Nova generacija varnostnih rešitev za računalniške postaje - McAfee Endpoint Protection 10.5 Intel Security, vodi
Intel Security, vodilni dobavitelj varnosti z najobsežnejšo ponudbo vseh vrst rešitev za zaščito vseh vrst in velikosti strank, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,
predstavljata sedaj zares tisto pravo "next-gen" rešitev za zaščito delovnih postaj v podjetjih - Endpoint Protection 10.5. Veliko in kar vse naenkrat bi radi povedali o novi strategiji, arhitekturi in zmogljivostih, a najprej se pomenimo o malce kontroverzni stvari, in sicer o položaju McAfeeja v Gartnerjevem magičnem kvadrantu. Še pred dobrim letom je bil McAfee med vodilnimi ponudniki tržne analize "Endpoint Protection Platform Magic Quadrant", že v naslednji pa so ga premaknili med izzivalce, kar je seveda vznemirilo kar nekaj (potencialnih) kupcev in še dandanes razburja nekatere duhove. Gartner in McAfee sta posledično izmenjala precej informacij, da bi si drug drugemu razjasnila situacijo, na koncu je Intel McAfee sporočil naslednja dejstva:
V času testiranja so Gartnerjevi analitiki še vedno uporabljali starejše verzije rešitve pred 10.5 (10.2 idr.), s katerimi tudi pri McAfeeju niso bili čisto zadovoljni, namreč, arhitektura, ki so si jo zamislili za novo generacijo rešitve, je bila v celoti izoblikovana in pripravljena za različico 10.5.
Gartnerjeve analize temeljijo tudi na poslovnih rezultatih in napovedih za prihodnost podjetja, v tem primeru so se analitiki zaskrbeli in svetovali previdnost zaradi napovedane Intelove odprodaje 51 odstotkov delnic McAfeeja, kar je močno, a po trditvah McAfeeja neupravičeno vplivalo na umik podjetja iz segmenta vodilnih ponudnikov.
Različica 10.5 se je izkazala odlično na neodvisnih testiranjih v NSS Labs.
Z vključenimi vsemi funkcionalnostmi lahko McAfee Endpoint 10.5 prepozna 100 od 100 realnih škodljivih vzorcev s spletne strani TestMyAV.
Nova strategija rešitev za zaščito delovnih postaj
Sedaj, ko smo to pojasnili, lahko preklopimo na tiste zares zanimive stvari. Govorimo o varnostni rešitvi za zaščito delovnih postaj za podjetja in organizacije, ne za potrošnike, ki vključuje tudi opcionalno centralno upravljanje namestitev na večji množici računalnikov. 'Delovna postaja' je nekoliko neroden izraz, termin 'endpoint' obsega tudi strežnike, saj ščitimo končne sisteme kot samostojne entitete enako učinkovito če so delovne postaje ali strežniki. Zmogljivost pa ne pomeni tudi kompleksnost, Endpoint Security 10 je na izboru "AV-TEST Best Usability 2015 Award" prejel priznanje namenjeno samo najbolj uporabniško prijaznim rešitvam za podjetja.
Zakaj nova strategija?
Do leta 2016 se je varnostna situacija spremenila tako, da funkcije klasičnih rešitev več niso dovolj, antivirusi so pozabljeni, sprijaznimo se s tem, da čisto vseh napadov ni mogoče preprečiti, treba je predvsem pravočasno odkriti in ukrepati. Intelova nova varnostna strategija poenoti zaščito, prepoznavanje in potem ustrezno prilagoditev tveganj ter groženj, deluje v realnem času in je upravljana iz centra za učinkovito izmenjavo informacij med vsemi komponentami. Na podlagi povratne informacije se sproti razvija, se uči in prilagaja novim grožnjam. Nova strategija predvideva neprekinjen cikel delovanja varnostnih rešitev, kot je prikazano na simbolični shemi.
PROTECT - minimizacija verjetnosti vdora - naša prva odgovornost je zaščita informacijskega okolja pred napadi; biti mora kolikor se le da dobra, vendar ji ne moremo 100-odstotno zaupati, slej ko prej bo prišlo do uspešnega vdora v sistem, zato je še bolj pomembno...
