) = option 1 couche d analyse du contenu des malwares : Analyse antivirale en temps réel ( P2P, IM, HTTP, HTTPs, FTP et FTP dans HTTP ) Signatures et réputation Symantec 2 couches de détection des postes compromis (propriété Symantec) : Détection des clients infectés (création d une empreinte réseau des virus «call home» ) par signatures réseau IDS Détection des Botnets (par analyse comportementale) 12
Malware Domains & IPs URL Filtering Malware Content Scanning Application Control Infected Client Detection Botnet Detection Symantec Web Gateway Symantec Web Gateway C&C Client Server Malicious Web Server bad.pdf GET http://www.legit.com/bad.pdf GET http://www.malware.com GET http://www.naughty.com Client C&C Drop Server Box Inspecte les paquets, IPs, URLs, fichiers, contenus actifs, applications, comportements IP B09 - Anatomy of a Web Attack 13
Global Intelligence Network Identifies more threats, takes action faster & prevents impact Calgary, Alberta Dublin, Ireland San Francisco, CA Mountain View, CA Culver City, CA Austin, TX Pune, India Chengdu, China Chennai, India Taipei, Taiwan Tokyo, Japan Worldwide Coverage Global Scope and Scale Rapid Detection 24x7 Event Logging Attack Activity 240,000 sensors 200+ countries and territories Malware Intelligence 133M client, server, gateways monitored Global coverage Vulnerabilities 35,000+ vulnerabilities 11,000 vendors 80,000 technologies Spam/Phishing 5M decoy accounts 8B+ email messages/day 1B+ web requests/day Preemptive Security Alerts Symantec Web Gateway 5.0 Information Protection Threat Triggered Actions 14
Meilleure protection 15
Web Gateway : bien plus que du filtrage d URL HTTP HTTPS Symantec Web Gateway Appliance or VM Symantec DLP Network Prevent for Web Web Botnet Detection Infected Client Detection Application Control Insight File Reputation Malware Content Scanning URL Content Filtering Domain and IP Reputation Client 16
Symantec Insight : la réputation des exécutables Défis de sécurité des clients : Les nouveaux malware (zero-day) ou des mutants Les menaces "Drive-by" download : Téléchargements intempestifs automatiques (sans que l'utilisateur en ai connaissance et sans action de sa part) Solution: Utiliser la connaissance approfondie de Symantec sur les fichiers exécutables = la réputation Insight Permet de bloquer des malware totalement nouveaux Symantec Web Gateway 5.0 17
L idée : connaître le contexte de chaque fichier Si le contexte de chaque fichier était connu : son âge, le nombre de copie, son origine, son niveau de confiance, OR OR BAD GOOD LOW HI NEW OLD Reputation Prevalence Age on évite de télécharger un fichier si son analyse donne de tels résultats En sachant que la majorité des malware sont générés à la volée, de telles politiques peuvent améliorer grandement la sécurité de votre entreprise! Webcast Symantec Endpoint Protection 18
Insight: fonctionne avec succès depuis 2 ans! Collecte de plus de 175 Millions d utilisateurs + Plus de 2.5 Milliards d applications uniques recensées Quel est l âge du fichier? Quels sont les droits requis? Les nouvelles attaques sont bloquées sans signature Que fait le fichier? Ressemble t il a un maliciel connu? 2 millions de nouvelles attaques bloquées chaque mois Unique La source à Symantec est t elle déjà catégorisée en tant que spammer? Est ce que d autre personnes ont connu des infections sur ce fichier? Qui a crée ce fichier? D ou vient t il? Combien de fois à t il été téléchargé? 19
Comment Symantec Insight fonctionne 2 Note tout fichier de fichiers exécutable 2.5 milliards 4 L analyse vérifie dans la Base 1 Réseau de 175 million collecte PCs d informations Fichier nouveau? Niveau de reputation? Nbre de copies Age Source 5 Informations de réputation => actions 3 Recherche des associations d informations Comportement Associations 20
Combattre les menaces Web 2.0 Tous les ports et protocoles! Téléchargements web conventionnels et autres canaux de téléchargements HTTP natif Downloads manuels et robotisés FTP FTP natif et FTP over HTTP Messageries instantanées Contrôle les canaux de téléchargement pour Windows Live, MS Messenger, AIM/ICQ, Yahoo! Messenger, IRC Egalement sur port 80/proxy P2P Contrôle et bloque les téléchargements P2P 21
