|
|
|
單一防毒-以卵擊石,不堪一擊 |
先進的SEP-層層保護,固若金湯 |
|
|
|
以下為SEP常見的使用情境,都有極高的滿意度 |
|
|
|
針對最近常見的網頁被植入木馬,導致
IE 瀏覽該網頁不慎被植入木馬 |
|
SEP 12.1 可以針對網頁型的木馬或是病毒,進行多層次的防護: |
|
- 第一層防護:SEP 防火牆
如果該網頁所連結的惡意程式所在的 IP,在防火牆的黑名單的話,則 IE 瀏覽該網頁時,就不會由該下載該惡意程式。
- 第二層防護:SEP入侵防禦 IPS
如果該位置所存放的惡意程式特徵,可以被網路型入侵偵測攔截,則在 IE 瀏覽該網頁時,就會被 IPS 所阻擋,典型的例子就是
Buffer Overflow 型的攻擊。
- 第三層防護:SEP 防毒,防間諜程式
如果該木馬或是惡意程式可穿透防火牆及 IPS,而該程式如果是已知在病毒定義檔內的程式,則 IE 下載該程式至硬碟時,即會被
SEP 的防毒防間諜程式功能阻擋下來。
- 第四層防護:SEP 作業系統防護
SEP 內的作業系統防護功能,可以透過撰寫政策的方式,僅允許 IEXPLORE.EXE 僅能執行特定的已知程式(如 Notepad.exe,
javaw.exe…),而當惡意程式穿透前三層防護時,這時候如果 IEXPLORE.EXE 試圖要自動執行該程式,則 SEP
的 OS 作業系統防護依然可以將這個要執行的動作進行阻擋。
- 第五層防護:主動型威脅防禦
如果該惡意程式穿透前四層防禦,並且已經存在硬碟中,這時候如果用戶不小心自己手動執行該惡意程式時,SEP 12.1 的主動型威行防禦,可以在不需要病毒定義檔的狀態下,判斷該程式是否具備有惡意行為,如果有,可以在針對他進行攔截與隔離。
|
|
如果惡意程式已經找到了,後送(submit)
給防毒廠商之後只能等待嗎? |
|
從一般防毒廠商的作法,在合作伙伴或是使用者已經找到可疑的病毒時,能做的事情通常就是將該可疑程式上傳至各個防毒廠商,並且等待廠商撰寫出病毒定義檔。而在取得該病毒定義檔之後,再將新的定義檔派送至各個電腦上進行掃瞄。
SEP 12.1 可以在使用者等待病毒定義檔的這段空窗期,透過作業系統防護的能力,撰寫底下兩種政策,壓制並且降低該病毒擴散或是爆發的危險: |
|
- 如果該惡意程式已經在用戶的電腦上執行了:
- 可以針對該惡意程式撰寫政策,在該惡意程式試圖存取其它檔案、Registry Key、或是試圖載入 DLL、甚至執行其它程序時,將該惡意程式的程序進行終止。
- 如果該惡意程式會透過網路進行更新或擴散,則可以透過撰寫 Firewall 政策,將所有該惡意程式的網路行為,進行攔截封鎖,避免擴散。
- 有些電腦可能會重新開機:
惡意程式通常可能會在重開機時,被載入執行,這時候可以撰寫一條政策是所有的程式,試圖執行該可疑檔案時,進行阻攔。
|
|
進階用法:(用戶需至少添購 SNAC Starter)
使用者也可以藉由將該惡意程式上傳至 Sandbox , VirusTotal ,進行分析判斷,如果該程式確實為惡意程式,而可以刪除,則這時候可以透過
SNAC 功能中的主機完整性檢查政策。 |
|
- 判斷電腦中是否在特定的目錄中,有該特定的檔案(可以用Fingerprint)
- 如果有該檔案,則透過主機完整性檢查政策,對該程式做刪除的動作 (cmd.exe /C “del virus.exe”)
– 假設 virus.exe 為可疑程式-在這種狀況下, virus.exe 會在前半段的 SEP 作業系統防護中,被阻擋而沒有執行,而
SNAC 的主機完整性檢查,則可以定時檢查電腦是否有該惡意檔案,如果有,則進行刪除。
|
|
如何避免 USB
病毒感染,或是有辦法知道有哪些電腦可能已經被植入了 USB 病毒? |
|
一般透過 USB 傳遞相關檔案是很常見的動作,但是往往不知道別人拿過來的 USB 是否內含惡意程式。
透過 SEP 12.1 的作業系統防護,可以做到: |
|
- 如果 USB 內有 autorun.inf, 那麼可以針對 usb 上的 autorun.inf 進行讀取限制。
- 如果不想阻擋 autorun.inf, 那麼第二個方法是就是透過作業系統防護,判斷執行檔如果是在 USB 上的話,則限制不讓他執行,但是依然可以讓他被讀取。
|
|
其次,如果電腦已經中了 USB 病毒,通常也會針對插入的 USB 試圖進行感染,透過這種特性,我們可以撰寫作業系統防護政策,針對[當有程式試圖寫入
