Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Symantec EndPoint Protection, l’avenir de l’antivirus ?

auteur de l'article Robert DellImmagine , dans la rubrique Produits & Technologies

Commentaires Commentaires fermés sur Symantec EndPoint Protection, l’avenir de l’antivirus ?

EndPoint Protection 11.0 vient remplacer les précédentes versions d’antivirus de l’éditeur Symantec. Il combine plusieurs fonctionnalités majeures de protection du poste client, en s’ouvrant aussi sur le contrôle d’accès au réseau.


On connaissait le principe de l’UTM (Unified Threat Management) sous forme d’appliance : un ensemble de composants de sécurité pré-installés, configurés, et administrables d’une seule console. Avec Endpoint Protection 11.0, Symantec adapte le concept avec un seul agent, uniquement logiciel, sous la charge d’une console de management centralisé. Et donne soudainement un coup de vieux à l’antivirus classique, solitaire et mono tache. Voire au mieux doublé d’un antispyware ou inclus de force dans une suite composée d’outils hétéroclites dont le seul point commun est d’avoir leurs options de configuration sous une fenêtre commune.

L’agent multi-fonctions de Symantec regroupe lui, au sein d’un seul et même moteur, un antivirus, un antispyware, un pare-feu, un système de prévention d’intrusion et un contrôle des périphériques externes. En option Symantec ajoute le contrôle d’accès au réseau via Network Access Control (NAC) 11.0

Symantec Endpoint Protection (SEP) 11.0 est le fruit de l’intégration des technologies de Sygate Technologies, WholeSecurity, et, dans une moindre mesure, de Veritas. Ces 3 acquisitions datent de fin 2004, courant 2005. L’attente fût longue mais l’éditeur semble avoir réussi cette intégration et présente aujourd’hui la solution de « endpoint security » qu’il attendait tant. Chacune des sociétés tombées sous sa coupe apporte son expertise à la solution.

Sygate, WholeSecurity et Veritas à la rescousse

Ainsi Sygate vient renforcer l’offre de pare-feu personnel de Symantec au sein de SEP. La société de John Thompson se dote ainsi du meilleur pare-feu personnel du marché si on en croit diverses analystes, à commencer par ceux du Gartner. Gestion de règles en fonctions des types de connexion (VPN, ethernet, wifi), filtrage du trafic chiffré, blocage des drivers non validés par l’entreprise, etc, sont au nombre de ses caractéristiques. Les technologies de contrôle de périphériques externes proviennent aussi de Sygate. L’entreprise peut contrôler toute lecture/écriture/exécution sur des supports USB, firewire, bluetooth, et les interfaces PCMCIA, série, parallèle et SCSI.

WholeSecurity, spécialiste du contrôle comportemental, introduit cette fonctionnalité dans l’host IPS de la solution. Son moteur fonctionne en pondérant deux modules de détection. L’un mesure le comportement habituel d’une application afin d’en définir son profil, l’autre son comportement en temps réel afin d’identifier toute déviance par rapport au profil habituel (par exemple, si vous n’envoyez jamais 300 emails d’un coup, l’alerte sera donnée si Outlook s’emballe de la sorte après une infection non-détectée).

L’ensemble se double d’un contrôle d’accès aux fichiers, à la base de registre, des chargements de DLLs. Toute application se voit contrôler ses permissions d’accès au réseau, de lecture/écriture/exécution. Un IPS réseau (Network IPS) est aussi inclus, basé sur des signatures d’exploit des vulnérabilités connues. Une technologie nommée Generic Exploit Blocking est également chargé (en théorie !) de détecter les variantes d’attaques connues avant qu’une nouvelle signature soit disponible pour chacun.

Veritas, la plus importante acquisition de Symantec à ce jour (13,5 milliards de dollars) n’est pas en reste dans l’apport à SEP. Certes celui ci est plus modeste. La technologie VxMS (Veritas Mapping Service) de Veritas sert à l’éradication des rootkits bas niveau. Symantec l’utilise pour cartographier la structure des données sur les disques durs et la compare à la structure des fichiers telle qu’elle apparaît à WIndows. Les différences sont isolées et les fichiers suspects sont automatiquement analysés à la recherche de rootkits.

Un même agent pour le NAC

Le contrôle d’accès au réseau (Symantec NAC) est disponible en option, mais il est intégré à la solution. Le même agent SEP fait alors office de client NAC, et il devient inutile de déployer un client NAC supplémentaire. Rappelons qu’il s’agit d’autoriser l’accès au réseau en fonction de la conformité du poste client aux règles de sécurité édictées dans l’entreprise. Le cas échéant, il est possible de confiner le client sur une zone de quarantaine et/ou de le mettre à jour.

Longtemps décrié pour sa gourmandise en ressources processeur et mémoire, Symantec promet avec SEP une réduction de charge de 84%, en sommeil, par rapport à ses précédentes versions d’antivirus. La promesse est alléchante. Nous attendons avec impatience les premiers retours des utilisateurs afin de constater si elle a été tenu.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.