Современные системы защиты конечных устройств

Чтобы предохранить свои данные и инфраструктуру от все более сложных киберугроз, компании должны использовать многоуровневые эшелонированные решения. При разрешении этой задачи по-прежнему важную роль играют системы для защиты конечных точек. Не секрет, что некоторые предприятия полагаются для достижения защиты на встроенный в операционную систему Windows Defender. Однако его возможностей недостаточно, чтобы предохраниться от киберугроз. Ведь современный и качественный комплекс класса Endpoint Protection обеспечивает намного более полную и надежную защиту на каждой фазе атаки. 

Рассмотрим для примера, как проходит типичная кибератака. На этапе вторжения срабатывают модули контроля приложений и устройств, сетевой экран и система предотвращения вторжений. На этапе заражения атаку отбивают средства поведенческого анализа (мониторинга поведения), машинного обучения и репутации файлов (веб-репутация). Также подключаются системы белых и черных списков, защиты от эксплойтов в памяти, и сигнатурный антивирус. Важную роль здесь может сыграть эмулятор типа «песочница» (sandbox) – виртуальная машина для выявления угроз, скрытых с помощью упаковщика.

На этапе поражения угрозе противостоят системы мониторинга поведения и System Lockdown. Также зловредный код может быть уничтожен антивирусом. В случае наступления фазы эксфильтрации срабатывает файрвол, который фильтрует трафик и превентивно блокирует вредоносный код. 

Но помимо высокоточного детектирования угроз, комплекс Endpoint Protection должен удовлетворять таким требованиям как низкая загрузка конечных компьютерных устройств и легкое управление (usability).

*источник иллюстрации - сайт компании Symantec

Ниже вы найдете краткое описание наиболее популярных систем обеспечения безопасности конечных устройств. 

ESET Endpoint Protection Advanced

Антивирус: есть

Sandbox (песочница): есть

Контроль устройств и портов: нет

DLP (Предотвращение утечек данных): нет

Шифрование дисков: нет

Компания ESET предлагает две версии для защиты конечных точек: ESET Endpoint Protection Standard и ESET Endpoint Protection Advanced. Вторая предлагает больше возможностей для защиты, поэтому предпочтительней. 

ESET Endpoint Security обеспечивает антивирусную защиту рабочих станций под операционными системами Windows и OS X. Кроме того, продукт включает в себя дополнительные функции, такие как двусторонний персональный брандмауэр, веб-контроль, защита от ботнетов и многое другое. 

Антифишинг предохраняет пользователей от посещения фальшивых веб-сайтов, через которые киберпреступники пытаются получить пароли, банковские данные и другую конфиденциальную информацию.

Простая в использовании консоль управления обеспечивает обзор локальных или дистанционных рабочих станций в режиме реального времени, а также полную отчетность решений ESET на всех операционных системах. Всеми функциями можно управлять из одной консоли. 

Как и любое другое современное решение, ESET Endpoint Protection поддерживает технологию проактивного обнаружения вредоносов. Технология ThreatSense обеспечивает качественную защиту от известных и ранее неизвестных угроз в режиме реального времени. Благодаря этому, компьютер остается в безопасности даже в тот критичный период, когда уязвимость определенного продукта только обнаружена, а разработчик еще не выпустил обновления, которое ее исправляет.

Одно из важных преимуществ ESET Endpoint Protection – минимальная нагрузка на систему. Очень умеренное потребление системных ресурсов позволяет применять этот продукт даже на старых маломощных системах.

Kaspersky Endpoint Security for Business Advanced

Антивирус: есть

Sandbox (песочница): есть

Контроль устройств и портов: есть

DLP (Предотвращение утечек данных): есть

Шифрование дисков: есть

Продукт Kaspersky Endpoint Security for Business ADVANCED включает в себя несколько технологий для защиты от вредоносных программ – сигнатурные, проактивные и облачные. В комплексе они создают мощную многоуровневую систему обеспечения безопасности. Сеть Kaspersky Security Network, расположенная в облаке, обеспечивает автоматическое получение обновлений и быструю реакцию на новые угрозы.

Немаловажно, что функционал продукта предоставляют возможность централизованного управления уязвимостями в программных приложениях и операционных системах с последующей установкой исправлений.

Для защиты критической бизнес-информации на случай попадания данных или компьютеров в чужие руки предлагаются мощные алгоритмы шифрования. При этом модуль для шифрования данных легко развертывается и не требует отдельной консоли управления. Всеми средствами защиты управляет единая консоль, поэтому для обеспечения безопасности требуется меньше усилий и затрат.

Поскольку многие сейчас используют личные устройства для доступа к корпоративным системам, это может представлять определенную опасность для данных. Благодаря функциям защиты мобильных устройств и управления ими через продукт Kaspersky Endpoint Security for Business Advanced, сотрудники компании могут применять мобильные устройства для доступа к корпоративным данным без ущерба для безопасности бизнеса.

McAfee Endpoint Security

Антивирус: есть

Sandbox (песочница): есть

Контроль устройств и портов: нет

DLP (Предотвращение утечек данных): нет

Шифрование дисков: нет

Решение McAfee Endpoint Security объединяет в себе большое количество разных технологий, обслуживающих все этапы жизненного цикла защиты от угроз, а использование одного-единственного агента и консоли централизованного управления позволяет поддерживать динамичность вашей организации и ваших средств защиты на должном уровне.

McAfee Endpoint Security пришел на смену сразу нескольким устаревшим продуктам McAfee, которые фокусировались на точечных задачах: VirusScan Enterprise, McAfee SiteAdvisor, McAfee Host Intrusion Prevention, McAfee Host IPS и другие. McAfee Endpoint Security использует архитектуру с единым агентом и интегрированную передовую защиту, такую как анализ на базе машинного обучения, сдерживание угроз и выявление конечных точек.

Продукт применяет машинное обучение для классификации поведения приложений, что позволяет обнаруживать угрозы нулевого дня в ближайшем реальном времени. Угрозы анализируется путем сравнения и анализа с ранее занесенными атрибутами вредоносных программ. Далее производится расширенный поведенческий анализ и анализ содержимого памяти. Исполняемые файлы распаковываются для обнаружения сложных угроз с запутанными алгоритмами кода, которые, как правило, остаются незамеченными при использовании только статических методов обнаружения.

Кроме того, продукт предлагает следующие инструменты: 

Сдерживание вредоносной атаки: предотвращает распространение зловредных приложений и процессов на конечных точках, когда они находятся в автономном режиме.

Мониторинг поведения: записывает поведение на уровня процесса во время анализа процедур и техники атаки. 

EDR: интегрированная и простая в использовании технология реагирования на инциденты.

Ассистент по миграции: инструмент для существующих клиентов, который позволяет упростить миграцию. Выполняет автоматические задачи и перемещает ваши существующие политики в McAfee Endpoint Security.

Sophos Endpoint Protection

Антивирус: есть

Sandbox (песочница): нет

Контроль устройств и портов: нет

DLP (Предотвращение утечек данных): нет

Шифрование дисков: есть

Sophos Endpoint Protection является чемпионом по количеству защищаемых платформ – всего 36. Среди них – Android, iOS, Red Hat, VMware, Amazon Web Services и т. д.

Движок следующего поколения использует поведенческое обнаружение, что позволяет останавливать угрозы, которые распространяются через веб-сайты, USB-накопители и электронные письма. Решение позволяет шифровать конфиденциальные данные пользователя, где бы они ни находились, а также контролировать доступ к USB-накопителям и другому съемному хранилищу.

Система защиты конечных точек от Sophos дает возможность блокировать указанные сайты и приложения или запрещать доступ к предварительно определенным категориям с помощью простых правил.

Модули защиты данных, брандмауэр, серверы, настольные компьютеры и мобильные устройства – все модули системы управляются через единую консоль.

Symantec Endpoint Protection

Антивирус: есть

Sandbox (песочница): есть 

Контроль устройств и портов: есть

DLP (Предотвращение утечек данных): нет

Шифрование дисков: нет

Решение Symantec Endpoint Protection в течение уже многих лет является лидером на рынке систем защиты конечных точек. И хотя доля продукта в последнее время несколько сократилась, тем не менее, это все еще самая популярная система в данном сегменте ИБ.

