Технологии защиты конечных точек

Технологии защиты конечных точек

Пионерами в защите конечных станций, безусловно, были антивирусы, история которых начинается с середины 80-х годов прошлого столетия. Основой любого антивируса всегда был сигнатурный анализ — технология, позволяющая по некоторому принципу вычислять контрольную сумму зараженного файла и записывать ее в централизованную сигнатурную базу. При последующей проверке каждого проходящего файла его контрольная сумма сравнивается со всеми записями в сигнатурной базе и при совпадении файл помечается как зараженный. Очевидным недостатком такого метода является то, что с его помощью возможно обнаружить лишь ту угрозу, информация о которой уже есть в базе — новые уязвимости и методы их эксплуатации выпадают из поля зрения сигнатурного анализа.

Следующим логичным шагом в развитии антивирусных систем стал статический (или, как его чаще называют, эвристический) анализ. Суть статического метода заключается в том, что на базе определенного набора паттернов и статических признаков (свойств) эвристический механизм пытается предсказать поведение анализируемого файла до того, как тот сможет нанести вред системе. Несмотря на то, что статический анализ в целом увеличил процент обнаружений зловредных файлов (в том числе отсутствующих в сигнатурной базе), он также обладает рядом недостатков. Основной из них — это ограниченность метода при идентификации атак, в которых, например, эксплуатируются неизвестные уязвимости в системном или прикладном программном обеспечении. В этом случае статические свойства и инструкции, используемые зараженным файлом, с точки зрения эвристического ядра могут ничем не отличаться от инструкций в легитимных файлах. Не всегда основным вектором атаки являются зараженные исполняемые файлы.

Очень часто атаки на конечные станции идут через эксплуатацию уязвимостей в системном и прикладном программном обеспечении. Начиная от атак на уязвимости браузеров, когда пользователь загружает зараженную веб-страницу, и заканчивая доставкой вредоносной полезной нагрузки на конечную станцию через уязвимости сетевых протоколов и операционных систем. В этом случае недостаточно просто перехватывать и анализировать зараженный файл — необходимо обеспечивать защиту сетевых соединений, анализируя сетевой трафик, приходящий и исходящий с конечной станции. В рамках такого подхода к функциональности классического антивируса добавляются технологии сетевой защиты, такие как межсетевой экран, система предотвращения вторжений и система контроля подключаемых к конечной станции устройств. Именно с этого момента формируется новый тип продуктов — платформа защиты конечных станций, или Endpoint Protection Platform (EPP).

Endpoint Protection Platform — это система комплексной защиты конечной станции, включающая в себя как классическую функциональность антивирусной защиты, так и расширенные технологии безопасности — персональные межсетевые экраны, системы предотвращения вторжений, системы контроля портов и подключаемых устройств, системы шифрования дисков и пр. С определенного момента большинство EPP-решений перестали удовлетворять современным требованиям к безопасности конечных станций. В первую очередь это было связано с ростом направленных атак, которые в основном используют уязвимости нулевого дня и отличаются массовостью благодаря использованию ботнетов и внутренней архитектуры горизонтального распространения.

Также необходимо отметить отдельный класс угроз — криптолокеров (или шифровальщиков), которые в принципе, с точки зрения системного программного обеспечения, не делают ничего противоправного. Отличительной чертой всех этих атак является то, что они не используют известные подходы и бреши, а эксплуатируют еще неизвестные уязвимости и способы своего распространения. Безусловно, EPP-решения были вынуждены эволюционировать, чтобы соответствовать современным вызовам в сфере защиты конечных станций. Итогом такого эволюционного развития стало появление новых систем, объединенных под общим названием — NGEPP.

NGEPP (Next Generation Endpoint Protection Platform) — это системы защиты конечных станций, которые помимо базовой функциональности классического антивируса, защиты сети и контроля портов обладают расширенными функциями для борьбы с современными угрозами. Дополнительными системами, расширяющими возможности классических EPP-систем, могут быть: Системы эмуляции проходящих файлов в песочнице (sandboxing) для борьбы с угрозами нулевого дня. Системы Anti-Bot для борьбы с ботнетами, основанные на анализе паттернов трафика и определения в них бот-активности.

EDR-системы (Endpoint Detect and Response) — системы реактивной защиты конечных станций, отвечающие за расследование инцидентов вредоносной активности и последующего восстановления системы. Более подробно об этих системах можно узнать из нашего недавнего Обзора рынка Endpoint Detection and Response (EDR). Системы контроля приложений, отвечающие за блокирование недоверенных приложений (в том числе на основе поведенческой аналитики), не позволяя последним влиять на основные процессы и критические данные. Системы защиты памяти, проактивно блокирующие подозрительную активность при обращении приложений к оперативной памяти. Системы защиты данных, включающие в себя системы резервного копирования, системы шифрования данных, системы предотвращения утечек и системы борьбы с фишингом.