Archive | July 2014

McAfee совершенствует защиту конечных точек

Перерождение Endpoint Security

В данный момент в стадии активного beta-тестирования находится новое решение McAfee Endpoint Security Version 10. С целью оптимизации производительности, усиления защиты и упрощения контроля разработчики внесли ряд изменений, который существенно преобразил комплект продуктов для защиты конечных точек. Давайте посмотрим на отличия.

eps_oldvsnew2
Прежде всего, помимо нового интерфейса (о нем поговорим отдельно) в глаза бросается объединение отдельных модулей защиты в подкатегории. На данный момент настройки защиты разделены между категориями:

  • Threat Prevention (антивирус, защита от эксплойтов)
  • Firewall (контроль сетевых соединений, основанный на HIPS)
  • Web Control (веб-фильтрация на базе SiteAdvisor)

В ближайшее время функционал McAfee Endpoint Security будет усилен за счет добавления существующих решений, таких как Application Control, Device Control (DLP Endpoint) и других. Важно отметить, что разработчики не просто собрали воедино разные модули и переделали интерфейс. Переработке подвергся фреймворк «фундамента» решений – сам McAfee Agent, что позволило обеспечить возможность интеграции отдельных компонент между собой. Такая «эшелонированная» система защиты позволяет компонентам обмениваться информацией об угрозах, за счет чего становится реальным проактивный подход при отражении комплексных атак. Помимо изменения архитектуры разработчики усилили потенциал защиты каждого блока, о которых мы поговорим далее.

Раз уж мы затронули интерфейс решения, стоит отметить, что новый GUI призван упростить настройку различных компонент, за счет того, что настройки всех модулей теперь доступны в одном окне. Что не менее важно, разработчики внесли изменения в механизм отображения событий. Во-первых, все события с разных модулей собираются вместе, единым списком.

settings

Во-вторых, теперь пользователь/администратор легко могут отфильтровать события по уровню важности или по отдельному модулю (для сравнения: в текущих пакетах EPS события каждого модуля доступны только из его отдельной консоли).

events

Прежде чем, приступать к описанию отдельных модулей защиты хотелось бы упомянуть изменения в модели управления/развертывания. Решения (пакеты EPS, VSE, HIPS и т.д.), существующие на данный момент, допускают три сценария развертывания:

  • Без централизованного управления (т.н. standalone);
  • Управление через локально развернутую консоль ePO;
  • Управление через Security Center, «облачную» консоль (SaaS EPS).

McAfee Endpoint Security 10 расширяет этот перечень, добавляя возможность управления через консоль еРО, которая развернута в «облаке». Преимущество этого нововведения состоит в том, что «облачная» еРО гораздо удобнее и функциональнее той панели управления, которая используется для SaaS EPS. Таким образом, новое решение поддерживает целых четыре сценария развертывания/управления.

deployment

Теперь давайте рассмотрим каждый блок защиты отдельно.

Первым по списку идет Threat Prevention, который является улучшенной версией McAfee VisrusScan Enterprise. Данный блок отвечает за противодействие вирусным угрозам, однако в отличие от своего предшественника может похвастать двумя существенными преимуществами:

  • Усиленная защита от експлойтов (подробности технологий пока не разглашаются, из доступной документации ясно, что это будет своеобразный микс из технологий, которые поддерживаются на уровне ОС: DEP, ASLR с дополнением разработок McAfee+Intel);
  • Оптимизация сканирования по запросу (т.н. Zero-impact On-Demand Scanning)

scan2

Последний пункт лучше проиллюстрировать на примере: представьте себе, что пользователь занимается активной обработкой данных в своей системе, спустя некоторое время активируется запланированная ранее задача по антивирусному сканированию каталогов или всего жесткого диска. Обычно в такой ситуации пользователь наблюдает заметное понижение производительности, т.к. антивирусный движок начинает активно обращаться к файловой системе, задействуя при этом часть ресурсов (CPU, RAM). Фактически у пользователя есть выбор – либо смириться с падением производительности, либо отменить/отключить сканирование (к слову, большинство пользователей идут по второму пути). Действительно безопасность не должна мешать выполнению задачи, однако оставлять систему не просканированной тоже не есть правильно. Где же выход?
Разработчики McAfee оснастили блок Threat Prevention возможностью адаптивного сканирования, суть которого сводится к тому, что антивирусное ядро анализирует загрузку системы и в случае, если задача запланирована, а свободных ресурсов нет, антивирус не начинает отвоевывать процессы у программ запущенных пользователем. Однако это не означает, что сканирование будет пропущено – антивирусное ядро, входящее в комплект McAfee Endpoint Security 10 будет запускать сканирование в промежутках, когда пользователь не загружает систему или вообще отошел на некоторое время от своего компьютера. Как только нагрузка на систему возрастает – сканирование приостанавливается.
Ключевое отличие от существующих технологий – McAfee Endpoint Security анализирует загрузку ресурсов системы постоянно, а не единожды. Благодаря этому, антивирус использует любую лазейку для выполнения своих рутинных функций, при этом у пользователя не создается ощущения, что система «тормозит». Вот такое элегантное решение извечной борьбы между комфортом и защитой предлагают разработчики McAfee.

scan
Следующим по списку идет блок Firewall, который представляет собой переработанный модуль HIPS (host intrusion prevention system). Этот модуль защиты отвечает за контроль сетевого трафика как ОС в целом, так и запущенных приложений в частности. Помимо сетевой части к этому модулю относится система предотвращения вторжений, которая в последствии будет тесно интегрирована с Application Control («белые» списки) и Threat Prevention (VSE) («черные» списки). Таким образом, контроль запущенных приложений будет осуществляться более гибко за счет информации, которой модули будут обмениваться между собой.

firewall

Последний по списку, но не по значению блок Web Control. За его основу был взят модуль McAfee SiteAdvisor. Помимо расширенного анализа содержимого web страниц, данный компонент может похвастать встроенными web-категориями. В текущей beta-версии таких категорий пока 7, к релизу разработчики обещают добавить более 100. Благодаря этому, McAfee Endpoint Security упрощает web-фильтрацию конечных точек, особенно тех, которые находятся «в поле», т.е. вне локальной сети предприятия.

webcategories

Помимо вышеперечисленного разработчики обещают оптимизировать механизм обновлений с целью уменьшения нагрузки на каналы связи, возможность предоставления данных для криминалистического анализа отраженных киберугроз, а также упрощенное развертывание из локальной или «облачной» консоли еРО.
Пару слов об информации для криминалистического анализа (т.н. threat forensics), ведь несомненно этот функционал вызовет повышенный интерес среди технических специалистов.
Threat forensics data будет включать в себя:

  • вектор атаки (вложение почты, скрипт на сайте, инфицированный USB носитель и т.д.);
  • версию/разновидность штамма (троян, дроппер, руткит и т.д);
  • рекомендации по усилению защиты (изменить политики Threat Prevention, добавить правило в Firewall и т.д.)

Релиз Endpoint Security 10 ожидается в сентябре 2014 года.
Желающие поучаствовать в beta-тестировании могут зарегистрироваться тут.