ИТ-портал компании «Инфосистемы Джет»

Противодействие угрозам на уровне рабочих станций: решение FortiClient

Противодействие угрозам на уровне рабочих станций: решение FortiClient

О том, как реализована защита от целенаправленных кибератак на конечных точках в FortiClient, рассказывает Алексей Андрияшин, руководитель системных инженеров Fortinet.

FortiClient – унифицированное решение, обладающее широкими возможностями по защите конечных станций: персональным межсетевым экраном, URL-фильтром, контролем трафика приложений, защитой удаленных подключений, анализом уязвимостей, антивирусной защитой и противодействием целенаправленным атакам. Клиент интегрируется с «песочницей», чтобы иметь возможность отправлять на проверку подозрительные файлы в исполняемой среде.

Предварительно клиент может быть сконфигурирован таким образом, чтобы включать только необходимые функции: полный набор функций безопасности, только VPN либо произвольный набор функций, перечисленных выше.

Установка и архитектура

FortiClient распространяется бесплатно и его можно скачать с сайта forticlient.com. Но для централизованного управления политиками безопасности потребуется дополнительное лицензирование. Клиент может управляться как непосредственно с FortiGate (межсетевой экран нового поколения), так и с отдельного сервера управления, который называется EMS: FortiClient Enterprise Management Server. Возможно также комбинирование обоих способов управления.

Если говорить о клиенте, требования к его установке минимальные. Для комфортной работы с использованием всех возможностей FortiClient рекомендуется выделить не менее 512 Мб оперативной памяти, 600 Мб дискового пространства для операционных систем Windows и 256 Мб RAM/20 Мб HDD для MAC OS.

Операционные системы

Полный перечень операционных систем, которые поддерживаются: Windows 7/8/8.1/10, Windows Server 2008 R2/2012/2012 R2, MAC OS X v10.8 Mountain Lion/v10.9 Mavericks/v10.10 Yosemite/v10.11 El Capitan.

Совместимость с антивирусами

Для того чтобы обеспечить совместимость с предустановленными антивирусами рекомендуется отключать real-time antivirus protection. В этом случае будут исключены возможные конфликты со сторонними антивирусами при сохранении всех остальных возможностей FortiClient.

Обучение агента

Агент не нужно дополнительно обучать, так как анализ подозрительных файлов происходит в «песочнице», в которую FortiClient передает данные для анализа. В случае обнаружения подозрительной активности автоматически формируется сигнатура для этого файла. Если заказчик не возражает, он может разрешить «песочнице» делиться информацией об обнаруженных зловредных файлах с внешним миром, участвуя в пополнении глобальной базы угроз – FortiGuard. Ресурсы FortiGuard доступны всем пользователям решений Fortinet. На практике в большинстве случаев зловредные файлы обнаруживаются на основании признаков, сформированных ранее ресурсами FortiGuard либо на основании данных, полученных от других владельцев FortiSandbox, со всего мира. Если информация об обнаруженном файле в «песочнице» отсутствует, к нему применяются расширенные проверки для подробного изучения его поведения и обнаружения опасных признаков поведения.

Совместимость с другими компонентами

FortiClient является одним из элементов фабрики безопасности Fortinet – Сooperative Security Fabric (CSF). Эта концепция объединяет в себе практически все решения Fortinet для создания замкнутой среды безопасности. Решения, поддерживающее CSF, тесно интегрированы между собой и обеспечивают совместную координацию и противодействие угрозам в любой точке сети. Соответственно FortiClient и другие решения в рамках взаимодействия в многостороннем режиме делятся данными, обеспечивая актуальность информации о текущем уровнем угроз во всей сети.

Инструментарий для проведения расследований

FortiClient ведет собственный журнал событий, а также передает данные на централизованную систему логирования, анализа событий безопасности, корреляции и построения отчетов. Собранные данные могут быть объединены с информацией, поступающей с других устройств безопасности для составления карты угроз и корректировки политики безопасности для превентивного противодействия известным и потенциальным угрозам.

Поиск маркеров компрометации

После обнаружения вредоносного файла сигнатура этого файла может быть доступна клиентам, установленным на рабочих местах, real-time protection модуль которых проводит непрерывный анализ фалов на предмет их компрометации.

Карантин скомпрометированной станции

Скомпрометированная рабочая станция может быть немедленно исключена из сетевого обмена (отправлена в карантин) на время проведения профилактических работ. При этом необходимо, чтобы клиенты управлялись централизованно с FortiGate либо с EMS-сервера. На время карантина весь исходящий сетевой трафик зараженной машины блокируется клиентом, таким образом предоставляются время и возможность выполнить работы по очистке рабочего места, восстановлению или переустановке операционной системы. Администратор безопасности может восстановить рабочую станцию, используя централизованные средства управления.

Анализ файлов с флеш-носителей

Любые файлы, поступающие на рабочую станцию, проходят предварительную проверку в «песочнице» независимо от источника и способа доставки, включая сетевые протоколы, периферийные устройства и мобильные системы хранения данных. До окончательной проверки использование и передача файла ограничиваются, чтобы исключить распространение возможной угрозы.

Вернуться к списку статей
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su