Главная   Аналитика   Безопасность    Наука и технологии   Проекты    Soft   Hard   О том, о сём    Контакты

Лучшая защита – эшелонированная защита

3.03.2017

Компания Symantec объявила о запуске новой версии решения Symantec Endpoint Protection 14. Произошло это 2 марта текущего года. В начале Олег Никитский, глава представительства Symantec Russia обрисовал общую обстановку состояния информационной безопасности. По его словам, за прошлый год компания зарегистрировала 431 миллион новых разновидностей вредоносных программ. При этом программы-вымогатели стали более разнообразными, а количество угроз «нулевого дня» выросло более чем вдвое. Эти цифры приводятся в отчете Symantec об угрозах безопасности в Интернете, 2016 г.

Что касается киберпреступности – вполне объяснимо бурное развитие этого явления: это высокодоходный бизнес, не имеющий географических границ. А всякий бизнес жив, если развивается. Поэтому организациям становится всё сложнее обеспечивать безопасность. К слову, бизнес разработчиков средств обеспечения безопасности тоже на подъёме – на рынке появляется много новых продуктов, компании – стартапы стараются предлагать новые методы борьбы. Время от времени появляются решения, которые вендоры представляют, как самые надежные.

Очевидно, что организациям сегодня нужны механизмы защиты, действующие вне зависимости от того, каким образом злоумышленники организовывают атаки. Для этого, по мнению специалистов Symantec, требуются эффективные технологии выявления неизвестных угроз и атак «нулевого дня», включая идентификацию программ-вымогателей; доступ к самой полной аналитике угроз для обеспечения защиты в реальном времени. Также важны способы предотвращения использования эксплойтов в оперативной памяти для распространенных приложений и операционных систем. И, конечно, для пользователей важно, чтобы защита всех устройств была не только надежной, но и не сказывалась на их быстродействии.

Все эти моменты были учтены при разработке нового функционала Symantec Endpoint Protection 14. Главный технический консультант, Symantec Russia Константин Челушкин подчеркнул, что благодаря комплексному подходу продукт держит под контролем все звенья организованных атак и обеспечивает защиту на всех уровнях. Чтобы блокировать комплексные угрозы, Symantec Endpoint Protection 14 задействует крупнейшую в мире гражданскую сеть киберугроз.

В новом продукте используется ряд технологий нового поколения, включая улучшенное машинное обучение, анализ репутации файлов и мониторинг поведения в реальном времени. Помимо этого применяются и уже испытанные технологии предотвращения вторжений. Благодаря единой консоли управления и компактному агенту, интегрируемому с другими продуктами в инфраструктуру безопасности, Symantec Endpoint Protection 14 способен не только оперативно реагировать на угрозы и обеспечивать защиту конечных точек, но делает это не снижая их быстродействия.

Итак, комплексная защита состоит из ряда компонентов. Во-первых, требуется обнаружить вторжение. Для этого имеется компонент предотвращения вторжений из сети, политики URL-адресов и брандмауэра. Он анализирует входящий и исходящий трафик и блокирует угрозы еще до того, как они могли бы атаковать конечные точки. От атак из Интернета защищает также брандмауэр, работающий на основе правил.

Второе – контроль поведения приложений. Этот компонент следит за доступом к файлам и реестру, контролирует параметры выполнения процессов. Третий, важный компонент – контроль устройств. Он ограничивает доступ к оборудованию и следит за тем, какими типами устройств разрешено отправлять и принимать информацию.

Четвертое – предотвращение использования эксплойтов в оперативной памяти. Компонент нейтрализует эксплойти «нулевого дня», такие как Heap Spray и SEHOP Overwrite, а также Java-эксплойты в распространенных приложениях, для которых пока не выпущены исправления.

Если заражение всё же произошло, используется компонент, предотвращающий использование эксплойтов в оперативной памяти. Следующий компонент анализирует репутации файлов. Выше мы упоминали о технологии нового поколения – машинном обучении. Она применяется на конечных точках, что позволяет снизить зависимость от сигнатур при блокировании новых и неизвестных угроз. Для машинного обучения применяются триллионы образцов опасных и безопасных файлов, собранных глобальной аналитической сетью Symantec, поэтому коэффициент ложных срабатываний системы довольно низок.

Далее. Высокопроизводительный эмулятор помогает выявлять вредоносные программы, спрятанные с помощью полиморфных упаковщиков. Сканер статических данных за миллисекунды запускает каждый файл в небольшой виртуальной машине, заставляя угрозы проявлять себя.

Конечно, продукт не может обойтись без антивирусной защиты файлов. И, наконец, модуль – мониторинг поведения, который зарекомендовал себя в качестве очень эффективной технологии Symantec Endpoint Protection. Этот модуль использует машинное обучение, обеспечивает защиту от атак «нулевого дня» и эффективно блокирует новые и неизвестные угрозы, отслеживая около 1400 вариантов поведения файлов в реальном времени.

И, наконец, глобальный анализ угроз. Хорошо зарекомендовавшие себя алгоритмы машинного обучения Symantec получают доступ к подробной информации о методах, используемых злоумышленниками и способны обеспечить максимальный уровень защиты в real time.

Константин Челушкин пояснил, что в состав решения Symantec Endpoint Protection 14 входят единая консоль и агент, обеспечивающий защиту в различных операционных системах и на различных платформах, применяемых компаниями любого масштаба. Новые программируемые интерфейсы REST API позволяют интегрировать продукт в существующую инфраструктуру безопасности, включая шлюз Secure Web Gateway, и обеспечить быстрое реагирование на конечных точках, чтобы прекратить распространение инфекции.

На конференции также обсуждались возможности платформы Symantec Advanced Threat Protection. Напомним, это унифицированная платформа для выявления, ранжирования, исследования и устранения сложных угроз. В настоящее время платформа ATP состоит из четырех модулей: ATP: Endpoint; ATP: Network; ATP: Email и ATP: Roaming. Каждый из этих модулей отправляет платформе ATP информацию о событиях, зарегистрированных в контрольных точках. Полученная информация анализируется, ранжируются события, позволяя аналитикам сфокусироваться на самых опасных из них.

Елена Шашенкова

Тема:Безопасность

© 2014. ИТ-Текст. Все права защищены.