Η προστασία αρχείων είναι το πρώτο επίπεδο προστασίας της Symantec. Προστασία δικτύου - το δεύτερο επίπεδο προστασίας Symantec

Symantec Endpoint Protection 14είναι υψηλής τεχνολογίας ολοκληρωμένη λύσηγια προστασία από ιούς σταθμών εργασίας και διακομιστών. Υψηλό επίπεδοασφάλεια και απόδοση, υποστήριξη για φυσική και εικονικά συστήματα. Ενσωμάτωση σε μία λύση όλων των απαραίτητων εξαρτημάτων για την εξασφάλιση της ασφάλειας, χωρίς αύξηση του φορτίου στο σύστημα.

Τύπος άδειας		Μόνιμη άδεια Υποστήριξη προσωρινής άδειας
Πρόγραμμα αδειοδότησης		Επιχείρηση
Υποστήριξη		1 χρόνος
Κατηγορία τιμής	ΕΝΑ σι ντο ρε από 1 έως 24 τεμ. από 25 έως 49 τεμ. από 50 έως 99 τεμ. από 100 έως 249 τεμ.

Περιγραφή λειτουργιών

Symantec Endpoint Protection Client

Symantec Endpoint Protection Manager

Συστατικά

Συστατικά

Διακομιστής για τη διαχείριση πελατών που είναι εγκατεστημένοι σε σταθμούς εργασίας χρήστη. Υπεύθυνος για την παρακολούθηση και διαχείριση της εταιρικής πολιτικής ασφάλειας του οργανισμού.
Η εργασία με τον διακομιστή πραγματοποιείται χρησιμοποιώντας την κονσόλα διαχείρισης, η οποία μπορεί να εγκατασταθεί απευθείας στον διακομιστή ή σε οποιονδήποτε απομακρυσμένος υπολογιστήςσυνδεδεμένο μέσω δικτύου στον διακομιστή. Οι λειτουργίες με την κονσόλα διακομιστή διαχείρισης μπορούν να εκτελεστούν είτε μέσω ειδικού εγκατεστημένη εφαρμογή, και μέσω φυλλομετρητής. Αυτό επιτρέπει στους διαχειριστές, ενώ βρίσκονται μακριά από το γραφείο, να συνεργάζονται μαζί τους Symantec Endpoint Protection Manager.

Symantec Endpoint Protection Clientεγκατεστημένο σε διακομιστές, σταθμούς εργασίας και φορητούς υπολογιστές που πρέπει να προστατεύονται. Προστατεύει τους υπολογιστές σας σαρώνοντας για ιούς και λογισμικό υποκλοπής spyware χρησιμοποιώντας τις παραπάνω τεχνολογίες και δυνατότητες.

Πελάτης Symantec Network Access ControlΔιασφαλίζει ότι οι απαιτήσεις πολιτικής ασφαλείας πληρούνται σε υπολογιστές-πελάτες πραγματοποιώντας ελέγχους ακεραιότητας κεντρικού υπολογιστή και αυτο-παρακολούθηση.

Κέντρο Προστασίας Symantecσας επιτρέπει να ενσωματωθείτε Προστασία τελικού σημείουσε ένα ενιαίο περιβάλλον διαχείρισης με άλλες λύσεις ασφάλειας της Symantec. Εγκατεστημένο με Symantec Endpoint Protection Manager.

Στοιχείο διαχειριστή LiveUpdateΠραγματοποιεί λήψη ορισμών προϊόντων, υπογραφών και ενημερώσεων από τον διακομιστή Symantec LiveUpdate και διανέμει ενημερώσεις στα συστήματα πελατών.

Βάση δεδομένωναποθηκεύει πολιτικές ασφαλείας και εκδηλώσεις. Εγκατεστημένο με Symantec Endpoint Protection Manager.

Εξάρτημα Symantec EnforcerΕπαληθεύει τους πελάτες που είναι συνδεδεμένοι στο δίκτυο έναντι των διαμορφωμένων πολιτικών ασφαλείας.

Απαιτήσεις συστήματος

Απαιτήσεις συστήματος

Microsoft Windows
- Windows 10 (ξεκινώντας από την έκδοση 12.1.6 MP1a) - Windows XP SP2, Vista, 7, 8 (32- και 64-bit)
- Windows Server 2003 R2, 2008, 2012 (εκδόσεις 32 και 64 bit)
- Windows Small Business Server 2011 (64-bit)
- Windows Essential Business Server 2008 (64-bit)

MacOS
- Mac OS 10.11
- Mac OS X 10.8, 10.9 ή 10.10 (εκδόσεις 32 και 64 bit)
- Διακομιστής Mac OS X 10.5, 10.6, 10.7, 10

Linux
- κόκκινο καπέλο Enterprise Linux
- SuSE Linux Enterprise (διακομιστής/επιτραπέζιος υπολογιστής)
- Novell Open Enterprise Server
- Ubuntu
- Debian
- Fedora
- Oracle Linux

Cloud και εικονικά περιβάλλοντα
- Windows Azure
- Χώροι εργασίας του Amazon
- Microsoft Windows Server 2008, 2012 και 2012 R2 Hyper-V
- Citrix XenServer 5.6 και νεότερη έκδοση
- Virtual Box από την Oracle
- VMware WS 5.0, GSX 3.2, ESX 2.5 ή νεότερη έκδοση
- VMware ESXi 4.1-5.5

Υπάρχει μια κοινή εσφαλμένη αντίληψη ότι η δουλειά των σαρωτών προστασίας από ιούς είναι να αναζητούν βάσεις δεδομένων αρχείων για να προσδιορίσουν εάν το αρχείο είναι καλό ή όχι. Στην πραγματικότητα, οι σύγχρονες λύσεις προστασίας από ιούς υπερβαίνουν κατά πολύ την αντιστοίχιση αρχείων με υπογραφές: χρησιμοποιούν γενικές και ευρετικές μεθόδους για τον εντοπισμό απειλών.

Στην πραγματικότητα, οι καλύτερες μηχανές προστασίας από ιούς παρέχουν πολυάριθμες μεθόδους για τον εντοπισμό γνωστών και άγνωστων απειλών. Η προστασία αρχείων των προϊόντων της Symantec είναι μια τέτοια τεχνολογία.

Η προστασία αρχείων έχει αρκετά μακρά ιστορία, σχεδόν ως ένας από τους ακρογωνιαίους λίθους της τεχνολογίας ασφαλείας μας. Η STAR συνεχίζει να επενδύει και να αναπτύσσει προστασία αρχείων των λύσεων προστασίας από ιούς της Symantec, ώστε η εταιρεία να έχει αυξημένη εμπειρία σε ένα ευρύ φάσμα απειλών στο Διαδίκτυο. Η παρουσία μολυσμένων αρχείων στον υπολογιστή του χρήστη είναι η κύρια μέθοδος διατήρησης της ύπαρξης κακόβουλου λογισμικού μετά την αρχική μόλυνση.

Για να αποφευχθεί αυτό, υπάρχει προστασία αρχείων: παίζει σημαντικό ρόλο στον εντοπισμό, την εξουδετέρωση και την αφαίρεση απειλών από τους υπολογιστές των πελατών μας. Οι κύριοι τομείς προστασίας που παρέχει η τεχνολογία αρχείων μας είναι:

Κακόβουλο λογισμικό και ιοί.
Στοχευμένες επιθέσεις, συμπεριλαμβανομένων των Advanced Persistent Threats (APT), των δούρειων ίππων και κοινές απειλέςΜηδέν ημέρα?
Επιθέσεις Κοινωνικής Μηχανικής: FakeAV (ψεύτικα antivirus) και κωδικοποιητές.
Bots και botnets.
Rootkits;
Κακόβουλα αρχεία PDF και έγγραφα της Microsoft Office (Powerpoint, Excel, Word);
Κακόβουλα αρχεία σε αρχεία.
Spyware και Adware.
Keyloggers.

Για την αντιμετώπιση αυτών των απειλών, τέσσερα διαφορετικά στοιχεία αποτελούν τη βάση της προστασίας των αρχείων μας: Μηχανή προστασίας από ιούς, αυτόματη προστασία, μηχανή ERASER, καθώς και τα ευρετικά μας: Malheur και Bloodhound.

Μηχανή προστασίας από ιούς

Η μοναδική μηχανή σάρωσης της Symantec έχει αναπτυχθεί σε περισσότερα από 350 εκατομμύρια μηχανήματα. Είναι ένας σταθερός κινητήρας υψηλών επιδόσεων που παρέχει ασφάλεια έναντι των πιο πρόσφατων απειλών. Ο κινητήρας ενημερώνεται συχνά χρησιμοποιώντας το LiveUpdate, επιτρέποντάς σας να ανταποκρίνεστε απρόσκοπτα στις πιο πρόσφατες απειλές. Αυτό μας επιτρέπει να ενημερώνουμε την ικανότητα ανίχνευσης του προϊόντος μας χωρίς να απαιτείται πλήρης ενημέρωση.

Αυτόματη προστασία

Ο σαρωτής αρχείων Symantec εντοπίζει απειλές σύστημα αρχείωνσε πραγματικό χρόνο. Κατασκευασμένο σε επίπεδο πυρήνα, η Automatic Protection είναι μια μηχανή σάρωσης υψηλής απόδοσης που προστατεύει τον χρήστη από τελευταίες απειλέςχωρίς να τον ενοχλήσει. Κατά την εγγραφή αρχείων στον σκληρό δίσκο, ενεργοποιείται η Αυτόματη προστασία και τα στοιχεία της: antivirus και μηχανές Malheur και Bloodhound. Λειτουργώντας σε χαμηλό επίπεδο, το Auto-Protect σάς επιτρέπει να αποκλείσετε ένα μολυσμένο αρχείο πριν εκτελεστεί - προτού μπορέσει να μολύνει το σύστημα. Εκτός από την προστασία των αρχείων σας, το Auto-Protect παρέχει τη βασική λειτουργικότητα του Download Insight, μέρος της κορυφαίας στον κλάδο τεχνολογίας φήμης αρχείων μας.

ΓΟΜΑ κινητήρα

Ο κινητήρας ERASER της Symantec παρέχει τη δυνατότητα επιδιόρθωσης και εξάλειψης απειλών που εντοπίζονται στο σύστημα ενός χρήστη. Η ERASER είναι επίσης υπεύθυνη για τον έλεγχο των προγραμμάτων οδήγησης και των εφαρμογών κατά τη λήψη για να διασφαλίσει ότι δεν είναι κακόβουλες. Για να διασφαλίσουμε ότι το προϊόν μας δεν θα εξαπατηθεί από rootkits ή άλλο κακόβουλο λογισμικό, το ERASER διαθέτει λειτουργία απευθείας μητρώου και πρόσβασης στο δίσκο.

