18 дек 2017

Endpoint Protection: список требований к современным системам защиты

В индустрии информационной безопасности есть такое понятие как «нулевой пациент» – первая публично известная жертва атаки нового и ранее неизвестного вредоносного ПО. Вряд ли хоть одна компания хотела бы примерить на себя эту роль. Но не так давно, вариантов угроз «нулевого дня» было настолько мало, что несколько атак в год являлись приемлемым риском. Тем более, что сигнатуры против недавно обнаруженных неизвестных зловредов выходили довольно быстро.

Однако сегодня защита бизнеса с использованием только сигнатурного метода безнадежно устарела из-за резкого роста числа целевых вредоносных атак с использованием угроз нулевого дня. В таких условиях компании должны использовать многоуровневые эшелонированные решения, которые способны предохранить их от все более сложных угроз. Тем не менее, даже в этом случае важную роль по-прежнему играют системы для защиты конечных точек. Известно, что некоторые предприятия предпочитают экономить и применяют для этой цели встроенный Windows Defender. Однако его возможностей недостаточно, чтобы защититься от новейших киберугроз. Покажем, как современный и качественный комплекс класса Endpoint Protection обеспечивает защиту от каждой фазы атак.

На этапе вторжения начинают работу модули контроля приложений и устройств. Далее, на этапе заражения, атаку отбивают средства поведенческого анализа, машинного обучения и репутации файлов. Также к обороне подключаются системы черных и белых списков, защита от эксплойтов в памяти, и сигнатурный антивирус. Важную роль здесь может сыграть т.н. «песочница» – виртуальная машина для выявления угроз, которые невозможно обнаружить посредством сигнатурного анализа.

На этапе поражения, угрозе противостоят системы мониторинга поведения и функция предотвращения эпидемий, которая блокирует доступ зараженной машины в сеть. Помимо этого, зловредный код может быть обнаружен и удален с помощью антивирусного движка. В случае наступления фазы эксфильтрации, срабатывает брандмауэр, который контролирует трафик и превентивно блокирует вредоносный код.

При этом, помимо высокоточного детектирования угроз, комплекс Endpoint Protection должен соответствовать такому требованию как низкая загрузка конечных точек и быть легким в управлении.

Symantec Endpoint Protection

Решение Symantec Endpoint Protection (SEP) – это комплексная антивирусная система, которая предлагает несколько уровней обеспечения безопасности. Наиболее важные инструменты этой системы это антивирусная и превентивная защита. Помимо этого, SEP предлагает защиту от сетевых угроз, эксплойтов нулевого дня и модуль предотвращения вторжений. А для противостояния новым и неизвестным угрозам, применяются фирменные технологии Insight и SONAR.

Технология Symantec Insight выполняет мониторинг миллионов файлов во множестве компьютерных систем с целью детектирования новых угроз сразу после их возникновения. Insight детектирует зашифрованные программные приложения с недавно измененным кодом и присваивает им уровень риска в зависимости от новизны, степени распространения, источника и других особенностей.

Согласно исследованиям экспертов, Insight значительно повышает скорость обнаружения, производительность и точность срабатывания средств безопасности. Кроме того, по сравнению со стандартными решениями, такая технология заметно уменьшает потребление ресурсов при сканировании (до 70%), что делает работу системы защиты незаметной для пользователя.

SONAR – еще одна фирменная защитная технология Symantec, которая определяет степень опасности угроз на основе анализа их поведения. SONAR является ядром поведенческой защиты, созданным на базе искусственного интеллекта, уникальных поведенческих сигнатур и поведенческого механизма блокировки на основе политик. Все эти компоненты соединены в одно целое и гарантируют отличную защиту от угроз.

Среди других преимуществ Symantec Endpoint Protection стоит отметить облачный сервис антивирусного сканирования (Intelligent Threat Cloud Service), продвинутую технологию машинного обучения (Advanced Machine Learning – AML), улучшающую статическое обнаружение, функцию Generic Exploit Migration, останавливающую атаки на клиетские компьютеры с Windows, и «песочницу» для упакованных вредоносных программ. С целью повышения производительности в виртуальных средах, SEP может интегрироваться с VMware vShield Endpoint.

Trend Micro OfficeScan с технологиями XGen Endpoint Security

Антивирусное решение Trend Micro OfficeScan с интегрированными технологиями XGen Endpoint Security предлагает мощный пакет средств защиты от киберугроз для файловых серверов, ПК и Mac-платформ, точек продаж, банкоматов и виртуальных десктопов. Одно из преимуществ Trend Micro OfficeScan — функция высокоэффективного машинного обучения. Данный продукт непрерывно адаптируется и производит автоматический обмен информацией об угрозах с другими системами в сети компании. Стоит отметить, что для более точной проверки на каждом уровне, компания Trend Micro первой реализовала высококачественное машинное обучение за счет анализа файлов как перед их запуском, так и в процессе выполнения. Подобный подход снижает количество ложных срабатываний.

OfficeScan предоставляет следующие средства защиты от киберугроз: высокоточный поведенческий анализ, оценка репутации файлов, блокировка различных версий известного вредоносного кода, защита от эксплойтов и т. д. С целью минимизации загрузки системы и сети, управляющий модуль применяет наиболее оптимальную технику обнаружения в нужный момент.

Модернизированная защита от ransomware (программ-шифровальщиков) отслеживает всяческие несанкционированные действия, связанные с шифрованием файлов на конечном устройстве, и, при необходимости, блокирует их. Вдобавок к этому, OfficeScan восстанавливает зашифрованные файлы, в случае если это возможно. Оперативный обмен информацией о подозрительной сетевой активности и операциях с файлами предотвращает новые атаки. Кроме того, эмулятор для запуска упакованных вредоносных программ и обновления в режиме реального времени усиливают уровень защиты.

Резюме

Оба решения отличаются отличным набором средств защиты, низким уровнем потребления ресурсов компьютера и простотой в управлении. В последнем тесте AV-TEST, выполненным в июне этого года, каждый из вышеописанных продуктов набрал максимальное число баллов. Вместе с тем, по причине сложной и не всегда оптимальной структуры современных корпоративных сетей, эксперты ITbiz Solutions, украинского системного интегратора, рекомендуют перед окончательным внедрением провести этап предварительного тестирования эффективности обоих решений.


Опубликовано © Itbiz