Обзор Symantec Endpoint Protection 14

1. Введение

2. Системные требования

3. Функциональные возможности

4. Установка продукта

5. Работа с продуктом

6. Выводы

Введение

В 2011 году мы публиковали обзор Symantec Endpoint Protection версии 12 — часть 1 и часть 2. В конце 2016 года компания Symantec выпустила новую версию продукта — Symantec Endpoint Protection 14. За прошедшие пять лет в продукте появилось множество новых защитных функций, изменился интерфейс программы конфигурирования, упростился механизм развертывания и увеличилось число поддерживаемых операционных систем.

Тренд последних лет — изменение концепции защиты конечных точек, выражающийся в усилении комплексности продукта, наращивании числа защитных механизмов, объединенных общим управлением, и фокусировке на безсигнатурной защите от неизвестных угроз и уязвимостей нулевого дня. Для формализации классификации средств защиты конечных точек аналитики и журналисты ввели термин Next Generation Endpoint Protection (NGEP) — средства защиты конечных точек следующего поколения. Аналогичный процесс мы наблюдали в области сетевой защиты и переход от UTM-решений к NGFW. Основные мировые вендоры стремятся идти в ногу со временем и обновлять свои продукты для решения актуальных задач по обеспечению безопасности. Целью выхода 14 версии Symantec Endpoint Protection стал переход к классу NGEP. Также за прошедшее время компания Symantec приобрела активы компании Blue Coat, одного из лидеров на рынке сетевых устройств для кеширования данных и DPI, что позволило внедрить новые технологии во всю линейку Symantec, например прозрачный анализ зашифрованного SSL-трафика, а также увеличило общий объем репутационных баз по сетевым ресурсам и приложениям.

В 14 версии Symantec Endpoint Protection реализованы новые защитные механизмы от эксплуатации уязвимостей нулевого дня и неизвестных угроз. К ним относятся технология по защите от эксплоитов Generic Exploit Mitigation, обновленная версия модуля анализа поведения приложений в реальном времени SONAR и технология машинного обучения Advanced Machine Learning для статического анализа исполняемых файлов.

Системные требования

Системные требования Symantec Endpoint Protection Manager (включает в себя сервер управления и программу конфигурирования):

• Процессор Intel Pentium Dual-Core или эквивалент, от 8 ядер.
• Минимум 2 Гб оперативной памяти, рекомендуется от 8 Гб.
• Минимум 40 Гб свободного места на жестком диске.

Требования к программному обеспечению Symantec Endpoint Protection Manager:

• Операционные системы:
  • Windows Server 2008 (64-bit)
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
• Поддерживаемые браузеры (для веб-версии интерфейса управления):
  • Microsoft Edge (64-bit)
  • Microsoft Internet Explorer 11
  • Mozilla Firefox 5.x и позднее
  • Google Chrome 54.0.x и позднее
• Внешняя база данных (опционально, не требуется для развертывания до 5000 защищаемых компьютеров):
  • Microsoft SQL Server 2008, SP4
  • Microsoft SQL Server 2008 R2, SP3
  • Microsoft SQL Server 2012, RTM — SP3
  • Microsoft SQL Server 2014, RTM — SP2
  • Microsoft SQL Server 2016

Системные требования защитного клиента под Windows:

• Процессор Intel Pentium III (для 32-битных систем) или Intel Pentium 4 и выше.
• Минимум 512 Мб оперативной памяти, рекомендуется от 1 Гб.
• От 250 до 500 Мб свободного места на жестком диске, в зависимости от типа клиента.
• Поддерживаемые операционные системы:
• Windows Vista
• Windows 7
• Windows 8/8.1
• Windows 10
• Windows Server 2008 SP1/SP2/2008 R2
• Windows Server 2012/2012R2
• Windows Server 2012 R2
• Windows Server 2016

Системные требования защитного клиента под macOS:

• Процессор Intel Core 2 Duo и выше.
• Минимум 2 Гб оперативной памяти.
• 500 Мб свободного места на жестком диске.
• Поддерживаемые операционные системы:
• macOS X 10.9
• macOS X 10.10
• macOS X 10.11
• macOS 10.12

Системные требования защитного клиента под Linux:

• Процессор Intel Pentium 4 (2 ГГц) и выше.
• Минимум 1 Гб оперативной памяти.
• 7 Гб свободного места на жестком диске.
• Поддерживаемые дистрибутивы:
• CentOS 6U4/6U5
• Debian 6.0.5/8
• Fedora 16/17
• Oracle Linux 6U2/6U4/6U5/7
• Red Hat Enterprise Linux Server 6U2 — 6U8/7/7.1/7.2
• SUSE Linux Enterprise Server 11 SP1 — 11 SP3/12
• SUSE Linux Enterprise Desktop 11 SP1 — 11 SP3
• Ubuntu 12.04/14.04/16.04

Поддерживаемые среды виртуализации для защиты гостевой операционной системы:

• Windows Azure, Amazon WorkSpaces
• VMware WS версии 5.0 и позднее
• VMware GSX версии 3.2 и позднее
• VMware ESX версии 2.5 и позднее
• VMware ESXi 4.1 - 5.5/6.0
• Microsoft Virtual Server 2005
• Windows Server Hyper-V 2008/2012/2012 R2
• Citrix XenServer версии 5.6 и позднее
• Virtual Box

Функциональные возможности Symantec Endpoint Protection 14

Функциональные возможности можно разделить на две основные категории — защитные механизмы и возможности по централизованному управлению.

Защитные функции:

• Сетевой брандмауэр (межсетевой экран) — классический персональный сетевой фильтр с настраиваемыми правилами прохождения трафика. Правила брандмауэра включают в себя следующие параметры:
  • Название и описание
  • Действие (разрешить, запретить, выдать запрос пользователю)
  • Приложение
  • Хост отправителя и получателя
  • Служба/порт (протоколы TCP, UDP, ICMP, IP, Ethernet)
  • Аудит (запись в журнал, уведомление по e-mail)
  • Флаг серьезности срабатывания правила для ранжирования угроз
  • Сетевой адаптер (по типу или конкретной плате)
  • Время действия

Дополнительно в системе присутствуют встроенные интеллектуальные правила для протоколов DHCP, DNS, WINS и Token Ring. Также в сетевой брандмауэр входят функции по аутентификации сетевых соединений «точка-точка» с возможностью настройки списка исключений.

• Предотвращение сетевых атак — статический и эвристический анализатор сетевого трафика. Поддерживает детектирование и блокировку сканирования портов и атак типа «отказ в обслуживании», защиту от ARP-атак, маскировку типа и версии операционной системы. Сигнатурные и эвристические анализаторы позволяют защитить узел от различных сетевых атак на систему и веб-браузер, а также детектируют сетевые действия вредоносных приложений.
• Контроль приложений — возможность создания различных правил по гранулярному контролю доступа приложений к файлам и элементам реестра, а также запуску и завершению процессов и загрузки библиотек. Каждое запрещающее правило можно снабдить описанием, которое отображается пользователю при запрете доступа. При вводе путей к файлам и объектам реестра поддерживаются регулярные выражения и гибкие настройки выбора путей. Функционирует только на клиентах Windows.
• Контроль устройств — белый и черный списки устройств, настройка которых позволяет ограничить подключения устройств к компьютеру. Для клиентов Windows поддерживается возможность указать только тип устройства (например, все принтеры или все USB-устройства), для macOS дополнительно может задаваться поставщик устройства, модель и серийный номер. Контроль устройств в macOS появился только в этой версии продукта, ранее данная функция была доступна только под Windows. Контроль устройств для Linux находится в разработке и пока не реализован в продукте.
• Защита от эксплуатации уязвимостей Generic Exploit Mitigation — механизм контроля памяти Windows, позволяющий обеспечить защиту от эксплуатации уязвимостей нулевого дня в различном программном обеспечении и в операционной системе. Данный механизм работает до начала анализа исполняемых файлов системой SONAR и другими защитными компонентами, что повышает общий уровень защищенности системы и позволяет защититься от атак на само средство защиты.
• Репутационный анализ — часть механизма SONAR, который учитывает репутацию запускаемых в системе процессов, используя глобальное облако Symantec или частное облако, развернутое у заказчика. Применяется для блокировки неизвестных вредоносных программ, которые не обнаруживаются с помощью антивирусных механизмов. Функционирует только на клиентах Windows. Также репутационный анализ используется в технологии Download Insight, которая обеспечивает проверку репутации скачиваемых из сети файлов и предотвращает угрозы еще на этапе загрузки.
• Машинное обучение — расширенный механизм обнаружения вредоносных файлов статическими методами путем анализа содержимого исполняемых файлов и скриптов. База для машинного обучения насчитывает миллиарды образцов «хорошего» и «плохого» микрокода, который сравнивается с кодом анализируемых файлов. Данный механизм по принципу функционирования похож на сигнатурный анализатор, но обеспечивает защиту от еще неизвестных угроз. Функционирует только на клиентах Windows.
• Эмулятор — обновленный и оптимизированный механизм анализа исполняемых файлов в легковесной песочнице для распознавания полиморфных и запакованных вирусов. Внесенные изменения в данном модуле позволили увеличить скорость и производительность его работы, а также повысили процент успешного детектирования вредоносных исполняемых файлов. Функционирует только на клиентах Windows.
• Антивирус — классическое антивирусное решение с сигнатурными и эвристическими анализаторами. Дополнительную защиту обеспечивает драйвер раннего запуска, запуск которого производится первым в системе, что позволяет обнаружить и обезвредить вредоносы, выполненные в виде драйвера. Антивирус обладает всеми стандартными функциями — постоянная защита, сканирование по требованию, контекстное сканирование, карантин, защита электронной почты и так далее.
• Проверка целостности (контроль наличия защиты) — механизм проверки и исправления нарушений политик безопасности в корпоративной безопасности, позволяет определять наличие антивируса, брандмауэра, установки обновлений программ и операционной системы. В случае детектирования несоответствий позволяет выполнить установку необходимых средств защиты или выполнение определенных настроек. Функционирует только на клиентах Windows.
• LiveUpdate — механизм проверки обновлений продукта, сигнатурных баз и других элементов системы защиты. В версии 14 данный механизм был дополнен функциями установки исправлений ошибок в бинарных модулях продукта.
• Интеграция с Symantec Advanced Threat Protection – в клиентские приложения Symantec Endpoint Protection 14 интегрированы функции агента для Symantec Advanced Threat Protection, которые позволяют передавать метрики сетевого трафика и данные о работе приложений в облако Anti-APT для корреляции событий и выявления направленных атак.

Функции управления:

• Централизованное управление продуктом с помощью программы-клиента под Windows или веб-интерфейса (Java-апплет).
• Централизованное развертывание — подготовка пакетов установки для автоматического подключения устанавливаемого клиента к серверу. Поддерживается подготовка пакета для самостоятельной установки, создание ссылки на пакет на веб-сервере или удаленное развертывание с предоставлением данных учетной записи администратора на удаленных компьютерах.
• Централизованный мониторинг с панелью состояния защищенности, мониторами событий, журналами безопасности, уведомлениями по e-mail и другими функциями.
• Система генерации отчетов по состоянию защищенности сетевых узлов и событиям информационной безопасности.
• Централизованное управление политиками безопасности с возможностью создания различных политик и их назначения на группы защищаемых компьютеров.
• Поддержка интеграции с Active Directory и LDAP-каталогами.
• Наличие REST API, специального набора служебных функций для интеграции и взаимодействия с другими продуктами Symantec, сторонними средствами защиты, разрабатываемыми на заказ модулями и системами управления.

В клиенте Symantec Endpoint Protection 14 под Windows поддерживается три типа развертывания — стандартный, dark network и embedded/VDI. Стандартный клиент под Windows обеспечивает все функции продукта и предназначен для работы на защищаемых компьютерах внутри локальный сети организации. Dark network — версия клиента для удаленных компьютеров, не имеющих постоянного соединения с частным или глобальным облаком Symantec и сервером управления. В данном типе клиента отключены проверки, связанные с анализом потенциально небезопасных файлов в облаке, при этом остальные функции работают аналогично стандартному клиенту, включая репутационные базы. Embedded/VDI является уменьшенным в размере дистрибутивом, использующим больше возможностей облака, чем остальные клиенты, и предназначается для эксплуатации во встраиваемых системах и в инфраструктуре виртуальных рабочих столов.

Установка Symantec Endpoint Protection 14

Установка продукта не претерпела больших изменений по сравнению с версией 12. Поддерживается развертывание защитного клиента в пользовательском режиме работы без централизованного управления и сетевая структура с общим сервером. Как и раньше, для защиты компьютеров до 5000 единиц используется встроенная база данных, в крупных инфраструктурах для хранения информации используется СУБД Microsoft SQL.

Рисунок 1. Выбор конфигурации сервера управления Symantec Endpoint Protection 14

В процессе установки сервера управления выбирается схема развертывания, указываются настройки электронной почты, создается учетная запись администратора и настраиваются другие параметры. Завершающим этапом установки является загрузка обновлений через утилиту LiveUpdate.

Рисунок 2. Обновление продукта Symantec Endpoint Protection 14 во время установки

Работа с Symantec Endpoint Protection 14

В версии 14 изменился внешний вид Symantec Endpoint Protection Manager — программы управления продуктом. Программа получила новый современный дизайн, при этом сохранив общее расположение интерфейсов. Доступ к консоли управления может быть получен через Windows-приложение или в веб-браузере, при этом внешний вид интерфейса неизменен, так как для его реализации применяется общий Java-апплет.

Рисунок 3. Экран авторизации в Symantec Endpoint Protection Manager

Навигация по интерфейсу менеджера Symantec Endpoint Protection 14 осуществляется с помощью бокового меню, в котором представлены следующие разделы:

• «Главная» — панель мониторинга общего состояния системы защиты, на которой присутствует блок отображения необходимости предпринять какие-либо действия для исправления уровня защищенности инфраструктуры.
• «Мониторы» — панель дашбордов, отображающая графики возникновения событий, статистику работы системы и журналы аудита.
• «Отчеты» — система построения отчетов по статистике работы и событиям аудита.
• «Политики» — интерфейс управления политиками безопасности продукта.
• «Клиенты» — управление перечнем защищаемых компьютеров включая систему развертывания и назначения политик безопасности.
• «Админ» — административный раздел для управления учетными записями привилегированных пользователей и настройками сервера управления Symantec Endpoint Protection 14.

Рисунок 4. Главный экран системы управления Symantec Endpoint Protection 14 при доступе через веб-браузер

Мониторинг состояния системы защиты и событий информационной безопасности осуществляется из раздела «Мониторы». В данном разделе представлены четыре вкладки — «Обзор», «Журналы», «Состояние команды» и «Уведомления». На экране обзора расположены графики, отражающие состояние различных аспектов работы системы, с помощью переключателя «Тип сводки» набор выводимых данных может быть изменен. Вся статистика отражает ситуацию на момент загрузки экрана, обновить текущие данные можно с помощью ссылки «Обновление» в верхнем правом углу интерфейса.

Рисунок 5. Панель мониторов в Symantec Endpoint Protection 14

В разделе «Журналы» отображаются последние события аудита. Присутствует система фильтрации по различным полям — типу журнала, интервалу времени, версии продукта и политик, домену, группам компьютеров, IP-адресам и многим другим. Настроенные фильтры можно сохранить для дальнейшего использования. Журнал выводится постранично, для каждого события доступно детальное описание. Поддерживается экспорт событий в формате CSV.

Рисунок 6. Журналы аудита в Symantec Endpoint Protection 14

Вкладка «Состояние команды» отображает состояние и результат выполнения различных команд, в первую очередь — заданий на антивирусное сканирование и команд на включение и выключение отдельных защитных функций.

В разделе «Уведомления» настраиваются параметры и условия отправки e-mail-сообщений при возникновении в системе различных событий.

Рисунок 7. Настройка уведомлений по e-mail в Symantec Endpoint Protection 14

Система отчетов Symantec Endpoint Protection 14 в целом похожа по функциям на журналы — в продукте можно указать тип аудита для отображения в отчетах и присутствует фильтрация событий по различным параметрам. Отчет представляет собой выписку из журнала аудита в готовой к печати и экспорту (в формате HTML) форме. Присутствует возможность построения отчетов по расписанию, отправка сформированных плановых отчетов осуществляется по электронной почте.

Раздел «Политики» разбит на семь основных групп по функциональности:

• Защита от вирусов и программ-шпионов — политики и настройки антивируса, включают в себя параметры сканирования по требованию, настройки автоматической защиты, управление защитой загрузки операционной системы, подсистемы SONAR для эвристического и репутационного детектирования, а также политики сканирования электронной почты. Отдельные группы настроек позволяют управлять политиками работы антивируса в macOS и Linux.

Рисунок 8. Политики защиты от вирусов и программ-шпионов в Symantec Endpoint Protection 14

• Брандмауэр — управление правилами персонального межсетевого экрана. Отображение правил выполнено в виде плоской таблицы с перечислением всех доступных параметров. Дополнительно поддерживается настройка уведомлений, управление встроенными правилами, настройка защиты от сетевых атак, параметры маскировки и сокрытия данных об узле, а также опции интеграции с Windows и параметры аутентификации между компьютерами.

Рисунок 9. Политики брандмауэра в Symantec Endpoint Protection 14

• Предотвращение вторжений — настройки защиты от эксплойтов для популярных офисных и прикладных приложений, управление защитой от сетевых атак и настройка исключений для упрощения реагирования на ложные срабатывания.
• Управление приложениями и устройствами — политики управления доступом приложений к устройствам и объектам компьютера, а также настройка политик разрешения и запрета работы с устройствами.

Рисунок 10. Настройки политики управления приложениями в Symantec Endpoint Protection 14

• Целостность хоста — управление требованиями к проверке целостности и защиты защищаемых компьютеров.
• LiveUpdate — параметры доступа к серверам LiveUpdate, включая выбор локального или глобального сервера и настройки прокси-серверов, а также управление расписанием обновлений. Дополнительно настраивается содержимое LiveUpdate для загрузки.
• Исключения — глобальная политика исключений, в которую можно добавить разнообразные объекты для исключения из всех действующих политик безопасности. В качестве объектов поддерживаются файлы, директории, устройства, сетевые узлы, приложения и многое другое.