Malheur και Bloodhound

Εκτός από τον εντοπισμό βάσει υπογραφών, παρέχουμε στο προϊόν τεχνολογίες που μπορούν να «κρίνουν» ένα αρχείο προτού εντοπιστεί για πρώτη φορά εάν έχει τα χαρακτηριστικά κακόβουλου λογισμικού. Η προστασία που βασίζεται σε ευρετικά εφαρμόζεται στις τεχνολογίες Malheur και Bloodhound. Οι ευρετικές υπογραφές είναι σε θέση να αναγνωρίζουν άγνωστο κακόβουλο λογισμικό με βάση ένα χαρακτηριστικό αρχείου, όταν επιχειρούν να εκμεταλλευτούν τρωτά σημεία του συστήματος και επίσης με βάση γενικές ενέργειεςχαρακτηριστικό των κακόβουλων προγραμμάτων.

Περισσότερα για την προστασία αρχείων

Κάθε μία από τις ακόλουθες ενότητες περιγράφει λεπτομερώς τις τεχνολογίες προστασίας αρχείων που είναι εγγενείς στα στοιχεία που περιγράφονται παραπάνω.

Ευρεία υποστήριξη αρχείων

Τα συμπιεσμένα αρχεία και τα αρχεία μέσα σε άλλα είναι ένα παράδειγμα των πολλών τύπων αρχείων που μπορούν να αναλυθούν για κρυφό κακόβουλο λογισμικό. Μια μερική λίστα αρχείων που είναι διαθέσιμα για ανάλυση περιλαμβάνει:

DOC, .DOT, .PPT, .PPS, .XLA, .XLS, .XLT, .WIZ, .SDW, .VOR, .VSS, .VST, .AC_, .ADP, .APR, .DB, .MSC, .MSI, .MTW, .OPT, .PUB, .SOU, .SPO, .VSD, .WPS, .MSG ZIP, .DOCX, .DOCM, .DOTX, .DOTM, .PPTX, .PPTM, .PPSX, . PPSM, .XLSX, .XLSB, .XLSM, .XLTX, .XLTM, .XLAM, .XPS, .POTX, .POTM, .ODT, .OTT, .STW, .SXW, .eml, .MME, .B64, .MPA,AMG, .ARJ, .CAB, .XSN, .GZ, .LHA, .SHS, .RAR, .RFT, .TAR, .DAT, .ACE, .PDF, .TXT, .HQX. .MBOZ, .UUE, .MB3, .AS, .BZ2, .ZIP, .ZIPX

Αποσυσκευασία κινητήρα

Σε ορισμένες περιπτώσεις, το κακόβουλο λογισμικό χρησιμοποιεί έναν «συσκευαστή» για να κρύψει τα αρχεία του και να αποφύγει τον εντοπισμό από την τεχνολογία αντιστοίχισης αρχείων. Ο κινητήρας μας αποσυσκευασίας έχει τη δυνατότητα:

Αποσυσκευάστε εκτελέσιμα αρχεία.
- Αναγνωρίστε εκατοντάδες οικογένειες συσκευαστών.
- Αναδρομικά αποσυσκευάστε αρχεία που έχουν συσκευαστεί πολλές φορές, π.χ. πριν φτάσετε στο κύριο κακόβουλο αρχείο.

Γενική εικονική μηχανή

Το GVM επιτρέπει την εκτέλεση κώδικα σε ένα απομονωμένο, ασφαλές περιβάλλον.

Τα συστήματα που βασίζονται σε bytecode, όπως η Java ή η C#, καθιστούν δυνατή την παραγωγή νέων τεχνολογιών ασφαλείας εξαιρετικά γρήγορα - χωρίς παγώματα ή σφάλματα εφαρμογής.
- Χρησιμοποιεί εξαιρετικά πολύπλοκα ευρετικά και «οικογενειακές» υπογραφές για κακόβουλο λογισμικό όπως το Trojan.Vundo.
- Πραγματοποιεί όλα τα στάδια σάρωσης για μη παραδοσιακές μορφές αρχείων: συμπ. PDF, DOC, XLS, WMA, JPG και άλλα.

Αντιπολυμορφικός κινητήρας

Περιλαμβάνει προηγμένες τεχνολογίες εξομοίωσης CPU για την αποκάλυψη κακόβουλου λογισμικού.

Τεχνολογία αντιρουκτίτη

Η Symantec διαθέτει 3 διαφορετικές τεχνολογίες anti-rootkit που έχουν σχεδιαστεί για να αφαιρούν ακόμη και τα πιο επίμονα rootkits, όπως το Tidserv και το ZeroAccess. Οι τεχνικές περιλαμβάνουν:

Άμεση πρόσβαση στον όγκο του δίσκου και άμεση σάρωση των κυψελών μητρώου.
- Σάρωση μνήμης πυρήνα.

Anti-Trojan κινητήρας

Περιλαμβάνει τεχνολογίες κατακερματισμού που επιτρέπουν τη συνεχή σάρωση για εκατομμύρια Trojans και spyware, κάνοντας αυτό κυριολεκτικά σε μικροδευτερόλεπτα χρόνου.

Βρίσκει και εξάγει περιοχές βασικά αρχεία, που περιέχουν ίχνη και λογική κακόβουλου λογισμικού.
- Επεξεργάζεται κρυπτογραφικά αρχεία κατακερματισμού κάθε ενότητας και τα αναζητά στη βάση δεδομένων δακτυλικών αποτυπωμάτων.

Μηχανή φωτονίων

Χρησιμοποιεί «ασαφείς» υπογραφές για να προσδιορίσει τόσο γνωστές όσο και νέες, άγνωστες παραλλαγές κακόβουλο λογισμικό.

Σαρώνει αρχεία χρησιμοποιώντας εκατοντάδες χιλιάδες «θολές» υπογραφές ταυτόχρονα, βελτιώνοντας δραματικά την απόδοση σάρωσης.
- Οι «θολές» υπογραφές σάς επιτρέπουν να εντοπίζετε εντελώς νέο κακόβουλο λογισμικό σχεδόν τη στιγμή της εμφάνισής τους

Προηγμένη ευρετική μηχανή

Διεξάγει περισσότερες από δώδεκα διαφορετικές ευρετικές αναζητήσεις για ύποπτα χαρακτηριστικά.
- Όλα τα ύποπτα αρχεία αντιστοιχίζονται στο σύννεφο της Symantec και στις λίστες αξιόπιστων ψηφιακών υπογραφών.
- Οι κινητήρες χρησιμοποιούν το πλαίσιο για να προσαρμόσουν την ευρετική ευαισθησία. συμπεριλαμβανομένου Τα ευρετικά είναι πιο ύποπτα για ένα νέο αρχείο παρά για ένα ήδη εγκατεστημένο.

Στο επόμενο άρθρο θα δούμε το επίπεδο Προστασίας Δικτύου.

Βασισμένο σε υλικά της Symantec

Βρήκατε τυπογραφικό λάθος; Πατήστε Ctrl + Enter

Σχεδιασμένο για να παρέχει ολοκληρωμένη προστασία από κακόβουλες επιθέσεις σε κρίσιμους κόμβους φυσικών και εικονικών κέντρων δεδομένων. Έκδοση νέας έκδοσης Δεδομένα SymantecΚέντροΑσφάλεια: ΥπηρέτηςΠροχωρημένος(παλαιότερα γνωστή ως Symantec Critical System Protection), η οποία θα συζητηθεί στο αυτή η κριτικήέφερε μαζί του νέες βελτιώσεις, Επιπρόσθετα χαρακτηριστικάκαι μια διευρυμένη γκάμα υποστηριζόμενων πλατφορμών λογισμικού.

Εκτός από τις παραπάνω επιλογές , DCS:SAΤα εργαλεία περιλαμβάνουν λειτουργίες ελέγχου, παρακολούθησης και ειδοποίησης των διαχειριστών ασφαλείας σχετικά με την ακεραιότητα των κεντρικών υπολογιστών και τη συμμόρφωσή τους με τις κανονιστικές απαιτήσεις των προτύπων ασφαλείας σε ετερογενή περιβάλλοντα, όπως το PCI DSS. Και η ενοποίηση με τα συστήματα SIEM παρέχει πρόσβαση σε Επιπλέον πληροφορίεςσχετικά με τα συμβάντα του συστήματος και σας επιτρέπει να εντοπίζετε προληπτικά την εμφάνιση νέων απειλών.

Η ευελιξία και η επεκτασιμότητα της αρχιτεκτονικής επιτρέπει στο προϊόν να χρησιμοποιείται ανεξάρτητα από την πολυπλοκότητα της τοπολογίας της προστατευόμενης υποδομής, καθώς και την ομοιομορφία του περιβάλλον λογισμικού. Αξίζει να σημειωθεί ότι ο διακομιστής διαχείρισης DCS:SAΥποστηρίζει επίσης την ομαδοποίηση για την επίλυση προβλημάτων σε περιβάλλον υψηλού φορτίου και τη λειτουργία fail-over για να διασφαλιστεί η ανοχή και η αξιοπιστία σφαλμάτων.

Λειτουργίες για την αποφυγή χρήσης εκμεταλλεύσεων, επιθέσεων zero-day, εισαγωγές σε εκτελέσιμο κώδικα και άλλα, προστατεύουν το λειτουργικό σύστημα, τις εφαρμογές και τις υπηρεσίες που εκτελούνται σε αυτό μέσω ενός ειδικού κελύφους - "Sandboxes" (sandbox), που δημιουργούνται γύρω από κάθε σύνολο υπηρεσιών και καθορίζουν την ασφαλή συμπεριφορά που επιτρέπεται για αυτό.

Εκτός, DCS:SAπροστατεύει τους κεντρικούς υπολογιστές των κέντρων δεδομένων από κακόβουλες επιθέσεις που στοχεύουν μη εξουσιοδοτημένη αναδιαμόρφωση(Βαφή μέταλλου) .

Μια κεντρική κονσόλα διαχείρισης επιτρέπει στους διαχειριστές ασφαλείας να διαμορφώνουν, να αναπτύσσουν και να παρακολουθούν πολιτικές ασφαλείας, να ανταποκρίνονται σε ειδοποιήσεις και να δημιουργούν αναφορές ταυτόχρονα από πολλές πλατφόρμες.

