Заголовок уровня 3

Традиционные вирусы в виде исполняемых файлов, которые отправляются «в массы» для заражения огромного количества компьютеров и устройств, уже контролируются системами защиты (платформы для защиты конечных точек - Endpoint Protection Platforms). Имеются в виду популярные известные антивирусы, которые, как следует из названия, защищают систему пользователя. Но проблема заключается в том, что кибер-преступники существенно эволюционировали за последние годы, поменяв манеры атак.

Кибер-преступники меняют свои споты каждый день, и теперь они в основном сфокусированы на угрозах повышенной сложности (advanced threats). Прямые атаки, ransomware (угрозы-«шифровальщики» типа Cryptolocker, который осуществляет кражу информации с зараженного компьютера), атаки «нулевого дня», постоянные угрозы повышенной сложности… они все очень распространены на рынке. Предприятия и обычные домашние пользователи ежедневно подвержены риску не только кражи информации, они могут стать жертвами вымогательства денег. Это также может негативно отразиться и на компании, если она пострадает от атаки и ее репутации будет нанесен ущерб.

К счастью, индустрия информационной безопасности уже начала реагировать на новые угрозы и многие крупные игроки на этом рынке уже анонсировали платформы, которые далеко выходят за рамки просто защиты Вашей системы: такие системы могут обнаруживать угрозы повышенной сложности, одновременно реагируя на возможные инциденты. В данном случае мы говорим о платформах EDR (Endpoint Detection and Response) для обнаружения атак на конечные точки и реакции на них. Этот термин был придуман в 2013 году аналитиком Gartner по безопасности Антоном Чувакиным. Отслеживая данную тенденцию, в Panda Security создали свой продукт – Panda Adaptive Defense 360.

«Защита, предлагаемая решениями класса EPP (Endpoint Protection Platform), включая те, которыми обладают традиционные антивирусы, уже недостаточна», - объясняет Эдуардо Фернандес Канга, эксперт в Panda Security. «Антивирусы все еще важны, т.к. они являются продуктами, которые защищают от известных угроз. Проблема в том, что некоторые новые угрозы все-таки способны проникнуть в систему. Поэтому недостаточно просто защищать свою систему: Вам также необходим инструмент, который позволит Вам обнаруживать новые угрозы. Нельзя сказать, что мы способны блокировать все вредоносные программы, но мы можем обнаружить их и прореагировать наилучшим образом», - добавил он.

Комплексное и настраиваемое решение

Это как раз то место, где начинает играть свою роль решение, подобное Adaptive Defense 360. Разработанное экспертами Panda в течение пяти лет, данное решение совместимо с Windows и скоро станет доступным и для устройств Android. «Решения защиты, которые обнаруживают угрозу, всегда генерируют идентификатор и включают ее в черный список. Проблема заключается в том, что если существует исполняемый файл, который не представлен в этом черном списке, то решение предполагает, что данный файл «хороший» и ничего не предпринимает против него. Однако, Adaptive Defense не полагается только на черный список. Он подозрителен ко всему, что запускается на конечной точке», - подчеркивает наш эксперт.

Итак, как работает данная платформа? Первое, что она делает, - это устанавливает агента на устройстве пользователя. Затем она анализирует поведение каждого приложения, которое запускается в системе, и отправляет эту информацию о поведении в облако. С помощью больших данных и средств интеллектуального анализа данных, Panda способна классифицировать 95% всех приложений, по которым поступает информация, включая невредоносные программы (goodware) и вредоносные программы (malware). Чтобы покрыть оставшиеся 5%, Panda подключает свою группу экспертов-аналитиков, которые способны проанализировать и классифицировать то, что попало в систему.

Важным отличием, по сравнению с другими решениями, представленными на рынке, является то, что Adaptive Defense «создает для клиента белый список, который используется для анализа исполняемых файлов», - говорит Фернандес. Кроме этого, платформа не просто классифицирует исполняемые файлы, но также отслеживает, чтобы их поведение не менялось. «Обычно решения с белым списком не способны обнаруживать изменения, после того как они классифицировали исполняемый файл в качестве невредоносной программы. Однако мы создаем шаблон для каждого исполняемого файла, поэтому если позже файл меняется и становится отличным от шаблона, генерируется предупреждение», - добавляет наш эксперт. Эта последняя часть является важным фактором, который позволяет клиентам работать с уязвимыми приложениями, такими как старые версии Java, Chrome или Internet Explorer. «Многие компании вынуждены использовать только такие программы, которые работают с этими приложениями. Следовательно, единственный способ, когда они могут быть защищены при использовании таких программ, - это использовать системы, подобные Adaptive Defense», - объясняет Фернандес. Полный контроль информационного потока в организации.

Другое преимущество Adaptive Defense заключается в том, что он позволяет системному администратору точно знать, какой ущерб компьютеру был нанесен каждой вредоносной программой. Более того, решение позволяет Вам знать и контролировать, кто имеет доступ к этим вредным исполняемым файлам. Например, речь может идти о случае, когда сотрудник подключается к конфиденциальной информации и отправляет ее кому-то за пределы компании. Adaptive Defense, хотя и не блокирует подобные действия, но способен обнаружить их и проинформировать об этом администраторов.

На самом деле, делая шаг вперед, Adaptive Defense – это мощный инструмент, позволяющий точно проанализировать, понять и визуализировать поток информации, который возникает внутри Вашей организации, является исходящим из нее или наоборот. «Администратор может узнать, кто, как и когда получал доступ к тем или иным данным, со всеми вытекающими отсюда преимуществами», - резюмировал Фернандес Канга.

Оригинал статьи:EDR technology – much more than just standard protection

Panda Security в России

+7(495)105 94 51, marketing@rus.pandasecurity.com http://www.pandasecurity.com