Обзор Security Studio Endpoint Protection (часть 1)

1. Введение

2. Состав продукта

3. Системные требования

4. Возможности продукта

5. Процесс установки

6. Работа с продуктом

7. Выводы

Введение

Рынок антивирусных решений в общем и продуктов класса EndPoinrt Protection в частности отличается одной особенностью. Речь идет о том, что количество игроков на нем ограничено, и новые компании появляются достаточно редко. Оно и понятно: слишком уже специфично антивирусное ПО, чтобы за его разработку взялись "широкие массы". Да и потребители привыкли доверять проверенным продуктам, выпущенным известными разработчиками. Несмотря на это, на рынке  существует достаточно острая конкуренция  среди компаний Symantec, "Лаборатория Касперского", McAfee и т.д. Все разработчики представляют, в целом, схожие продукты, ежегодно выпуская новые их версии.

В такой ситуации любой новый игрок, появившийся на рынке антивирусного ПО, наверняка столкнется с определенным недоверием со стороны потребителей. В полной мере это относится и к Security Studio Endpoint Protection. Впрочем, как раз в данном случае недоверие и предвзятое отношение, пожалуй, будет излишним. Искушенный пользователь, запустив Security Studio Endpoint Protection, наверняка увидит в нем знакомые черты. И не зря! Дело в том, что клиентская часть данного решения разработана компанией Agnitum на базе неплохо зарекомендовавшего себя Outpost Security Suite.

А это в корне меняет все дело. Outpost Security Suite – весьма известный продукт, который многократно тестировался различными независимыми лабораториями, в том числе нашей, и часто получал высокие оценки. Так что относиться к Security Studio Endpoint Protection просто как к неизвестному, непонятно откуда появившемуся продукту нельзя. Тем более, по своим возможностям рассматриваемая система не уступает конкурентам. В ней есть все необходимое для надежной защиты от любых внешних угроз: антивирус, аншпион, проактивная защита, брандмауэр, антиспам и пр. Все эти инструменты не раз и не два подтверждали свою эффективность в различных тестированиях.

Качество Security Studio Endpoint Protection подтверждено, помимо всего прочего, сертификатами ФСТЭК России. Согласно ним, данный продукт является средством защиты, которое может использовать в автоматизированных системах до класса защищенности 1Г включительно и в системах обработки персональных данных до 1 класса включительно. И это очень важно. Дело в том, что обработка персональных данных ведется практически в каждой компании. Между тем зачастую работающие в корпоративных сетях средства защиты не соответствуют требованиям нового ФЗ "О персональных данных" и его подзаконным актам.

Сказывается и корпоративная направленность Security Studio Endpoint Protection. У данного продукта есть система централизованного администрирования, которая позволяет быстро развернуть продукт в локальной сети и при необходимости оперативно изменить его конфигурацию в будущем. Все эти операции выполняются сотрудником ИТ-отдела удаленно с помощью специальной консоли управления (она будет подробно рассмотрена нами во второй части обзора). Она же позволяет ему осуществлять мониторинг работы системы защиты.

Нужно отметить еще одну особенность рассматриваемого продукта. Дело в том, что у Security Studio Endpoint Protection есть две версии – 32- и 64-битная с антивирусом и без него. Варианты без антивирусного решения стоят дешевле, причем они могут интегрироваться с продуктами сторонних разработчиков. В результате чего они являются отличным решением для тех компаний, у которых уже развернута антивирусная защита рабочих станций.

В виду сложности продукта в первой части обзора мы рассмотрим только клиенткую часть решения Security Studio Endpoint Protection, а во второй его части рассмотрим его систему централизованного управления.

Состав продукта Security Studio Endpoint Protection

Система защиты, основанная на Security Studio Endpoint Protection, состоит из двух основных элементов. Первый из них – непосредственно сам продукт, который установлен на рабочих станциях пользователей. Второй – консоль управления, с помощью которой осуществляется администрирование всей системы. Это две абсолютно разных программы, которые и разбирать нужно отдельно. Так что сегодня мы будем говорить только о первой из них.

В состав клиентской части Security Studio Endpoint Protection входит несколько модулей, каждый из которых используется для защиты от угроз разного типа.