Αρχιτεκτονική της Symantec Data Center Security: Server Advanced

Το προϊόν είναι μια αρχιτεκτονική πελάτη-διακομιστή παραδοσιακή για τέτοιες λύσεις και αποτελείται από 4 κύρια στοιχεία, μια οπτική αναπαράσταση της αρχιτεκτονικής παρουσιάζεται στο Σχήμα 1:

Εικόνα 1. ΑρχιτεκτονικήSDCS: SA

Ας δούμε κάθε στοιχείο ξεχωριστά:

1. Συστατικό "Διακομιστής διαχείρισης"– τον ​​πυρήνα του συστήματος, που παρέχει διαχείριση υπηρεσιών και στοιχείων προγράμματα εφαρμογής, υλοποίηση της λειτουργικότητας DCS:SA. Ο διακομιστής εκτελεί την εγγραφή πράκτορα, τη διαμόρφωση και τη διανομή των πολιτικών ασφαλείας, τη διαχείριση μεμονωμένων στοιχείων του συστήματος, την παρακολούθηση, την καταγραφή και τη δημιουργία αναφορών.
2. Συστατικό "Πράκτορες"– εφαρμογή πράκτορα εγκατεστημένη στο προστατευμένο DCS:SAκόμβους εταιρικό σύστημα, κατά την εγκατάσταση του παράγοντα, μπορείτε να επιλέξετε σε ποια λειτουργία θα λειτουργεί: παρακολούθηση ή παρακολούθηση και αποτροπή αλλαγών στο σύστημα.
3. Συστατικό "Κονσόλα διαχείρισης"– μια κεντρική κονσόλα διαχείρισης για τη συλλογή και προβολή πληροφοριών σχετικά με τη λειτουργία των πρακτόρων και τις πολιτικές που εφαρμόζονται σε αυτούς. Μπορεί να εγκατασταθεί ως αυτόνομη εφαρμογή ή να εκτελεστεί σε λειτουργία κονσόλας Ιστού. Η κονσόλα παρέχει ένα ενοποιημένο σύστημα παρακολούθησης συμβάντων, σας επιτρέπει να δημιουργείτε λεπτομερείς αναφορές, να διαχειρίζεστε συσκευές, λογαριασμούς χρηστών και τους ρόλους τους. Χρησιμοποιώντας την κονσόλα, μπορείτε να διαχειριστείτε τον διακομιστή χρησιμοποιώντας το ασφαλές πρωτόκολλο HTTPS.
4. Συστατικό "Βάση δεδομένων (SQL αποθήκευση δεδομένων)"– κεντρική βάση δεδομένων Microsoft SQLΔιακομιστής για την αποθήκευση πληροφοριών σχετικά με προστατευμένα συστήματα, πολιτικές ασφαλείας, αναφορές, τρέχουσα κατάσταση κ.λπ. Η σύνδεση γίνεται χρησιμοποιώντας JDBC.

Ένα ενδιαφέρον χαρακτηριστικό είναι η δυνατότητα χρήσης του πράκτορα σε λειτουργία μη διαχειριζόμενη λειτουργία.Σε αυτή την περίπτωση είναι πλήρως εξασφαλισμένο αυτόνομη λειτουργίαπράκτορας σε προστατευμένα συστήματα. Αυτό είναι ιδιαίτερα χρήσιμο όταν δημιουργείτε, για παράδειγμα, εφαρμογές ή άλλα κλειστά συστήματα. Για παράδειγμα, η Symantec προστατεύει το λογισμικό NetBackup Appliance και τα συστήματα δημιουργίας αντιγράφων ασφαλείας υλικού με αυτόν τον τρόπο. Πριν από τη μετάβαση σε λειτουργία χωρίς διαχείριση, ο πράκτορας πρέπει να συνδεθεί στον διακομιστή διαχείρισης για να του εκχωρήσει πολιτικές και, στη συνέχεια, να αλλάξει τον παράγοντα σε λειτουργία μη διαχείρισης. Σε αυτήν τη λειτουργία, ο πράκτορας δεν επιχειρεί πλέον να συνδεθεί με τον διακομιστή διαχείρισης για τη μετάδοση συμβάντων, αποθηκεύοντάς τα τοπικά (Εικόνα 2).

Εικόνα 2. Διάγραμμα αλληλεπίδρασης εφαρμογής DCS:SA

Απαιτήσεις συστήματος

DCS:SAΣχεδιασμένοι για να λειτουργούν σε ετερογενές περιβάλλον, οι προγραμματιστές της Symantec έχουν λάβει υπόψη όλα τα χαρακτηριστικά των πλατφορμών στις οποίες πρέπει να λειτουργεί το σύστημα προστασίας, διασφαλίζοντας ισορροπία απόδοσης και ένα ευρύ φάσμα υποστηριζόμενων λειτουργικών συστημάτων (βλ. Εικόνα 3). Εάν είναι αδύνατη η εγκατάσταση ενός πράκτορα στο λειτουργικό σύστημα, για παράδειγμα, εάν δεν περιλαμβάνεται στη λίστα των υποστηριζόμενων ή άλλων απαιτήσεων, είναι δυνατή η χρήση εικονικών πρακτόρων των οποίων η λειτουργικότητα περιορίζεται μόνο στην παρακολούθηση συστήματος.

Εικόνα 3. ΥποστηρίζεταιDSC: ΑΝΩΝΥΜΗ ΕΤΑΙΡΙΑ.πλατφόρμες

Έλλειψη υποστήριξης για νεότερους πελάτες εκδόσεις των Windowsμπορεί να εξηγηθεί από το γεγονός ότι το προϊόν DCS:SA επικεντρώνεται στην προστασία των λειτουργικών συστημάτων διακομιστή. Για την προστασία των συστημάτων πελατών, χρησιμοποιείται ένα παρόμοιο προϊόν, το CSP: Client Edition (το οποίο σχεδιάζεται να αντικατασταθεί από το Symantec Embedded Security: Critical System Protection, που έχει προγραμματιστεί να κυκλοφορήσει την άνοιξη του 2015). Στο προϊόν Symantec Embedded Security: Critical System Protection θα δοθεί έμφαση στην υποστήριξη ενός ευρύτερου φάσματος πελατών και ενσωματωμένων συστημάτων.

Σύμφωνα με τους προγραμματιστές, οι πράκτορες που είναι εγκατεστημένοι στο προστατευμένο σύστημα έχουν χαμηλή κατανάλωση πόρων, αυτό είναι 1-6% της κατανάλωσης CPU, έως 80 MB κατειλημμένης μνήμης RAM και από 100 MB χώρου στον σκληρό δίσκο (σε μεγάλο βαθμό ο απαιτούμενος χώρος εξαρτάται από πόσα συμβάντα δημιουργεί το σύστημα και πόσο συχνά αυτά τα συμβάντα έχουν προγραμματιστεί να μεταδοθούν στον διακομιστή διαχείρισης) (βλ. Εικόνα 4).

Εικόνα 4. Κατανάλωση πόρων από το τμήμα του πράκτορα

Η επίσημη προδιαγραφή παραθέτει τις ακόλουθες απαιτήσεις συστήματος (βλ. Εικόνα 5):

Microsoft Windows - Agent

• Windows 2000 Professional/Server/Advanced Server
• Windows XP/Windows Server 2003
• 1 GB χώρος στο δισκο
• 256 MB RAM

Sun Solaris (εκδόσεις 8 και 9) - Πράκτορας

• Πλατφόρμα Sun SPARC
• 1 GB χώρος στο δίσκο
• 256 MB RAM

IBM AIX 5L - Agent

• Πλατφόρμα POWER
• 1 GB χώρος στο δίσκο
• 256 MB RAM

HP-UX 11.i (εκδόσεις 11.11 και 11.23) - Agent

• Πλατφόρμα PA-RISC
• 1 GB χώρος στο δίσκο
• 256 MB RAM

Διακομιστής διαχείρισης DCS:SA

Εικόνα 5. Απαιτήσεις συστήματος DCS:SA

Κονσόλα διαχείρισης DCS:SA

Microsoft Windows XP / 2003 Server / Server 2008 / Server 2012

150 MB χώρος στο δίσκο

Τεχνολογίες ασφαλείας Symantec Data Center Security: Server Advanced

Η DCS:SA χτίζει την άμυνά της χρησιμοποιώντας δύο παγκόσμιους στόχους ασφάλειας - σύστημα ανίχνευσης εισβολής (Host Ανίχνευση εισβολής) Και Σύστημα πρόληψης εισβολής (Host Prevention System)(βλ. Εικόνα 6).

Εικόνα 6. Τεχνολογίες προστασίαςSymantecΔεδομέναΚέντροΑσφάλεια

Η αρχή λειτουργίας του συστήματος ανίχνευσης εισβολής HIDS βασίζεται σε συνεχή έλεγχο και παρακολούθηση των προστατευμένων κεντρικών υπολογιστών. Εάν εντοπιστούν παραβιάσεις, το σύστημα ειδοποιεί αμέσως τον διαχειριστή ασφαλείας για τα προβλήματα που εντοπίστηκαν. Ο έλεγχος και η παρακολούθηση περιλαμβάνει την παρακολούθηση της συμπεριφοράς των διεργασιών που εκτελούνται στη μνήμη, το άνοιγμα, το κλείσιμο και την αλλαγή αρχείων, μητρώο των Windows, δραστηριότητα των θυρών TCP και UDP, ορισμένα συμβάντα στα αρχεία καταγραφής ασφαλείας λειτουργικών συστημάτων και εφαρμογών.

Το σύστημα πρόληψης εισβολής HIPS εστιάζει σε προληπτικά μέτρα ασφαλείας. Περιλαμβάνει τα ακόλουθα εργαλεία: τη χρήση ενός απομονωμένου περιβάλλοντος εκκίνησης που ονομάζεται sandbox για όλες τις αρχικοποιημένες διεργασίες, προστασία από μη εξουσιοδοτημένη επαναδιαμόρφωση (σκληρό), έλεγχο των συνδέσεων δικτύου για κάθε sandbox, συμπεριλαμβανομένου του προστατευμένου συστήματος, άμεση πρόσβαση στη μνήμη και σκληρούς δίσκους. έλεγχος πρόσβασης διεργασιών, προστασία υπερχείλισης buffer κ.λπ. Αυτές οι τεχνολογίες παρέχουν προστασία από εκμεταλλεύσεις, εισβολές κώδικα προγράμματος(ένεση νήματος), ανύψωση προνομίων και άλλες ευπάθειες για τις οποίες δεν έχει κυκλοφορήσει ακόμη ενημερωμένη έκδοση κώδικα ασφαλείας ή άλλη λύση ασφαλείας, χωρίς να απαιτείται ενημέρωση του ίδιου του προϊόντος DCS:SA.

Η Symantec εξετάζει διαφορετικές στρατηγικές για την ασφάλεια των περιβαλλόντων, όπως: Basic, Hardened, Protected Whitelisting (βλ. Εικόνα 7).

Οποιαδήποτε στρατηγική επιτρέπει σε αξιόπιστες εφαρμογές να εγκαθιστούν ενημερώσεις, επομένως είναι σημαντικό να ορίσετε με σαφήνεια Αξιόπιστους ενημερώσεις και να ασφαλίσετε την περίμετρο του δικτύου.

Βασική αμυντική στρατηγική (Βασικός) προστατεύει το λειτουργικό σύστημα και ένα σύνολο εφαρμογών που χρησιμοποιούνται συχνά. Το κύριο sandbox, στο οποίο θα ανακατευθύνονται όλες οι ρητά μη καθορισμένες υπηρεσίες και εφαρμογές, έχει ρυθμιστεί για μέγιστη συμβατότητα με προγράμματα που εκτελούνται σε αυτό.

Σκληρύνθηκε(βελτιωμένη προστασία)- Η στρατηγική προβλέπει την προστασία του λειτουργικού συστήματος, τις υπηρεσίες του λειτουργικού συστήματος και ένα σύνολο κοινών εφαρμογών. Αυτή η στρατηγική περιορίζει όλες τις άλλες εφαρμογές (όπως υπηρεσίες εξυπηρέτησης και διαδραστικά προγράμματα) στο Hardened sandbox.

