• SEP簡介
• 成功應用實例/效益分析

SEP是賽門鐵克端點防護(Symantec Endpoint Protection)的簡稱。

是Symantec 整合並結合端點必要的7大安全技術包含:�防毒軟體(Anti-Virus)、防間諜程式(Anti-Spyware)、用戶端防火牆(Client-Firewall)、入侵預防(IPS)、裝置控管(Device Control)、應用程式控管(Application Control)以及 網路存取控管(Network Access Control)於單一代理程式並能經由單一主控台妥善管控的端點防護軟體，是企業級的端點安全解決方案。它能提供Window XP/Vista/Win7/2003/2008/Linux等工作站及伺服主機的防護，最新版本更新增對Macintosh的防護支援。

SEP全新的多功能防護技術能偵測最多的已知、未知以及變種的病毒、蠕蟲、木馬程式、間諜程式、廣告軟體、rootkit，與初始攻擊。更強大的功能是能透過安全政策的設定，強制用戶端不要接觸到危險源，也能封鎖或調整USB等相關週邊裝置的存取能力，大大降低資料外洩的風險。完整的日誌，更能提供即時詳盡的稽核與問題追蹤。

• 針對最近常見的網頁被植入木馬，導致 IE 瀏覽該網頁不慎被植入木馬
• 如果惡意程式已經找到了，後送(submit) 給防毒廠商之後只能等待嗎？
• 如何避免 USB 病毒感染，或是有辦法知道有哪些電腦可能已經被植入了 USB 病毒？
• 公司(政府機關)開始配備筆記型電腦，但是怎麼加強電腦拿出企業之後的防護？
• 公司需要添購其它的周邊控制軟體來加強端點控管嗎？
• 我公司有自己開發的程式，可以針對這些程式進行防護嗎？
• 針對 IIS 的網站，有辦法避免被竄改？
• 我的單位會每年透過 Email 做滲透測試，有辦法在滲透測試時，保護使用者嗎？
• SEP 12.1 的功能很強大，可是需要安裝不同的 Agent 嗎？會大量佔用系統資源嗎？
• 公司的電腦已經是它牌的防毒，可以加裝 SEP 12.1 嗎？
• 其它常見的:SEP除了防毒以外的好應用

1. 第一層防護：SEP 防火牆
   如果該網頁所連結的惡意程式所在的 IP，在防火牆的黑名單的話，則 IE 瀏覽該網頁時，就不會由該下載該惡意程式。
2. 第二層防護：SEP入侵防禦 IPS
   如果該位置所存放的惡意程式特徵，可以被網路型入侵偵測攔截，則在 IE 瀏覽該網頁時，就會被 IPS 所阻擋，典型的例子就是 Buffer Overflow 型的攻擊。
3. 第三層防護：SEP 防毒，防間諜程式
   如果該木馬或是惡意程式可穿透防火牆及 IPS，而該程式如果是已知在病毒定義檔內的程式，則 IE 下載該程式至硬碟時，即會被 SEP 的防毒防間諜程式功能阻擋下來。
4. 第四層防護：SEP 作業系統防護
   SEP 內的作業系統防護功能，可以透過撰寫政策的方式，僅允許 IEXPLORE.EXE 僅能執行特定的已知程式（如 Notepad.exe, javaw.exe…），而當惡意程式穿透前三層防護時，這時候如果 IEXPLORE.EXE 試圖要自動執行該程式，則 SEP 的 OS 作業系統防護依然可以將這個要執行的動作進行阻擋。
5. 第五層防護：主動型威脅防禦
   如果該惡意程式穿透前四層防禦，並且已經存在硬碟中，這時候如果用戶不小心自己手動執行該惡意程式時，SEP 12.1 的主動型威行防禦，可以在不需要病毒定義檔的狀態下，判斷該程式是否具備有惡意行為，如果有，可以在針對他進行攔截與隔離。

從一般防毒廠商的作法，在合作伙伴或是使用者已經找到可疑的病毒時，能做的事情通常就是將該可疑程式上傳至各個防毒廠商，並且等待廠商撰寫出病毒定義檔。而在取得該病毒定義檔之後，再將新的定義檔派送至各個電腦上進行掃瞄。

SEP 12.1 可以在使用者等待病毒定義檔的這段空窗期，透過作業系統防護的能力，撰寫底下兩種政策，壓制並且降低該病毒擴散或是爆發的危險:

1. 如果該惡意程式已經在用戶的電腦上執行了:
   1. 可以針對該惡意程式撰寫政策，在該惡意程式試圖存取其它檔案、Registry Key、或是試圖載入 DLL、甚至執行其它程序時，將該惡意程式的程序進行終止。
   2. 如果該惡意程式會透過網路進行更新或擴散，則可以透過撰寫 Firewall 政策，將所有該惡意程式的網路行為，進行攔截封鎖，避免擴散。
2. 有些電腦可能會重新開機:
   惡意程式通常可能會在重開機時，被載入執行，這時候可以撰寫一條政策是所有的程式，試圖執行該可疑檔案時，進行阻攔。

1. 判斷電腦中是否在特定的目錄中，有該特定的檔案（可以用Fingerprint）
2. 如果有該檔案，則透過主機完整性檢查政策，對該程式做刪除的動作 (cmd.exe /C “del virus.exe”) – 假設 virus.exe 為可疑程式-在這種狀況下， virus.exe 會在前半段的 SEP 作業系統防護中，被阻擋而沒有執行，而 SNAC 的主機完整性檢查，則可以定時檢查電腦是否有該惡意檔案，如果有，則進行刪除。

1. 如果 USB 內有 autorun.inf, 那麼可以針對 usb 上的 autorun.inf 進行讀取限制。
2. 如果不想阻擋 autorun.inf, 那麼第二個方法是就是透過作業系統防護，判斷執行檔如果是在 USB 上的話，則限制不讓他執行，但是依然可以讓他被讀取。

SEP 12.1 預設具備有 location-switch 的能力，可以根據電腦所在的位置，給予不同的政策，提供電腦不同的防護等級。

譬如在企業內，由於一般企業會添購閘道端的 Firewall 以及 IPS 對整個企業網路進行把關，但是一旦企業內的筆記型電腦攜帶離開公司之後，如果直接在家裡或是公共場所透過無線網路上網，這時候便失去了閘道端的防護措施。

SEP 12.1 允許系統管理者依照電腦所在的位置，設定不同的政策，譬如在公司內部（藉由偵測 SPM, DNS, Gateway…等）時，將網路芳鄰打開，但是 Firewall , IPS 關閉，而當電腦不在公司內部時，則啟動 Firewall, IPS 並且將網路芳鄰關閉，甚至將 USB 封鎖不給予使用等等。

SEP 12.1 本身具備有周邊裝置控管的能力，舉凡 USB, 1394, Modem, Printer, Bluetooth, IR, CDROM, Floopy … 等，均可以透過允許或是拒絕的方式進行控制，系統管理者不需要利用三秒膠或Silicon (簡稱 - 俗利控) 將 USB 孔封住或是拿鉗子將 USB 線路剪斷來進行封鎖。

而如果不在預設 SEP 12.1 的裝置列表中的裝置，也可以很快的透過新增的方式，進行新增。

而如果某些電腦在某些特定的狀況下需要開啟，也可以透過群組政策的方式，將該電腦透過控制中心，暫時遷移到某個允許 USB 裝置的群組中即可，待事後再將他移動回原來群組。

1. 所有針對該目錄下的檔案，要進行修改者，進行阻擋，但是如果要讀取，則允許讀取。當然，如果程式本身會針對目錄下的檔案進行修改，則可以將程式本身給排除在例外名單中，譬如程式可能會寫入 log 等等。
2. 如果程式本身會載入特定的 DLL，又害怕惡意程式做 DLL Injection，則可以再撰寫一條執行程式所允許載入的 DLL 名單。
3. 如果程式會特定透過網路連結某些主機，也可以撰寫防火牆政策，針對該程式會連線的主機以及 port 進行允許，若程式要連線其它主機，則進行攔截。

一般坊間有賣一種解決方案，是將某個目錄的檔案先複製出來一份，然後每隔一段時間在去檢查該目錄下的檔案，如果檔案被竄改，則將原先複製的檔案再複製回去。

當使用者使用了 SEP 12.1 之後，會發現這種作法不但成本過高，而且也不實際（因為入侵者，也可以透過程式發現被改回來之後，再將它改回去，就看誰的功力高）。

SEP 12.1 的作業系統防護，可以直接將 IIS 存放文件的目錄下的檔案(通常是 Inetpub) 直接進型防護，當有程式試圖修改這些網頁時，直接進行攔截，讓入侵者無法修改該網頁，即是入侵者取得 Administrator 的權限亦然。