Analyse anti-malware des téléchargements Scan du téléchargement en cours : Après le téléchargement : 22
Page de blocage du téléchargement Symantec Web Gateway 23 23
Détection des machines infectées Phone Home Signature Détection Multi Ports Multi Protocoles Comportement Corrélation Algorithme Identifie précisément les bots sur le réseau Mise en Quarantaine automatique Limite les dégats potentiels Signale les risques à l utilisateur Rapports complet et pertinent Specific Event Information Sort by Count, Severity, Type Identifie et empêche les machines infectées de menacer l entreprise Symantec Web Gateway 5.0 24
Détection des clients infectés Infection par des malwares Logiciels installés (souvent à l insu de l utilisateur) Possèdent un composant Call Home Peut varier en sévérité Les machines infectées par un malware vont transmettre un segment Call Home dans un séquence particulière SWG analyse ces séquences pour détecter à l aide d une signature réseau et bloquer le malware. Ces signatures sont générés par Symantec sont mises à jours fréquements / heures. Cycle de détection des malwares communicants 25
Classement des infections par spyware 26
Détection des Botnets Inspecte tout le trafic vers et depuis le réseau Détecte les trames typiques d un trafic issu d un bot Communications Command & Control IP scanning Spamming Fait concorder plusieurs comportements pour déterminer la présence d un Bot actif Les trames uniques sont suspectes (faux positifs) et ne sont pas bloquées Les Bots actifs sont bloqués Les bots dormants sont marqués comme inactifs 27
Exemple de rapport sur Botnets 28
Meilleur contrôle 29
Meilleur contrôle Integration avec Symantec Data Loss Prevention Déchiffrement du SSL Controle des applications accèdant àinternet Filtrage d URL Symantec Web Gateway 5.0 30
Web Gateway et Data Loss Prevention Besoins: Le client veut appliquer une politique DLP policies, en particulier sur le traffic Internet Le traffic Internet est parfois chiffré en SSL (HTTPs) Le client veut une solution éprouvée avec une intégration simple et complète => un seul editeur Solution: Connecter SWG et DLP Network Prevent for Web Utiliser le proxy HTTPs de SWG pour déchiffrer le traffic SSL et le passer au DLP en ICAP SWG bloque/modifie le contenu en fonction de la politique configuré sur le DLP Symantec Web Gateway 5.0 31
Configuration du WebGateway pour DLP Activer proxy et l option «Enable DLP» configurer @IP et port du Network Prevent for Web Presentation Identifier Goes Here 32
Data Loss Prevention et WebGateway 1. L utilisateur veut publier des informations sur un site web 2. WebGateway envoie au Network Prevent for Web le contenu pour analyser 3. Network Prevent for Web renvoie sa conclusion 4. Le contenu ne viole aucune politique «Information Protection» et est posté 5. Le contenu viole une politique IP et la publication est bloquée et l utilisateur averti 6. Le contenu viole une politique IP et la publication mais le contenu de la publication est modifié avant d être publiée (video) Presentation Identifier Goes Here 33
Démonstration SWG + DLP Symantec Web Gateway 5.0 34
Contrôle des Applications Internet Inspecte tout le trafic internet Reconnaissance basée sur les signatures réseau des applications Supporte + de 100 applications et protocoles IM, P2P, DB Apps, Remote Access, VoIP, etc Protocoles de transfert de fichiers, email, protocoles réseau, etc. Surveille et contrôle l utilisation des applications Bloque / surveille/ autorise une catégorie d application (IM, P2P, etc.) Bloque / surveille/ autorise une application spécifique (Yahoo, MSN, etc.) Contrôle les messageries instantanées Analyse les fichiers reçus autoriser le chat / éviter les téléchargements Contrôle la fuite de fichiers Contrôle les fichiers téléchargés et postés Enregistre le nom des fichiers 35
Contrôle des applications 36
Filtrage des URL (option) Supporte plusieurs bases de filltrage d URL IBM/ISS (60 catégories, 100+ million sites) TrueTracking pour suivre l activité des utilisateurs LDAP temps réel, intégration Active Directory Plusieurs mécanismes de tracking (NTLM ou basé sur un agent) Rapports et alertes complets Par utilisateur, PC, département, société, etc. Par site web, catégorie, heure de la journée, etc. Automatisation des rapports et possibilité de générer des alertes Possibilité d exporter en SNMP, Syslog, Email et FTP Politiques flexibles Sur n importe quel critère Contrôle l ordre des politiques 37
