Мировой рынок Endpoint Protection Platform

Мировой рынок Endpoint Protection Platform

Gartner в своем аналитическом отчете Redefining Endpoint Protection дает общее определение для Endpoint Protection Platform: Решение, развернутое на конечных устройствах, для предотвращения атак на основе файлов, обнаружения вредоносных действий и обеспечения расследования и ответной реакции, необходимых для реагирования на динамические инциденты безопасности и предупреждения о них.

Таким образом, Gartner определяет, что EPP, как и классический антивирус — это прежде всего file-centric-система, которая отталкивается от предположения о том, что если не все, то большинство атак на конечные станции проводятся именно через зараженные файлы. При этом современной EPP отводится и роль EDR-системы с классическими признаками таких систем — расследование инцидента и возможностью формирования реакции на него. Необходимо помнить, что EDR-системы как класс появились как раз из предположения, что невозможно предотвратить 100% атак на конечные станции, и необходимости иметь возможность исследовать инцидент и исходя из этого сформировать ответную реакцию («Не сможем защитить Землю, так отомстим за нее, будь уверен» Т. Старк). Именно поэтому EDR в будущем должен стать неотъемлемой частью любого EPP-решения, претендующего на звание Next Generation Endpoint Protection Platform. Наконец, динамическая реакция на инциденты и оповещение о них — это также не новая функциональность, которая уже давно является прерогативой SIEM-систем, имеющих свой объемный рынок.

Согласно исследованию Gartner (Magic Quadrant for Endpoint Protection Platforms 2018), в последнее время заказчики отдают предпочтение функциям защиты и обнаружения в рамках EPP-решения и не придают большого значения функциональности EPP, направленной на защиту данных, например, системам предотвращения утечек или шифрования дисков и съемных носителей.

Также замечено, что заказчики, покупающие решения по защите конечных станций, все чаще задействуют встроенные в операционную систему возможности защиты данных — такие, как BitLocker в Microsoft Windows 10 и FileVault в macOS. Одновременно с этим, защита серверов переходит от классических EPP-решений к специализированным, сфокусированным на гибридных центрах обработки данных (т. н. CWPP, или Cloud Workload Protection Platforms). В первую очередь это связано с тем, что из-за развития виртуализации, частных и публичных облачных платформ требования к безопасности серверной инфраструктуры стали сильно отличаться от требований к защите конечных станций.

Важным сдвигом на рынке решений по защите конечных станций является движение от реактивной защиты с помощью IoC (Indicators of Compromise), которые активно используются существующими EPP-решениями (особенно с ярко выраженной EDR-функциональностью), в сторону проактивной защиты с помощью IoA (Indicators of Attack), использование которых позволяет в реальном времени бороться со сложными направленными атаками. Безусловно, при движении от IoC-подхода, который близок к классическому сигнатурному анализу, в сторону IoA-подхода производители NGEPP используют современные технологии определения атак, основанные в том числе на технологиях поведенческой аналитики, машинного обучения и нейронных сетях.

Еще одним немаловажным отличием современных NGEPP является количество поддерживаемых платформ, начиная от десктопных Windows и macOS, заканчивая Open Source и мобильными решениями. Сегодня в стандартные пакеты практически любого NGEPP-решения включаются функции по управлению безопасностью мобильных устройств, которые имеют множество пересечений с функциональностью специализированных MDM-систем (Mobile Device Management).

Тем не менее, ограничиваясь таким широким определением EPP, можно упустить из виду действительно эффективные решения для защиты конечных станций, просто потому, что какой-то из перечисленных выше признаков еще не реализован в полной мере. Поэтому в обзоре предлагается все EPP-системы разделить на три эволюционных класса: Развитие классических антивирусных решений, Расширение функциональности NGFW (Next Generation Firewall) на конечные станции пользователей, Отдельные решения, использующие экзотические и уникальные подходы к обеспечению безопасности конечных станций.

Развитие классических антивирусных решений 

Этот класс EPP-решений является прямым потомком первых антивирусов. И если раньше антивирусные производители боролись в основном за полноту и объем сигнатурных баз, то сегодня борьба разворачивается уже за удобство пользования, встроенные механизмы самозащиты и устойчивость к техникам обхода и новым угрозам. Отличительной особенностью таких систем является наличие как корпоративных решений с выделенной системой управления и отчетности, так и решений для защиты домашних пользовательских компьютеров и мобильных устройств, с поддержкой практически всей Enterprise-функциональности. К представителям этого класса EPP-решений можно отнести: Kaspersky Endpoint Security, TrendMicro Smart Protection Suites, ESET Endpoint Protection, Symantec Endpoint Protection, Dr.Web Enterprise Security Suite и др.

Расширение функциональности NGFW (Next Generation Firewall) на конечные станции пользователей В рамках комплексного подхода к обеспечению сетевой безопасности производители NGFW были вынуждены создавать решения для защиты конечных станций, чтобы обеспечить большую видимость и не допустить размытия периметра безопасности, особенно в организациях, использующих BYOD-подход. Имея внушительный опыт в комплексной сетевой безопасности, производители NGFW выпускают весьма конкурентные решения, многие из которых по праву можно назвать NGEPP. Обычно решения таких производителей представлены исключительно в корпоративном сегменте. К самым известным представителям этого класса EPP-решений можно отнести: Check Point Endpoint Security, Fortinet FortiClient, Palo Alto Networks Traps и др. 

Отдельные решения, использующие экзотические и уникальные подходы к обеспечению безопасности конечных станций Классический подход интеграции множества функций защиты конечных станций в одном продукте не всегда является единственно возможным. В доказательство этому на рынке EPP стали появляться решения, которые выходят за рамки классической парадигмы защиты конечных станций, но при этом могут составить конкуренцию пионерам этого рынка. Ярким примером таких систем можно считать CylancePROTECT, который использует алгоритмы машинного обучения для борьбы с известными и неизвестными угрозами, при этом не требуя регулярных обновлений и не используя сигнатурный подход. Еще один пример нестандартного подхода —BufferZone, отвечающий только за контейнирование (запуск в изолированном системном окружении) всех недоверенных приложений, таким образом защищая системные файлы и критические данные без как такового анализа активности приложений.