Αυτή η στρατηγική περιγράφει τις ακόλουθες επιλογές:

• παγκόσμια λίστα περιορισμών δεδομένων εφαρμογής
• παγκόσμια λίστα ορίων πόρων
• περιορισμός εγκατάστασης λογισμικού
• προστασία από τροποποιήσεις εκτελέσιμων αρχείων
• προστασία από την τροποποίηση των φακέλων εκκίνησης
• Προστασία καταχώρισης στοιχείων COM και ActiveX
• προστασία από την αυτόματη εκκίνηση από άλλα μέσα
• προστασία των πόρων του λειτουργικού συστήματος
• προστασία των τοπικών δίσκων που επισημαίνονται ως RAW

Προστατευμένη λίστα επιτρεπόμενων (στρατηγική που βασίζεται σε "λευκά φύλλα")- αυτή η στρατηγική παρέχει προστασία για το λειτουργικό σύστημα και απαγόρευση εκκίνησης εφαρμογών, εκτός από αυτές που καθορίζονται ρητά στη διαμόρφωση "λευκό φύλλο". Από προεπιλογή, το φύλλο δικαιωμάτων εφαρμογής σε αυτήν την πολιτική είναι κενό. Ο διαχειριστής πρέπει να επιλέξει την εφαρμογή και να την προσθέσει στο κατάλληλο sandbox,

Για να λειτουργεί κανονικά το λειτουργικό σύστημα, η πολιτική χρησιμοποιεί μια προκαθορισμένη λευκή λίστα που περιλαμβάνει υπηρεσίες λειτουργικού συστήματος.

Εικόνα 7. Νέες προσεγγίσεις για την προληπτική προστασία

Σε αντίθεση με τις παραδοσιακές πολιτικές λίστας επιτρεπόμενων που χρησιμοποιούνται σε άλλα προϊόντα, οι οποίες απλώς απαριθμούν εφαρμογές, τα τρία επίπεδα ασφάλειας που παρέχονται στο DCS:SA προσφέρουν το μέγιστο επίπεδο προστασίας με μια πιο ευέλικτη προσέγγιση. Ένα απομονωμένο περιβάλλον, το sandbox, είναι ένα απομονωμένο επίπεδο λογισμικού για την εκτέλεση δυαδικού κώδικα εκτελούμενη εφαρμογή. Ως αποτέλεσμα, εάν η εφαρμογή αποδειχθεί κακόβουλη, δεν θα μπορεί να θέσει σε κίνδυνο το υποκείμενο σύστημα, αρχεία ρυθμίσεων, ή πραγματοποιήστε μια επίθεση δικτύου. Λαμβάνουμε προστασία όχι μόνο από ήδη γνωστές απειλές, αλλά και προληπτική προστασία με στόχο τη διασφάλιση της ασφάλειας από ακόμη άγνωστους τύπους απειλών. Με προσαρμοσμένες πολιτικές DCS:SA, μια εφαρμογή εκκίνησης λαμβάνει μόνο το ελάχιστο απαιτούμενο σύνολο πόρων για την εκτέλεση των ενεργειών που χρειάζεται.

Ως παράδειγμα, μπορεί να αναφερθεί η ακόλουθη κατάσταση: στα Windows, είναι αδύνατο να διαμορφωθούν τα δικαιώματα ενός τοπικού διαχειριστή με τέτοιο τρόπο ώστε να έχει περιορισμένη πρόσβαση σε ορισμένα αρχεία ή διαδικασίες, καθώς ένας χρήστης που είναι μέλος του Η ομάδα διαχειριστών παρακάμπτει όλους τους άλλους περιορισμούς. Πιο συγκεκριμένα, ένας χρήστης με δικαιώματα διαχειριστή μπορεί να ξεπεράσει αυτούς τους περιορισμούς με τη βοήθεια απλών χειρισμών. DCS:SAσας επιτρέπει να προσδιορίζετε πολύ διακριτικά τι ακριβώς μπορεί να κάνει ο χρήστης, ανεξάρτητα από τα δικαιώματα που έχει στο λειτουργικό σύστημα ή σε ποια ομάδα χρηστών είναι μέλος (βλ. Εικόνα 8), χωρίς να βασίζεστε στη λειτουργικότητα του λειτουργικού συστήματος.

Εικόνα 8. Sandbox ως το κύριο εργαλείο ασφαλείας στο DCS:SA

Πρώτα απ 'όλα, αυτό είναι πολύ σημαντικό για την προστασία από επιθέσεις 0day και τρωτά σημεία. Ελλείψει ενημερώσεων ασφαλείας που αντιμετωπίζουν την ευπάθεια, είναι δυνατό να περιοριστούν διακριτικά τα δικαιώματα και οι πόροι μιας μη ασφαλούς εφαρμογής ή υπηρεσίας, έτσι ώστε ένας εισβολέας να μην μπορεί να τα εκμεταλλευτεί. Εάν πραγματοποιηθεί μια επίθεση, απλώς θα απορριφθεί η μη ασφαλής λειτουργία ή αίτημα. Ως αποτέλεσμα, έχουμε ένα άλλο πρόσθετο όφελος - μείωση των απαιτήσεων για την εγκατάσταση ενημερώσεων και, κατά συνέπεια, μείωση του φόρτου των εργαζομένων της εταιρείας, αύξηση της διαθεσιμότητας της υπηρεσίας και μείωση του κινδύνου αστοχιών που προκαλούνται από την εγκατάσταση μιας ενημέρωσης. Ταυτόχρονα, το ίδιο το προϊόν δεν απαιτεί ενημερώσεις, γεγονός που μειώνει επίσης τυχόν κινδύνους που σχετίζονται με τα προβλήματα που αναφέρονται παραπάνω.

Η παρακολούθηση της συμμόρφωσης με τα διεθνή πρότυπα ασφαλείας είναι ένα άλλο πλεονέκτημα που προκύπτει από τη χρήση του DCS:SA. Για παράδειγμα, η διασφάλιση της ακεραιότητας του λογισμικού είναι υποχρεωτική απαίτηση του προτύπου ασφαλείας του συστήματος πληρωμών PCI DSS. Χρήση DCS:SAθα επηρεάσει την εκπλήρωση τεχνικές απαιτήσειςσχετικά με την παρακολούθηση και τον έλεγχο: για παράδειγμα, παρακολούθηση της ακεραιότητας των συστημάτων, η οποία, για παράδειγμα, είναι ένα από τα υποχρεωτικά σημεία συμμόρφωσης Διεθνές πρότυποασφάλεια συστημάτων πληρωμών PCI DSS.

Αξίζει να σημειωθούν τα πλεονεκτήματα της χρήσης DCS:SAσε συγκροτήματα SCADA υποδομών ζωτικής σημασίας, για παράδειγμα σε πυρηνικούς σταθμούς ηλεκτροπαραγωγής ή συστήματα αεροναυτιλίας, όπου οι πιο σημαντικοί δείκτες είναι η αξιοπιστία και η αξιοπιστία των συστημάτων. Τα συστήματα SCADA χρησιμοποιούν συχνά απαρχαιωμένο λογισμικό που δεν μπορεί να ενημερωθεί και το δίκτυο SCADA δεν είναι απομονωμένο από τα κύρια δίκτυα, επομένως η προστασία από τρωτά σημεία 0 ημερών είναι σημαντικό μέρος της διασφάλισης της ασφάλειας αυτών των συστημάτων.

Προϊόν DCS:SAΜια εξαιρετική λύση για τερματικά αυτοεξυπηρέτησης, διάφορους πίνακες πληροφοριών, περίπτερα και άλλες συσκευές POS. Δεδομένου ότι τέτοια συστήματα έχουν περιορισμένη λειτουργικότητα, χρησιμοποιούν μικρή ποσότητα ορισμένες εφαρμογές, το οποίο χρειάζεται να ρυθμιστεί σωστά μόνο μία φορά. Αυτό μπορεί να εξοικονομήσει πολύ χρόνο και προσπάθεια στους ειδικούς πληροφορικής, δεδομένου ότι αυτές οι συσκευές είναι πολύ πολλές και βρίσκονται σε σημαντική απόσταση από την κύρια υποδομή. Αυτή είναι επίσης ιδανική επιλογή σε περιπτώσεις που δεν υπάρχει πρόσβαση στο Διαδίκτυο ή για άλλους λόγους δεν είναι δυνατή η λήψη τρέχουσες ενημερώσειςπροϊόν ή όταν χρησιμοποιείτε προϊόντα που δεν υποστηρίζονται πλέον επίσημα από κατασκευαστές, όπως τα Windows NT, τα Windows 2000 και παρόμοια. DCS:SAσας επιτρέπει να προστατεύσετε το σύστημα από μη εξουσιοδοτημένη επαναδιαμόρφωση και, εκτελώντας εφαρμογές στο sandbox, ελαχιστοποιήστε τους κινδύνους που σχετίζονται με τρωτά σημεία και σφάλματα στο λογισμικό ελλείψει ενημερώσεων.

Τα αναμφισβήτητα πλεονεκτήματα της προστασίας της εικονικής υποδομής με λειτουργικότητα DCS:SAείναι χαμηλή κατανάλωση πόρων, καθώς και προστασία από συγκεκριμένες καταστάσεις όπως π.χ ενημέρωση - (εκσυγχρονίζω καταιγίδα) Και καταιγίδα (μπότα καταιγίδα). Η ουσία είναι ότι κατά τη διάρκεια μιας μαζικής ενημέρωσης, τα εικονικά λειτουργικά συστήματα αρχίζουν να επανεκκινούνται το ένα μετά το άλλο, και αυτό συνεπάγεται εκρήξεις αυξανόμενου φόρτου στους πόρους υλικού. Επιπλέον, μετά από μια επανεκκίνηση, οι εφαρμογές του παράγοντα ασφαλείας που είναι εγκατεστημένες στον κεντρικό υπολογιστή προσπαθούν επίσης να ελέγξουν και να λάβουν ενημερώσεις. Εξαλείφοντας αυτές τις καταστάσεις εξασφαλίζουμε συνεχή και σταθερή εργασίαεικονικούς κεντρικούς υπολογιστές, ελαχιστοποιώντας ταυτόχρονα τους κινδύνους που σχετίζονται με τη λήψη ενημερώσεων.

Ξεχωριστά, αξίζει να σημειωθεί η δυνατότητα χρήσης πολιτικών DCS:SAπαρέχει μια ευκαιρία εξωτερική ανάθεση λογισμικού. Η ιδέα είναι ότι θα ήταν δυνατό να ανατεθεί η συντήρηση των κρίσιμων για την επιχείρηση εφαρμογών σε τρίτους, διατηρώντας παράλληλα ένα επαρκές επίπεδο ασφάλειας. Χρήση πολιτικών DCS:SAο διαχειριστής ασφαλείας διανέμει αναλυτικά δικαιώματα σε συγκεκριμένες εφαρμογές και πόρους διακομιστή, επιτρέποντας στους εξωτερικούς χρήστες να εργάζονται με διαφάνεια μαζί τους. Ταυτόχρονα, αυτό σας επιτρέπει να προστατεύετε το σύστημα από συμβιβασμούς και να παρακολουθείτε τις ενέργειες των χρηστών προκειμένου να ανταποκρίνεστε γρήγορα σε πιθανά συμβάντα

Ένα άλλο χαρακτηριστικό του προϊόντος είναι αποκλιμάκωση – λεπτό συντονισμό, που οδηγεί σε ιδιωτική μείωση των δικαιωμάτων επί του αντικειμένου. Τα λειτουργικά συστήματα έχουν περιορισμένες δυνατότητες οριοθέτησης δικαιωμάτων τακτικά μέσα- όπου DCS:SAσας επιτρέπει να οργανώσετε πολύ καλά τα δικαιώματα πρόσβασης σε διαδικασίες, αρχεία, μητρώο κ.λπ. Ταυτόχρονα, ακόμη και ένας τοπικός διαχειριστής δεν θα μπορεί να αλλάξει αυτά τα δικαιώματα. Για παράδειγμα, χρησιμοποιώντας DCS:SAστα Windows, μπορείτε να ρυθμίσετε τους περιορισμούς δικαιωμάτων του τοπικού διαχειριστή έτσι ώστε σε καμία περίπτωση να μην αποκτήσει πρόσβαση σε ορισμένα αρχεία, αλλά τυπικά χρησιμοποιώντας Windowsαυτό είναι αδύνατο να επιτευχθεί.

Επισκόπηση πολιτικής πρόληψης

Η πολιτική ανίχνευσης εισβολής (Αστυνομία πρόληψης) μπορεί να διαμορφωθεί από την κύρια κονσόλα διαχείρισης εφαρμογών κάνοντας κλικ στις Πολιτικές > Πρόληψη. Στον πίνακα που ανοίγει, μπορείτε να δείτε όλα τα διαθέσιμα στοιχεία για διαμόρφωση: βασικές ρυθμίσειςπολιτικές, σύνθετες πολιτικές, λίστα πόρων και σύνοψη των πολιτικών που ενεργοποιήθηκαν (βλ. Εικόνα 9).

Σχέδιο9. DCS:SA.ΠίνακαςΡυθμίσειςΠολιτική Πρόληψης

Επί επόμενη εικόναδείχνει πώς μπορείτε να επιλέξετε το επίπεδο της παγκόσμιας στρατηγικής ασφάλειας σε ένα sandbox (βλ. Εικόνα 10).

Εικόνα 10. DCS:SA. Καθορισμός μιας παγκόσμιας στρατηγικής ασφάλειας

Επιλέγοντας τη λειτουργία Hardened (Additional Security), το επόμενο βήμα δημιουργεί μια λίστα εφαρμογών για τις οποίες θα εκτελεστούν οι προβλεπόμενοι κανόνες (βλ. Εικόνα 11)

Εικόνα 11.DCS:SA. Καθορισμός κανόνων εφαρμογής

Στο παράθυρο Trusted Updates, θα προστεθούν εφαρμογές για τις οποίες θα δημιουργηθούν συμβάντα αλλαγής διαμόρφωσης (βλ. Εικόνα 12)

Εικόνα 12. DCS:SA. Διαμόρφωση εξαρτήματοςΕμπιστοςΕνημερώσεις– εφαρμογές υπεύθυνες για την εγκατάσταση ή την ενημέρωση λογισμικού και λειτουργικού συστήματος

Το επόμενο παράθυρο "Γρήγορες συνδέσεις πολιτικής" περιέχει συνδέσμους για τη γρήγορη διαμόρφωση της λειτουργίας πολιτικής πρόληψης, την προστασία περιμέτρου δικτύου, τις πολιτικές παράκαμψης και τις ρυθμίσεις αντιπροσώπου (δείτε Εικόνα 13).

Εικόνα 13. DCS:SA. Ρύθμιση στοιχείωνΠρόληψηΠολιτικήχρησιμοποιώντας γρήγορους συνδέσμους

Παρακάτω είναι οι διαθέσιμες επιλογές στη λειτουργία διαμόρφωσης πολιτικής. Επιλογές Sandbox για εφαρμογές και το λειτουργικό σύστημα (Εικόνα 14), καθώς και προηγμένες επιλογές εφαρμογών (Εικόνα 15).

Εικόνα 14. DCS:SA. Επιλογές διαμόρφωσης λειτουργίαςΠρόληψηγια κάθε ξεχωριστό sandbox

Εικόνα 15. DCS:SA. Προηγμένες επιλογές για παγκόσμιες πολιτικές ασφάλειας - ρύθμιση του πράκτορα και των προγραμμάτων

Εικόνα 16. DCS:SA. Προηγμένες επιλογές για τη διαμόρφωση πολιτικών – στοιχεία προστασίας δικτύου

Εικόνα 17. DCS:SA. Προηγμένες επιλογές διαμόρφωσης πολιτικής – Διαδικασίες

Εικόνα 18. DCS:SA. Προηγμένες επιλογές διαμόρφωσης πολιτικής - Σύστημα αρχείων

Εικόνα 19. DCS:SA. Προηγμένες επιλογές διαμόρφωσης πολιτικής – έλεγχος κυκλοφορίας δικτύου

Εικόνα 20. DCS:SA. Δείτε τις αλλαγές που έγιναν στην υποκείμενη πολιτική

Επισκόπηση της αστυνομίας ανίχνευσης

Η πολιτική αποτροπής εισβολής (Πολιτική ανίχνευσης) έχει διαμορφωθεί με τον ίδιο τρόπο που συζητήθηκε στην προηγούμενη παράγραφο Πολιτική αποτροπής. Ο πίνακας διαμόρφωσης ανοίγει από την κύρια κονσόλα διαχείρισης προγράμματος κάνοντας κλικ στην επιλογή Πολιτικές > Ανίχνευση. Στον πίνακα που ανοίγει, μπορείτε να δείτε όλα τα διαθέσιμα στοιχεία για διαμόρφωση (βλ. Εικόνα 21).

Σχέδιο21. DCS:SA.ΣπίτιπίνακαςΠολιτική ανίχνευσης

Κατά τη διαδικασία διαμόρφωσης, επιλέγονται τα κριτήρια με τα οποία θα δημιουργηθούν συμβάντα ασφαλείας και ειδοποιήσεις (Εικόνα 22).

Εικόνα 22. DCS:SA. Ρύθμιση λογιστικών συμβάντων

Εικόνα 23. DCS:SA. Ρύθμιση εκδηλώσεωνΕνεργόςΕυρετήριο

Εικόνα 24. DCS:SA. Συμβάντα συνεδρίας χρήστη

Εικόνα 25. DCS:SA. Παρακολούθηση κλειδιών αυτόματης εκτέλεσης

Εικόνα 26. DCS:SA. Συμβάντα συστήματος αρχείων

Εικόνα 27. DCS:SA. Συμβάντα εξωτερικών συσκευών, δικτύου και περιβάλλοντος αρχείων

Εικόνα 28. DCS:SA. Συμβάντα προστασίας από ιούς

Εικόνα 29. DCS:SA. ανίχνευσηΙστός-επίθεση

Εικόνα 30. DCS:SA. Παρακολούθηση συμβάντων για εξωτερικά και αφαιρούμενα μέσα

Παρακολούθηση και Αναφορά

Δύναμη DCS:SAείναι μια λειτουργία παρακολούθησης και αναφοράς. Όλα τα γεγονότα που συμβαίνουν και στο ίδιο το σύστημα DCS:SA,και στα προστατευμένα συστήματα στόχου έχουν αμφίδρομη επικοινωνία, πρώτον, όλα καταγράφονται στο αρχείο καταγραφής συμβάντων και, δεύτερον, ως απόκριση σε αυτό ή εκείνο το συμβάν από DCS:SAλαμβάνει χώρα μια ενέργεια απόκρισης σύμφωνα με τις ρυθμίσεις πολιτικής, για παράδειγμα, εκτέλεση σεναρίου (δείτε Εικόνα 31).

Εικόνα 31. DCS:SAΕιδοποιήσεις και παρακολούθηση σε πραγματικό χρόνο

Από το κύριο μενού της κονσόλας διαχείρισης, μπορείτε να δείτε όλα τα συμβάντα κάνοντας κλικ στο κουμπί Monitoring (βλ. Εικόνα 32).

Εικόνα 32. DCS:SA. Ταμπλό - λίστα με όλα τα συμβάντα

Εικόνα 33.

Οι ισχυροί μηχανισμοί αναφοράς επιτρέπουν την παρουσίαση δεδομένων σε γραφικές αναπαραστάσεις (βλ. Εικόνα 34).

Εικόνα 34. DCS:SA Προβολή αναφορών κατόπιν αιτήματος χρήστη (γραφική προβολή)

Εικόνα 35. DCS:SA Προβολή λεπτομερειώνπληροφορίες εκδήλωσης

Εικόνα 36. Η αναφορά DCS:SA παρουσιάζεται ως διάγραμμα σε εβδομαδιαίο διάστημα

συμπεράσματα

Η Symantec είναι ένας από τους αδιαμφισβήτητους ηγέτες στον τομέα των λύσεων που στοχεύουν στην παροχή ολοκληρωμένη ασφάλειαεταιρικό περιβάλλον. Απόδειξη αυτού είναι ένα από τα προϊόντα της Symantec Data Center Security: Server Advanced, που έχει σχεδιαστεί για να παρέχει ολοκληρωμένη προστασία των εικονικών και φυσικών κέντρων δεδομένων από μια ποικιλία επιθέσεων χάκερ, όπως εκμεταλλεύσεις, επιθέσεις υπερχείλισης buffer, ένεση νημάτων ), αύξηση των προνομίων σε εφαρμογές για τις οποίες δεν υπάρχει ακόμα ενημερωμένη έκδοση κώδικα ασφαλείας, επιθέσεις άρνησης υπηρεσίας (DoS). Το προϊόν βασίζεται στη χρήση ενός sandbox ως κύριο εργαλείο ασφαλείας, χρησιμοποιώντας μοναδικές τεχνολογίες που αναπτύχθηκαν από τη Symantec για το σύστημα ανίχνευσης (Host Intrusion Detection) και το σύστημα πρόληψης εισβολής (Host Prevention System). Το προϊόν σάς επιτρέπει να διαχειρίζεστε τις ρυθμίσεις πρόσβασης αφαιρούμενα μέσα(Δίσκοι CD\DVD, συσκευές USB), δημιουργία επιτρεπόμενων λιστών εφαρμογών (Whitelisting) με βάση ευέλικτα διαμορφώσιμες πολιτικές, παροχή προστασίας από μη εξουσιοδοτημένη επαναδιαμόρφωση (Σκληρότητα), έλεγχος δραστηριότητα δικτύου, διενεργεί συνεχή έλεγχο σε ένα ετερογενές περιβάλλον όλων των γεγονότων που συμβαίνουν. Προσαρμόσιμες αναφορές, που παρουσιάζονται σε μια ποικιλία μορφών κειμένου και γραφικών, και ένα σύστημα ειδοποίησης ενημερώνουν τον διαχειριστή ασφαλείας για την τρέχουσα κατάσταση του προστατευμένου περιβάλλοντος, το οποίο επιτρέπει τον έγκαιρο εντοπισμό απειλών και τον μετριασμό των κινδύνων.

Ένα ιδιαίτερο χαρακτηριστικό του προϊόντος είναι η δυνατότητα λεπτομερούς εκχώρησης δικαιωμάτων στους χρήστες ( αποκλιμάκωση) που ανήκουν σε διαφορετικές ομάδες διαχείρισης για εφαρμογές συστήματος και εφαρμογών, κάτι που δεν μπορεί να επιτευχθεί χρησιμοποιώντας τυπικά εργαλεία λειτουργικού συστήματος. Symantec Data Center Security: Το Server Advanced είναι εξαιρετικά χρήσιμο για διάφορα τερματικά ATM και POS που βρίσκονται πολύ πέρα ​​από τις κύριες περιμέτρους εταιρική υποδομήεταιρείες. Η λειτουργία unmanagment agent σάς επιτρέπει να διασφαλίζετε τη συμμόρφωση με τις εκχωρημένες πολιτικές ασφαλείας στην περίπτωση που το προστατευμένο σύστημα είναι απομονωμένο και δεν έχει καμία σχέση με τον έξω κόσμο. Ένα μεγάλο πλεονέκτημα θα είναι για όσους συνεχίζουν να χρησιμοποιούν λειτουργικά συστήματα που δεν υποστηρίζονται πλέον, όπως τα Windows NT, τα Windows 2000. Windows XP και, σύντομα, Windows 2003 (επίσημη ημερομηνία λήξης υποστήριξης 14 Ιουλίου 2015), ενημερώσεις για τις οποίες δεν είναι πλέον διαθέσιμα, ειδικά επειδή λαμβάνοντας υπόψη ότι το ίδιο το προϊόν DCS:SA, κατ' αρχήν, δεν απαιτεί ενημερώσεις.

Σφιχτή ενσωμάτωση προϊόντος με VMware vSphereπαρέχει προστασία για ολόκληρη την εικονική υποδομή, καθώς και παρακολούθηση της ακεραιότητας των hypervisors. Η ασφάλεια παρέχεται ως υπηρεσία, παρέχοντας ασφάλεια τόσο σε επίπεδο μεμονωμένου εικονικού κεντρικού υπολογιστή (VM) όσο και σε επίπεδο ίδιου του hypervisor.

Data Center Security: Το Server Advanced θα γίνει αναμφίβολα ένα ισχυρό εργαλείο για τη διασφάλιση της ασφάλειας του εταιρικού περιβάλλοντος και σε συνδυασμό με άλλες λύσεις ασφάλειας, θα μειώσει αποτελεσματικά τους κινδύνους πληροφορικής και θα εξασφαλίσει τη συνέχεια και την αξιοπιστία των επιχειρηματικών διαδικασιών της εταιρείας.

Λύση Ασφαλείας καταληκτικά σημείαΤο Symantec Endpoint Protection περιλαμβάνει εργαλεία προστασίας από ιούς και λογισμικό κατασκοπείας, τείχος προστασίας, πρόληψη εισβολών, έλεγχο συσκευών και εφαρμογών και πρόσθετη λειτουργίαέλεγχος πρόσβασης στο δίκτυο. Τέτοιος ολοκληρωμένη προσέγγισηπαρέχει απαράμιλλη προστασία από κακόβουλο λογισμικό για φορητούς υπολογιστές, σταθμούς εργασίας και διακομιστές. Το Symantec Endpoint Protection ενσωματώνει απρόσκοπτα βασικές τεχνολογίες ασφαλείας σε έναν ενιαίο πράκτορα και κονσόλα, αυξάνοντας την προστασία του συστήματος και μειώνοντας το συνολικό κόστος ιδιοκτησίας.

Για την προστασία των τερματικών σημείων σε μια ολοένα και πιο περίπλοκη εταιρική υποδομή πληροφορικής, εικονικά περιβάλλοντα εργασίας και υπαλλήλους που χρησιμοποιούν τις δικές τους εφαρμογές και τεχνολογίες στους υπολογιστές εργασίας τους, η Symantec βελτιώνει συνεχώς την τεχνολογική απόδοση και την απόδοση των λύσεων προστασίας τελικών σημείων της. Κατά τη διάρκεια μιας σειράς δοκιμών που διεξήγαγε η PassMark Software για την αξιολόγηση λύσεων για την προστασία των επιχειρήσεων συστήματα υπολογιστών, Η Symantec Endpoint Protection ξεπέρασε όλες τις ανταγωνιστικές λύσεις.

Για την αποτελεσματική προστασία των τελικών σημείων, οι οργανισμοί πρέπει να υιοθετήσουν μια στρατηγική άμυνας σε βάθος. Έτσι, η λύση Symantec Endpoint Protection περιλαμβάνει τεχνολογίες Insight (προστασία βάσει φήμης) και SONAR (προστασία βάσει συμπεριφοράς), καθώς και τεχνολογίες για προστασία από απειλές δικτύου(Network Threat Protection) και τεχνολογίες ελέγχου συσκευών και εφαρμογών (Device and Application Control) μαζί με παραδοσιακές μεθόδουςπροστασία από ιούς. Αυτό δημιουργεί πολλαπλά, ισχυρά επίπεδα προστασίας για την αντιμετώπιση απειλών που χάνουν οι παραδοσιακές λύσεις.

Το Symantec Insight αναλύει κάθε αρχείο με βάση το νέο, την πηγή, τη διανομή του και του εκχωρεί μια συγκεκριμένη βαθμολογία, δίνοντας στις εταιρείες τη δυνατότητα να αποκλείουν εύκολα αρχεία με βάση το όριο κινδύνου και τη φήμη ενός αρχείου. Το SONAR είναι βασικό συστατικό της τεχνολογίας ασφάλειας που βασίζεται στη συμπεριφορά της Symantec. Το σύστημα αναλύει τη συμπεριφορά της εφαρμογής και καθορίζει τι κάνει η εφαρμογή στην πραγματικότητα (όχι πώς φαίνεται) και παρέχει αποτελεσματικές, μη παρεμβατικές άμυνες έναντι νέων, άγνωστων προηγουμένως επιθέσεων zero-day. Το Symantec Network Threat Protection αναλύει την κίνηση που εισέρχεται στο σύστημά σας και αποκλείει τις απειλές προτού μολύνουν το σύστημά σας.

Το 2013, περισσότερο από το 51% όλων των απειλών που εξουδετερώθηκαν από τα προϊόντα της Symantec εξουδετερώθηκαν χρησιμοποιώντας αυτές τις τρεις προληπτικές, χωρίς υπογραφές τεχνολογίες.

Οι διακομιστές είναι ένας ειδικός τύπος συστήματος με το δικό του συγκεκριμένες απαιτήσεις. Η Symantec Critical System Protection αντιμετωπίζει αυτές τις απαιτήσεις συνδυάζοντας συστήματα ανίχνευσης εισβολής που βασίζονται σε κεντρικούς υπολογιστές (HIDS), συστήματα πρόληψης εισβολής που βασίζονται σε κεντρικό υπολογιστή (HIPS) και μια προσέγγιση ελάχιστων προνομίων που επιτρέπει στους οργανισμούς να προστατεύουν προληπτικά τα ετερογενή περιβάλλοντα διακομιστή και τις πληροφορίες που περιέχουν. Τόσο η Symantec Endpoint Protection όσο και η Symantec Critical System Protection είναι ιδανικά για την προστασία φυσικών και εικονικών περιβαλλόντων.

Στις 9 Φεβρουαρίου 2011, η Symantec ανακοίνωσε ότι τοποθετήθηκε στο τεταρτημόριο Leaders από την Gartner στην έκθεσή της για το 2010 Magic Quadrant for Endpoint Security Platforms. 28 Ιανουαρίου 2014 - Η Symantec Corporation ανακοίνωσε ότι η Gartner Inc. στο Magic Quadrant της την τοποθέτησε για άλλη μια φορά ως ηγέτη στις Πλατφόρμες Προστασίας Endpoint (EPP), μια θέση που η Symantec κατέχει εδώ και 12 χρόνια. Η έκθεση Magic Quadrant 2014 κυκλοφόρησε στις 8 Ιανουαρίου. Η κορυφαία θέση σε αυτήν την κατάταξη, καθώς και οι θετικές αξιολογήσεις της Symantec ως προμηθευτή, αποτελούν ένδειξη ότι η εταιρεία προσφέρει αξιόπιστες λύσεις που έχουν καλή απόδοση στον εντοπισμό απειλών, την προστασία και την απόδοση.

Τον Μάιο του 2011, το εργαλείο λογισμικού ασφάλειας πληροφοριών Symantec Endpoint Protection 11 πιστοποιήθηκε με επιτυχία από την FSTEC της Ρωσίας. Η πιστοποίηση επιβεβαίωσε ότι το λογισμικό Symantec Endpoint Protection (έκδοση 11.0.5) είναι λογισμικόπροστασία των πληροφοριών από μη εξουσιοδοτημένη πρόσβαση και συμμόρφωση με τις απαιτήσεις του εγγράφου καθοδήγησης «Προστασία από μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες. Μέρος 1. Λογισμικό ασφάλειας πληροφοριών. Ταξινόμηση σύμφωνα με το επίπεδο ελέγχου της απουσίας αδήλωτων δυνατοτήτων» (Κρατική Τεχνική Επιτροπή της Ρωσίας, 1999) - σύμφωνα με το 4ο επίπεδο ελέγχου και τεχνικές προδιαγραφές.

Οι δοκιμές πιστοποίησης πραγματοποιήθηκαν από την CJSC NPO Eshelon, η οποία είναι διαπιστευμένη ως εργαστήριο δοκιμών του ρωσικού Υπουργείου Άμυνας, της FSB της Ρωσίας και της FSTEC της Ρωσίας, καθώς και μία από τις λίγες εταιρείες που είναι διαπιστευμένες από την FSTEC της Ρωσίας ως φορέας πιστοποίησης. Η πιστοποίηση των προϊόντων της Symantec συμπλήρωσε το χαρτοφυλάκιο των επιτυχημένων έργων της NPO Eshelon CJSC στον τομέα αυτό, τα οποία αντικατοπτρίστηκαν σε περισσότερα από 300 πιστοποιητικά για εργαλεία και λογισμικό ασφάλειας πληροφοριών.

Symantec Endpoint Protection 12

Έλεγχος συμπεριφοράς και φήμης τοπικές εφαρμογές, το άνοιγμα εφαρμογών web και ιστοσελίδων γενικού σκοπού, παρέχει ανώτερη προστασία για κάθε τελικό σημείο σε έναν οργανισμό. Η νέα έκδοση του πακέτου Endpoint Protection προσφέρει επίσης στους πελάτες σημαντικά αυξημένη απόδοση, καθώς και υποστήριξη για εικονικά περιβάλλοντα και προστασία που βασίζεται σε σύννεφο για τον αποκλεισμό απειλών πριν καν φτάσουν στα όρια του εταιρικού δικτύου.