Option filtrage d URL Supporte plusieurs bases de filtrage d URL IBM/ISS (60 catégories, 100+ million sites) Possibilité de gérer des politiques différentes en fonction des heures de travail ou en dehors 38
Page de blocage de site 39
Administration simple 40
Administration simple Multiple options de déploiement Adapté pour la virtualisation Proxy et Cache Rapports pertinents Symantec Web Gateway 5.0 41
Web Gateway: Options de déploiment Port Span/Tap (Monitoring ) Inline +/ proxy (Monitoring or Blocking) Symantec Web Gateway 42
2 modèles d appliances SWG-8450 SWG-8490 Dell Platform R200 R710 Approx Concurrent Users 1,000 10,000 Approx Throughput Inline 100Mbps 1Gbps Physical Requirements 1u 2u WAN/LAN Pairs 1 2 Dedicated MGMT/Monitor Yes Yes Redundant Power No Yes Redundant Disk RAID 0 RAID 5 43
Version appliance virtuelle Solution: Même licence logicielle pour la version appliance physique et virtuelle Déploiement en mode mixte (virtuel + physique) supporté Equivalent au SWG 8450 mais pas de hardware Bypass Deploiement: ESX/ESXi 4.0 ou supérieur 64-bit Intel Virtualization Technology- activé SWG.ovf (téléchargé de fileconnect.symantec.com) Prérequis VM 2 CPU (physique ou logique), (4 CPU recommandés en production) 4 GO de mémoire min. (8 GO recommandés en production) 90 GO disk (idem) Symantec Web Gateway 5.0 44
Fonction de Proxy et Cache Besoins client: Le client a besoin de proxy dans son architecture réseau Le client demande un cache HTTP pour économiser sa bande passsante Le client veut déchiffrer le traffic SSL pour l analyser et/ou intégrer du DLP Solution: Deployer SWG v5.0 en tant que Proxy HTTP/SSL/FTP/SOCKS Utiliser les interfaces WAN/LAN pour analyser le traffic IP non-proxy (Critère différentiateur competitif) performant = mode inline + proxy Symantec Web Gateway 5.0 45
Administration Interface web de configuration Rapports Politiques Configuration Configuration des politiques Basée sur Subnet IP Range VLAN ID User et groupe De nombreux attributs LDAP possibles si intégré avec un annuaire LDAP ou AD Possibilité de créer des modèles de politique pour simplifier la création de nouvelles politiques 46
Pages utilisateurs personnalisables Plusieurs jeux de pages utilisateur peuvent être utilisés en fonction des groupes et des politiques 19 langues possibles (anglais, français, allemand, italien, espagnol, japonais.) Des variables peuvent être utilisées dans les messages de dialogue 47
Rapports Rapports complets Tableau de bord : permet de quantifier toutes les menaces connues Résumés direction Rapports personalisables Génération des rapports automatisée, option d export Bénéfices Identifier les tendances des menaces Suivre les attaques de malwares potentiels Savoir ce qui se passe en détails 48
Alertes Evènements à surveiller Infections, attaques, fuites de données (Data Leakage) Envoi d alertes Email, Syslog ou trap SNMP Format HTML ou CSV 49
Gestion des administrateurs Possibilité de créer des administrateurs supplémentaires 3 niveau de privilèges : Read only, Read & Write, Administration access 50 Symantec Brightmail Gateway
Commercialisation 2 options logicielles Symantec Web Gateway 5.0 licences / nbre d utilisateurs Produit de base (inclus Dans Symantec Protection Suite Enterprise Edition) Symantec Web Gateway 5.0 URL Filter Add-On / nbre d utilisateurs 2 modes d opération de l appliance (rôle) Web Gateway Analyse/filtre/bloque le trafic Log Administration, gestion des politiques Central Management Gestion des politiques pour plusieurs Web Gateways Permet de centraliser les Logs depuis plusieurs Web Gateways 51
Web Gateway résumé Fonctionnalités Analyse Antivirus sur les flux Web (download/upload) : http, http/s, FTP Filtrage d URL par catégories (+ 100 million d URL) Détection et blocage des malwares communicants Détection des PC Botnet (exclusif Symantec) Contrôle des applications (P2P, Instant Messaging, Skype ) Reporting et administration centralisée Contrôle de contenu Points forts : Très performant et non intrusif dans l infrastructure (modes monitoring / inline) S adapte à toute les architectures existantes Appliance virtuelle (VMWare), proxy http/https, cache, contrôle de la réputation Insight des fichiers, intégration du contrôle et filtrage des fuites de données DLP, 52
