Построение корпоративной системы информационной безопасности начинается с обеспечения комплексной защиты конечных точек от вредоносных программ, сетевых атак, несанкционированного доступа и кражи данных. Ландшафт современных ИБ-угроз требует многоуровневого подхода к защите. Актуальность и сложность защиты конечных точек усугубляется тем, что именно конечные точки все чаще выбираются первичными целями атак злоумышленников.
Необходимо понимать фазы атак и применять противодействие на каждом этапе:
Цепочка атаки может начинаться с самых разнообразных способов доставки: через электронную почту, через Интернет или через вредоносное приложение, USB устройства. Во время заражения «инфекция» пытается распространиться в поперечном направлении, и иногда вызывает командный центр (C&C) для получения информации о дальнейших действиях: шифровании, передаче конфиденциальной информации на внешние ресурсы и т.д.
Для охвата цепочки инициализации атак необходимо использовать различные технологии, методы обнаружения и защиту – если угроза пройдет одну технологию, то в силу вступит другая. На этапе доставки ответственность ложится на такие системы как: анализ по репутации файла, защита браузера и фильтрация URL, локальный брандмауэр, контроль устройств и контроль приложений. От заражений и распространения по сети защищает модуль Host IPS (Защита от вторжений) или, другими словами, «виртуальный патчинг» – блокировка известных и неизвестных уязвимостей до установки исправлений в операционных системах и приложений. Она позволяет защищать устаревшие ОС, которые не имеют и больше не могут иметь никаких обновлений. Технологии машинного обучения анализируют вредоносное ПО как до запуска файла, так и после. Помимо этого, на данном этапе подключается защита от использования эксплойтов в оперативной памяти. Отдельно работает технология выявления программ-вымогателей и блокирует шифрование пользовательских файлов. На последнем этапе снова в силу вступает анализ репутации командных центров и проводится мониторинг сетевой активности.
При внедрении современных решений для эффективной защиты рабочих станций и серверов, в первую очередь следует обращать внимание на их способность предотвращать заражение на каждом этапе. Также помимо высокоточного детектирования современных угроз, комплекс Endpoint Protection должен соответствовать таким требованиям как низкая нагрузка конечных точек и легкое управление.
Всеми этими характеристиками обладают такие решения как – Symantec Endpoint Protection и Trend Micro OfficeScan XG. Оба решения зарекомендовали себя с лучшей стороны и подтверждением этому является последний независимый тест AV-TEST: данные решения набрали максимальное количество баллов и являются лидерами как на мировом рынке, так и в Украине.
Symantec Endpoint Protection
Symantec Endpoint Protection (SEP) – представляет собой комплексную антивирусную систему, специально разработанную для противодействия актуальным сложным угрозам безопасности. Благодаря своим уникальным модулям – SONAR, Insight, Advanced Machine Learning, он держит под контролем все звенья организованных атак и обеспечивает защиту на всех уровнях. Высокая производительность достигается за счет наличия интеллектуального облака и позволяет выполнять быстрые сканирования с использованием передовых технологий. Модуль целостности хоста гарантирует защиту конечных точек и соответствие требованиям путем принудительного соблюдения политик и выявления несанкционированных изменений.
SEP на протяжении 14 лет находится в группе лидеров Gartner Magic Quadrant.
Trend Micro OfficeScan
Trend Micro OfficeScan с набором технологий XGen применяет высокоточное машинное обучение в сочетании с различными методами защиты от угроз. Система постоянно обучается, адаптируется и автоматически обменивается информацией об угрозах с облаком.
Оба решения имеют многоуровневый подход к защите от современных атак, низкий уровень потребления ресурсов и, кроме того, просты в управлении. Вместе с тем, по причине сложной и не всегда оптимальной структуры современных корпоративных сетей эксперты системного интегратора ITBiz Solutions рекомендуют перед окончательным внедрением провести этап предварительного тестирования эффективности обоих решений.
