業界端點防護評估規範,皆以 Symantec Endpoint Protection 為標竿
惡意程式防護技術: 具備檔案型特徵檔比對技術、檔案及網頁信譽、進階機器學習、啟發式、入侵預防、主機型防火牆、行為偵測、網路保護、政策鎖定等兼具可靠、穩定、有效與創新技術,能有效抵禦病毒、蠕蟲、間諜程式、零時差、社交詐騙、勒索軟體、目標式鎖定攻擊、進階持續性威脅、偷渡式下載並大大降低單靠行為或機器學習等標榜創新技術所造成的誤判。有興趣可參考原廠技術白皮書: 最新賽門鐵克的STAR 惡意程式防護技術。
降低受攻擊面政策強制功能: 裝置控管、應用程式控管、主機完整性檢查、系統鎖定、防護軟體自身避免被停用保護功能。就如同有小嬰兒的家庭一樣,會把一些危險的瓶瓶罐罐、剪刀、藥物、熱水瓶、熱湯、設法遠離小嬰兒。而降低受攻擊面政策強制功能,就是讓資安認知較薄弱的用戶,遠離威脅或感染媒介。
全世界最大的民間資安情報庫:賽門鐵克全球情資網路(Symantec Global Intelligence Network : GIN)分析超過9PB(PB=2的50次方)的海量安全威脅資料,讓我們的系統和專家能夠快速精準地識別和檢測威脅,確保我們的客戶免受任何攻擊。它推動了我們的行業領先的技術,為您的業務提供更全面的保護。有興趣可參考相關資訊圖表及線上研討會簡報檔:賽門鐵克全球情資網路(GIN)-資訊圖表/賽門鐵克全球情資網路(GIN)-隱身在賽門鐵克資安解決方案背後的強大力。
主機完整性檢查: 主機完整性檢查:可設定病毒定義檔不符合、系統修補版次不符合、登錄檔機碼不符合、是否登入AD..等眾多環境或安全因子,則依設定自動套用攔截、隔離及矯正的處置政策。主機完整性賦予資安人員、技術顧問更多力量與資源,更能自主掌控與強化企業內部的端點安全等級。
入侵防護(IPS): 支援已公開之漏洞型攻擊 ,類似行為之零時差攻擊亦能防護,並支援無檔案型態 (Fileless) 及 URL 信譽識別,可辨識網域和 URL 的威脅,於受支援的瀏覽器上可阻擋惡意網頁。有興趣可參考原廠的線上研討會簡報檔: 讓網路威脅未攻先破--賽門鐵克的IPS入侵預防技術。
記憶體攻擊緩和: 可阻止對廠商尚未在Windows 電腦上進行修補的常用軟體應用程式的攻擊。記憶體攻擊緩和使用各種緩和技術來偵測侵入嘗試。為了阻止侵入,記憶體攻擊緩和會將 DLL 插入至受保護的應用程式。在記憶體攻擊緩和偵測到侵入嘗試之後,它會攔截刺探利用或終止刺探利用所威脅的應用程式。
主機型防火牆: 具備網路層(IP)及應用層(Application)防禦及管理功能,防止任何未獲授權的使用者存取組織中連線到 Internet、監控您的電腦與 Internet的通訊、建立防護措施,允許或攔截他人企圖存取您電腦上的資訊、警告您來自其他電腦的連線嘗試警告您電腦上的應用程式嘗試連線到其他電腦。
竄改防護功能: 能保護SEP代理程式不被停用並告警遭停用的嘗試,許多短時間大規模的致命性攻擊,第一個動作就是關閉端點防護(或防毒軟體),讓後續的攻擊鏈可以神不知鬼不覺地被完成。SEP的竄改防護功能,能有效避免這種大災難。
用戶端平台相容性: 現有支援最新版本可安裝並正常運作於Windows 7~Windows 11、Windows Server 2008~Windows 2022、Linux 以及Macintosh。用戶端無須重新開機即有最新防護完整功能。如果採購 SESE 或SESC 版本,則可新增IOS/Android 的防護功能。賽門鐵克是資安一線廠商,與全球軟體巨擘緊密協作構成的生態系,總能在第一時間推出最穩定相容的版本。
管理主控台平台相容性: 最新版本可安裝並正常運作於Windows Server 2012-Windows Server 2022並支援HA 架構。資料庫支援MS-SQL或MS-SQL Express 。如果採購 SESE 或SESC 版本,則可免費使用原廠雲端主控台而無須自建。
管理主控台功能: 能依不同群組,套用第1及第2項等相關防護技術及遵循管理、安全防護、通報示警..等最佳政策,亦能鎖定用戶端的互動(自行操作)功能,避免用戶端自行移除或停用相關功能。
病毒定義檔更新機制: 支援管理主控台自動派送、連線至原廠全球更新主機自動下載更新、SEP用戶端電腦也能設定為內容更新主機讓網內電腦更新、無法上網或無法與內網連線之隔離電腦亦可下載自動更新程式點擊後自動更新、不接受控管之電腦亦可連線至內部自建內容更新主機,避免對外連線網路頻寬消耗。
完整的後送機制及應變措施可避免自行開發或罕見的乾淨軟體誤攔。 有興趣可參考說明文件:Symantec Endpoint Protection的誤判預防與修正。
原廠提供病毒樣本後送分析之機制。
原廠提供系統診斷工具收集防護軟體相關日誌以利除錯和疑難排解資訊。
防護擴充延伸功能: 舉凡提升具備端點偵測與回應(EDR) & 專業沙箱檢測功能、AD防護、具備隨機應變的自適應防護Adaptive Protection 等創新防護技術,都不需要再重新安裝任何用戶端代理程式,讓企業可以無縫接軌,快速順暢提升最高等級的端點安全。EDR具備化繁為簡,快速幫助資安人員了解問題所在,進而獲得更大的成效。
第三方安全管理協作擴充功能: 開放的API支援主流SIEM 及SOC 分析平台,非常適合大型企業或委外資安服務業者。
美國全國性聯合防禦計畫JCDC(Joint Cyber Defense Collaborative)成員: 2021年八月,因應國外發動的針對性攻擊日益嚴重,美國拜登政府網路安全暨基礎架構安全管理署(CISA)宣布聯合民間科技公司,發展全國性聯合防禦計畫JCDC(Joint Cyber Defense Collaborative),而博通賽門鐵克是首輪被徵招的一線廠商,如就地緣政治考量,Symantec 也絕對是最安全的資安廠商。
最新兩個版次的新增或強化功能說明: SEP 14.3RU 7 和 SEP 14.3RU8(最新)。除非現有使用中版本有安全瑕疵,否則安裝最新版次未必是最適合特定情境的版次, 企業環境有許多考量面向,建議先與保安資訊聯繫可獲得面面俱到的周延建議。
SEP14.3RU3之後,特別針對最新加密勒索軟體防護技術的強化:
- 針對Conti、Avoslocker 和 Hive 等常見勒索軟體家族,能提供特別防護的能力。
- 具備就地取材攻擊(LOTL)常被濫用的系統管理工具、第三方管理工具以及安全評估與監測軟體或紅隊工具提供預防保護。
- 具備偵測勒索軟體攻擊中所使用之初始存取和水平擴散技術。
- 可防護Cobalt Strike 所使用的程序插入技術。
- 具備偵測Emotet垃圾郵件活動能力。
- 防禦 IcedID 這類高感染狀況惡意程式。
- 偵測目標勒索軟體攻擊中使用的可疑程序鏈。