Symantec Web Gateway 5.0 : nouveautés Plus de Protection Insight: Réputation des fichiers Plus de contrôle Integration avec DLP HTTPS: analyse en clair Architecture Flexible Déploiement machine virtuelle Proxies et cache Symantec Web Gateway 5.0 53
SWG GUI intégré dans Symantec Protection Center 2.1 Supporting detail here Solution Supporting detail here Trois niveaux d'intégration: Single Sign On, la collecte de données, d'action Intégration avec Symantec Global Intelligence Network Corrélation d'événements de base Reporting croisé: Malware, Email, Asset Tableaux de bord & Alertes Modèles de Workflow intégré Intégration de produit tierce 54
Merci de votre attention. En savoir plus : www.symantec.com/fr Copyright 2010 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. Presentation Identifier Goes Here 55
Symantec Web Gateway Sales Essentials Differentiators Protection effectiveness: six layers of malware protection, bi-directional scanning of web traffic Advanced threat detection, with feeds from GIN: detect botnets and internal compromised endpoints Insight reputation against new malware, attack & false positive Flexible architecture and deployment Competitive Cisco IronPort Performance, brand Effectiveness; Price, virtual, Insight Websense URL filtering, bundled DLP Security brand; Flexibility; flank with SPS, Insight McAfee Web Gateway epo, URL filtering Performance and effectiveness; Ease of use; Detection of compromised endpoints, Insight Reputation Objection Handling Already have a web filter Web filtering alone does not provide web security, enforces only accepted use policy; SWG is complimentary solution to URL filtering. Already run SEP / SAV on endpoints ( defense in depth ) SWG uses unique, purpose-built detection engines that can detect malware running on unmanaged or infected endpoints; using solutions from multiple vendors creates operational inefficiency and increases risk, loses opportunity to leverage capabilities of SPC. Good To Know Crossgrades from SWG to Symantec Protection Suites URL Filtering feature is included with SPS EE for Gateway, but not included in either SPS or standalone SWG solution Protect The Infrastructure part 2 : Symantec Messaging and Web Gateways 56
Qu est ce qui rend la réputation Insight unique? McAfee Global Threat Intelligence Symantec Insight Trace seult les mauvais fichiers connus Ne trace pas les nouveaux fichiers ou ceux modifiés Signatures pour nouveaux malware Classe tout fichier executable Trace la prevalence Trace l age Signatures pour nouveaux malware Seul Insight peut dire: Quel age a ce fichier? Combien de copies du fichier existent? Ce fichier est-ii associé à des infections? Seul Insight peut identifier par réputation des menaces mutantes Symantec Web Gateway 5.0 57
Symantec Web Security.cloud Gilles Sarquiz Systems Engineer Symantec France
Software as a Service: une autre philosophie Ne gérez plus : Hardware Software Des résultats «best effort» Pannes Maintenances Mises à jour En mode SaaS, gérez simplement : Un abonnement à un service Des SLA inégalés Montée en compétence de vos collaborateurs
Symantec.Cloud en chiffres Depuis 1995 (MessageLabs, racheté en 2008) pionniers du SaaS 55.000+ Clients 300.000.000+ d utilisateurs 7.000.000.000+ emails scannés par jour 1.200.000.000+ connexions web par jour 16 data centers répartis dans le monde (Amsterdam + Frankfurt + London en Europe) Service Level Agreements inégalés Skeptic zero hour protection Partenaires Johannesburg
Le modèle SaaS par Symantec.cloud Approche Pay as you Go Prix par utilisateur par mois, tout compris Support 24x7, accès à l interface, au reporting, à la zone de quarantaine Pas de coût caché Budget 100% prédictible SaaS Market Place la plus étendue du marché 15 services pré packagés de sécurité et de gestion des données Flexibilité : élimine les contraintes traditionnelles Sizing, environnements hétérogènes, multi sites, mobilité Déploiement simple et rapide
Marché de la sécurité du Web 2014: 2009: marché en en % Appliance 29% Appliance 33% Cloud 24% Cloud 9% Software 43% Software 62% IDC: Worldwide Web Security 2010-2014 Forecast and 2009 Vendor Shares: Web Security Takes to the Cloud, September 2010
Services Symantec.cloud 15 Services à la demande Email Security Email AntiSpam.cloud Email AntiVirus.cloud Email Image Control.cloud Email Content Control.cloud Email Management Boundary Encryption.cloud Policy Based Encryption.cloud Enterprise Vault.cloud Email Continuity.cloud Web & IM Security Web Anti Virus & Spyware.cloud Web URL Filtering.cloud Web Roaming User Enterprise IM.cloud IM Security.cloud Endpoint Security Endpoint Protection.cloud Backup BackupExec.cloud
Comparatif TCO SaaS versus Logiciel/Matériel Coût Software Appliance Hébergé Acquisition Licenses OS Database Servers Support Licenses Appliance Support Abonnement, souscription pupm Déploiement Gestion de Projet Installation Configuration Redondance Configuration Gestion Infrastructure (espace, énergie, refroidissement, etc.) Bande passante pour transférer le spam Patching Renouvellement, upgrades, et évolution Administration & surveillance Politique d Administration
Symantec.cloud Web Security Services Déploiement simple et rapide : Symantec.cloud devient un proxy géant Protection multicouches : SLA inégalés Gestion des menaces convergentes (Email / Web) Forte valeur ajoutée dans les scénarios multi sites / mobilité - Smart Connect : - Accès direct à internet sans VPN (avec 100% de protection) - Accès sécurisé (https en mobilité) Anti-Virus Anti-Spyware URL filters Smart Connect
Fonctionnement Web Security.cloud Example.com Lorsque le navigateur accède une page Web, la requête est transmise au serveur Symantec.cloud La Symantec.cloud requête est comparée vérifie qu il aux n y régles a aucun de filtrage. malware Si elle et transmet est acceptée le contenu elle est envoyée au nom client du client La page Web demandée est renvoyée à Symantec.cloud
Web Security.cloud : déploiement Faire pointer le(s) proxy(s) ou browsers vers Symantec.Cloud : les datacenters Symantec.Cloud deviennent des proxys géants au niveau d internet Smart Connect pour utilisateurs mobiles Client Site Proxy pour les utilisateurs fixes Renvoient le nom et/ou l adresse IP pour identifier l utilisateur et Symantec.cloud lui appliquer la politique correspondante. 68
Web Security.cloud : Smart Connect 69
Web Security.cloud : Anti-Virus & Anti-Spyware Protection multicouche (3 scanners anti-virus) SLA : 100% de blocage des virus connus (sinon crédit) SLA : 100% de disponibilité du service (sinon crédit) 35% d utilisateurs passent une heure par jour au moins sur des sites non professionnels SLA de Latence < 100 millisecondes max de + (sinon désengagement du service) Un utilisateur sur sept accède à des sites dangereux (illégaux, adultes,...) 70
Web Security.cloud : URL Filtering RuleSpace Now part of Symantec leader dans la fourniture de technologie et services de catégorisation d url en OEM Politique de quotas! Client Site Proxy (Squid Windows) / Smart Connect Paramétrage dans portail ClientNet : Gestion de white / black listes Granularité par utilisateur / groupe d utilisateurs SLA : 100% de disponibilité du service (sinon crédit) SLA de Latence < 100 millisecondes max de + (sinon désengagement du service) 71
Web Security.cloud : filtrage d url avec RuleSpace Previous Solution # of Categories 56 New Capabilities 82 Size of URL database Multiple category support Ability to identify and classify dynamic, user generated content Turnaroud for reclassifying URLs 20-30 million None No plans 48 Hours 67 million Supported Supported 24 Hours URL Lookup tool Vendor site ClientNet integrated % of uncategorized URLs Between 6%-15% Between 2%-3% 72
SLA & SLA constatés Les SLA les plus élevés du marché AntiSpam effectiveness Spam false positive rate AntiVirus false positive rate Email & Web Service Availability Average Web scanning time SLA 99% 99.99997% SLA 0.0003% 0.000008% SLA 0.0001% 0.000005% SLA 100% SLA 100% 100 ms 30.2 ms Décembre 2011 Performance
Merci de votre attention. En savoir plus : www.symantec.com/fr Copyright 2010 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. Symantec Web Gateway 5.0 74