Ένα από τα θεμελιώδη μπλοκ του ενημερωμένου πακέτου Symantec Endpoint Protection 12 για πρώτη φορά είναι η αποκλειστική τεχνολογία Insight για παρακολούθηση φήμης που βασίζεται σε σύννεφο - αυτή η τεχνολογία βοηθά στην προστασία των υπολογιστών πελατών μέσω αναγνώρισης και αποκλεισμού κακόβουλος κώδικαςμε βάση τεράστια βάσηδεδομένα, συμπεριλαμβανομένων δειγμάτων με περισσότερα από 2,5 δισεκατομμύρια μοναδικά εκτελέσιμα αρχεία.

Εκτός από την τεχνολογία Insight, το πακέτο Endpoint Protection 12 χρησιμοποιεί μια άλλη ιδιόκτητη τεχνολογία που ονομάζεται Sonar 3 - αυτός είναι ένας υβριδικός μηχανισμός για τον αποκλεισμό προγραμμάτων με βάση τη συμπεριφορά και τη φήμη. Η τεχνολογία Sonar 3 σάς επιτρέπει να αποκλείσετε άγνωστες απειλές - αντί της παραδοσιακής ανάλυσης αρχείων με υπογραφή, χρησιμοποιείται ανάλυση της συμπεριφοράς κάθε μεμονωμένου τμήματος κώδικα.

Σπουδαίος βασικό στοιχείοΗ προστασία που παρέχεται από το πακέτο Symantec Endpoint Protection 12 είναι υψηλής απόδοσης και μεταφορά ορισμένων λειτουργιών στο «σύννεφο» - αυτό παρέχει έως και 70% μείωση του κόστους των εσωτερικών υπολογιστικών πόρων του πελάτη για ασφάλεια. Σύμφωνα με τους εκπροσώπους της Symantec, παραδοσιακά τα antivirus καταναλώνουν πολλούς πόρους επειδή έχουν απόδοση πλήρης έλεγχος«από και προς». Οι τεχνολογίες Insight και Sonar στο Endpoint Protection 12 σάς δίνουν τη δυνατότητα να συντομεύσετε το εύρος σάρωσης για ταχύτερη και λιγότερο συχνή σάρωση. Για παράδειγμα, η σάρωση μπορεί να πραγματοποιηθεί μόνο σε περιόδους που ο υπολογιστής βρίσκεται σε κατάσταση αναμονής.

Το Endpoint Protection 12 είναι βελτιστοποιημένο για χρήση σε εικονικά περιβάλλοντα. Συγκεκριμένα, εικονικές μηχανές σε ένα φυσικός διακομιστήςδεν σαρώνονται ποτέ ταυτόχρονα, για να μην μειωθεί η συνολική απόδοση.

Ειδικά για μικρότερους πελάτες, η Symantec κυκλοφόρησε για πρώτη φορά την Small Business Edition του Endpoint Protection 12 Αυτή η έκδοση περιλαμβάνει έναν βολικό οδηγό εγκατάστασης, ένα έτοιμο σύνολο πολιτικών ασφαλείας, καθώς και έναν αυτοματοποιημένο μηχανισμό για την αποστολή ειδοποιήσεων και τη δημιουργία αναφορών. - αυτά τα εργαλεία θα είναι ιδιαίτερα χρήσιμα για οργανισμούς με περιορισμένους πόρους πληροφορικής.

Symantec Endpoint Protection 12.1

Στις 28 Μαΐου 2012, η ​​εταιρεία Symantec ανακοίνωσε ότι έλαβε ένα πιστοποιητικό FSTEC για τη λύση προστασίας σταθμών εργασίας και άλλων συσκευών που είναι συνδεδεμένες στο δίκτυο πληροφοριών, Symantec Endpoint Protection 12.1, για έλεγχο επιπέδου 4 αδήλωτων δυνατοτήτων (NDV) και τεχνικών συνθηκών (TU), που επιτρέπει τη χρήση του διαλύματος για προστατευτικό πληροφοριακά συστήματαπροσωπικά δεδομένα (ISPDn) μέχρι και την κατηγορία 1.

Το Symantec Endpoint Protection 12.1 είναι η πιο πρόσφατη έκδοση της λύσης εταιρικής κλάσης για ολοκληρωμένη προστασία τελικού σημείου ( επιτραπέζιους υπολογιστές, φορητούς υπολογιστές, διακομιστές, τερματικά κ.λπ.). Σε αντίθεση με άλλα συστήματα αυτής της κατηγορίας, η τεχνολογία Symantec λειτουργεί με μια ισχυρή βάση δεδομένων που περιέχει πληροφορίες για τη φήμη περισσότερων από 3 δισεκατομμυρίων αρχείων, που έχουν συσσωρευτεί κατά τη διάρκεια πολλών ετών λειτουργίας του συστήματος στους υπολογιστές των χρηστών των προϊόντων Norton. Με αυτήν την τεχνολογία φήμης, το Insight εντοπίζει νέες και άγνωστες απειλές που δεν μπορούν να εντοπιστούν με άλλα μέσα, ενώ εξοικονομεί σημαντικά υπολογιστικούς πόρους του συστήματος, βελτιώνοντας την απόδοση κατά μέσο όρο κατά 70%. Επιπλέον, η έκδοση 12.1 πρόσθεσε επίσης σημαντικές βελτιστοποιήσεις για αποτελεσματική λειτουργία του συστήματος σε εικονικά περιβάλλοντα.

2013: Symantec Endpoint Protection 12.1.4

Για τη βελτίωση της ασφάλειας υπολογιστές-πελάτεςΗ Symantec έχει ενσωματώσει προηγμένη τεχνολογία προστασίας από απειλές δικτύου για την πλατφόρμα Mac σε μια ενημερωμένη έκδοση της λύσης Symantec Endpoint Protection 12.1.4.

Περιγραφή

Πολλοί χρήστες Mac πιστεύουν λανθασμένα ότι οι υπολογιστές τους δεν είναι επιρρεπείς σε επιθέσεις και ως εκ τούτου δεν δίνουν αρκετή προσοχή σε ζητήματα ασφαλείας. Αλλά είναι ακριβώς αυτή η στάση που μετατρέπει τους χρήστες Mac σε «μικρό» για τους εισβολείς. Τεχνολογία Προστασία από απειλές δικτύου Symantecδιασφαλίζει ότι η εισερχόμενη κυκλοφορία δικτύου παρεμποδίζεται προτού προλάβει να έχει αντίκτυπο, εντοπίζει εκμεταλλεύσεις και τις αποκλείει αυτόματα. Το σύστημα πρόληψης εισβολής - IPS, επίπεδο πρωτοκόλλου και επίπεδο εφαρμογής - είναι ικανό να ανιχνεύει και να αποκλείει όχι μόνο γνωστές αλλά και άγνωστες απειλές, συμπεριλαμβανομένων εκείνων που χρησιμοποιούν τρωτά σημεία zero-day.

Τα οποία αναγκάζονται να περιμένουν τη δημιουργία ενός φυσικού αρχείου στον υπολογιστή του χρήστη, η προστασία δικτύου αρχίζει να αναλύει τις εισερχόμενες ροές δεδομένων που εισέρχονται στον υπολογιστή του χρήστη μέσω του δικτύου και αποκλείει τις απειλές πριν εισέλθουν στο σύστημα.

Οι κύριοι τομείς προστασίας δικτύου που παρέχονται από τις τεχνολογίες της Symantec είναι:

Drive-by λήψεις, διαδικτυακές επιθέσεις.
- Επιθέσεις «Social Engineering»: FakeAV (ψεύτικα antivirus) και κωδικοποιητές.
- Επιθέσεις μέσω κοινωνικών δικτύων όπως το Facebook.
- Ανίχνευση κακόβουλου λογισμικού, rootkits και συστημάτων που έχουν μολυνθεί με bots.
- Προστασία από προηγμένες απειλές.
- Απειλές μηδενικής ημέρας.
- Προστασία από ευπάθειες λογισμικού που δεν έχουν επιδιορθωθεί.
- Προστασία από κακόβουλους τομείς και διευθύνσεις IP.

Τεχνολογίες Προστασίας Δικτύων

Το επίπεδο «Προστασία Δικτύου» περιλαμβάνει 3 διαφορετικές τεχνολογίες.

Λύση αποτροπής εισβολής δικτύου (Network IPS)

Η τεχνολογία IPS δικτύου κατανοεί και σαρώνει πάνω από 200 διαφορετικά πρωτόκολλα. Διεισδύει έξυπνα και με ακρίβεια σε δυαδικά πρωτόκολλα και πρωτόκολλα δικτύου, αναζητώντας σημάδια κακόβουλης κυκλοφορίας στην πορεία. Αυτή η ευφυΐα επιτρέπει μεγαλύτερη ακρίβεια σάρωση δικτύου, ενώ παρέχει αξιόπιστη προστασία. Στην «καρδιά» του βρίσκεται μια μηχανή αποκλεισμού εκμετάλλευσης που παρέχει ανοιχτά τρωτά σημεία με σχεδόν αδιαπέραστη προστασία. Ένα μοναδικό χαρακτηριστικό του Symantec IPS είναι ότι αυτό το στοιχείο δεν απαιτεί καμία ρύθμιση παραμέτρων. Όλες οι λειτουργίες του λειτουργούν, όπως λένε, "out of the box". Κάθε καταναλωτικό προϊόν Norton και κάθε προϊόν Symantec Endpoint Protection έκδοση 12.1 και νεότερη, έχει αυτή την κρίσιμη τεχνολογία ενεργοποιημένη από προεπιλογή.

Προστασία προγράμματος περιήγησης

Αυτή η μηχανή ασφαλείας βρίσκεται μέσα στο πρόγραμμα περιήγησης. Είναι σε θέση να ανιχνεύει τις πιο σύνθετες απειλές που ούτε το παραδοσιακό πρόγραμμα προστασίας από ιούς ούτε το δίκτυο IPS μπορούν να ανιχνεύσουν. Στις μέρες μας πολλά επιθέσεις δικτύουχρησιμοποιήστε τεχνικές συσκότισης για να αποφύγετε τον εντοπισμό. Επειδή η Προστασία προγράμματος περιήγησης εκτελείται μέσα στο πρόγραμμα περιήγησης, είναι σε θέση να εξετάσει τον κώδικα που δεν είναι ακόμη κρυμμένος (συσκοτισμένος) καθώς εκτελείται. Αυτό σας επιτρέπει να ανιχνεύσετε και να αποκλείσετε μια επίθεση εάν χάθηκε σε χαμηλότερα επίπεδα προστασίας του προγράμματος.

Προστασία μη εξουσιοδοτημένης λήψης (UXP)

Εντός του επιπέδου άμυνας δικτύου, η τελευταία γραμμή άμυνας βοηθά στην κάλυψη και τον μετριασμό των επιπτώσεων άγνωστων και μη επιδιορθωμένων τρωτών σημείων, χωρίς τη χρήση υπογραφών. Αυτό παρέχει ένα επιπλέον επίπεδο προστασίας από επιθέσεις Zero Day.

Εστιάζοντας στα προβλήματα

Σε συνεργασία, οι τεχνολογίες ασφάλειας δικτύου επιλύουν τα ακόλουθα προβλήματα.

