© 1995-2021 Компания «Инфосистемы Джет»
Противодействие угрозам на уровне рабочих станций: решение FortiClient
Информационная безопасность

Как реализована защита от целенаправленных кибератак на конечных точках в решении FortiClient

Информационная безопасность Тренд

Противодействие угрозам на уровне рабочих станций: решение FortiClient

Автор
Алексей Андрияшин Руководитель системных инженеров Fortinet

11.10.2016

Посетителей: 52

Просмотров: 42

Время просмотра: 2.4 мин.

О том, как реализована защита от целенаправленных кибератак на конечных точках в FortiClient, рассказывает Алексей Андрияшин, руководитель системных инженеров Fortinet.

 

 

FortiClient – унифицированное решение, обладающее широкими возможностями по защите конечных станций: персональным межсетевым экраном, URL-фильтром, контролем трафика приложений, защитой удаленных подключений, анализом уязвимостей, антивирусной защитой и противодействием целенаправленным атакам. Клиент интегрируется с «песочницей», чтобы иметь возможность отправлять на проверку подозрительные файлы в исполняемой среде.

 

Предварительно клиент может быть сконфигурирован таким образом, чтобы включать только необходимые функции: полный набор функций безопасности, только VPN либо произвольный набор функций, перечисленных выше.

 

Установка и архитектура

 

FortiClient распространяется бесплатно и его можно скачать с сайта forticlient.com. Но для централизованного управления политиками безопасности потребуется дополнительное лицензирование. Клиент может управляться как непосредственно с FortiGate (межсетевой экран нового поколения), так и с отдельного сервера управления, который называется EMS: FortiClient Enterprise Management Server. Возможно также комбинирование обоих способов управления.

 

Если говорить о клиенте, требования к его установке минимальные. Для комфортной работы с использованием всех возможностей FortiClient рекомендуется выделить не менее 512 Мб оперативной памяти, 600 Мб дискового пространства для операционных систем Windows и 256 Мб RAM/20 Мб HDD для MAC OS.

Операционные системы

 

Полный перечень операционных систем, которые поддерживаются: Windows 7/8/8.1/10, Windows Server 2008 R2/2012/2012 R2, MAC OS X v10.8 Mountain Lion/v10.9 Mavericks/v10.10 Yosemite/v10.11 El Capitan.

Совместимость с антивирусами

 

Для того чтобы обеспечить совместимость с предустановленными антивирусами рекомендуется отключать real-time antivirus protection. В этом случае будут исключены возможные конфликты со сторонними антивирусами при сохранении всех остальных возможностей FortiClient.

Обучение агента

 

Агент не нужно дополнительно обучать, так как анализ подозрительных файлов происходит в «песочнице», в которую FortiClient передает данные для анализа. В случае обнаружения подозрительной активности автоматически формируется сигнатура для этого файла. Если заказчик не возражает, он может разрешить «песочнице» делиться информацией об обнаруженных зловредных файлах с внешним миром, участвуя в пополнении глобальной базы угроз – FortiGuard. Ресурсы FortiGuard доступны всем пользователям решений Fortinet. На практике в большинстве случаев зловредные файлы обнаруживаются на основании признаков, сформированных ранее ресурсами FortiGuard либо на основании данных, полученных от других владельцев FortiSandbox, со всего мира. Если информация об обнаруженном файле в «песочнице» отсутствует, к нему применяются расширенные проверки для подробного изучения его поведения и обнаружения опасных признаков поведения.

 

Совместимость с другими компонентами

 

FortiClient является одним из элементов фабрики безопасности Fortinet – Сooperative Security Fabric (CSF). Эта концепция объединяет в себе практически все решения Fortinet для создания замкнутой среды безопасности. Решения, поддерживающее CSF, тесно интегрированы между собой и обеспечивают совместную координацию и противодействие угрозам в любой точке сети. Соответственно FortiClient и другие решения в рамках взаимодействия в многостороннем режиме делятся данными, обеспечивая актуальность информации о текущем уровнем угроз во всей сети.

 

Инструментарий для проведения расследований

 

FortiClient ведет собственный журнал событий, а также передает данные на централизованную систему логирования, анализа событий безопасности, корреляции и построения отчетов. Собранные данные могут быть объединены с информацией, поступающей с других устройств безопасности для составления карты угроз и корректировки политики безопасности для превентивного противодействия известным и потенциальным угрозам.

 

Поиск маркеров компрометации

 

После обнаружения вредоносного файла сигнатура этого файла может быть доступна клиентам, установленным на рабочих местах, real-time protection модуль которых проводит непрерывный анализ фалов на предмет их компрометации.

 

Карантин скомпрометированной станции

 

Скомпрометированная рабочая станция может быть немедленно исключена из сетевого обмена (отправлена в карантин) на время проведения профилактических работ. При этом необходимо, чтобы клиенты управлялись централизованно с FortiGate либо с EMS-сервера. На время карантина весь исходящий сетевой трафик зараженной машины блокируется клиентом, таким образом предоставляются время и возможность выполнить работы по очистке рабочего места, восстановлению или переустановке операционной системы. Администратор безопасности может восстановить рабочую станцию, используя централизованные средства управления.

 

Анализ файлов с флеш-носителей

 

Любые файлы, поступающие на рабочую станцию, проходят предварительную проверку в «песочнице» независимо от источника и способа доставки, включая сетевые протоколы, периферийные устройства и мобильные системы хранения данных. До окончательной проверки использование и передача файла ограничиваются, чтобы исключить распространение возможной угрозы.

Уведомления об обновлении тем – в вашей почте

Advanced Persistent Threat в действии: демонстрация методов доставки вирусов

Специалисты компании «Инфосистемы Джет» продемонстрировали, что такое таргетированные атаки на практике

Advanced Persistent Threat скоро перейдут из понятия «Advanced» в понятие «Basic»…

Директор департамента ИБ Росбанка рассказал в интервью Jet Info, как правильно подойти к выбору решения Anti-APT

Гонка вооружений ИБ. Сводки с полей

Как Банк «Союз» ускорил Time-to-Market при разработке интеграционной шины для своего кредитного конвейера

Опыт MSSP по противодействию кибератакам

В статье описан опыт использования различных технологий в SOC для противодействия целенаправленным атакам

Трудности при тестировании «песочниц»: тяжело в учении, легко в бою

О решениях класса «песочницы» написано и сказано немало. Да, теоретического материала много, а что с практикой?!

Обзор решений по защите от таргетированных атак

Обзор представляет решения Anti-APT от ведущих производителей: FireEye, Trend Micro Deep Discovery, Check Point SandBlast, Kaspersky Anti Targeted Attack Platform (KATA)

Противодействие угрозам на уровне рабочих станций: решение TRAPS

Как реализована защита от целенаправленных кибератак на конечных точках в решении TRAPS от Palo Alto Networks

Противодействие угрозам на уровне рабочих станций: решение FireEye HX

Как реализована защита от целенаправленных кибератак на конечных точках в решении FireEye HX

Противодействие угрозам на уровне рабочих станций: решение Kaspersky Endpoint Detection and Response

Как реализована защита от целенаправленных кибератак на конечных точках в решении Kaspersky Endpoint Detection and Response

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня