В марте компания Symantec анонсировала бета-версию своего нового решения для защиты рабочих станций Endpoint Protection 12. Начиная с апреля, «бета» новинки доступна для тестирования для всех желающих. Что же интересного появилось в двенадцатой SEP и стоит ли ее испытать в своей корпоративной сети?
Впервые продукт Endpoint Protection был анонсирован компанией Symantec в 2008 году, причем отсчет версий начался сразу с 11-го номера. Причина здесь проста: Endpoint Protection построен на базе Symantec AntiVirus 10.x, последней версии данной линейки продуктов. По сравнению с SAV решение SEP содержит улучшенные функции предотвращения угроз и отличается более высокой производительностью. Например, Symantec Endpoint Protection 11.0 сочетает антивирусную защиту с защитой от программ-шпионов, брандмауэром, системой предотвращения вторжений и средствами управления приложениями и устройствами. Также в него включен модуль превентивного поиска угроз Proactive Threat Scan, который применяет несигнатурный метод обнаружения вирусов.
Напомним, что SEP — первый продукт для защиты конечных точек, в который был интегрирован контроль USB-портов. У конкурентных продуктов такой защиты не было, для этого приходилось использовать дополнительные специализированные средства.
В марте текущего года корпорация Symantec объявила о предстоящем выпуске новой, 12-й версии Symantec Endpoint Protection и Symantec Endpoint Protection Small Business Edition. Эти решения, ориентированные как на SMB-сектор, так и на крупные компании, применяют принципиально новые технологии, которые позволяют улучшить защиту и повысить быстродействие end-user систем.
Insight означает проницательность
Прежде всего, отметим технологию обнаружения угроз Insight, одну из первых в мире облачных технологий, используемых для борьбы с вирусами. До сих пор для детектирования вирусов использовались такие традиционные способы как сигнатурный, эвристический и поведенческий. Однако эти методики сегодня не являются достаточно эффективными и вот почему. По данным Symantec, в прошлом году для атак было использовано более 286 миллионов новых вредоносных программ, это означало, что ежесекундно создается более девяти новых угроз. Программные пакеты класса Zeus позволяли злоумышленникам легко создавать новые вариации вредоносов на базе существующих (кстати, сегодня свыше 50% угроз создаются именно с помощью таких программ), а это делало неэффективной работу сигнатурных и других традиционных подходов.
В основу технологии Symantec Insight заложен принцип обратной связи с защищаемой рабочей станцией. Insight отслеживает контекстную информацию о файлах в миллионах систем и заносит ее в общую базу данных. Известно, что злоумышленники часто прибегают к технологии мутирующих вирусов во избежание детектирования антивирусом сигнатур кода. Insight отслеживает программы с недавно измененным кодом и присваивает им уровень риска в зависимости от новизны, степени распространения, источника программы и т. д. Эта технология позволяет определить частоту использования, возраст, рейтинг безопасности файла и вероятность наличия в нем вредоносного кода. Далее такая контекстная информация используется для снижения числа ложных срабатываний и сложности управления.
Сегодня Symantec является производителем №1 в области информационной безопасности и его продукты установлены на более 100 миллионах компьютеров, расположенных в более 200 странах. Таким образом, Insight позволяет действительно собирать объективную информацию, отвечая на такие вопросы: сколько копий данного файла существует во всем мире? Связан ли он с вредоносным кодом или подозрительным поведением? Когда был создан файл? Известны ли другие случаи заражения для источника данного файла?
Благодаря онлайновой базе данных Insight приложение Symantec Endpoint Protection 12 блокирует новые и неизвестные угрозы, которые не идентифицируются традиционными способами. Технология Insight также позволяет на 70% снизить нагрузку на систему во время её сканирования и выполнять большинство процессов во время бездействия ПК.
Антивирусный локатор
SONAR 3 (Symantec Online Network for Advanced Response) представляет собой комплекс защитных средств, которые базируются на технологиях фирмы WholeSecurity, приобретенной Symantec в 2005 году. Эвристичекий алгоритм, который используется в SONAR, оценивает сотни атрибутов приложений, запускаемых на ПК. При определении степени вредоносности программы анализируются различные факторы, например такие как: добавляет ли программа ярлык на рабочий стол или создает ли запись в списке программ Windows Add/Remove programs. Утвердительный ответ на оба вопроса свидетельствуют, что программа не является вредоносной. Основная задача SONAR — улучшить детектирование угроз нулевого дня. Symantec также полагает, что SONAR может отражать атаки взломщиков, использующих уязвимости не «заплатанного» ПО.
Третья версия SONAR, впервые анонсированная в 2010 году, оптимизирована для качественного детектирования фальшивых антивирусов. В этой версии усилена интеграция с сетевыми компонентами для классификации, проверки и исправления вредоносного ПО на базе активности вредоносной сети. В соответствии с данными Symantec, SONAR сейчас отслеживает около 400 аспектов каждого приложения, чтобы определить насколько оно безопасно.
Кстати, SEP 12 содержит еще одно новое антивирусное средство, которое было впервые анонсировано летом прошлого года. Это инструмент Symantec Power Eraser, который нацелен на обнаружение таких мошеннических программ как «ложные антивирусы» и «ложные помощники». Обычно киберпреступники устанавливают эти программы на компьютерах пользователей обманным путем, далее с помощью всплывающих предупреждений и сообщений о безопасности пользователю внушается мысль, что его компьютер серьезно заражен и требует немедленного лечения. Symantec Power Eraser нацелен именно на выявление и удаление таких мошеннических программ. Следует, однако, знать, что Power Eraser иногда может поместить в карантин вполне безобидное приложение, поэтому данный инструмент стоит использовать с большой осторожностью и только тогда, когда исчерпаны все остальные способы.
Оптимизация под виртуальные среды
По данным Gartner, в 2010 году число виртуальных серверов впервые превысило количество физических устройств, в 2011 году аналитики прогнозирует массовую виртуализацию рабочих станций. Естественно, в таких условиях растет потребность и в решениях, обеспечивающих безопасность виртуальной инфраструктуры.
Symantec Endpoint Protection 12 оптимизирован для работы в виртуальных средах. Это означает, что SEP обрабатывает файлы из стандартных образов систем, определяет и управляет виртуальными клиентами. Кроме того, благодаря использованию технологии Insight существенно снижается нагрузка на виртуальные серверы, попадающие в «антивирусные штормы». Таким термином называется ситуация, когда на нескольких виртуальных машинах, расположенных на одном физическом сервере, одновременно запускается антивирусное сканирование, поглощающее ресурсы системы.
Отметим также, что в SEP 12 усовершенствованы функции централизованного управления, в том числе интегрирован Symantec Protection Center нового поколения. Этот инструмент объединяет средства управления безопасностью информации для различных систем, сетей и данных.
Сравнение двух версий
По набору функций продукты Symantec Endpoint Protection Small Business Edition и Symantec Endpoint Protection, в основном, совпадают. Однако версия для SMB не поддерживает интеграцию Symantec Endpoint Protection Management Console с Symantec Workflow и работу в виртуальных средах. В то же время базовые технологии защиты, такие как Symantec Insight, SONAR 3, Symantec Power Eraser и облачное сканирование (эта функция проверяет последние сведения об угрозах для файлов и процессов в интернете), имеются в обеих версиях продукта.
Доступность и сроки выпуска
Открытая бета-версия SEP 12 доступна уже сейчас для всех желающих на сайте Symantec. Выпуск финальной версии Symantec Endpoint Protection 12 запланирован на лето 2011 г. Решение будет поставляться через сеть авторизированных дистрибуторов и реселлеров продуктов Symantec.
