Symantec Endpoint Security Complete (SESC)

Gezegendeki en entegre uç nokta güvenlik platformu

Symantec Endpoint Security Complete,

Cloud tabanlı mimarisiyle , dünyadaki en kapsamlı ve entegre endpoint güvenlik platformudur. On prem , hibrit veya cloud tabanlı  olarak  yönetmenize imkan sağlar. Client , mobil, uygulama ve netwok düzeyinde koruma şemsiyesi sağlar.

Güvenlik kararlarınızı almanızda yapay zeka ile destek sağlar.

Bu koruma kalkanı alt taraftaki bileşenlerden oluşur;

  • Mobile Treat Defence:

Mobile dünyada 3 ana güvenlik kategorisi yer almakta, bunlar;

  • Mobile Device Management ( MDM )
  • Mobile App. Manager ( MAM )
  • Mobile Treat Defence ( MTD )

Symantec Mobile Treat Defence bir MTD çözümüdür. Diğer kategorideki çözümler ile uyumlu çalışabilir. Konsept olarak bu teknoloji, cihazınızdaki şüpheli uygulamalar, ağlar veya işletim sistemi güvenlik açıkları gibi tehditleri algılar ve sizi uyarır. Andorid ve Apple Store dan indirilebilen bir uygulamadır. Mobil cihazları , oluşabilecek mobil tehditlerden korumaya yardımcı olur. Şüpheli wifi ağ bağlantısı ve içerik tehditlerini algılar ve bu konuda son kullanıcıyı uyarır. Sms ve web den gelebilecek virüslere karşı koruma sağlar. Kötü amaçlı veya istenmeyen uygulamaları engeller , güvenli olmayan uygulamalar hakkında kullanıcıyı bilgilendirir. Mobil cihazların İşletim sisteminin güncelliğini kontrol eder. Mobil cihaz üzerinde MDM ve MAM ‘a göre daha soft ve lokal bir koruma sağlar.

Secure Network Connetion:

Kullanıcıların özellikle genel ve ücretsiz Wi- Fi bağlantıları üzerinden bağlandıklarında, güvenliğini kontrol eder. Örneğin bir avm’de pc ‘nizi açtığınızda ,bağlanacağınız ücretsiz hattın, doğru olup olmadığını, sağlıklı olup olmadığına bakar. Eğer bir tehdit algılar ise kullanıcıya uyarı verir, ikinci bir aksiyon olarakta bir politika yazarak kullanıcının bağlanmasını engelleyebilirsiniz.

Güvenli SSID listeleri oluşturup,sadece bu SSID lerden bağlanılabilir yada bunlara yönlendirme yapabilirsiniz. Cafe ortamlarında genelde ücretsiz SSID leri kopyalayarak , kullanıcı pc ‘sine sızıp tüm şifre ve bilgilerin çalınması vakasını engellemek için size yardımcı olan bir tool dur.

Bu uygulama sadece win 10 da çalışır. Temel anlamda çözüm erişim noktasının SSID’lerden farklı özellikler kullanıp kullanmadığını kontrol ederek hileli, sahte Wi-Fi ağlarını tanımlar. Tehdit algılarsa wifi de, kendi vpn i üzerinden çıkış yaptırır clienta ve güvenli bağlantı sağlar. Şöyle kullanım senaryolarıda olabilir:

Özellikle satış/pazarlama ekipleri gibi sürekli ofis dışında olan, farklı farklı yerlerden, cafelerden Internete giren, belli bir kurumsal VPN kullanmayıp, sözgelimi bir web portalden giriş yaparak formlar dolduran, ya da VPN kullansa da split based tunneling ile Internet trafiği lokalden çıkan, özetle düşük güvenlik profili olan kurumlar için route/fake wi-fi, MitM gibi risklere karşı güvenlik sağlar.

Teknoloji olarak ürünün atası SEP Mobile daki smart VPN e dayanmakta. Tabi çok daha gelişmiş özellikler sunulmakta. Ürünü 2 dk. ‘lık video ile özetlemek gerekirse;

Intrusion Prevention and Firewall

Kural ve politika set lerini kullanarak, bilinen ağ ve tarayıcı tabanlı kötü amaçlı yazılım saldırılarını engeller, otomatik domain yada IP adresini balck list’e alır, yetkisiz erişimin bir komut çalıştırmasını, engellemeye yardımcı olur.