Drive-by λήψεις και κιτ διαδικτυακών επιθέσεων

Χρησιμοποιώντας τεχνολογία δικτύου IPS, Προστασία προγράμματος περιήγησης και UXP, οι τεχνολογίες προστασίας δικτύου της Symantec αποκλείουν τις λήψεις Drive-by και ουσιαστικά εμποδίζουν το κακόβουλο λογισμικό να φτάσει ακόμη και στο σύστημα του χρήστη. Εφαρμόζονται διάφορες προληπτικές μέθοδοι που περιλαμβάνουν τη χρήση των ίδιων τεχνολογιών, συμπεριλαμβανομένης της τεχνολογίας Generic Exploit Blocking και των εργαλείων ανίχνευσης επιθέσεων στο διαδίκτυο. Ένα γενικό εργαλείο ανίχνευσης διαδικτυακών επιθέσεων αναλύει τα χαρακτηριστικά μιας κοινής διαδικτυακής επίθεσης, ανεξάρτητα από τη συγκεκριμένη ευπάθεια που στοχεύει η επίθεση. Αυτό μας επιτρέπει να διασφαλίσουμε πρόσθετη προστασίανέα και άγνωστα τρωτά σημεία. Το καλύτερο πράγμα σχετικά με αυτόν τον τύπο προστασίας είναι ότι εάν ένα κακόβουλο αρχείο μολύνει "σιωπηλά" ένα σύστημα, θα εξακολουθούσε να διακόπτεται προληπτικά και να αφαιρείται από το σύστημα: αυτή είναι ακριβώς η συμπεριφορά που συνήθως χάνουν τα παραδοσιακά προϊόντα προστασίας από ιούς. Ωστόσο, η Symantec συνεχίζει να μπλοκάρει δεκάδες εκατομμύρια παραλλαγές κακόβουλου λογισμικού που συνήθως δεν μπορούν να εντοπιστούν με άλλα μέσα.

Επιθέσεις Κοινωνικής Μηχανικής

Επειδή η τεχνολογία της Symantec παρακολουθεί την κυκλοφορία του δικτύου και του προγράμματος περιήγησης καθώς ταξιδεύει, εντοπίζει επιθέσεις «Κοινωνικής Μηχανικής», όπως FakeAV ή ψεύτικους κωδικοποιητές. Οι τεχνολογίες έχουν σχεδιαστεί για να εμποδίζουν τέτοιες επιθέσεις πριν εμφανιστούν στην οθόνη του χρήστη. Οι περισσότερες άλλες ανταγωνιστικές λύσεις δεν περιλαμβάνουν αυτήν την ισχυρή δυνατότητα.

Η Symantec μπλοκάρει εκατοντάδες εκατομμύρια από αυτούς τους τύπους επιθέσεων με την ηλεκτρονική τεχνολογία προστασίας από απειλές.

Επιθέσεις που στοχεύουν σε εφαρμογές κοινωνικής δικτύωσης

Οι εφαρμογές μέσων κοινωνικής δικτύωσης έχουν γίνει πρόσφατα ευρέως δημοφιλείς καθώς σας επιτρέπουν να μοιράζεστε άμεσα διάφορα μηνύματα, ενδιαφέροντα βίντεο και πληροφορίες με χιλιάδες φίλους και χρήστες. Ευρέως διαδεδομένο και δυναμικό παρόμοια προγράμματα, τους καθιστούν τον νούμερο ένα στόχο για τους χάκερ. Μερικά κοινά κόλπα χάκερ περιλαμβάνουν τη δημιουργία ψεύτικων λογαριασμών και την αποστολή ανεπιθύμητων μηνυμάτων.

Η τεχνολογία IPS της Symantec μπορεί να προστατεύσει από αυτούς τους τύπους μεθόδων εξαπάτησης, συχνά αποτρέποντάς τις πριν καν ο χρήστης κάνει κλικ πάνω τους. Η Symantec σταματά τα δόλια και πλαστά URL, εφαρμογές και άλλες τεχνικές εξαπάτησης με την ηλεκτρονική τεχνολογία προστασίας από απειλές.

Ανίχνευση κακόβουλου λογισμικού, rootkits και συστημάτων που έχουν μολυνθεί από bot

Δεν θα ήταν ωραίο να γνωρίζουμε ακριβώς πού στο δίκτυο βρίσκεται ο μολυσμένος υπολογιστής; Οι λύσεις IPS της Symantec παρέχουν αυτή τη δυνατότητα, συμπεριλαμβανομένης της ανίχνευσης και ανάκτησης απειλών που μπορεί να έχουν αποφύγει άλλα επίπεδα προστασίας. Οι λύσεις της Symantec εντοπίζουν κακόβουλο λογισμικό και ρομπότ που προσπαθούν να δημιουργήσουν αυτόματα τηλεφωνητές ή να πραγματοποιήσουν λήψη «ενημερώσεων» για να αυξήσουν τη δραστηριότητά τους στο σύστημα. Αυτό επιτρέπει στους διευθυντές IT, οι οποίοι έχουν μια σαφή λίστα συστημάτων προς επανεξέταση, να έχουν βεβαιότητα ότι η επιχείρησή τους είναι ασφαλής. Οι πολυμορφικές και πολύπλοκες stealth απειλές που χρησιμοποιούν τεχνικές rootkit όπως το Tidserv, το ZeroAccess, το Koobface και το Zbot μπορούν να σταματήσουν και να αφαιρεθούν χρησιμοποιώντας αυτήν τη μέθοδο.

Προστασία από συγκεχυμένες απειλές

Οι σημερινές διαδικτυακές επιθέσεις χρησιμοποιούν πολύπλοκες τεχνικές για να αυξήσουν την πολυπλοκότητα των επιθέσεων τους. Η Προστασία προγράμματος περιήγησης της Symantec βρίσκεται μέσα στο πρόγραμμα περιήγησης και μπορεί να ανιχνεύσει πολύ περίπλοκες απειλές που συχνά δεν μπορούν να εντοπίσουν οι παραδοσιακές μέθοδοι.

Απειλές μηδενικής ημέρας και μη επιδιορθωμένα τρωτά σημεία

Μία από τις προηγούμενες προσθήκες ασφαλείας που έχει προσθέσει η εταιρεία είναι ένα επιπλέον επίπεδο προστασίας από απειλές μηδενικής ημέρας και μη επιδιορθωμένα τρωτά σημεία. Χρησιμοποιώντας προστασία χωρίς υπογραφή, το πρόγραμμα παρεμποδίζει τις κλήσεις API συστήματος και προστατεύει από λήψεις κακόβουλου λογισμικού. Αυτή η τεχνολογία ονομάζεται Un-Authorized Download Protection (UXP). Είναι η τελευταία γραμμή υποστήριξης εντός του οικοσυστήματος προστασίας από απειλές δικτύου. Αυτό επιτρέπει στο προϊόν να «καλύπτει» άγνωστα και μη επιδιορθωμένα τρωτά σημεία χωρίς τη χρήση υπογραφών. Αυτή η τεχνολογία είναι ενεργοποιημένη από προεπιλογή και έχει βρεθεί σε κάθε προϊόν που κυκλοφόρησε από το ντεμπούτο του Norton 2010.

Προστασία από ευπάθειες λογισμικού που δεν έχουν επιδιορθωθεί

Τα κακόβουλα προγράμματα εγκαθίστανται συχνά εν αγνοία του χρήστη, χρησιμοποιώντας τρωτά σημεία στο λογισμικό. Η ασφάλεια δικτύου Symantec παρέχει ένα πρόσθετο επίπεδο προστασίας που ονομάζεται Generic Exploit Blocking (GEB). Ανεξάρτητα από το αν Τελευταίες ενημερώσειςή όχι, η GEB «κυρίως» προστατεύει τις υποκείμενες ευπάθειες από την εκμετάλλευση. Ευπάθειες στο Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, τα στοιχεία ελέγχου ActiveX ή το QuickTime είναι πλέον πανταχού παρόντα. Η Generic Exploit Protection δημιουργήθηκε με «αντίστροφη μηχανική» με τον τρόπο που θα μπορούσε να γίνει εκμετάλλευση της ευπάθειας στο δίκτυο, παρέχοντας παράλληλα μια ειδική ενημέρωση κώδικα σε επίπεδο δικτύου. Ένα μόνο GEB, ή υπογραφή ευπάθειας, μπορεί να παρέχει προστασία από χιλιάδες παραλλαγές κακόβουλου λογισμικού, νέες και άγνωστες.

Κακόβουλες διευθύνσεις IP και αποκλεισμός τομέα

Η προστασία δικτύου της Symantec περιλαμβάνει επίσης τη δυνατότητα αποκλεισμού κακόβουλων τομέων και διευθύνσεων IP, ενώ ταυτόχρονα διακόπτεται το κακόβουλο λογισμικό και η κυκλοφορία από γνωστούς κακόβουλους ιστότοπους. Μέσω της αυστηρής ανάλυσης και ενημέρωσης των ιστότοπων του STAR, η Symantec παρέχει προστασία σε πραγματικό χρόνο από διαρκώς μεταβαλλόμενες απειλές.

Βελτιωμένη αντίσταση αποφυγής

Έχει προστεθεί υποστήριξη για πρόσθετες κωδικοποιήσεις για τη βελτίωση της αποτελεσματικότητας της ανίχνευσης επιθέσεων χρησιμοποιώντας τεχνικές κρυπτογράφησης όπως το base64 και το gzip.

Ανίχνευση ελέγχου δικτύου για την επιβολή πολιτικών χρήσης και τον εντοπισμό διαρροής δεδομένων

Το IPS δικτύου μπορεί να χρησιμοποιηθεί για τον εντοπισμό εφαρμογών και εργαλείων που ενδέχεται να παραβιάζουν τις εταιρικές πολιτικές χρήσης ή για την αποτροπή διαρροής δεδομένων σε όλο το δίκτυο. Είναι δυνατός ο εντοπισμός, η προειδοποίηση ή η αποτροπή επισκεψιμότητας όπως IM, P2P, μέσα κοινωνικής δικτύωσης ή άλλοι «ενδιαφέροντες» τύποι επισκεψιμότητας.

Πρωτόκολλο επικοινωνίας STAR Intelligence

Η τεχνολογία ασφάλειας δικτύου δεν λειτουργεί από μόνη της. Ο κινητήρας επικοινωνεί με άλλες υπηρεσίες ασφαλείας χρησιμοποιώντας το πρωτόκολλο STAR Intelligence Communication (STAR ​​ICB). Ο κινητήρας Network IPS συνδέεται με τον κινητήρα Symantec Sonar και, στη συνέχεια, με τον κινητήρα Insight Reputation. Αυτό σας επιτρέπει να παρέχετε πιο ενημερωτική και ακριβή προστασία.

Στο επόμενο άρθρο θα δούμε το επίπεδο του Αναλυτή Συμπεριφοράς.

Βασισμένο σε υλικά της Symantec

Βρήκατε τυπογραφικό λάθος; Πατήστε Ctrl + Enter