Світовий ринок Endpoint Protection Platform
Gartner у своєму аналітичному звіті Redefining Endpoint Protection дає загальне визначення для Endpoint Protection Platform: Рішення, розгорнуте на кінцевих пристроях, для запобігання атак на основі файлів, виявлення шкідливих дій і забезпечення розслідування та відповідної реакції, необхідних для реагування на динамічні інциденти безпеки та попередження них.
Таким чином, Gartner визначає, що EPP, як і класичний антивірус - це перш за все file-centric-система, яка відштовхується від припущення про те, що якщо не всі, більшість атак на кінцеві станції проводяться саме через заражені файли. При цьому сучасній EPP відводиться і роль EDR-системи з класичними ознаками таких систем – розслідування інциденту та можливість формування реакції на нього. Необхідно пам'ятати, що EDR-системи як клас з'явилися якраз з припущення, що неможливо запобігти 100% атак на кінцеві станції, і необхідності мати можливість дослідити інцидент і виходячи з цього сформувати реакцію у відповідь («Не зможемо захистити Землю, так помстимося за неї, будь впевнений» Т. Старк). Саме тому EDR у майбутньому має стати невід'ємною частиною будь-якого EPP-рішення, яке претендує на звання Next Generation Endpoint Protection Platform. Зрештою, динамічна реакція на інциденти та сповіщення про них — це також не нова функціональність, яка вже давно є прерогативою SIEM-систем, які мають свій об'ємний ринок.
Згідно з дослідженням Gartner (Magic Quadrant for Endpoint Protection Platforms 2018), останнім часом замовники віддають перевагу функціям захисту та виявлення в рамках EPP-рішення і не надають великого значення функціональності EPP, спрямованої на захист даних, наприклад, систем запобігання витоку або шифрування дисків і знімних носіїв.
Також помічено, що замовники, які купують рішення щодо захисту кінцевих станцій, все частіше задіяють вбудовані в операційну систему можливості захисту даних – такі, як BitLocker у Microsoft Windows 10 та FileVault у macOS. Одночасно з цим захист серверів переходить від класичних EPP-рішень до спеціалізованих, сфокусованих на гібридних центрах обробки даних (т.з. CWPP, або Cloud Workload Protection Platforms). Насамперед це пов'язано з тим, що через розвиток віртуалізації, приватних та публічних хмарних платформ вимоги до безпеки серверної інфраструктури стали сильно відрізнятися від вимог захисту кінцевих станцій.
Важливим зрушенням на ринку рішень захисту кінцевих станцій є рух від реактивного захисту за допомогою IoC (Indicators of Compromise), які активно використовуються існуючими EPP-рішеннями (особливо з яскраво вираженою EDR-функціональністю), у бік проактивного захисту за допомогою IoA (Indicators of Attack), використання яких дозволяє реальному часі боротися зі складними спрямованими атаками. Безумовно, під час руху від IoC-підходу, який близький до класичного сигнатурного аналізу, у бік IoA-підходу виробники NGEPP використовують сучасні технології визначення атак, що базуються в тому числі на технологіях поведінкової аналітики, машинного навчання та нейронних мережах.
Ще однією важливою відмінністю сучасних NGEPP є кількість платформ, що підтримуються, починаючи від десктопних Windows і macOS, закінчуючи Open Source і мобільними рішеннями. Сьогодні стандартні пакети практично будь-якого NGEPP-рішення включаються функції з управління безпекою мобільних пристроїв, які мають безліч перетинів з функціональністю спеціалізованих MDM-систем (Mobile Device Management).
Проте, обмежуючись таким широким визначенням EPP, можна згадати з уваги справді ефективні рішення для захисту кінцевих станцій, просто тому, що якась із перелічених вище ознак ще не реалізована повною мірою. Тому в огляді пропонується всі EPP-системи розділити на три еволюційні класи: Розвиток класичних антивірусних рішень, Розширення функціональності NGFW (Next Generation Firewall) на кінцеві станції користувачів, Окремі рішення, що використовують екзотичні та унікальні підходи до безпеки кінцевих станцій.
Розвиток класичних антивірусних рішень
Цей клас EPP-рішень є прямим нащадком перших антивірусів. І якщо раніше антивірусні виробники боролися здебільшого за повноту та обсяг сигнатурних баз, то сьогодні боротьба розгортається вже за зручність користування, вбудовані механізми самозахисту та стійкість до технік обходу та нових загроз. Відмінною особливістю таких систем є наявність як корпоративних рішень з виділеною системою управління та звітності, так і рішень для захисту домашніх комп'ютерів і мобільних пристроїв, з підтримкою практично всієї Enterprise-функціональності. До представників цього класу EPP-рішень можна віднести: Kaspersky Endpoint Security, TrendMicro Smart Protection Suite, ESET Endpoint Protection, Symantec Endpoint Protection, Dr.Web Enterprise Security Suite та ін.
Розширення функціональності NGFW (Next Generation Firewall) на кінцеві станції користувачів У рамках комплексного підходу до забезпечення мережної безпеки виробники NGFW були змушені створювати рішення для захисту кінцевих станцій, щоб забезпечити більшу видимість і не допустити розмиття периметра безпеки, особливо в організаціях, які використовують BYOD-підхід . Маючи значний досвід у комплексній мережевій безпеці, виробники NGFW випускають дуже конкурентні рішення, багато з яких по праву можна назвати NGEPP. Зазвичай рішення таких виробників представлені лише у корпоративному сегменті. До найвідоміших представників цього класу EPP-рішень можна віднести: Check Point Endpoint Security, Fortinet FortiClient, Palo Alto Networks Traps та ін.
Окремі рішення, що використовують екзотичні та унікальні підходи до забезпечення безпеки кінцевих станцій Класичний підхід інтеграції безлічі функцій захисту кінцевих станцій в одному продукті не завжди є єдиним можливим. На доказ цього на ринку EPP стали з'являтися рішення, які виходять за межі класичної парадигми захисту кінцевих станцій, але при цьому можуть скласти конкуренцію піонерам цього ринку. Яскравим прикладом таких систем можна вважати CylancePROTECT, який використовує алгоритми машинного навчання для боротьби з відомими та невідомими загрозами, при цьому не потребуючи регулярних оновлень та не використовуючи сигнатурного підходу. Ще один приклад нестандартного підходу — BufferZone, що відповідає лише за контейнування (запуск в ізольованому системному оточенні) всіх недовірених додатків, таким чином захищаючи системні файли і критичні дані без аналізу активності додатків.