© 1995-2021 Компания «Инфосистемы Джет»
Противодействие угрозам на уровне рабочих станций: решение Trend Micro Endpoint Sensor
Информационная безопасность

Как реализована защита от целенаправленных кибератак на конечных точках в решении Trend Micro Endpoint Sensor

Информационная безопасность Тренд

Противодействие угрозам на уровне рабочих станций: решение Trend Micro Endpoint Sensor

Автор
Михаил Кондрашин Технический директор Trend Micro Россия.

20.10.2016

Посетителей: 60

Просмотров: 51

Время просмотра: 0.4 мин.

О том, как реализована защита от целенаправленных кибератак на конечных точках в Trend Micro Endpoint Sensor, рассказывает Михаил Кондрашин, технический директор Trend Micro Россия.

 

 

Агент Trend Micro Endpoint Sensor – это относительно небольшая программа, которая контролирует происходящее в системе и решает следующие задачи: записывает в локальную базу данных системные операции, принимает решение о блокировке определенных процессов, если их поведение совпадет с одним из шаблонов, которые агент регулярно загружает с сервера управления, а также отправляет подозрительные файлы на анализ в «песочницы». Развертывание такого решения в сети позволяет, с одной стороны, проводить расследования инцидентов, а с другой – блокировать целевые атаки.

 

Инструментарий для проведения расследования

 

Использование Trend Micro Endpoint Sensor на конечных точках существенно расширяет возможности по расследованию инцидентов, ведь решение обеспечивает специалиста по безопасности детальными данными о том, какая программа, какую активность проявляла, с какими узлами связывалась и т.д. При этом панель управления позволяет получать сквозные данные по всем узлам в сети, что трудно недооценить, даже если в сети всего несколько десятков конечных точек, которые требуют пристального внимания. С одной стороны, Trend Micro Endpoint Sensor получает большое количество информации об угрозах от других компонентов, а с другой – способен сам передавать подозрительные данные на анализ или выявлять угрозы.

 

Совместимость с другими компонентами

 

Но расследование – это только один аспект работы с Endpoint Sensor. Интеграция с продуктами Trend Micro семейства Deep Discovery позволяет в автоматическом режиме находить файлы, только что выявленные «песочницами» как представляющие опасность. Иными словами, сделать автоматической и предельно оперативной реакцию на целевые атаки, причем каждая из них требовала бы от специалистов кропотливого труда и большего числа ручных рутинных операций для предотвращения последствий проникновения.

 

Совместимость с антивирусами

 

Хочется отметить, что Endpoint Sensor разрабатывается «прозрачным» для существующих антивирусных продуктов и не заменяет их, а дополняет этот традиционный продукт возможностями, которые для него недоступны.

 

Установка и архитектура

 

Если кратко, у Trend Micro Endpoint Sensor требования немного ниже, чем у антивируса по всем параметрам, кроме дискового пространства. Для максимальной производительности и минимальной загрузки сети, этот продукт требует до 4 Гб пространства на локальном носителе.

 

Для управления агентами и проведения расследований предлагается специальная серверная компонента с веб-интерфейсом.

 

Операционные системы

 

Поддерживается операционная система Windows от XP до 10-й версии.

 

Обучение агента

 

Агент обучается не сам, он получает информацию о новых опасностях из глобальных баз угроз и, что более важно, из внутренней системы предотвращение целевых атак Trend Micro Deep Security. Таким образом, обучается не сам агент, а вся сеть заказчика получает функцию выработки иммунитета к новым и неизвестным угрозам.

 

Блокирование активностей вредоносов

 

Продукт допускает блокировку процессов, если им соответствуют программы, которые «песочница» определила, как опасные.

 

Анализ файлов с флеш-носителей

 

Запуск приложений с флешки блокируется превентивно в Trend Micro OfficeScan, ведь в отличие от антивирусной проверки глубокий анализ в песочнице занимает недопустимо больше времени.

 

Карантин скомпрометированной станции

 

Опыт внедрения таких технологий, как NAC (Network Access Control), показал, что заказчики крайне неохотно идут на помещение конечных узлов в карантин в автоматическом режиме. Причина понятна: потенциально опасные операции происходят на конечных узлах довольно часто, и блокировка несет прямую угрозу работе предприятия.

 

На самом деле проблема еще глубже. Современные целевые угрозы не являются локальными для рабочей станции, а даже скомпрометированная рабочая станция не обязательно является угрозой для соседних узлов. Это позволяет решить гораздо более важную задачу – предотвратить возможные последствия.

 

Инструментарий для проведения расследования

 

Продукт предлагает гибкую систему проведения расследований, причем не только в рамках одной рабочей станции, но и всей сети, благодаря возможности получения среза информации по каждому приложению, IP-адресу или еще какому-то параметру. На первом этапе расследование проводят вручную, но по мере роста доверия к продукту, администратор может включить автоматическую реакцию на соответствие индикаторам компрометации (опасные файлы, процессы и т.п.).

 

Устранение последствий заражения

 

За удаление последствий заражения отвечает специальная подсистема Damage Cleanup Services, которая является составной частью Trend Micro OfficeScan. Совместное использование Trend Micro Endpoint Sensor и Trend Micro OfficeScan обеспечит как выявление целевых атак, так и удаление последствий.

Уведомления об обновлении тем – в вашей почте

Противодействие угрозам на уровне рабочих станций: решение Kaspersky Endpoint Detection and Response

Как реализована защита от целенаправленных кибератак на конечных точках в решении Kaspersky Endpoint Detection and Response

«Не думайте, что хакеры живут на других планетах…»

Станислав Павлунин, вице-президент по безопасности Тинькофф Банка рассказ о подходе банка к защите от кибератак

«Не пытайтесь накрыть все. Определите, что Вы хотите защищать»

Своим опытом проведения пилотных проектов по защите от целенаправленных атак поделился Сергей Барбашин

Песочницы под микроскопом: обзор решений (продолжение)

Обзор решений класса Anti-APT с акцентом на наиболее важные критерии по выбору «песочниц»

Advanced Persistent Threat скоро перейдут из понятия «Advanced» в понятие «Basic»…

Директор департамента ИБ Росбанка рассказал в интервью Jet Info, как правильно подойти к выбору решения Anti-APT

Трудности при тестировании «песочниц»: тяжело в учении, легко в бою

О решениях класса «песочницы» написано и сказано немало. Да, теоретического материала много, а что с практикой?!

Интервью с Борисом Симисом, заместителем генерального директора компании Positive Technologies

Один день из жизни Ричарда Джилла, специального агента секретной службы США, превратился в кошмар наяву

Противодействие угрозам на уровне рабочих станций: решение TRAPS

Как реализована защита от целенаправленных кибератак на конечных точках в решении TRAPS от Palo Alto Networks

Реальные проблемы виртуальных ЦОД

В настоящее время на рынке представлен широчайший спектр решений для защиты серверов и центров обработки данных от различных угроз. Несмотря на особенности каждого из продуктов, объединяет их одна общая черта - ориентированность на узкий спектр решаемых задач

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня