Page 10 - TEHSOVET premium #3-2019
P. 10
2019 март
ТЕХСОВЕТ премиум
Автоматизация и IT
Система комплексной защиты
Endpoint Protection Platform
В современном мире информационных технологий особого внимания Новые векторы угроз ИБ
Современные угрозы не ограничиваются
заслуживает информационная безопасность, в частности, защита ко- зараженными исполняемыми файлами. Злоу-
нечных точек. На данный момент под термином «конечные точки» по- мышленники ищут возможность эксплуати-
нимаются не только стационарные компьютеры и ноутбуки, как было ровать уязвимости в системном и прикладном
ранее, а также множество других устройств, например, смартфоны и программном обеспечении. Например, это
планшеты, поэтому их численность с каждым днем возрастает. Парал- может быть атака на уязвимости браузеров,
которые используются на конечной точке, или
лельно с ростом количества конечных точек растут и угрозы информа- использование уязвимостей различных прото-
ционной безопасности для них. Чтобы реагировать на эти нарастающие колов и операционных систем. Ярким приме-
угрозы, технологии защиты постоянно меняются. Раньше защита ко- ром такого вида вредоносной активности явля-
нечной точки ограничивалась функционалом антивируса, но сегодня та- ется распространение вируса-шифровальщика
WannaCry в 2016 г. Принцип распространения
кого рода технологии защиты уже не могут покрыть весь спектр угроз был следующим: WannaCry ищет компьютеры
информационной безопасности. На это есть несколько причин. с открытым TCP-портом 445, который отвечает
за обслуживание протокола SMBv1. Обнаружив
такой компьютер, WannaCry эксплуатировал
Недостатки имеющихся Эвристический анализ также обладает на нем уязвимость EternalBlue, с помощью ко-
торой загружал и исполнял исходный код про-
технологий обнаружения рядом недостатков, самый значимый из них граммы.
— это возможность возникновения ошибок
вредоносных файлов первого и второго рода. При возникнове-
Перечисленные выше технологии имеют нии ошибки первого рода безопасный файл Внутренние угрозы
ряд минусов, например, для эффективной ра- помечается как вредоносный, а при возник- Увеличивается потребность защищать
боты сигнатурного анализа необходимо посто- новении ошибки второго рода вредоносный информацию на конечных точках не только
янное обновление сигнатур. Перед тем как сиг- файл помечается как безопасный. Поэто- от вредоносных программ, но и от внешних и
натура будет занесена в базу, специалисты по му при эвристическом анализе могут быть внутренних инсайдеров, а также пользователей
8 ИБ должны обнаружить вирус, затем изучить ложные срабатывания, которые помешают с привилегированными правами. Это могут
его, и только после этого будет изъята сигна- комфортной работе пользователю с систе- быть целенаправленные атаки злоумышленни-
тура. Весь процесс занимает достаточно много мой или, что еще хуже, может быть не обна- ков или случайная реализация уязвимостей ИБ
времени. Помимо этого вирусы стали адапти- ружена вредоносная программа. Особенно неквалифицированным персоналом компании.
роваться к сигнатурному анализу. Как показы- это актуально против уязвимостей нулевого Именно поэтому формируется новый класс
вает практика, достаточно немного изменить дня, данные уязвимости еще не были изуче- решений Endpoint Protection Platform(EPP), ко-
структуру вредоносного файла, чтобы сигна- ны специалистами, а, следовательно, опреде- торый позволит охватить самые актуальные
турный анализ уже был неэффективен. Важно лить вредоносные действия ПО становится в угрозы безопасности для конечных точек.
также отметить, что сигнатурный анализ ори- разы сложней.
ентирован на анализ объектов и файлов, но Поэтому компании, которые используют Обзор технологии защиты
против нового типа угроз, например, такого, только стандартные средства антивирусной за-
как «безфайловые атаки», данный метод будет щиты без дополнительного уровня защиты, не Endpoint Protection Platform — это система
бесполезен, так как все тело вредоносной про- могут быть уверены, что они не подвергнутся комплексной защиты конечной станции, вклю-
граммы хранится в оперативной памяти. угрозам информационной безопасности. чающая в себя как классическую функциональ-
ность антивирусной защиты, так и расширен-
ные технологии безопасности.
Принцип работы данной системы соответ-
ствует принципу работы корпоративного анти-
вируса. В общем виде данная система состоит
из сервера безопасности и панели управления.
С помощью панели информации настраивается
политика безопасности для каждой конечной
точки, также ведется отчетность. Далее на ка-
ждую конечную точку устанавливаются агенты
защиты с преднастроенной политикой безопас-
ности.
В большинстве решений класса EPP, поми-
мо антивирусной защиты, присутствуют следу-
ющие важные функциональные возможности:
1) персональный межсетевой экран;
2) контроль устройств;
3) контроль процессов и приложений;
4) защита конфиденциальных данных от
утечки.
В зависимости от производителя в пере-
чень функциональных возможностей могут
быть включены также система предотвраще-
Рис.1. Тренд развития угроз ИБ ния вторжений, система шифрования дисков,
