Компания Symantec представила рынку новую версию своего решения для защиты конечных точек — Symantec Endpoint Protection 14.1. Основное изменение в версии 14.1— улучшение интеграции Endpoint Detection and Response с модулем анализа и поиска угроз Advanced Threat Protection, который также был обновлен до версии 3.0. В статье рассмотрим подробнее эту технологию.
- Введение
- Системные требования
- Возможности Symantec Endpoint Detection and Response и Symantec Advanced Threat Protection
- Как работает Symantec Endpoint Detection and Response
- Выводы
Введение
Компания Symantec представила рынку новую версию своего решения для защиты конечных точек — Symantec Endpoint Protection 14.1. Весной этого года мы публиковали подробный обзор четырнадцатой версии продукта. Основное изменение в версии 14.1 — новая версия Endpoint Detection and Response (EDR), модуля для анализа и поиска угроз, работающего совместно с Symantec Advanced Threat Protection (ATP:Endpoint) версии 3.0. Endpoint Detection and Response не является самостоятельным продуктом, это сервис, который аккумулирует информацию о работе компьютера и передает полученные данные в ATP для дальнейшего анализа, поиска аномалий и таргетированных атак.
С помощью EDR значительно ускоряется получение информации об угрозах и повышается общий уровень защищенности сети. EDR собирает данные по различным параметрам — информацию о доступе к файлам, запуске и завершении процессов, действиях с реестром Windows, сетевых подключениях, системных событиях и другие данные. Собранная информация отправляется в ATP для дальнейшего анализа. Отличительной особенностью EDR является тесная интеграция с другими защитными механизмами Symantec Endpoint Protection и технология «единого агента» для конечных точек, объединяющая все защитные механизмы в одном агенте защиты.
ATP:Endpoint — это виртуальный или физический аплайнс, работающий внутри периметра компании, который получает информацию о событиях из базы данных сервера управления SEPM и от модуля EDR агентов SEP. Он выявляет угрозы и приоритизирует инциденты путем анализа и корреляции полученных данных, позволяет оперативно реагировать на обнаруженные угрозы в один клик. ATP:Endpoint позволяет искать индикаторы компрометации (IoC) на конечных точках, искать и загружать файлы на конечных точках для последующего анализа в песочнице. В качестве песочницы может быть использован облачный сервис Cynic, который входит в ATP, или локальная песочница Symantec Content Analysis System версии 2.2 и выше с опцией Malware Analysis, которая лицензируется отдельно от ATP.
Данные модуля ATP:Endpoint коррелируются вместе с данными остальных модулей ATP — ATP:Network и ATP:Email. Модуль ATP:Network может быть объединен вместе c ATP:Endpoint в одном аплайнсе. Модуль ATP:Email является облачным сервисом, интегрированным с облачным сервисом защиты почты Symantec Email Security.cloud. Путем совмещения данных об активности на конечных точках, в сети и электронной почте достигается высокий уровень выявления различных угроз на самых ранних стадиях.
Системные требования
Для работы модуля Endpoint Detection and Response необходимо наличие установленного продукта Symantec Endpoint Protection версии 12.1 и старше, максимальная функциональность (EDR 2.0) поддерживается только в версии 14.1. Системные требования к Symantec Endpoint Protection мы подробно описывали в прошлом обзоре. Поддерживается работа на всех операционных системах, где доступен Symantec Endpoint Protection — MS Windows, macOS и Linux, однако максимальная функциональность доступна только на агентах MS Windows.
Для работы EDR необходимо наличие развернутого продукта Symantec Advanced Threat Protection, который поставляется в виде аппаратного или виртуального аплайнса. Существует два варианта аппаратных платформ, но полнофункциональная работа с EDR 2.0 поддерживается только в модели 8880-30, виртуальный аплайнс работает с EDR без ограничений.
Минимальные требования к виртуальной инфраструктуре для развертывания Symantec Advanced Threat Protection:
- Система виртуализации VMware ESXi
- Количество процессоров — 12
- Оперативная память — 48 Гб
- Объем жесткого диска — 1 Тб
- Количество сетевых интерфейсов 1 Гб/сек — 2
Возможности Symantec Endpoint Detection and Response и Symantec Advanced Threat Protection
В основе алгоритмов работы ATP — технологии машинного обучения и анализа поведения. Используется комбинация различных методов работы, направленных на раннее обнаружение неизвестных угроз:
- Исследование активности в системе
EDR передает в ATP данные о событиях в системе, последовательность которых привела к детектированию подозрительного поведения на конечной точке, обо всех изменениях в точках загрузки приложений, обо всех запросах репутаций файлов при антивирусном сканировании, а также обо всех запусках и завершениях приложений. На основании собранной информации в ATP создается база данных, по которой можно проводить расследования инцидентов. При корреляции определенных событий создается инцидент, причем все инциденты приоритизируются в зависимости от критичности событий, позволяя администратору сосредоточиться в первую очередь на самых актуальных проблемах.
- Песочница
ATP использует песочницу (Sandbox) для анализа подозрительных приложений. Когда в ATP попадает информация о хеше файла, ATP анализирует его репутацию на основе глобальной сети Global Intelligence Network (GIN). Файл, у которого репутация отсутствует, считается подозрительным. При использовании модуля ATP:Network и ATP:Email, где имеется непоследственный доступ к контенту анализируемого файла, подозрительный файл автоматически отправляется на проверку в песочницу. При использовании модуля ATP:Endpoint для анализа файла в песочнице необходимо дать команду на загрузку файла на конечной точке и отправку его в песочницу. В случае «детонации» файла в песочнице файл может быть сразу же заблокирован на всех рабочих местах в сети.
