Как оценивать решения «следующего поколения» для защиты конечных точек
В последнее время часто публикуют тесты, блоги, которые публично демонстрируют неэффективность корпоративных решений защиты конечных точек следующего поколения, таких как Adaptive Defense. Их подход заключается в том, чтобы показать, что существуют вредоносные программы, которые не обнаруживаются такими решениями безопасности при их загрузке на компьютер или в момент попытки их запуска. Проблема с такими демонстрациями заключается в том, что авторы рассчитывают остановить вредоносные файлы до их запуска. Но это ошибка. Она показывает явное непонимание этой новой модели защиты, основанной на непрерывном мониторинге всех активных процессов.
Чтобы быть действительно эффективным, решение следующего поколения должно предоставлять непрерывную защиту от всех типов атак. Это означает, что оно должно предлагать непрерывное предотвращение, обнаружение во время запуска, видимость каждого предпринятого действия, а также интеллект для блокировки вредоносных действий. Не достаточно предоставлять обнаружение на файловом уровне, основываясь на списке вредоносных файлов. Эффективная безопасность означает способность защищать системы до, во время и после атаки.
"Война" в области информационной безопасности идет за победу в "битве" по обнаружению вредоносных файлов, когда они оказываются на компьютере или при их попытке запуска. Она будет выиграна тем, кто будет способен эффективно, беспрепятственно и ненавязчиво контролировать каждый процесс, запускаемый на устройствах, блокируя те из них, которые при всей своей кажущейся на первый взгляд "безобидности" показывают вредоносное поведение. Современные вредоносные программы очень сложны, и не стоит их недооценивать. Но не только это…
Защита - это не только обнаружение угроз до, во время и после атаки, но это также восстановление и профилактика.
Именно по этой причине решение следующего поколения должно также содержать возможности реагирования и восстановления. Такие продукты известны в секторе безопасности как EDR-решения (Endpoint Detection and Response), и они включают в себя инструменты экспертного анализа, способные отслеживать каждое предпринимаемое на конечной точке действие, чтобы устранить и предотвратить настоящие и будущие атаки.
Почему прежние методы уже не действуют
Panda Adaptive Defense объединяет все эти функции в единое решение защиты следующего поколения, основанное на непрерывном мониторинге и предоставляющее предотвращение, обнаружение, видимость и интеллект для блокировки известных и неизвестных атак. В дополнение к непрерывному мониторингу через сотни различных сенсоров, Adaptive Defense также предоставляет инструменты экспертного анализа для эффективного восстановления и профилактики.
Когда Вы читаете подобные блоги, необходимо понимать, что они не совсем соотносятся с реальностью. Тот факт, что решение безопасности не обнаруживает файл в качестве вредоносного в тот момент, когда он попадает в систему, вовсе не означает, что решение не эффективное. В данном случае с Adaptive Defense, вполне возможно, что решение в такой момент не обнаруживает его как вредоносный файл, но далее он обнаружит его вредоносность при попытке запуска или после этого, осуществляя мониторинг каждого действия во время атаки, чтобы заблокировать вредоносные процессы.
Такие возможности не представлены в традиционных решениях безопасности, основанных в большей степени на стратегии "черных списков" вредоносных программ, когда обнаружение вредоносных файлов осуществляется в момент их попадания в систему или при попытке запуска. При использовании таких решений, если вредоносный файл не классифицирован как вредоносный, его можно будет запускать вне зависимости от действий, которые он будет выполнять позже во время своего жизненного цикла.
В крайне редких случаях, но Adaptive Defense может разрешить его запуск, хотя данное решение будет постоянно следить за всеми его действиями и сообщать обо всей его активности в интеллектуальную платформу с возможностями машинного обучения. Эта система, которая находится в постоянном развитии, собирая и сопоставляя данные с сотен тысяч компьютеров (где установлено данное решение), на каждом из которых активны сотни сенсоров, будет определять, имеет ли активность этого файла какое-либо вредоносное поведение, а если так, то такие процессы будут блокированы. Затем файл будет незамедлительно классифицирован автоматически или вручную экспертами по информационной безопасности. Такой анализ позволит с полной точностью определить природу атаки. Старая модель не предоставляет всего этого.
Добро пожаловать в решение безопасности следующего поколения, разработанного Panda Security!
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.