1. 阻擋 Port Scan 動作:
   SEP 12.1 預設的 Firewall 可以阻擋 Port Scan 的動作，這個動作可以在偵測出某台電腦開始進行 Port Scan 的時候，直接將該 IP 封鎖，並且不予回應。
2. 阻擋 Email 釣魚:
   所謂的 Email 是在測試的時候，測試者會透過系統發送電子郵件，並且將 Web 的 URL 連結夾在郵件內，當收信者收到之後，如果真的去點選該 URL, 則會連結至測試者的 Web 主機，主機上就會登記有連進來過。
3. 阻擋不當的網頁或檔案連結:
   SEP 12.1 可以在做滲透測試的這段時間內，對 Outlook 或是 Outlook Express 下一個作業系統防護的政策，強制 Outlook 或是 Outlook Express 不允許開啟 IE, 透過這種方式，即使用戶點選了 URL, 也不會直接帶出 IE ，可以避免用戶因為不小心而點選該 URL 的狀況，而在滲透測試期間過了之後，再將該規則打開。

EP 11.0 是一個重新設計的新產品，因此在安裝的時候，僅需要進行一次性安裝即可，所有的功能，均透過一個 Agent 可以達成。

SEP 12.1 在重新設計的時候，以效能為考量，因此比起其它各家的防毒程式(其它廠牌的防護，光防毒程式就需要至少 50MB 以上記憶體)， SEP 12.1 在執行時候的標準記憶體約 24MB 而已，當然，所有的防毒軟體在做病毒掃瞄時，會佔用多一點的記憶體。

即便如此，當未來使用者納入 SNAC 的功能的時候，用戶:

1. 不需要重新安裝 Agent，同一個 Agent 即可達成。
2. 記憶體也可以維持在低使用量。

• [最佳的狀況]
  將它牌的防毒移除，改安裝 SEP 12.1 Agent. SEP 12.1 可以取代它牌的防毒能力，並且提供更加的防護
• [次佳的狀況]
  SEP 12.1 允許系統管理者匯出不同的套件，如果企業內的它牌防毒尚未過期，但是卻依然想使用 SEP 12.1 的其它功能，那麼可以在包裝套件的時候，不包裝 SEP 12.1 中的防毒功能即可，其它的則繼續包裝。
  
  除此之外，建議企業添購 SNAC (Starter Pack) 透過 SNAC Starter Pack, SEP 12.1 的 Agent 還可以直接跟它牌的防毒進行相當程度的整合，同時可以協助它牌的防毒進行防毒程式安裝，服務中斷檢查，病毒定義檔檢查等。
  
  在這個狀況下，用戶依然可以使用 SEP 12.1 中的，防火牆，入侵防禦，作業系統防護，周邊控管，如果有 SNAC Starter Pack, 那麼還可以進行主機完整性檢查。
• [最簡略整合]
  僅添購 SNAC Starter Pack，如此一來，SEP 12.1 的功能將不會有，而使用者得到的功能為主機完整性檢查，同時可以協助它牌的防毒進行防毒程式安裝，服務中斷檢查，病毒定義檔檢查等。

1. 普羅大眾，全球已有數千萬人-封鎖USB 上的 AUTORUN.INF(阻擋USB病毒)，只要USB有這個檔就拒絕存取。是目前比任何防毒軟體更有效的方法。
2. 製造業-封鎖外接裝置 (裝置控管的功能-能禁用USB，外接光碟機/硬碟機，禁止使用燒錄器…)。
3. 電信客戶-在公司內不能使用 3G網卡(避免資料外洩)，離開辦公室才可以。
4. 製造業-中午時間才開放 Facebook。
5. 政府機關-能夠使用 Facebook，但是不能玩遊戲(種菜)。
6. 政府機關-要開放使用USB，但是僅能使用特定的指紋加密USB碟，能防止機密資料外洩。
7. 軍方-沒有登入AD的話，則不能連線網路，甚至直接把電腦關閉。(需有NAC Starter Edition)。
8. 政府單位-在掃毒平台上(一般都是安裝與現有大量使用中的防毒軟體不一樣的品牌，先利用這台電腦先把USB掃過，再拿到自己的電腦使用)，保護其防毒軟體，並且僅有防毒軟體可以存取 USB。
9. 政府單位-偵測內網電腦移到外網環境(或自行更改IP位址)，則封鎖所有網路。
10. 銀行-封鎖 IM 軟體(如MSN、Yahoo等即時訊息軟體。(以下三種政策都能封鎖IM:應用程式控管、用戶端防火牆，IPS)
11. 敏感單位-出差時，進行系統鎖定。
12. 政府機關-資安社交工程演練期間，封鎖 Outlook 對 IE 存取。(可有效避免同仁不小心開啟有陷阱的連結，能提高資安的考核績效)。
13. 零售業-當發現惡意程式時，封鎖該惡意程式/檔案。