  • Deception

Yaşadığımız tecrübelerden gördüğümüz kadarıyla, hedef Bazlı saldırılarda, saldırganın ilk adımlarından biri, bir kullanıcı yada dosya ya erişmek oluyor. Bu erişimlerin arasına girerek sahte kullanıcı yada belge oluşturmaya imkan tanır. Kötü niyetli saldırganın ulaşabileceği yemler oluşturur. Örneğin; sahte dosyalar, kimlik bilgileri, ağ paylaşımları, önbellek girişleri, web istekleri ve sahte endpoint. Saldırı düzenleyen bu yemlere dokunduğunda yada işlem yapmak istediğinde size uyarı verir. Bu uyarının ikinci aksiyonu olarak saldırgana başka uygulama indirmesi engellenebilir, hareketi kısıtlanabilir.

Active Directory Security

Symantec ‘in 2018 yılında Javelin Network ‘ü satın alması ile portföyüne kattığı bir  teknolojidir. Javelin Networks, bir Yapay Zekası ve siber güvenlik yazılımı geliştirme kuruluşudur. Satınalma sonrasında geliştirmeler ile günümüze geldi. Ürünün günümüzdeki adı Treat For Active Dırectory oldu.

Active Directory güvenliği için tasarlanmış bir savunma katmanı sağlar çözüm, özellikle hedef bazlı saldırılarda saldırganın ilk denediği senaryolardan biri , AD ‘de bir kullanıcı ele geçirmektir.Bu noktada AD koruması sağlayan yapay zeka temelli saldırı algılama, araştırma ve sınırlama çözümüdür.

Bu çözüm Deception teknolojisini kullanır. Deception daha basit bir anlatım ile saldırgana yemler bırakmak, saldırganın bunu fark etmesini sağlarak, bu yemlere temas olduğunda sizi uyarmak, ana senaryosu üzerinden bir akış sağlar.

Active Directory de sahte kullanıcılar yaratarak bunlara erişim olduğunda sizi uyarır temel olarak. Aynı zamanda AD üzerinde konfigürasyon hakkında raporlama yapar, yanlış bir konfigürasyon var ise bunun uyarısını size gösterir. Yapılan yanlış bir konfigürasyon ile oluşabilecek bir Back door konusunda da hassastır.

Hackerlar tarafından kullanilebilecek servisler konusunda uyarı yapar.Her hangi bir saldırı ile kendini kalıcı bir kullanıcı yapabilir mi saldırgan bunun senaryosunu sunar. Active Directory yapısının her bileşenini otonom olarak analiz eder. Saldırganı tespit ettiğinde onu durdurur, başka işlem yapmasına izin vermemek için onu izole bir alanda tutabilir. Yada çeşitli sahte belge ve kullanıcılar ile onu oyalar.

AD üzerinde hatalı bulduğu konfigürasyonları düzeltmeye yönelik öneriler sunar. Alt tarafta yer alan iki kısa video ürün arayüzünü ve basit anlamda çözümü anlatıyor;

The intrusion prevention:

Bir nevi IPS dir , Symantec Endpoint Protection istemcisinin güvenlik duvarından sonraki ikinci savunma katmanıdır. Ağ tabanlı koruma sağlar. Bilinen bir saldırı tespit edilirse, bir veya daha fazla saldırı önleme teknolojisi ile saldırıyı otomatik olarak engelleyebilir.

Application Control :

Kendi içindeki yapay zeka teknoloji ile Endpoint leri izler, farklı algoritmalar kullanarak, kullanıcının kullandığı güvenli uygulamaları belirler, bunları bir white list olarak tutar, bunun haricinde bir uygulama kullanılmasını engeller. İzin verilmeden client’in bir uygulama kullanmasını engeller. Grup halinde bir white liste yada black list yapabilirsiniz, bu grup üzerinden politikalar oluşturulabilir.

Host Integrity :

İçerisinde IF / THEN / ELSE döngüsü ile politikalar yazarak endpoint de kontroller sağlayabilirsiniz. Örneğin bir kullanıcının işletim sistemi güncel mi, kullandığı uygulamalarda bir yama eksiği var mı, var ise git x yerde güncelleme yap, güncellemeni yapmadan network’e giremezsin gibi politikalar yazılabilir.

Host Integrity belirlediğiniz kuralların Clinet üzerinde kontrolünü yapar, kontrol başarısız olursa, client’i düzeltmesi için politika yazabilirsiniz. Bu düzeltmek için client de eksik software var ise bunu indirir ve kurar.

Host Integrity daha sonra Client ‘in yazılımı kurup kurmadığını tekrar kontrol eder. Örneğin windows 7 clientlerde x patch ‘in yüklü olup olmadığını kontrol et, yüklü değilse , x adresten yükle, sonrasında bir kez daha kontrol et gibi politikalar yazılabilir. X yüklü olmayan pc leri network’e alma yada bu eksikleri tamamlama şeklinde de politikalar yazılabilir. Yine bu tool ile uygulama dağıtımı yapabilir, durmuş olan servislerinizi çalıştırabilir, registery ayarlarında değişiklik gibi işlemlerinizi yapabilirsiniz