Для каждой группы поддерживается множество политик, их можно добавлять, удалять, заменять, копировать, экспортировать и импортировать из файла. Политики применяются к отдельным защищаемым компьютерам или к группам компьютеров.

Рисунок 11. Управление политиками безопасности в Symantec Endpoint Protection 14

В разделе «Клиенты» осуществляется управление защищаемыми компьютерами, их добавление, удаление и отправка оперативных команд. В дополнительных вкладках осуществляется назначение политик безопасности на узлы сети и управление установочными пакетами.

Рисунок 12. Управление защищаемыми компьютерами в Symantec Endpoint Protection 14

В разделе «Админ» присутствует пять разделов:

• Администраторы — управление учетными записями администраторов.
• Домены — синхронизация с Active Directory и работа с сетевыми доменами.
• Серверы — управление серверами Symantec Endpoint Protection, настройка серверов управления, баз данных и других параметров.
• Установочные пакеты — управление клиентскими дистрибутивами и их распространением на целевые системы.
• Лицензии — настройка лицензий продукта.

Рисунок 13. Управление учетными записями администраторов в Symantec Endpoint Protection 14

Интерфейсы клиентских приложений под операционные системы Windows, Linux и macOS в целом практически не изменились — стиль оформления, расположение меню и функциональные возможности, доступные обычным пользователям, практически не изменились по сравнению с версией 12.

Рисунок 14. Интерфейс агента защиты Symantec Endpoint Protection 14 под Windows

Выводы

Разработчики Symantec Endpoint Protection 14 проделали большую работу по усилению способов и средств защиты от неизвестных вредоносных программ и уязвимостей по сравнению с 12-й версией продукта. Добавление модулей защиты Generic Exploit Mitigation, обновление технологии SONAR и внедрение технологии машинного обучения Advanced Machine Learning значительно усилило позиции Symantec на рынке средств защиты конечных точек и позволило решению Endpoint Protection сохранить лидерство в своем сегменте.

Приобретение компании Blue Coat и использование их технологий в продукте также значительно повлияло на качество детектирования сетевых атак и общий уровень защищенности конечных точек с Symantec Endpoint Protection. Значительное наращивание защитных возможностей и качества функциональности продукта фактически переводит продукт Symantec Endpoint Protection на новый уровень. Новую версию данного решения можно считать полноценным продуктом класса Next Generation Endpoint Protection. Дополнительным плюсом является интеграция с Symantec Advanced Threat Protection, позволяющая интегрировать NGEP-продукт в инфраструктуру защиты от направленных атак.

Несмотря на то что компания Symantec сконцентрировала свои силы на улучшении и доработках функций защиты, дизайн и интерфейс продукта не остались забытыми. Новый внешний вид консоли Symantec Endpoint Protection Manager положительно сказался на удобстве управления и настройки продукта. Интерфейс менеджера выглядит современно, юзабилити продукта значительно улучшилось, и в целом пользовательский интерфейс оставляет приятные впечатления.

Достоинства:

• Широкий набор функций по защите от вредоносных программ и уязвимостей — машинное обучение, эмулятор исполняемых файлов, объемные репутационные базы, ранняя загрузка, анализ загружаемых по сети файлов и множество других. Гибкость и легкость управления политиками безопасности.
• Поддержка различных типов клиентских приложений под Windows для защиты различных устройств — компьютеров в локальной сети, удаленных рабочих мест, виртуальных сред и виртуальных рабочих столов (VDI).
• Встроенная система работы с журналами, отчетами и возможность настройки гибких фильтров для оперативного уведомления об угрозах по электронной почте.
• Система автоматической загрузки и применения обновлений, полностью решающая все вопросы по актуализации баз данных и исполняемых модулей продукта.
• Отсутствие необходимости развертывания базы данных для компаний с небольшим числом защищаемых компьютеров.
• Наличие интеграции с Active Directory и LDAP-каталогами, поддержка REST API для сторонней интеграции с продуктом.

Недостатки:

• Общая медлительность интерфейса управления и недостатки в его локализации — использование неуместных сокращений, несогласованные фразы, использование англоязычных терминов.
• Сокращенный функционал в клиентах под macOS и Linux, поддержка защиты Windows XP с помощью агента предыдущей версии 12.1.
• Отсутствие сертификата ФСТЭК России (ожидается в 2017 году).