Новое слово в антивирусной защите конечных точек: встречайте Forefront Endpoint Protection 2010 beta

В конце июля 2010 года компания Microsoft представила для свободного доступа предварительную (beta) версию полностью обновленного решения для защиты рабочих станций и серверов от вредоносных программ – Forefront Endpoint Protection 2010.

Основным отличием новой версии является использование System Center Configuration Manager 2007 R2 в качестве системы централизованного управления. Такой подход позволяет реализовать все необходимые функции по управлению и мониторингу системы защиты в рамках общей системы управления корпоративной инфраструктурой, построенной на хорошо зарекомендовавших себя решениях линейки System Center. Консолидация различных технологий корпорации Microsoft (System Center Configuration Manager, SQL Server, WS AD, WSUS, NAP) в рамках Forefront Endpoint Protection является дальнейшей реализацией общей стратегии Microsoft по оптимизации IT-инфраструктуры заказчиков. Благодаря синергетическому эффекту новая версия Forefront Endpoint Protection – не просто антивирус. Это интегрирированное средство для защиты инфраструктуры от проникновения вредоносных программ, централизованного управления, и повышения общего уровня информационной безопасности.

Среди новых возможностей FEP 2010 хочется особенно выделить две:

Новая версия «движка» для защиты от вредоносных программ.

В FEP добавлен функционал, позволяющий защитить компьютер от новых, ещё не известных вирусов, для чего реализованы:

• На уровне защиты приложений – поведенческий анализатор и блокировщик работы приложений
• На уровне защиты файлов и файловой системы – технология сигнатурного поиска (по всем типам вредоносных программ: вирусы, черви, троянские программы и т.д.) с обновлением базы сигнатур несколько раз в день, что позволяет обнаруживать известные вредоносные программы дополнена эмулятором исполнения приложений и технологией динамической трансляции кода, что позволяет обнаруживать новые образцы и новые виды вредоносных программ.
• На уровне защиты сетевого трафика – реализована более плотная интеграция с Windows Firewall.

Уникальная технология Network Inspection System (NIS) для защиты от сетевых атак на уровне протоколов приложений.

Здесь остановимся чуть подробнее. Впервые технология NIS была реализована в новой версии межсетевого экрана Threat Management Gateway 2010 (который пришел на смену Internet Security and Acceleration Server 2006), которая вышла в виде коммерческой (RTM) версии в декабре 2009 года. До этого в течение года TMG и технология NIS проходили тестирование в корпоративной сети компании Microsoft и у целого ряда заказчиков в рамках специальной программы (Early Adoption Program). После выхода коммерческой версии за прошедшее время TMG был установлен на большом количестве серверов в разных компаниях и организациях и результаты его применения показали высокую надежность технологии NIS.
NIS предназначен для защиты от сетевых атак на уязвимые сервисы и приложения. В целом технология работает следующим образом:

• Движок NIS анализирует весть поступающий сетевой трафик, как на уровне сетевых протоколов, так и на уровне протоколов приложений, включая вложенный (инкапсулированный) трафик. В случае обнаружение атаки, использующей известные уязвимости сервисов и приложений, сетевые пакеты удаляются.
• Данная технология очень похожа на классический сигнатурный поиск, который уже много лет успешно применяется в антивирусных решениях.
• При обнаружении в каком-либо приложении уязвимости, которая может быть использована для сетевой атаки, специалисты аналитического центра Microsoft (Microsoft Security Research Center) анализируют, каким образом может быть реализована атака на данную уязвимость (с помощью какого протокола, с помощью каких специально подготовленных запросов и т.д.), после чего создают фильтр, который позволит точно обнаруживать данную атаку в сетевом трафике. Данный фильтр является полным аналогом стандартной антивирусной сигнатуры.
• После создания фильтра он становится доступным для загрузки через стандартные мехнизмы обновления (Microsoft Update или WSUS).
• В результате, после обнаружения очередной уязвимости, в течение нескольких часов защищаемые FEP системы получают соответствующее обновление фильтров NIS, что делает такую систему неуязвимой для атаки по сети.

Использование технологии NIS позволяет обспечить защиту системы от атак до установки соответствующего пакета обновления, закрывающего данную уязвимость. Результаты исследований (например, исследование Verison Business) показывают, что во многих компаниях и организациях по разным причинам установка пакетов обновлений проходит с большой задержкой. При использовании технологии NIS можно обеспечить zero-day защиту от сетевых атак на непропатченные системы. Это конечно же не заменяет систему патч-менеджмента, но по крайней мере снижает риски и повышает уровень безопасности.

Важное дополнение: технология NIS, реализованная в beta-версии FEP 2010, будет включена в коммерческий релиз (RTM-версию) только после глубокого и всестороннего тестирования, включая анализ результатов использования текущей beta-версии широким кругом пользователей.

Получить ознакомительную версию Forefront Endpoint Protection 2010 beta можно здесь .