+38 (067) 372 39 55

English site

Замовити консультацію

+38 (067) 372 39 55

English site

Замовити консультацію
Технології захисту кінцевих точок

Технології захисту кінцевих точок

Піонерами захисту кінцевих станцій, безумовно, були антивіруси, історія яких починається з середини 80-х років минулого століття. Основою будь-якого антивірусу завжди був сигнатурний аналіз - технологія, що дозволяє за деяким принципом обчислювати контрольну суму зараженого файлу та записувати її до централізованої сигнатурної бази. При подальшій перевірці кожного файлу, що проходить, його контрольна сума порівнюється з усіма записами в сигнатурній базі і при збігу файл позначається як заражений. Очевидним недоліком такого методу є те, що за його допомогою можна виявити лише ту загрозу, інформація про яку вже є в базі — нові вразливості та методи їхньої експлуатації випадають із поля зору сигнатурного аналізу.

Наступним логічним кроком у розвитку антивірусних систем став статичний (чи, як його найчастіше називають, евристичний) аналіз. Суть статичного методу полягає в тому, що на базі певного набору патернів і статичних ознак (властивостей) евристичний механізм намагається передбачити поведінку файлу, що аналізується до того, як той зможе завдати шкоди системі. Незважаючи на те, що статичний аналіз загалом збільшив відсоток виявлень шкідливих файлів (у тому числі відсутніх у сигнатурній базі), він також має ряд недоліків. Основний із них — це обмеженість методу при ідентифікації атак, у яких, наприклад, експлуатуються невідомі вразливості у системному чи прикладному програмному забезпеченні. У цьому випадку статичні властивості та інструкції, що використовуються зараженим файлом, з точки зору евристичного ядра можуть нічим не відрізнятись від інструкцій у легітимних файлах. Не завжди основним вектором атаки є заражені файли, що виконуються.

Дуже часто атаки на кінцеві станції йдуть через експлуатацію вразливостей у системному та прикладному програмному забезпеченні. Починаючи від атак на вразливості браузерів, коли користувач завантажує заражену веб-сторінку, і закінчуючи доставкою шкідливого навантаження на кінцеву станцію через вразливості мережевих протоколів і операційних систем. У цьому випадку недостатньо просто перехоплювати та аналізувати заражений файл — необхідно забезпечувати захист мережевих з'єднань, аналізуючи мережевий трафік, що надходить і виходить із кінцевої станції. У рамках такого підходу до функціональності класичного антивіруса додаються технології мережевого захисту, такі як міжмережевий екран, система запобігання вторгнень і система контролю пристроїв, що підключаються до кінцевої станції. Саме з цього моменту формується новий тип продуктів - платформа захисту кінцевих станцій або Endpoint Protection Platform (EPP).

Endpoint Protection Platform - це система комплексного захисту кінцевої станції, що включає в себе як класичну функціональність антивірусного захисту, так і розширені технології безпеки - персональні міжмережеві екрани, системи запобігання вторгнень, системи контролю портів і пристроїв, що підключаються, системи шифрування дисків та ін. З певного моменту більшість EPP-рішень перестали задовольняти сучасні вимоги до безпеки кінцевих станцій. В першу чергу це було пов'язано зі зростанням спрямованих атак, які в основному використовують вразливість нульового дня та відрізняються масовістю завдяки використанню ботнетів та внутрішньої архітектури горизонтального розповсюдження.

Також слід зазначити окремий клас загроз — криптолокерів (або шифрувальників), які в принципі, з погляду системного програмного забезпечення, не роблять нічого протиправного. Відмінною рисою всіх цих атак є те, що вони не використовують відомі підходи та проломи, а експлуатують ще невідомі вразливості та способи свого розповсюдження. Безумовно, EPP-рішення були змушені еволюціонувати, щоб відповідати сучасним викликам у сфері захисту кінцевих станцій. Підсумком такого еволюційного розвитку стала поява нових систем, об'єднаних під загальною назвою NGEPP.

NGEPP (Next Generation Endpoint Protection Platform) - це системи захисту кінцевих станцій, які крім базової функціональності класичного антивіруса, захисту мережі та контролю портів мають розширені функції для боротьби з сучасними загрозами. Додатковими системами, що розширюють можливості класичних EPP-систем, можуть бути: Системи емуляції файлів, що проходять в пісочниці (sandboxing) для боротьби з загрозами нульового дня. Системи Anti-Bot для боротьби з ботнетами, засновані на аналізі патернів трафіку та визначення в них бот-активності.

EDR-системи (Endpoint Detect and Response) - системи реактивного захисту кінцевих станцій, що відповідають за розслідування інцидентів шкідливої ​​активності та подальшого відновлення системи. Докладніше про ці системи можна дізнатися з нашого недавнього огляду ринку Endpoint Detection and Response (EDR). Системи контролю додатків, що відповідають за блокування недовірених додатків (у тому числі на основі поведінкової аналітики), не дозволяючи останнім впливати на основні процеси

Підписатись

10% від доходу ми донатимо на підтримку ЗСУ

Підтримай Україну під час воєнного вторгнення росії →


Copyright © 2024 ESKA, Inc. All rights reserved.

Terms of Use and Privacy Policy.

Підписатись

10% від доходу ми донатимо на підтримку ЗСУ

Підтримай Україну під час воєнного вторгнення росії →


Copyright © 2024 ESKA, Inc. All rights reserved.

Terms of Use and Privacy Policy.