Обзор Security Studio Endpoint Protection 7.7 от Код Безопасности

Обзор Security Studio Endpoint Protection 7.7



Security Studio Endpoint Protection – комплексный продукт для защиты хранящейся на компьютере информации от широкого спектра интернет-угроз, начиная с вирусов и заканчивая различными видами сетевых атак. В нем реализованы такие инструменты, как антивирус, межсетевой экран, система обнаружения вторжений и пр.

Сертификат AM Test Lab

Номер сертификата: 148

Дата выдачи: 15.04.2015

Срок действия: 15.04.2020

Реестр сертифицированных продуктов »

 

 

 

 

 

 

1. Введение

2. Архитектура Security Studio Endpoint Protection 7.7

3. Системные требования Security Studio Endpoint Protection 7.7

4. Функциональные возможности Security Studio Endpoint Protection 7.7

5. Развертывание и настройка Security Studio Endpoint Protection 7.7

6. Работа с Security Studio Endpoint Protection 7.7

7. Выводы

 

Введение

Продукты, обеспечивающие защиту от интернет-гроз, должны быть максимально надежными и универсальными, тем самым обеспечивая защиту от большого числа разнообразных угроз. Также решение должно быть достаточно простым в эксплуатации, чтобы пользоваться им могли люди, далёкие от информационной безопасности. Если же речь идет о корпоративной системе, то список требований значительно расширяется. В частности, к ним можно добавить возможность создания единой системы защиты с централизованным администрированием и обновлением, управление правами доступа к настройкам, наличие сертификатов ФСТЭК России (для возможности использования в системах обработки персональных данных, государственных информационных системах и т.д.) и пр. Сегодня на рынке представлено довольно много корпоративных решений. Одним из них является Security Studio Endpoint Protection, о котором мы и будем сегодня говорить.

На первый взгляд рассматриваемое решение является довольно молодым. Оно появилось на рынке лишь в 2011 году. Security Studio Endpoint Protection является результатом сотрудничества компании "Код Безопасности" с компанией Agnitum. – известным разработчиком продуктов в области информационной безопасности. А поэтому в нем были использованы уж давно существующие и многократно подтвердившие свою эффективность технологии – антивирусное ядро, система обнаружения вторжений и пр. Это стало одной из важных причин успешного выхода продукта на уже сформировавшийся к тому времени рынок  защиты конечных точек корпоративных сетей.

Вскоре после появления Security Studio Endpoint Protection в 2011 году мы делали два обзора, в которых рассматривали его клиентскую  и серверную части. Решение активно развивается, в нем используются новые технологии, появляются дополнительные функциональные возможности. Поэтому сегодня мы хотим вернуться к Security Studio Endpoint Protection и подробно рассмотреть его новую версию 7.7.

«Код Безопасности» позиционирует Security Studio Endpoint Protection как решение для комплексной защиты рабочих станций от интернет-угроз, ориентированное, в первую очередь, на операторов персональных данных и государственные структуры. В данном продукте реализован антивирус и антишпион, межсетевой экран, система обнаружения вторжений, система веб-контроля (контроль доступа к инфицированным веб-сайтам, блокировка нежелательной рекламы и пр.) и антиспам. В сумме они действительно могут противодействовать практически всем типам современных интернет-угроз. Кроме того, межсетевой экран, антивирус и система защита от вторжений, вкупе с другими средствами защиты информации, могут использоваться согласно последним нормативным актам для защиты данных в ИСПДн (информационные системы обработки персональных данных).

 

Архитектура Security Studio Endpoint Protection 7.7

Security Studio Endpoint Protection 7.7 состоит из нескольких отдельных программных компонентов.

  • Клиент SSEP – клиентская программа. Инсталлируется на рабочих станциях и выполняет все функции по их защите от интернет-угроз.
  • ALUS – серверный компонент, выполняющий две основные задачи. Во-первых, он играет роль локального сервера лицензирования. Во-вторых - загружает обновления из Интернета и раздает его клиентским программам.
  • Сервер управления Administration Center        – центральная часть Administration Center. Используется для централизованного администрирования системы защиты, включая развертывание, настройку и мониторинг ее работы, и которая обеспечивает взаимодействие всех компонентов системы.
  • Агент Administration Center – программа, которая инсталлируется на рабочие станции, и позволяет администраторам устанавливать, настраивать и удалять "Клиент SSEP", собирать информацию о событиях на рабочих станциях и пр.
  • Консоль управления Administration Center – программа для централизованного администрирования системы путем управления "Агентами Administration Center", установленными на рабочих станциях.

 

Системные требования Security Studio Endpoint Protection 7.7

Системные требования Security Studio Endpoint Protection 7.7 приведены в таблице 1.

 

Таблица 1. Системные требования Security Studio Endpoint Protection 7.7

 Клиент SSEPALUS
(до 200 клиентов)
ALUS (более 200 клиентов)Сервер и консоль управления Administration Center Агент Administration Center
Процессор450 МГц1,5 ГГц2,7 ГГц (двухядерный)Требования не предъявляются
Оперативная память384 Мб (512 Мб для виртуальной машины)500 Мб1 Гб
Дисковое пространство350 Мб1 Гб
Операционная системаWindows XP/Server 2003/ Vista/7/Server 2008/ Server 2008 R2//8/8.1/Server 2012/Server 2012 R2 (x86 и x64)Windows XP/Server 2003/Vista/7/8/8.1/Server 2008/Server 2008 R2/8/Server 2012/Server 2012 R2 (x86 и x64)Windows XP SP3/7/8/8.1/Server 2003/Server 2003 R2/Server 2008/Server 2008 R2/Server 2012/Server 2012 R2 (x86 и x64)Windows 2000 Pro SP4/XP SP3/7/8/8.1/Server 2003/Server 2003 R2/Server 2008/Server 2008 R2/Server 2012/Server 2012 R2 (x86 и x64)

 

Функциональные возможности Security Studio Endpoint Protection 7.7

С момента нашего последнего обзора в Security Studio Endpoint Protection были реализованы новые функциональные возможности.

Существенная доработка модуля "Антивирус + Антишпион"

Модуль "Антивирус + Антишпион" подвергся существенной переработке. В частности, была добавлена возможность сканирования загрузочных секторов, лечение почтовых вложений, автоматическая проверка съемных USB-накопителей, улучшено сканирование файлов PDF, переработано ядро, что улучшило точность обнаружения вредоносного программного обеспечения и скорость сканирования и пр. Помимо этого было увеличено количество доступных администраторам настроек. Так, например, теперь в мониторе постоянной защиты можно задавать действие, которое система будет выполнять по умолчанию при обнаружении вируса.

Доработка модуля "Брандмауэр"

Модуль "Брандмауэр" также был доработан достаточно серьезно. Основная часть обновлений касается увеличения производительности и снижения потребления системных ресурсов. В качестве примеров можно привести обновление алгоритма обработки трафика в P2P-сетях, исключение из фильтрации локального трафика и снижение нагрузки на канал между драйвером и управляющей службой. Помимо этого в модуле появился целый ряд небольших возможностей, улучшающих степень защиты, в частности, реализована фильтрация неверных флагов TCP, динамическая фильтрация пакетов (SPI) для протокола UDP, поддержка ICMPv6 в правилах сетевого экрана и пр.

Доработка модуля "Активность процессов"

В модуле "Активность процессов" был реализован ряд дополнительных возможностей. Среди них можно отметить монитор файловой и реестровой активности процессов, просмотр списка модулей процесса, карантин для процессов (подозрительный процесс можно поместить в изолированную среду), отображение системных счетчиков операций ввода/вывода, "подсказка", упрощающая принятие решения о разрешении или запрете выполнения действий исполняемым файлом (автоматически оценивает степень доверия к этому файлу на основе целого набора критериев).

Новый модуль "Защита системы"

Вместо модуля "Критические объекты", который использовался для защиты критически важных объектов системы, появился модуль "Защита системы". Его предназначение осталось тем же, однако подход стал более комплексным. В частности, было увеличено количество защищаемых объектов, появилась возможность создавать свои правила для защиты веток реестра и файлов. В результате модуль позволяет защитить как критически важные секции реестра, так и системные файлы от изменений в соответствии с предустановленными правилами.

Новый модуль "Защита приложений"

Данный модуль обеспечивает защиту от несанкционированного чтения неавторизованными процессами конфигурационных файлов и веток реестра поддерживаемых приложений. Обнаружение приложений, которые могут быть защищены, обнаруживаются автоматически при установке "Клиента SSEP".

Новый модуль "Защита файлов и папок"

Данный модуль обеспечивает защиту от несанкционированного доступа к произвольным  файлам и папкам. Объекты для контроля выбираются пользователем или администратором самостоятельно.

Новые функции защиты

В последних версиях Security Studio Endpoint Protection был реализован целый ряд небольших функций, которые способствую общему усилению защиты пользователей и их компьютеров:

  • возможность блокировать доступ к веб-страницам по ключевым словам в их адресах и/или текстах;
  • защита содержимого буфера обмена от перехвата;
  • защита от несанкционированного создания скриншотов рабочего стола;
  • защита автозагрузки со съемных USB-устройств;
  • режим для контроля процессов на компьютере и просмотра журналов;
  • и др.

Обновление модуля самозащиты

В последних версиях рассматриваемого решения была обновлена внутренняя защита системы от несанкционированного отключения или повреждения вредоносными программами, включая контроль целостности ее модулей и баз правил.

Добавлена поддержка новых версий Windows

По мере выхода новых операционных систем от Microsoft в Security Studio Endpoint Protection реализуется их поддержка. С нашего последнего обзора система "научилась" работать под управлением ОС Windows 7/8/8.1/Server 2008 R2/Server 2012/ Server 2012 R2 всех редакций.

Важно отметить, что Security Studio Endpoint Protection 7.7 имеет сертификат ФСТЭК на систему обнаружения вторжений по 4 классу защиты, средство антивирусной защиты по 4 классу защиты (типы А, Б, В и Г) и на межсетевой экран по 4 классу защищенности, сертификат также подтверждает и соответствие требованиям на отсутствие НДВ по 4-му уровню контроля. Это позволяет использовать решение в ИСПДн (системах обработки персональных данных) и ГИС (государственные информационные системы).

 

Развертывание и настройка Security Studio Endpoint Protection 7.7

Принцип внедрения системы защиты рабочих станций на базе Security Studio Endpoint Protection  не изменился с момента нашего предыдущего обзора. Развертываться Security Studio Endpoint Protection 7.7 может осуществляться по-разному. Для крупных компаний наиболее интересен вариант, который позволяет быстро и централизовано развернуть систему защиты.

Для этого необходимо установить сервер лицензирования и обновлений ALUS. Этот шаг необязателен, он используется в основном в крупных сетях. В отличие от прошлых версий, в новой данный сервер устанавливается с помощью инсталлятора. Процесс настолько прост, что подробно рассматривать его мы не будем. Единственное, что нужно отметить – выбор веб-сервера, на котором будет работать ALUS. Дело в том, что этот компонент является веб-приложением, так что веб-сервер ему необходим. Вариантов здесь два: Microsoft IIS или Apache. Для выбора первого из них необходимо, чтобы нужные программы были установлены на компьютере. Второй вариант проще, так как Apache входит в комплект поставки и инсталлируется автоматически. Также в ходе установки выбирается порт (по умолчанию сервер прослушивает порт 80), на котором будет работать сервер, и указывается логин и пароль для доступа к нему.

 

Рисунок 1. Выбор веб-сервера при установке ALUS

Выбор веб-сервера при установке ALUS

 

Следующий этап – развертывание Administration Center. Он заключается в установке на сервере компонента "Сервер управления Administration Center", а на компьютерах администраторов – "Консоли управления Administration Center". Инсталляция этих программ крайне проста, состоит из нескольких стандартных шагов и описана в прошлом обзоре.

После этого можно приступать к настройке системы. Осуществляется она с помощью "Консоли управления Administration Center".

 

Рисунок 2. Запуск консоли управления Security Studio Endpoint Protection 7.7

Запуск консоли управления Security Studio Endpoint Protection 7.7

 

В консоли управления в первую очередь необходимо настроить сервер лицензирования и обновлений. Нужно указать его адрес, логин и пароль для доступа, а также добавить в список полученные при покупке продукта лицензионные ключи.

 

Рисунок 3. Настройка сервера лицензирования и обновлений в консоли управления Security Studio Endpoint Protection 7.7

Настройка сервера лицензирования и обновлений в консоли управления Security Studio Endpoint Protection 7.7

 

При необходимости можно ввести одну или несколько учетных записей администратора для возможности их удаленного подключения в будущем. После этого создается необходимое количество инсталляционных и конфигурационных пакетов, в которых описываются параметры установки "Клиентов SSEP" на рабочие станции и сервера сети и их настройки.

Завершающим этапом развертывания является формирование и запуск заданий. В ходе их исполнения система автоматически установит на нужные компьютеры "Агенты Administration Center" и развернет на них "Клиент SSEP". Также при необходимости можно сформировать одно или несколько заданий по сбору информации о событиях на рабочих станциях. С их помощью администраторы смогут получать подробную информацию о работе системы защиты. Подробно процесс формирования и запуска заданий мы описывали в прошлой статье, а поскольку он с тех пор практически не изменился, повторяться не будем.

Впоследствии при необходимости администратор безопасности может в любой момент изменить параметры работы одного, нескольких или сразу всех "Клиентов SSEP", установленных на рабочих станциях администраторов. Реализуется это с помощью специальных заданий на распространение конфигурационных пакетов.

 

Работа с Security Studio Endpoint Protection 7.7

Работа с Security Studio Endpoint Protection 7.7 для конечных пользователей с момента нашего последнего обзора, в общем-то, не изменилась. Как и раньше, она осуществляется с помощью специального окна, которое вызывается с помощью клика на значке программы в системном трее. Это окно состоит из шести вкладок, на каждой из которых отображается информация о разных инструментах защиты – брандмауэре, антивирусе, проактивной защите и пр. Изменения на них незначительны, самое основное – дизайн в стиле Windows 7. Поэтому и рассматривать их подробно сегодня не будем.

 

Рисунок 4. Общая информация о работе клиента Security Studio Endpoint Protection 7.7

Общая информация о работе клиента Security Studio Endpoint Protection 7.7


Рисунок 5. Информация о работе брандмауэра в клиенте Security Studio Endpoint Protection 7.7

Информация о работе брандмауэра в клиенте Security Studio Endpoint Protection 7.7

 

Новой возможностью, реализованной в окне "Клиента SSEP", является режим аудита. Он может использоваться администраторами для получения полной информации о сетевой активности компьютера, просмотра активности процессов, карантина антивируса и пр. Фактически, режим аудита позволяет увидеть полную информацию о деятельности компьютера, которая потенциально может представлять собой угрозу информационной безопасности. При его использовании можно просмотреть используемые в текущий момент сетевые порты, активные процессы, карантин антивируса и пр. Это позволяет администратору получить полную информацию о деятельности приложений на компьютере.

 

Рисунок 6. Просмотр сетевой активности в режиме "Аудит" в Security Studio Endpoint Protection 7.7

Просмотр сетевой активности в режиме "Аудит" в Security Studio Endpoint Protection 7.7


Рисунок 7. Просмотр активности процессов в режиме "Аудит" в Security Studio Endpoint Protection 7.7

Просмотр активности процессов в режиме "Аудит" в Security Studio Endpoint Protection 7.7

 

Также режим "Аудит" позволяет получить удобный доступ к журналам Security Studio Endpoint Protection 7.7.

 

Рисунок 8. Просмотр журнала событий в режиме "Аудит" в Security Studio Endpoint Protection 7.7

Просмотр журнала событий в режиме "Аудит" в Security Studio Endpoint Protection 7.7

 

Принцип изменения настроек также не изменился. Все параметры задаются в отдельном окне, которое открывается непосредственно из основного. Но тут надо сделать небольшое отступление. Дело в том, что просмотр вкладки "Моя безопасность", равно как и всех других вкладок окна клиента, доступен пользователям без ограничений. Однако переключение режимов компонентов защиты, их настройка и уж тем более отключение может быть ограничено. И это вполне логично. Полный доступ сотрудников к управлению безопасностью является потенциальной угрозой. Случайные (надо понимать, что большинство бухгалтеров, менеджеров, секретарей и пр. не являются профессионалами в области информационной безопасности) или преднамеренные их действия могут привести к серьезному ослаблению уровня защиты вплоть до полного ее отключения.

Именно поэтому по умолчанию в Security Studio Endpoint Protection 7.7 активирована защита настроек от пользователей. Изменение же конфигураций клиентов осуществляется путем выполнения заданий в Administration Center. Ну а при необходимости ручной установки параметров, выгрузки клиента или его удаления необходимо ввести пароль, заданный администратором системы. Естественно, при необходимости эту защиту можно и отключить.

Вкладка  настройки антивируса претерпела незначительные изменения. Все они касаются новых возможностей, реализованных в рамках данного модуля, например, управление автоматической проверкой подключаемых к компьютеру съемных USB-накопителей, назначение действий по умолчанию при обнаружении вирусов во вложениях для обновленного сканера почты и пр.

 

Рисунок 9. Настройка работы антивируса в Security Studio Endpoint Protection 7.7

Настройка работы антивируса в Security Studio Endpoint Protection 7.7

 

Рисунок 10. Настройка сканера почты в Security Studio Endpoint Protection 7.7

Настройка сканера почты в Security Studio Endpoint Protection 7.7

 

Примерно то же самое можно сказать и о настройке всех остальных модулей. В окне настройки на соответствующих вкладках появились те параметры, которые были добавлены в систему.

 

Рисунок 11. Настройка защиты системы в Security Studio Endpoint Protection 7.7

Настройка защиты системы в Security Studio Endpoint Protection 7.7


Рисунок 12. Настройка защиты пользовательских папок и файлов в Security Studio Endpoint Protection 7.7

Настройка защиты пользовательских папок и файлов в Security Studio Endpoint Protection 7.7


Рисунок 13. Настройка блокировки сайтов по ключевым словам в Security Studio Endpoint Protection 7.7

Настройка блокировки сайтов по ключевым словам в Security Studio Endpoint Protection 7.7


В большинстве случаев пользователям нечасто придется обращаться к окну "Клиента SSEP". Security Studio Endpoint Protection 7.7 относится к категории продуктов, которые после должной настройки работают автоматически, не требуя к себе внимания. Тем более, что в большинстве случаев изменения конфигурации и параметров работы защиты будут осуществляться администраторами централизованно путем распространения конфигурационных пакетов с помощью Administration Center.

 

Выводы

Сегодня мы подробно рассмотрели решение Security Studio Endpoint Protection 7.7. В результате можно сделать вывод, что оно отличается широкими возможностями по защите рабочих станций и северов корпоративной сети от всевозможных интернет-угроз. Основным ее преимуществом является комплексный подход к защите. Ведь в Security Studio Endpoint Protection 7.7 реализован практически полный спектр решений по защите пользователей и компьютеров при работе в Интернете (антивирус и антишпион, межсетевой экран, система обнаружения вторжений, защита от активных элементов веб-страниц и пр.). Немаловажным фактом является и наличие у рассмотренного продукта сертификата ФСТЭК России, в том числе по новым требованиям к САВЗ и СОВ.

Также нельзя не отметить, что Security Studio Endpoint Protection не стоит на месте, а развивается. В системе появляются новые модули, расширяющие сферу ее функциональность. Среди них можно отметить такие блоки, как "Защита системы" и "Защита приложений". Также идет регулярная доработка уже существующих модулей ― увеличивается их быстродействие, расширяются их возможности. В последних версиях обновился антивирус, межсетевой экран, а также модуль "Активность процессов". Еще одной новой особенностью решения, которая может оказаться полезной в ряде случаев, является режим аудита. С его помощью администратор может осуществлять мониторинг работы процессов и сетевой активности на рабочей станции, просматривать журналы событий.

Что же касается недостатков, то основным из них является полное отсутствие системы отчетности. В Security Studio Endpoint Protection 7.7 можно собирать информацию о событиях клиентов,просматривать ее с возможностью фильтрации, а также экспортировать список полученных уведомлений, но формирование отчетов отсутствует полностью. Между тем, в целом ряде случаев их наличие может оказаться весьма полезным. Также можно отметить, что Security Studio Endpoint Protection может использоваться только на рабочих станциях и серверах под управлением операционных систем семейства Windows. Между тем сегодня все чаще и чаще в корпоративных информационных системах используются мобильные устройства, которые также требуют защиты.

Преимущества

  • защита системы и установленных приложений от несанкционированного доступа процессов;
  • контроль USB-накопителей, включая их автоматическую проверку и защиту автозагрузки;
  • контроль активности процессов, включая их карантин и подсказку пользователям при принятии решений о разрешении/блокировке процессов;
  • защита буфера обмена и защита от несанкционированного создания скриншотов рабочего стола;
  • защита файлов и папок от несанкционированного доступа и изменений;
  • удобный режим аудита;
  • защита настроек от несанкционированного изменения пользователями.

Недостатки

  • отсутствие защиты для мобильных устройств;
  • отсутствие возможности блокировки доступа к сайтам по категориям;
  • отсутствие отчетности по результатам работы системы защиты.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.