USB 的 autorun.inf 時,進行阻擋或是記錄]這時候系統管理者,僅需要定時產生報告,則可以從 SEP 12.1 的控制主機上,快速的找出哪些電腦可能已經被植入
USB 病毒。 |
|
公司(政府機關)開始配備筆記型電腦,但是怎麼加強電腦拿出企業之後的防護? |
|
SEP 12.1 預設具備有 location-switch 的能力,可以根據電腦所在的位置,給予不同的政策,提供電腦不同的防護等級。
譬如在企業內,由於一般企業會添購閘道端的 Firewall 以及 IPS 對整個企業網路進行把關,但是一旦企業內的筆記型電腦攜帶離開公司之後,如果直接在家裡或是公共場所透過無線網路上網,這時候便失去了閘道端的防護措施。
SEP 12.1 允許系統管理者依照電腦所在的位置,設定不同的政策,譬如在公司內部(藉由偵測 SPM, DNS, Gateway…等)時,將網路芳鄰打開,但是
Firewall , IPS 關閉,而當電腦不在公司內部時,則啟動 Firewall, IPS 並且將網路芳鄰關閉,甚至將 USB
封鎖不給予使用等等。 |
|
公司需要添購其它的周邊控制軟體來加強端點控管嗎? |
|
SEP 12.1 本身具備有周邊裝置控管的能力,舉凡 USB, 1394, Modem, Printer, Bluetooth,
IR, CDROM, Floopy … 等,均可以透過允許或是拒絕的方式進行控制,系統管理者不需要利用三秒膠或Silicon (簡稱
- 俗利控) 將 USB 孔封住或是拿鉗子將 USB 線路剪斷來進行封鎖。
而如果不在預設 SEP 12.1 的裝置列表中的裝置,也可以很快的透過新增的方式,進行新增。
而如果某些電腦在某些特定的狀況下需要開啟,也可以透過群組政策的方式,將該電腦透過控制中心,暫時遷移到某個允許 USB 裝置的群組中即可,待事後再將他移動回原來群組。 |
|
我公司有自己開發的程式,可以針對這些程式進行防護嗎? |
|
SEP 12.1 的作業系統防護政策可以針對檔案, Registry 等進型防護,譬如程式安裝在特定目錄底下,這時候可以透過作業系統防護政策撰寫數種政策: |
|
- 所有針對該目錄下的檔案,要進行修改者,進行阻擋,但是如果要讀取,則允許讀取。當然,如果程式本身會針對目錄下的檔案進行修改,則可以將程式本身給排除在例外名單中,譬如程式可能會寫入
log 等等。
- 如果程式本身會載入特定的 DLL,又害怕惡意程式做 DLL Injection,則可以再撰寫一條執行程式所允許載入的 DLL
名單。
- 如果程式會特定透過網路連結某些主機,也可以撰寫防火牆政策,針對該程式會連線的主機以及 port 進行允許,若程式要連線其它主機,則進行攔截。
|
|
針對 IIS
的網站,有辦法避免被竄改? |
|
一般坊間有賣一種解決方案,是將某個目錄的檔案先複製出來一份,然後每隔一段時間在去檢查該目錄下的檔案,如果檔案被竄改,則將原先複製的檔案再複製回去。
當使用者使用了 SEP 12.1 之後,會發現這種作法不但成本過高,而且也不實際(因為入侵者,也可以透過程式發現被改回來之後,再將它改回去,就看誰的功力高)。
SEP 12.1 的作業系統防護,可以直接將 IIS 存放文件的目錄下的檔案(通常是 Inetpub) 直接進型防護,當有程式試圖修改這些網頁時,直接進行攔截,讓入侵者無法修改該網頁,即是入侵者取得
Administrator 的權限亦然。 |
|
我的單位會每年透過
Email 做滲透測試,有辦法在滲透測試時,保護使用者嗎? |
|
SEP 12.1 在政府單位作這種測試的時候,可以協助的部分包含: |
|
- 阻擋 Port Scan 動作:
SEP 12.1 預設的 Firewall 可以阻擋 Port Scan 的動作,這個動作可以在偵測出某台電腦開始進行 Port
Scan 的時候,直接將該 IP 封鎖,並且不予回應。
- 阻擋 Email 釣魚:
所謂的 Email 是在測試的時候,測試者會透過系統發送電子郵件,並且將 Web 的 URL 連結夾在郵件內,當收信者收到之後,如果真的去點選該
URL, 則會連結至測試者的 Web 主機,主機上就會登記有連進來過。
- 阻擋不當的網頁或檔案連結:
SEP 12.1 可以在做滲透測試的這段時間內,對 Outlook 或是 Outlook Express 下一個作業系統防護的政策,強制