- Использование глобальной сети GIN
Системы ATP, установленные у разных заказчиков, активно взаимодействует с глобальной сетью GIN и производят между собой обмен информацией о собранных угрозах, известных приложениях и паттернах поведения. Подобная коллаборация позволяет быстро и эффективно противостоять глобальным угрозам и вирусным эпидемиям, а также повышает скорость реакции на локальные угрозы, с которыми уже ранее сталкивались другие пользователи средств защиты от Symantec.
Рисунок 1. Схема взаимодействия и работы Symantec Advanced Threat Protection и Endpoint Detection and Response
- Оперативная реакция
В случае обнаружения вредоносной активности с помощью одного из механизмов ATP информация об инциденте сообщается администратору. С помощью централизованной консоли управления специалист может моментально изменить политику безопасности, заблокировать вредоносную активность, и команда будет отправлена на все клиентские компьютеры через централизованное управление Symantec Endpoint Protection.
- Корреляция событий между различными продуктами Symantec
В контур мониторинга ATP помимо конечных точек с EDR входят все продукты Symantec, включая устройства, работающие на сетевом уровне, как физические, так и виртуальные, и систему защиты электронной почты. С помощью этой возможности вредоносные файлы и другие угрозы могут быть обнаружены и заблокированы на всех уровнях системы. Например, если один из сотрудников получит ранее неизвестный файл по электронной почте и в ходе анализа он будет классифицирован как вредоносный, ATP сможет заблокировать аналогичные программы при их загрузке по сети или запуске на других компьютерах.
- Интеграция с другими средствами защиты
В продукте Advanced Threat Protection реализовано API для интеграции со средствами защиты и аудита сторонних производителей. Производитель предлагает готовые интеграции с SIEM-системами Splunk и QRadar, а также с системой обслуживания инфраструктуры ServiceNow. Используя API, любой разработчик или интегратор может реализовать свои надстройки для совместной работы с продуктами Symantec.
Как работает Symantec Endpoint Detection and Response
Управление Endpoint Detection and Response осуществляется из единой консоли Advanced Threat Protection вместе с другими модулями системы. На главном экране ATP представлен дашборд по всей системе защиты с графиком возникновения событий, статистикой и информацией о количестве угроз.
Рисунок 2. Главный экран управления Symantec Advanced Threat Protection и Endpoint Detection and Response
В боковом меню представлены основные разделы — поиск, главный экран, инциденты, события, отчеты, настройки и т. д. При переходе в раздел инцидентов отображается график возникновения проблем по времени и перечень последних обнаруженных проблем. Для реагирования на инциденты нужно выбрать одно из событий в списке и перейти к его просмотру.
Рисунок 3. Список последних инцидентов в Symantec Advanced Threat Protection и Endpoint Detection and Response
На экране просмотра инцидента отображается вся информация по событию — описание проблемы, рекомендации по устранению, уровень критичности, определение направленной атаки, дата и время возникновения инцидента и его статус. В отдельном блоке осуществляется визуализация событий, которые были учтены при определении угрозы — схематичное изображение рабочих мест, сетевых устройств, файлов и других элементов.
Инциденты подразумевают ручное принятие решения, поэтому у них есть статус — открытый или закрытый. После изучения деталей инцидента специалист по безопасности может выполнить различные действия — изолировать зараженные компьютеры, удалить файлы, добавить инцидент в исключение или отдать команду на автоматическую реакцию по аналогичным событиям. После принятия решения инцидент закрывается и пропадает из общей выдачи экрана с инцидентами.
Рисунок 4. Детальная информация по инциденту в Symantec Advanced Threat Protection и Endpoint Detection and Response
Все события могут быть открыты для детального изучения. Например, в случае с обнаружением потенциально вредоносной программы доступны полная информация по исполняемому файлу, данные о его репутации в глобальной сети Symantec, данные из песочницы об активности в изолированной среде и информация о действиях в реальных системах. Из интерфейса управления можно выполнить некоторые действия с файлом — собрать его дамп, добавить в список угроз или исключений, запустить в песочнице (если файл еще не исследован в ней), проверить в онлайн-базе VirusTotal, скопировать файл для ручного изучения или удалить его.
Рисунок 5. Детальная информация по анализу потенциально вредоносных файлов в Symantec Advanced Threat Protection и Endpoint Detection and Response
В системе управления ATP присутствует глобальный поиск — по защищаемым компьютерам, файлам, действиям пользователей и другим параметрам. С помощью поиска можно эффективно организовать расследование различных инцидентов нарушения безопасности.
Для руководителей будет полезна функциональность отчетов — возможность собрать и визуализировать основные метрики по работе системы, реакции специалистов по безопасности и уровню защищенности инфраструктуры.
Выводы
Компания Symantec в очередной раз подтверждает свой статус одного из лидеров на рынке защиты конечных точек. Концентрация на безсигнатурной защите, использовании частного и глобального облаков и объединение всей системы защиты в единый механизм для поиска и устранения угроз в кратчайшие сроки выделяют продукты Symantec на фоне остальных. Новая версия Symantec Endpoint Protection 14 с обновленной функциональностью Endpoint Detection and Response с использованием единого агента, локальными и централизованными механизмами защиты, поддержкой различных платформ и интеграций с другими средствами защиты позволяет быстро и эффективно построить комплексную систему защиты конечных точек.