В індустрії інформаційної безпеки існує таке поняття як «нульовий пацієнт» – перша публічно відома жертва атаки нового і раніше невідомого шкідливого ПЗ. Навряд чи хоч одна компанія хотіла б приміряти на себе цю роль. Але не так давно варіантів загроз «нульового дня» було настільки мало, що кілька атак на рік були прийнятним ризиком. Тим більше, що сигнатури проти нещодавно виявлених невідомих шкідливих програм виходили досить швидко.
Однак сьогодні захист бізнесу з використанням тільки сигнатурного методу безнадійно застарів через різке зростання кількості цільових шкідливих атак з використанням загроз нульового дня. У таких умовах компанії повинні використовувати багаторівневі ешелоновані рішення, які здатні захистити їх від все більш складних загроз. Проте, навіть у цьому випадку важливу роль, як і раніше, відіграють системи для захисту кінцевих точок. Відомо, що деякі підприємства вважають за краще економити і застосовують для цієї мети вбудований Windows Defender. Однак його можливостей недостатньо, щоб захиститися від новітніх кіберзагроз. Покажемо, як сучасний і якісний комплекс класу Endpoint Protection забезпечує захист від кожної фази атак.
На етапі вторгнення починають роботу модулі контролю додатків і пристроїв. Далі, на етапі зараження, атаку відбивають засоби поведінкового аналізу, машинного навчання і репутації файлів. Також до оборони підключаються системи чорних і білих списків, захист від експлойтів в пам’яті, і сигнатурний антивірус.
На етапі ураження загрозі протистоять системи моніторингу поведінки та функція запобігання епідемій, яка блокує доступ зараженої машини до мережі. Крім цього, шкідливий код може бути виявлений і видалений за допомогою антивірусного движка. У разі настання фази ексфільтрації спрацьовує брандмауер, який контролює трафік і превентивно блокує шкідливий код.
При цьому, крім високоточного виявлення загроз, комплекс Endpoint Protection повинен відповідати такій вимозі, як низьке навантаження кінцевих точок, і бути легким в управлінні.
Symantec Endpoint Protection
Рішення Symantec Endpoint Protection (SEP) – це комплексна антивірусна система, яка пропонує кілька рівнів забезпечення безпеки. Найважливіші інструменти цієї системи – антивірусний захист та превентивний захист. Окрім цього, SEP пропонує захист від мережевих загроз, експлойтів нульового дня та модуль запобігання вторгнень. А для протидії новим і невідомим загрозам застосовуються фірмові технології Insight і SONAR.
Технологія Symantec Insight здійснює моніторинг мільйонів файлів у безлічі комп’ютерних систем з метою виявлення нових загроз відразу після їх появи. Insight виявляє зашифровані програмні застосунки з нещодавно зміненим кодом і присвоює їм рівень ризику залежно від новизни, ступеня поширення, джерела та інших особливостей.
Згідно з дослідженнями експертів, Insight значно підвищує швидкість виявлення, продуктивність і точність спрацювання засобів безпеки. Крім того, у порівнянні зі стандартними рішеннями, така технологія помітно зменшує споживання ресурсів під час сканування (до 70%), що робить роботу системи захисту непомітною для користувача.
SONAR – ще одна фірмова захисна технологія Symantec, яка визначає ступінь небезпеки загроз на основі аналізу їхньої поведінки. SONAR є ядром поведінкового захисту, створеним на базі штучного інтелекту, унікальних поведінкових сигнатур та поведінкового механізму блокування на основі політик. Усі ці компоненти об’єднані в єдине ціле та гарантують відмінний захист від загроз.
Серед інших переваг Symantec Endpoint Protection варто відзначити хмарний сервіс антивірусного сканування (Intelligent Threat Cloud Service), просунуту технологію машинного навчання (Advanced Machine Learning – AML), що покращує статичне виявлення, функцію Generic Exploit Migration, яка зупиняє атаки на клієнтські комп’ютери з Windows, та «пісочницю» для упакованих шкідливих програм. З метою підвищення продуктивності у віртуальних середовищах SEP може інтегруватися з VMware vShield Endpoint.
Trend Micro OfficeScan з технологіями XGen Endpoint Security
Антивірусне рішення Trend Micro OfficeScan з інтегрованими технологіями XGen Endpoint Security пропонує потужний пакет засобів захисту від кіберзагроз для файлових серверів, ПК і Mac-платформ, точок продажу, банкоматів та віртуальних десктопів. Однією з переваг Trend Micro OfficeScan є функція високоефективного машинного навчання. Цей продукт безперервно адаптується та здійснює автоматичний обмін інформацією про загрози з іншими системами в мережі компанії. Варто зазначити, що для більш точного контролю на кожному рівні компанія Trend Micro першою реалізувала високоякісне машинне навчання завдяки аналізу файлів як перед їх запуском, так і під час виконання. Такий підхід зменшує кількість хибних спрацювань.
OfficeScan надає такі засоби захисту від кіберзагроз: високоточний поведінковий аналіз, оцінка репутації файлів, блокування різних версій відомого шкідливого коду, захист від експлойтів тощо. З метою мінімізації навантаження на систему та мережу, керуючий модуль застосовує найбільш оптимальну техніку виявлення у потрібний момент.
Модернізований захист від ransomware (програм-шифрувальників) відстежує всілякі несанкціоновані дії, пов’язані з шифруванням файлів на кінцевому пристрої, і, при необхідності, блокує їх. На додаток до цього, OfficeScan відновлює зашифровані файли, якщо це можливо. Оперативний обмін інформацією про підозрілу мережеву активність і операції з файлами запобігає новим атакам. Крім того, емулятор для запуску упакованих шкідливих програм і оновлення в режимі реального часу підсилюють рівень захисту.
Резюме
Обидва рішення відрізняються відмінним набором засобів захисту, низьким рівнем споживання ресурсів комп’ютера і простотою в управлінні. В останньому тесті AV-TEST, виконаному в червні цього року, кожен з вищеописаних продуктів набрав максимальну кількість балів. Разом з тим, через складну і не завжди оптимальну структуру сучасних корпоративних мереж, експерти ITbiz Solutions, українського системного інтегратора, рекомендують перед остаточним впровадженням провести етап попереднього тестування ефективності обох рішень.
