«Инфосистемы Джет» выпустила обзор решений для продвинутой защиты конечных станций

В преддверии XI Уральского форума Центр информационной безопасности «Инфосистемы Джет» выпустил третий ежегодный обзор ИБ-решений. На этот раз он посвящен продвинутой защите конечных станций. Исследование охватило 7 продуктов классов EPP и EDR российских и зарубежных вендоров. В рамках обзора решения анализировали по более чем 80 критериям.

На протяжении последних лет одним из основных способов компрометации ИТ-инфраструктуры для хакеров остается атака на рабочие станции. Традиционные средства защиты зачастую не успевают за новыми угрозами и специально кастомизированными для конкретной компании вредоносами. Крайне сложно обнаружить и отследить бесфайловые атаки, при которых вредоносное программное обеспечение не размещает никаких файлов на жестком диске, а вместо этого полезная нагрузка загружается непосредственно в оперативную память. Как результат, компьютер становится жертвой вируса-шифровальщика, используется для проникновения в корпоративную сеть или майнинга криптовалют в интересах злоумышленников.

Всесторонняя защита конечных станций требует комплексного подхода, включающего все перечисленные этапы: предотвращение, передовое обнаружение, реагирование, устранение последствий атак и расследование. Обеспечить такую функциональность позволяет совместная эксплуатация решений класса EPP и EDR.

EPP (Endpoint Protection Platform) — класс решений, предназначенный для предотвращения и блокирования известных угроз, обнаружения вредоносной активности. Комплексная защита рабочей станции, включающая классический антивирус, расширенные технологии безопасности (персональный межсетевой экран, система предотвращения вторжений, контроль приложений, управление cъемными носителями и др.) и инструменты расследования и восстановления.

EDR (Endpoint Detection&Response) — класс решений, предназначенный для обнаружения и реагирования на продвинутые угрозы. Оперативно выявляет отклонения в поведении приложений и объектов с возможностью их быстрого восстановления в случае подтверждения инцидента офицером безопасности. Системы EDR не опираются на сигнатуры или черные списки.

«Часто такие решения интегрируются, в том числе, и с сетевыми “песочницами”, что значительно повышает эффективность их использования. В этом случае, даже если не удастся спасти конкретный узел, и он, например, станет жертвой шифровальщика, хранимые централизованно детальные логи не будут потеряны, и ИБ-инженер сможет разобраться в причинах заражения и принять необходимые меры для блокирования дальнейшего распространения вредоноса в сети», отмечает Александр Русецкий, руководитель направления защиты от направленных атак Центра информационной безопасности «Инфосистемы Джет».

Обзор «Продвинутая защита конечных станций» включает следующие решения классов EPP и EDR:

  • FireEye HX
  • CyberBit
  • Carbon Black Response
  • Check Point SandBlast Agent
  • Kaspersky Endpoint Detection and Response (EDR)
  • Symantec EDR
  • Trend Micro Apex One

Для оценки данных решений было выбрано более 80 критериев, в основе которых лежит как стандартный функционал EPP и EDR, так и кейсы заказчиков, а также собственный опыт компании «Инфосистемы Джет» в тестировании, эксплуатации и внедрении продуктов для продвинутой защиты конечных станций.

Ознакомиться с полной версией обзора можно по ссылке.

www.jet.su

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Медицинские задачи для ИИ

Подробнее
Спецпроект

Цифровой Росатом

Подробнее


Подпишитесь
на нашу рассылку