Outlook 或是 Outlook Express 不允許開啟 IE, 透過這種方式,即使用戶點選了 URL, 也不會直接帶出
IE ,可以避免用戶因為不小心而點選該 URL 的狀況,而在滲透測試期間過了之後,再將該規則打開。
|
|
SEP 12.1
的功能很強大,可是需要安裝不同的 Agent 嗎?會大量佔用系統資源嗎? |
|
EP 11.0 是一個重新設計的新產品,因此在安裝的時候,僅需要進行一次性安裝即可,所有的功能,均透過一個 Agent 可以達成。
SEP 12.1 在重新設計的時候,以效能為考量,因此比起其它各家的防毒程式(其它廠牌的防護,光防毒程式就需要至少 50MB
以上記憶體), SEP 12.1 在執行時候的標準記憶體約 24MB 而已,當然,所有的防毒軟體在做病毒掃瞄時,會佔用多一點的記憶體。
即便如此,當未來使用者納入 SNAC 的功能的時候,用戶: |
|
- 不需要重新安裝 Agent,同一個 Agent 即可達成。
- 記憶體也可以維持在低使用量。
|
|
公司的電腦已經是它牌的防毒,可以加裝
SEP 12.1 嗎? |
|
它牌的防毒僅佔了 SEP 12.1 功能的一部份。因此在部署 SEP 12.1 的時候,有幾種可能。 |
|
- [最佳的狀況]
將它牌的防毒移除,改安裝 SEP 12.1 Agent. SEP 12.1 可以取代它牌的防毒能力,並且提供更加的防護
- [次佳的狀況]
SEP 12.1 允許系統管理者匯出不同的套件,如果企業內的它牌防毒尚未過期,但是卻依然想使用 SEP 12.1 的其它功能,那麼可以在包裝套件的時候,不包裝
SEP 12.1 中的防毒功能即可,其它的則繼續包裝。
除此之外,建議企業添購 SNAC (Starter Pack) 透過 SNAC Starter Pack, SEP 12.1
的 Agent 還可以直接跟它牌的防毒進行相當程度的整合,同時可以協助它牌的防毒進行防毒程式安裝,服務中斷檢查,病毒定義檔檢查等。
在這個狀況下,用戶依然可以使用 SEP 12.1 中的,防火牆,入侵防禦,作業系統防護,周邊控管,如果有 SNAC Starter
Pack, 那麼還可以進行主機完整性檢查。
- [最簡略整合]
僅添購 SNAC Starter Pack,如此一來,SEP 12.1 的功能將不會有,而使用者得到的功能為主機完整性檢查,同時可以協助它牌的防毒進行防毒程式安裝,服務中斷檢查,病毒定義檔檢查等。
|
|
其它常見的:SEP除了防毒以外的好應用 |
|
以下是我們的顧客已經使用中的其它功能,希望您也能發揮SEP最大的功能,保安資訊能提供使用SEP 效益最大化的顧問級服務,歡迎洽詢。我的顧客也能免費參加我們常常舉辦的教育訓練,我們的目標就是讓您跟我們一樣熟悉我們所銷售的產品及服務,尤其是效益的發揮。 |
|
- 普羅大眾,全球已有數千萬人-封鎖USB 上的 AUTORUN.INF(阻擋USB病毒),只要USB有這個檔就拒絕存取。是目前比任何防毒軟體更有效的方法。
- 製造業-封鎖外接裝置 (裝置控管的功能-能禁用USB,外接光碟機/硬碟機,禁止使用燒錄器…)。
- 電信客戶-在公司內不能使用 3G網卡(避免資料外洩),離開辦公室才可以。
- 製造業-中午時間才開放 Facebook。
- 政府機關-能夠使用 Facebook,但是不能玩遊戲(種菜)。
- 政府機關-要開放使用USB,但是僅能使用特定的指紋加密USB碟,能防止機密資料外洩。
- 軍方-沒有登入AD的話,則不能連線網路,甚至直接把電腦關閉。(需有NAC Starter Edition)。
- 政府單位-在掃毒平台上(一般都是安裝與現有大量使用中的防毒軟體不一樣的品牌,先利用這台電腦先把USB掃過,再拿到自己的電腦使用),保護其防毒軟體,並且僅有防毒軟體可以存取
USB。
- 政府單位-偵測內網電腦移到外網環境(或自行更改IP位址),則封鎖所有網路。
- 銀行-封鎖 IM 軟體(如MSN、Yahoo等即時訊息軟體。(以下三種政策都能封鎖IM:應用程式控管、用戶端防火牆,IPS)
- 敏感單位-出差時,進行系統鎖定。
- 政府機關-資安社交工程演練期間,封鎖 Outlook 對 IE 存取。(可有效避免同仁不小心開啟有陷阱的連結,能提高資安的考核績效)。
- 零售業-當發現惡意程式時,封鎖該惡意程式/檔案。
|
|
|
本產品快速支援/資源窗口: |
|
|
|
其它有用資訊: |
|
|
|
|
|
賽門鐵克的其它第一名解決方案: |
|
|
|
|
|
|
|
|
|