1. Межсетевой экран. Представляет собой брандмауэр, который осуществляет двухсторонний контроль трафика с целью предотвращения несанкционированного доступа к компьютеру.
2. Антивирус. Модуль для поиска и обезвреживания вредоносного ПО разного типа, включая программы-шпионы.
3. Детектор атак. Является решением класса IDS (Intrusion Detection Systems – система обнаружения вторжений). Используется для предотвращения наиболее распространенных типов сетевых атак.
4. Локальная безопасность. По сути, является системой проактивной защиты, которая контролирует активность программ и может ограничивать выполнение ими потенциально опасных действий.
5. Веб-контроль. Модуль предназначен для защиты от различных интернет-угроз. С его помощью можно блокировать рекламу, вести список нежелательных сайтов, блокировать работу некоторых приложений (например, IM-клиентов), предотвратить передачу личных данных через браузер.
6. Антиспам. Система блокирования незапрошенной рекламной корреспонденции на основе байесовского фильтра.

Системные требования Security Studio Endpoint Protection

Минимальные системные требования для установки Security Studio Endpoint Protection.

• процессор 450 МГц;
• оперативная память: 384 Мб;
• свободное место на жестком диске: 350 Мб;
• операционная система: Microsoft Windows 2000/XP SP3/2003 SP2/Vista SP1/2008.

Для работы модуля "Антиспам" необходим один из следующих почтовых клиентов:

• Microsoft Outlook 2000/2002/2003/2007;
• Microsoft Outlook Express 5.5/5.0/6.5;
• Vista Mail;
• The Bat!

Возможности Security Studio Endpoint Protection

Security Studio Endpoint Protection обеспечивает защиту компьютера от различных ИТ-угроз. Для этого в нем реализованы следующие возможности.

Защита от вредоносных программ

В Security Studio Endpoint Protection используется сканер, который постоянно работает в фоновом режиме, обнаруживает и удаляет вирусы и другие виды вредоносного программного обеспечения. Особо можно отметить наличие антишпиона, который блокирует деятельность spyware, а также почтового антивируса, осуществляющего мониторинг всей входящей корреспонденции.

Защита от несанкционированного доступа к компьютеру по сети

Реализованный в данном продукте межсетевой экран является надежным, но в то же время достаточно простым средством блокирования нежелательного трафика. В нем реализованы все необходимые возможности, включая несколько уровней защиты, обучающий режим для удобной настройки, режим невидимости (режим блокировки запросов к портам), черный список IP-адресов и пр.

Работа с внешним антивирусом

У Security Studio Endpoint Protection есть специальная версия, в состав которой не входит модуль для защиты от вредоносного ПО. При ее использовании антивирусная защита осуществляется продуктом другого разработчика. Эту версию можно рассматривать как хорошее средство экономии для компаний, у которых уже есть антивирусные продукты.

Защита от сетевых атак разных типов

В рассматриваемой системе реализована полноценная IDS, которая позволяет предотвращать наиболее распространенные виды атак: DDoS, IP-спуфинг, ARP-флуд, подмену IP-адреса, подмену MAC-адреса и т.п. При этом администратор имеет возможность настроить действия системы при обнаружении попыток проведения атак на компьютер.

Защита от неизвестного вредоносного ПО

Для обеспечения безопасности компьютера от неизвестного на текущий момент вредоносного ПО в Security Studio Endpoint Protection используется проактивная защита. Она основана на анализе действий, выполняемых разными приложениями, с целью выявления среди них потенциально опасных операций. Для этого программа содержит в себе описание 12 различных способов проникновения вредоносного ПО в систему.

Обеспечение безопасной работы в Интернете

В рассматриваемой программе реализован целый модуль для защиты компьютера во время посещения сайтов. Он способен блокировать различные интерактивные элементы веб-страниц, которые могут представлять собой угрозу: сценарии Java, VB, ActicveX, Flash-скрипты и пр. Кроме того, система позволяет предотвращать передачу личных данных через браузер.

Блокировка рекламы

Security Studio Endpoint Protection может "вырезать" с посещаемых пользователем сайтов различные виды рекламы: простые баннеры, GIF-анимации, Flash-вставки и т.п. Это позволяет уменьшить время загрузки веб-страниц и сократить потребляемый трафик.

Блокирование спама

В рассматриваемой системе реализован байесовский фильтр, который после небольшого предварительного обучения на нормальной и незапрошенной корреспонденции может с высокой степенью эффективности блокировать поступление рекламных писем. Отличительной особенностью модуля антиспама является поддержка не только почтовых клиентов Microsoft, но и весьма популярного в нашей стране The Bat!.

Процесс установки Security Studio Endpoint Protection

Как мы уже говорили, сегодня мы будем рассматривать только клиентскую часть Security Studio Endpoint Protection, которая может быть развернута и настроена не только с помощью модуля управления, но и как обычное программное обеспечение. Именно этот процесс мы и будем разбирать. В качестве примера мы выбрали одну версию – 32-битную Security Studio Endpoint Protection с антивирусом. Работа с другими вариантам осуществляется схожим образом.

Итак, запускаем дистрибутив и дожидаемся появления начального окна и нажимаем на кнопку "Далее".

Рисунок 1: Начальное окно мастера установки Security Studio Endpoint Protection

Следующий этап – чтение и принятие лицензионного соглашения. Тут ничего необычного нет, устанавливаем переключатель в положение "Я принимаю условия соглашения" и нажимаем на "Далее".

Рисунок 2: Принятие лицензионного соглашения

Далее нам предлагается ввести адрес сервера лицензирования и обновления, а также идентификационный номер покупателя. Все эти данные можно получить у продавца, у которого была приобретена лицензия.

Рисунок 3: Ввод адресов адреса сервера лицензирования и обновления

Обратите внимание, что если Интернет "раздается" через прокси-сервер, то его необходимо настроить. Для этого нажимаем на кнопку "Настройки прокси-сервера" и в открывшемся окне указываем необходимые параметры.

Рисунок 4: Настройка прокси-сервера

На следующем этапе осуществляется указание папки, в которую будет инсталлирована программа. В принципе, можно оставить предлагаемую по умолчанию или же выбрать другую с помощью стандартного диалога Windows.

Далее необходимо решить, будет программа при установке загружать последние обновления Security Studio Endpoint Protection или нет. Если подключение к Интернету есть, то конечно лучше ответить на этот вопрос положительно.

Рисунок 5: Выбор загрузки обновлений в процессе установки

После нажатия на кнопку "Установить" начинается процедура инсталляции. Она может занять некоторое время, которое зависит от свободных вычислительных ресурсов компьютера.

Рисунок 6: Выполнение процедуры инсталляции

После завершение операции программа предлагает выбрать уровень безопасности: повышенный или обычный. В принципе, в подавляющем большинстве случаев достаточно второго варианта. Повышенный уровень предназначен для продвинутых пользователей и может требовать от них некоторых знаний в области ИБ.

Рисунок 7: Выбор уровня безопасности

На следующем этапе нужно выполнить предварительную настройку системы защиты. Для этого выбираем в выпадающем списке пункт "Автоматически создавать и обновлять правила" и при необходимости включаем режим обучения (в корпоративных системах с массовым распространением правил он не нужен). Если вы хотите, дополнительно можно согласиться принять участие в программе улучшения ПО. Речь идет о сообществе ImproveNet, которое обеспечивает автоматическое распространение правил брандмауэра.

Рисунок 8: Первоначальная настройка

Далее программа сама запускает процедуру настройки.

Рисунок 9: Выполнение процедуры настройки

А нам остается просто дождаться ее завершения.

Рисунок 10: Сообщение об успешном завершении настройки

И перезагрузить компьютер.

После перезагрузки компьютера защита начинает работать. Стоит отметить, что она сразу практически полностью сконфигурирована и пригодна для большинства пользователей. Так что никаких дополнительных действий уже можно не предпринимать.

Работа с Security Studio Endpoint Protection

Работа с Security Studio Endpoint Protection осуществляется с помощью специального окна, вызываемого двойным кликом мышки по иконке программы, расположенной в системном трее. Это окно состоит из нескольких вкладок, каждая из которых посвящена тому или иному инструменту защиты. На заглавной странице выводится состояние всех компонентов, а также базовая информация о лицензии.

Рисунок 11: Главная вкладка окна Security Studio Endpoint Protection

Следующая вкладка посвящена брандмауэру и детектору атак. На ней отображается режим их работы, а также основная статистическая информация: количество активных приложений, открытых сетевых соединений, заблокированных атак и пр.

Рисунок 12: Вкладка брандмауэра и системы обнаружения атак

Далее идет так называемая локальная безопасность. Под ней понимается целый комплекс мер по предотвращению проникновения вредоносного ПО на компьютер, передачи в сеть конфиденциальной информации и пр.

Рисунок 13: Вкладка локальной безопасности

Четвертая вкладка полностью посвящена антивирусному компоненту. На ней отображается режим работы защиты, дата выпуска сигнатур, а также статистическая информация: число проверенных объектов, использование кэша SmartScan (технология ускорения проверки на вирусы) и пр.

Рисунок 14: Вкладка антивируса и антишпиона

Следующая вкладка называется "Веб-контроль". Она предназначена для мониторинга состояния инструментов, обеспечивающих защиту от потенциально опасных интерактивных элементов сайтов, а также от передачи личной информации в Интернет.

Рисунок 15: Вкладка "Веб-контроль"

Далее идет вкладка, посвященная антиспаму. Как всегда, на ней отображается режим работы данного инструмента защиты, а также статистика: число обработанные писем, количество отфильтрованного спама и т.п.

Рисунок 16: Вкладка "Антиспам"

Ну и, наконец, последняя вкладка – "Журнал событий". На ней самой отображаются лишь режим настройки, а также ссылка на папку с файлами логов и команда на их очистку. Однако, если развернуть ее, то можно увидеть еще ряд вложенных вкладок, на которых можно просмотреть различные типы событий.

Рисунок 17: Журнал внутренних событий

Для продвинутых пользователей существует специальный расширенный вид главного окна. При переходе к нему появляется ряд дополнительных вкладок, с помощью которых можно просмотреть текущую сетевую активность, открытые порты, активные процессы и т.д.

Рисунок 18: Расширенный вид главного окна

Итак, как мы видим, главное окно Security Studio Endpoint Protection предназначено только для просмотра информации о компонентах защиты. Их настройка осуществляется отдельно.

Рисунок 19: Окно настройки Security Studio Endpoint Protection

Окно настройки также состоит из ряда вкладок, которые предназначены для ввода параметров различных инструментов. Стоит отметить, что некоторые из них должны изменяться только специалистами. Так, например, в разделе "Правила для приложений" можно включить или, наоборот, отключить разные способы контроля над передачей различными приложениями данных в Интернет. Естественно, для этого необходимо обладать определенными знаниями.

Рисунок 20: Настройка способов контроля над передачей данных в Интернет

Другие параметры достаточно просты. Например, любой пользователь может установить уровень антивирусной защиты, начиная с облегченного (минимальная степень защиты и минимальная нагрузка на компьютер) и заканчивая максимальным.

Рисунок 21: Выбор уровня антивирусной защиты

Таким образом, Security Studio Endpoint Protection – достаточно универсальное средство защиты. С одной стороны, данная программа может выполнять свои функции практически без какой-либо первоначальной настройки. Точнее, настройка осуществляется автоматически и с помощью технологии ImproveNet. А если пользователя что-то не устраивает, он может изменить параметры с помощью нескольких переключателей. С другой стороны, в программе предусмотрена возможность очень гибкой настройки различных инструментов защиты. Благодаря этому специалисты в области ИБ  могут тонко настраивать продукт для соответствия его корпоративной информационной системе.

Выводы

Итак, как мы сегодня убедились, Security Studio Endpoint Protection – полноценное решение класса Internet Security, с помощью которого можно решить весь спектр задач по защите компьютера от внешних угроз. Причем речь идет не только о классических вирусах и троянских конях, но и о шпионском программном обеспечении, хакерских атаках различных типов, веб-угроз и даже спама.

Помимо "традиционных" решений в нем реализованы и некоторые дополнительные возможности, существенно облегчающие настройку и эксплуатацию системы защиты. В частности, можно отметить поддержку технологии ImproveNet, которая обеспечивает автоматическое получение правил брандмауэра для самого разнообразного ПО, наличие режима обучения и пр.

Однако главной особенностью Security Studio Endpoint Protection, выделяющей его среди конкурентов, является наличие сертификатов ФСТЭК. Они являются не только подтверждением качества и надежности защиты, обеспечиваемой данным продуктом, но и позволяют использовать его в информационных системах компаний, в которых ведется обработка персональных данных.

Как отмечалось выше, в арсенале Security Studio Endpoint Protection имеется лицензированные технологии от компании Agnitum, которые включают отлично зарекомендовавшие себя фаерволл и HIPS.

Другим не менее важным преимуществом Security Studio Endpoint Protection является возможность централизованного управления системой защиты, развернутой на компьютерах локальной сети. И хотя в этом обзоре мы ее не рассмотрели, обязательно стоит отметить, что с ее помощью можно решить весь спектр задач, начиная с удаленной массовой установки Security Studio Endpoint Protection на рабочие станции и заканчивая их конфигурированием и удалением.

К недостаткам клиентской части Security Studio Endpoint Protection можно отнести врожденную ориентацию лицензированных у Agnitum технологий на персональное использование. Например, наличие персонального антиспама попросту избыточно, а работа с продвинутым фаерволлом или HIPS, может вызвать затруднения у корпоративных пользователей.

Обзор Security Studio Endpoint Protection (часть 2)