Características del Antivirus corporativo (SEP)
Symantec Endpoint Protection
Symantec Endpoint Protection (SEP) utiliza contra amenazas conocidas y desconocidas una estrategia de defensa en capas. Este enfoque protege la red antes, durante y después de un ataque. SEP reduce el riesgo de exposición al proporcionar herramientas que aumentan la de seguridad a fin de anticiparse a cualquier ataque.
SEP difenncia y categoriza las siguientes capas: intromisión, infección, invasión y extracción, y reparación e inoculación.
Fase 1: intrusión
Durante la fase de intromisión, los hackers normalmente se infiltran en la red de la organización por medio de ataques como ingeniería social, vulnerabilidades de día cero, inyección de código SQL, software malicioso específico u otros métodos. SEP te protege contra los ataques antes de que ingresen en el sistema con las siguientes tecnologías:
- Prevención de intrusiones/Firewall (protección contra amenazas de red):Analiza todo el tráfico entrante y saliente y ofrece protección de navegadores que bloquea esas amenazas antes de que puedan ser ejecutadas en el equipo. El firewall basado en reglas y la protección del navegador le protegen contra ataques basados en Web.
- Control de aplicaciones: Controla el acceso a los archivos y al registro, y el modo en que se permite la ejecución de procesos.
- Control de dispositivos: Restringe el acceso al hardware seleccionado y controla qué tipos de dispositivos pueden cargar o descargar información.
- Mitigación de puntos vulnerables en la memoria: Neutraliza puntos vulnerables de día cero, como Heap Spray, sobrescritura de SEHOP y puntos vulnerables de Java en programas populares para los cuales el proveedor no ha aplicado parches correctamente.
- Protección de acceso web y en la nube: controla el tráfico de red en todos los puertos y protocolos, independientemente de dónde se encuentren los usuarios de la empresa.
Fase 2: infección
En los ataques dirigidos, los hackers normalmente se infiltran en la red de una organización utilizando ingeniería social, vulnerabilidades de día cero, inyección de código SQL, software malicioso específico u otros métodos. SEP usa las siguientes tecnologías para detectar e impedir estos ataques antes de que puedan infectar su sistema.
- Mitigación de puntos vulnerables de memoria:Detecta software malicioso.
- Análisis de reputación de archivos (Insight): Se basa en la inteligencia artificial que utiliza Symantec Global Intelligence Network. Este análisis avanzado examina miles de millones de vínculos correlacionados de usuarios, sitios web y archivos para identificar software malicioso que muta rápidamente y defenderse contra ese software. Mediante el análisis de los atributos clave (como el punto de origen de una descarga de archivos) , SEP puede identificar con precisión si un archivo es bueno o incorrecto y asignar una puntuación de reputación a todos antes de que el archivo llegue al equipo cliente.
- Aprendizaje automático avanzado ( sistema de inteligencia artificial basado en Machine learning): Analiza billones de ejemplos de archivos buenos e incorrectos que se encuentran en una Global Intelligence Network. El aprendizaje automático avanzado es una tecnología sin firma que puede bloquear nuevas variantes de software malicioso en la ejecución previa.
- Emulación de alta velocidad: Detecta software malicioso oculto usando empaquetadores polimórficos personalizados. Un analizador ejecuta cada archivo en milisegundos en una máquina virtual liviana que hace que las amenazas se revelen por sí mismas, mejorando tanto las tasas de detección como el rendimiento.
- Protección antivirus de archivos (protección contra virus y spyware): Utiliza antivirus basado en firmas y heurística de archivos para buscar y eliminar el software malicioso en un sistema y protegerlo contra virus, gusanos, troyanos, spyware, bots, publicidad no deseada (adware) y rootkits.
- Supervisión basada en comportamiento (SONAR) : Aprovecha el aprendizaje automático para brindar protección de día cero y detener amenazas nuevas y desconocidas mediante la supervisión del comportamiento de aproximadamente 1400 archivos mientras se ejecutan en tiempo real a fin de determinar el nivel de riesgo.
Fase 3: invasión y extracción
La extracción de datos es la transferencia no autorizada de datos desde un equipo. Una vez que los intrusos controlan estos sistemas de destino, pueden robar propiedad intelectual y otros datos confidenciales. Los atacantes usan la información capturada para análisis y explotación o fraude.
- Prevención de intrusiones/Firewall : Bloquea amenazas a medida que viajan por la red.
- Supervisión basada en comportamiento: Ayuda a detener la propagación de la infección.
Fase 4: reparación e inoculación
SEP incluye una consola única y un agente que ofrece protección en diversos sistemas operativosy plataformas.
- Power Eraser : Es una herramienta eficaz, que puede activarse de forma remota, para resolver las amenazas persistentes avanzadas y reparar el software malicioso más tenaz.
- Bloqueo del sistema: permite que se ejecuten las aplicaciones que se sabe que son válidas o bloquea la ejecución de aquellas que no son buenas. En cualquier modo, el bloqueo del sistema usa parámetros de ubicación de archivos y suma de comprobación para verificar si una aplicación se aprueba o no se aprueba. El bloqueo del sistema es útil para los quioscos en donde desee ejecutar una única aplicación solamente.
- Integración con Secure Web Gateway: Usa las API de REST programables para hacer posible la integración con Secure Web Gateway a fin de ayudar a detener la propagación de la infección en el equipo cliente.
- Integración con la consola de EDR
- SEP se integra con Symantec Endpoint Detection and Response y está diseñado para detectar, responder y bloquear los ataques dirigidos y las amenazas avanzadas y persistentes más rápidamente al asignarles prioridad a los ataques. La capacidad de EDR (detección y respuesta para puntos finales) está integrada en SEP.