DETECT - omejitev zlorabe, odkrivanje prve žrtve - učinkovito in predvsem pravočasno prepoznavanje naprednih vse bolj novih načinov vdorov, ki jih je procentualno najmanj, a hkrati najtežje in zato včasih tudi nemogoče zaustaviti; podjetja brez napredne zaščite so hekerje v svojem omrežju zaznala šele po 100 ali več dnevih, to si več ne moremo privoščiti.
CORRECT - omejevanje posledic in stroškov - triaža in učinkovito proti-ukrepanje po zaznanem napadu zagotovi čim manjše posledice, škodo, zmanjševanje potencialnih stroškov.
ADAPT - obveščanje in posodabljanje - najpomembnejši element nove strategije varnostnih rešitev je povratna informacija, po zaznanem in uspešno rešenem napadu je treba nove ugotovitve uveljaviti na celotni varnostni infrastrukturi, s tem si zagotovimo še hitrejše ukrepanje v bodoče in dokaj verjetno celo uspešno zaustavljanje morebitnih podobnih napadov.
Popolna zaščita - s samo Endpoint Security rešitvijo seveda ni mogoče vzdrževati celotne varnosti kompletnega i informacijskega sistema v podjetju oz. 100-odstotno onemogočiti zlorabo končne točke. Za 100-odstotno zaščito je potrebne večji ekosistem več varnostnih rešitev različnih tipov, ki ga pri McAfeeju imenujejo Dynamic Endpoint Protection, sestoji pa se iz:
McAfee Endpoint Security 10 - aktivna zaščita na končnih točkah vseh vrst - Windows, Windows Server, Windows Embedded, MacOS 10.5 ali novejši, Linux 32- in 64-bit, Citrix Xen App in Citrix Xen Guest.
TIE - komunikacijski podsistem za hitro tako rekoč trenutno izmenjavo informacij med mnogimi raznolikimi varnostnimi rešitvami (Threat Intelligence Exchange); TIE zmanjšuje okno ranljivosti na najnovejše napade iz več dni ali tednov na le nekaj mikrosekund za vse sisteme v okolju.
McAfee Active Response - orodje za aktivno odkrivanje indikatorjev napadov na končnih točkah ponuja tudi storitve za hitro alarmiranje in proti ukrepanje; na razpolago je tudi kot opcijski dodatek za Endpoint Security.
McAfee Web Gateway + Client Proxy - velika večina naprednih napadov pride do končnih toč preko svetovnega spleta, četudi so sproženi npr. z kombiniranimi napadi, ki se pričnejo v sporočilih elektronske pošte s škodljivimi povezavami, datotekami ali phishingom. Popolna strategija zaščite končnih točk mora zato vsebovati tudi namensko rešitev za zaščito spletnega prometa na nivoju točke prehoda kakor tudi klienta za uveljavljanje to storitve na končni točki.
ATD - v povezavi z zaščitami spletnega (ali e-poštnega) prometa delujejo rešitve za napredno zaščito na podlagi preverjanja aktivnosti snetih datotek v zaprtih navideznih okoljih, to je ti. sandboxing.
ePO - vse rešitve so povezane v ekosistem na eni strani s skupno bliskovito izmenjavo varnostnih informacij - TIE - na drugi strani pa združene v enotno orodje za centralno spremljanje, upravljanje, alarmiranje in poročanje o delovanju ekosistema, to je McAfee e-Policy Orchestrator ali ePO.
Nova arhitektura
UPRAVLJANJE
Rešitev upravljamo z McAfee ePO, orodjem za centralno enotno spremljanje in upravljanje vseh varnostnih rešitev iz enega mesta, nameščen je lahko ali lokalno ali kot ePO v strežniškem oblaku, posamezne Endpoint namestitve lahko upravljamo tudi z vgrajenim samostojnim grafičnim vmesnikom.
MODULI / SKUPNE KOMPONENTE
Endpoint Security 10 temelji na treh osnovnih in eni dodatni tehnologiji: Threat Prevention, Web Control, Firewall ter Adaptive Threat Protection. Osnovna principa Endpoint Security 10.5 sta modularnost in deduplikacija funkcionalnosti, zato so štiri tehnologije predstavljene s štirimi samostojnimi moduli, ki vsi uporabljajo iste skupne oz. deljene komponente. Zato lahko vse štiri module upravljamo z enim in istim grafičnim vmesnikom in vsi imajo skupno komponento za zaščito obratovanja z geslom, medtem ko je bilo npr. v stari arhitekturi treba vsakemu posebej nastavljati gesla in delati z ločenimi vmesniki. Te iste skupne komponente bodo uporabljali tudi še prihajajoči moduli. Med velikimi prednostmi oz. pomembni lastnostmi lahko omenimo še "zero impact user scans", inženirji so se namreč močno trudili izboljšati varnostno pregledovanje sistema tako, da ima za uporabnika praktično neopazen vpliv na odzivnost računalnika. Nov način pregleda lahko na primer deluje zares izključno takrat ko je računalnik neaktiven, to je takrat, ko ni nobenega pisanja na ali branja podatkov iz trdih diskov, čim pa se požene kaka druga aktivnost, pa se pregled začasno zaustavi in nato spet nadaljuje točno od tam, kjer se je prekinil, enako se pregled brez težav nadaljuje iz vmesne točke tudi v primeru zaustavitve in ponovnega zagona delovne postaje.
Kot lahko sklepamo, Threat Prevention modul je zelo napreden oz. iz nekdaj klasičnega protivirusnega pogona nadgrajen funkcionalni modul za odkrivanje in preprečevanje največjega števila nevarnosti, ali v sprotnem času, ali z rednim oz. ročno sproženim pregledovanjem vsebine delovne postaje. Raje kot o tem, ali Firewall, ali Web Control modulu bomo govorili o bolj naprednih zadevah, a eno stvar je tukaj morda obvezno še omeniti. Namreč - učinkovito preprečevanje zlorab - exploit, to je prve stopnje napada na računalniški sistem, kjer poskuša zlikovec zlorabiti pomanjkljivost v neki legalni komponenti delovne postaje, delu operacijskega sistema ali aplikacije. Najbolj običajne poti za zlorabo so prelivanje glavnega ali vmesnega pomnilnika - buffer ter memory overflow. Novi protivirusni pogon je zelo dober pri odkrivanju teh vrst aktivnosti.
Modul: Adaptive threat prevention
Na glavo postavljena piramida s te slike prikazuje napade na končne točke. Na vrhu so najbolj pogosti, a hkrati tudi najpreprostejši napadi. To so napadi, ki prihajajo v velikih količinah in jih zmorejo prepoznati tudi najbolj osnovne protivirusne rešitve, namen takih napadov je preizkusiti zaščito milijonov delovnih postaj in če le na peščici izmed njih napad uspe, ker sploh niso bile zaščitene, je cilj in trud napadalcev že poplačan. Nižje proti špici piramide kot gremo, bolj sofisticirani so napadi, težje jih je zaustaviti, še težje pravočasno odkriti. V spodjem delu so tako imenovane napredne (advanced) ali napredne-trajne (advanced-persistent) ali mešane (blended) groženja, ali pač katerokoli drugo ime zanje bo popularno v letu 2017 in v prihodnje. Slika pa hkrati prikazuje tudi kateri deli McAfee Endpoint rešitve so odgovorni za odkrivanje katerih vrst groženj. Modul ATP je namenjen za najbolj napredne in najbolj nevarne grožnje. Z ATP po navadi označujemo en razred varnostnih rešitev Advanced Threat Protection, to so običajno rešitve, ki delujejo na podlagi tehnologij poganjanja potencialno škodljivih vsebin v izoliranih navideznih strojih, to je ti. sandboxing. ATP modul v okviru McAfee Endpoint Security je primerljiv s temi rešitvami, čeprav ne izvaja dejansko sandboxing funkcionalnosti oz. ne poganja vsebin v navideznih strojih, vseeno pa je sposoben analizirati obnašanje potencialno škodljivih objektov oz. jih omejiti od preostalega okolja delovne postaje.