Symantec Endpoint Protection (SEP) – мощная комплексная  система, которая предлагает несколько уровней обеспечения безопасности. Наиболее важные инструменты такой системы – антивирусная и превентивная защита. Помимо этого, SEP предлагает защиту от сетевых угроз, эксплойтов нулевого дня, а также модуль предотвращения вторжений. Отдельно стоит акцентировать, что для противостояния новым и неизвестным угрозам применяются фирменные технологии Insight и SONAR.

Технология Symantec Insight выполняет анализ миллионов файлов в тысячах компьютерных систем с целью выявления угроз сразу после их возникновения. Insight выявляет зашифрованные программные приложения с недавно измененным кодом и присваивает каждому из них уровень риска в зависимости от новизны, степени распространения, типа источника и других особенностей.

Согласно заключением многих экспертов, Insight значительно повышает скорость обнаружения, производительность и точность срабатывания средств безопасности. Кроме того, по сравнению со стандартными решениями, такая технология заметно уменьшает потребление ресурсов при сканировании (до 70%), что делает работу системы защиты незаметной для пользователя.

SONAR – еще одна фирменная защитная технология Symantec, которая определяет степень опасности угроз на основе анализа их поведения. SONAR – это ядро защиты на базе поведенческой технологии, созданной на основе искусственного интеллекта, поведенческих шаблонов и поведенческого механизма блокировки с учетом политик. Все эти компоненты работают вместе и обеспечивают надежную защиту от угроз.

Среди других преимуществ Symantec Endpoint Protection стоит отметить облачный сервис антивирусного сканирования (Intelligent Threat Cloud Service), продвинутую технологию машинного обучения (Advanced Machine Learning – AML), улучшающую статическое обнаружение, функцию Generic Exploit Migration, останавливающую атаки на клиентские компьютеры с Windows, и «песочницу» для упакованных вредоносных программ. С целью повышения производительности в виртуальных средах, SEP может интегрироваться с VMware vShield Endpoint.

Trend Micro OfficeScan

Антивирус: есть

Sandbox (песочница): есть (при наличии модуля McAfee Threat Intelligence Exchange)

Контроль устройств и портов: есть

DLP (Предотвращение утечек данных): есть

Шифрование дисков: нет

Антивирусное решение Trend Micro OfficeScan с интегрированными технологиями XGen Endpoint Security —мощный комплекс средств защиты от киберугроз файловых серверов, ПК и Mac-платформ, PoS, банкоматов и виртуальных десктопов. OfficeScan предоставляет следующие средства защиты от зловредов: высокоточный поведенческий анализ, оценка репутации файлов, блокировка различных версий известного вредоносного кода, защита от эксплойтов и т. д. С целью минимизации загрузки системы и сети, управляющий модуль применяет наиболее оптимальную технику обнаружения в нужный момент.

Одной из важных особенностей Trend Micro OfficeScan является функция высокоэффективного машинного обучения. Суть в том, что данный продукт производит автоматический обмен информацией об угрозах с другими системами в сети компании и на основании полученных данных непрерывно адаптируется. Стоит отметить, что для более точной проверки на каждом уровне компания Trend Micro первой реализовала высококачественное машинное обучение путем анализа файлов как перед их запуском, так и в процессе выполнения. Подобный подход снижает количество ложных срабатываний.

Модернизированная защита от ransomware (программ-шифровальщиков) отслеживает всяческие несанкционированные действия, связанные с шифрованием файлов на конечном устройстве, и, при необходимости, блокирует их. Вдобавок к этому, OfficeScan восстанавливает зашифрованные файлы, в случае если это возможно. Оперативный обмен информацией о подозрительной сетевой активности и операциях с файлами предотвращает новые атаки. Кроме того, эмулятор для запуска упакованных вредоносных программ и обновления в режиме реального времени усиливают уровень защиты.

Резюме

В этой статье приведены только некоторые характеристики систем защиты конечных точек. Более детальную информацию можно найти в сравнительной таблице Endpoint Security от ROI4CIO 

В качестве итога нужно отметить, что все вышеописанные продукты систем защиты конечных устройств  отличаются великолепными характеристиками средств защиты, низким уровнем потребления ресурсов компьютера и простотой в управлении. Вместе с тем, по причине сложной и не всегда оптимальной структуры современных корпоративных сетей, эксперты рекомендуют перед окончательным внедрением провести этап предварительного тестирования эффективности выбранного решения.

--

Автор: Олег Пилипенко, для ROI4CIO