ИТ-портал компании «Инфосистемы Джет»

Противодействие угрозам на уровне рабочих станций: решение Trend Micro Endpoint Sensor

Противодействие угрозам на уровне рабочих станций: решение Trend Micro Endpoint Sensor

О том, как реализована защита от целенаправленных кибератак на конечных точках в Trend Micro Endpoint Sensor, рассказывает Михаил Кондрашин, технический директор Trend Micro Россия.

Агент Trend Micro Endpoint Sensor – это относительно небольшая программа, которая контролирует происходящее в системе и решает следующие задачи: записывает в локальную базу данных системные операции, принимает решение о блокировке определенных процессов, если их поведение совпадет с одним из шаблонов, которые агент регулярно загружает с сервера управления, а также отправляет подозрительные файлы на анализ в «песочницы». Развертывание такого решения в сети позволяет, с одной стороны, проводить расследования инцидентов, а с другой – блокировать целевые атаки.

Инструментарий для проведения расследования

Использование Trend Micro Endpoint Sensor на конечных точках существенно расширяет возможности по расследованию инцидентов, ведь решение обеспечивает специалиста по безопасности детальными данными о том, какая программа, какую активность проявляла, с какими узлами связывалась и т.д. При этом панель управления позволяет получать сквозные данные по всем узлам в сети, что трудно недооценить, даже если в сети всего несколько десятков конечных точек, которые требуют пристального внимания. С одной стороны, Trend Micro Endpoint Sensor получает большое количество информации об угрозах от других компонентов, а с другой – способен сам передавать подозрительные данные на анализ или выявлять угрозы.

Совместимость с другими компонентами

Но расследование – это только один аспект работы с Endpoint Sensor. Интеграция с продуктами Trend Micro семейства Deep Discovery позволяет в автоматическом режиме находить файлы, только что выявленные «песочницами» как представляющие опасность. Иными словами, сделать автоматической и предельно оперативной реакцию на целевые атаки, причем каждая из них требовала бы от специалистов кропотливого труда и большего числа ручных рутинных операций для предотвращения последствий проникновения.

Совместимость с антивирусами

Хочется отметить, что Endpoint Sensor разрабатывается «прозрачным» для существующих антивирусных продуктов и не заменяет их, а дополняет этот традиционный продукт возможностями, которые для него недоступны.

Установка и архитектура

Если кратко, у Trend Micro Endpoint Sensor требования немного ниже, чем у антивируса по всем параметрам, кроме дискового пространства. Для максимальной производительности и минимальной загрузки сети, этот продукт требует до 4 Гб пространства на локальном носителе.

Для управления агентами и проведения расследований предлагается специальная серверная компонента с веб-интерфейсом.

Операционные системы

Поддерживается операционная система Windows от XP до 10-й версии.

Обучение агента

Агент обучается не сам, он получает информацию о новых опасностях из глобальных баз угроз и, что более важно, из внутренней системы предотвращение целевых атак Trend Micro Deep Security. Таким образом, обучается не сам агент, а вся сеть заказчика получает функцию выработки иммунитета к новым и неизвестным угрозам.

Блокирование активностей вредоносов

Продукт допускает блокировку процессов, если им соответствуют программы, которые «песочница» определила, как опасные.

Анализ файлов с флеш-носителей

Запуск приложений с флешки блокируется превентивно в Trend Micro OfficeScan, ведь в отличие от антивирусной проверки глубокий анализ в песочнице занимает недопустимо больше времени.

Карантин скомпрометированной станции

Опыт внедрения таких технологий, как NAC (Network Access Control), показал, что заказчики крайне неохотно идут на помещение конечных узлов в карантин в автоматическом режиме. Причина понятна: потенциально опасные операции происходят на конечных узлах довольно часто, и блокировка несет прямую угрозу работе предприятия.

На самом деле проблема еще глубже. Современные целевые угрозы не являются локальными для рабочей станции, а даже скомпрометированная рабочая станция не обязательно является угрозой для соседних узлов. Это позволяет решить гораздо более важную задачу – предотвратить возможные последствия.

Инструментарий для проведения расследования

Продукт предлагает гибкую систему проведения расследований, причем не только в рамках одной рабочей станции, но и всей сети, благодаря возможности получения среза информации по каждому приложению, IP-адресу или еще какому-то параметру. На первом этапе расследование проводят вручную, но по мере роста доверия к продукту, администратор может включить автоматическую реакцию на соответствие индикаторам компрометации (опасные файлы, процессы и т.п.).

Устранение последствий заражения

За удаление последствий заражения отвечает специальная подсистема Damage Cleanup Services, которая является составной частью Trend Micro OfficeScan. Совместное использование Trend Micro Endpoint Sensor и Trend Micro OfficeScan обеспечит как выявление целевых атак, так и удаление последствий.

Вернуться к списку статей
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su