ATP modul je predstavljen s spodnjimi tremi preko piramide napisanimi funkcionalnostmi, ki lahko preučijo objekt preden se ga požene v primeru zagonske kode ali odpre v primeru da je objekt kak drug tip dokumenta. A to še ni nič, ATP modul spremlja sistem in lahko tudi omeji morebitne posledice medtem, ko je objekt aktiven, se pravi potem ko se ga požene ali odpre, za kar skrbita komponenti Real Protect (RP) ter Dynamic Application Containment (DAC). DAC se sproži ob zagonu objekta, a le če drugi indikatorji (npr. reputation) ne dajejo dovolj zagotovil da bo objekt varen. Je zelo napredna a "ne posebej inteligentna" funkcija, pomeni da ne deluje na podlagi kakih AI algoritmov temveč na podlagi relativno enostavno obvladljivih pravil kot so - "ali je prišlo do prelitja pomnilnika?", "ali se na disku kreira nova zagonska datoteka?", "ali se dostopa do drugemu procesu pripadajočega delovnega pomnilnika?", "ali se spreminja dele OS-a kot so Windows Registry ali sistemske mape?", ter mnoge druge. Če DAC odkrije anomalijo lahko posreduje objekt do prave ATD sandboxing rešitve (lokalne ali v oblaku) ali do Active Response, in posledično blokirana nadaljnje aktivnosti, pomaga odkriti in omejiti prvo okuženo delovno postajo, ali pa obvesti vse druge dele varnostnega sistema o na novo odkritem škodljivem objektu.
RP je po drugi strani aktiven pred in po aktivaciji sumljivega objekta. Funkcionalnosti sproženi pred aktivacijo rečemo statična, funkcionalnosti po aktivaciji pa dinamična sprotna zaščita pred aktivnostmi potencialno škodljivega objekta. Glavni princip Real Protect komponente je magična fraza varnostnih rešitev za leto 2017 - machine learning! Tudi ta funkcija se sproži le, če je objekt sumljiv. Nato se podrobno beležijo vsi pomembni sistemski dogodki za časa aktivnosti objekta, potem pa se pošljejo v GTI storitev v strežniškem oblaku. Tam poteka glavni del strojnega učenja v okviru te tehnologije, strežniški oblak primerja lokalne ugotovitve s celotno bazo podatkov in ugotovitev pri drugih škodljivih objektiv, na podlagi tega lahko sklepa, ali tudi ta spada v enako nevaren razred, med tem pa se še nauči kaj novega. Rezultati se trajno hranijo v strežniškem oblaku, ugotovitev pa se pošlje do izvorne delovne postaje, kjer lahko lokalni McAfee Endpoint Security sedaj ta objekt omeji oz. ga de-aktivira ter prične z avtomatskim oz. sproži alarm za ročno čim hitrejše odstranjevanje posledic. Da, nekaj se je sicer zgodilo, a, kot vemo, pri današnjih najnaprednejših napadih osnovne okužbe pogosto enostavni ni mogoče preprečiti, pomembna je čim prejšnja omejitev in odstranjevanje posledic. Ravno tukaj se odlično izkažeta funkcionalnosti DAC in RP modulov, ki omogočata kar se le da hitro odkritje naprednega napada in učinkovito omejitev posledic ter kar se le da neprekinjeno obratovanje delovnih postaj, ne glede na morebitne trajno targetirane napade usmerjene proti točno naši organizaciji.
McAfee Endpoint Security - prodajni paketi
Novi suiti Endpoint Security rešitev sta Endpoint Threat Protection ter Complete Endpoint Threat Protection, pri čemer je bistveno predvsem to, da le drugi paket vsebuje tudi ATP modul (Dynamic Application Containment ter Real Protect).
McAfee Active Response ni del nobene suite, lahko pa se dokupi ne glede na izbrani osnovni paket.
Avtor / prevod: Robert Lubej
Povezava do domače strani:
https://www.mcafee.com/uk/products/endpoint-protection/index.aspx
### ### ###
O podjetju Intel Security
Intel Security, del korporacije Intel, je eden od vodilnih in predvsem največjih ponudnikov varnostnih rešitev na svetu, kar dokazuje z velikim tržnim deležem in širokim naborom izdelkov. Preverjeni proaktivni varnostni produkti in storitve vseh vrst - zaščita končnih točk, varnost elektronske pošte in spletnega prometa, požarne pregrade in preprečevanje vdorov, SIEM ter druge varnostne rešitve in storitve v oblaku so namenjene zaščiti sistemov, omrežij in posameznih računalnikov ter prenosnih naprav. Z v hiši razvitimi inovativnimi rešitvami za domače uporabnike, podjetja, javne organizacije in ponudnike storitev se zagotavlja informacijska varnost, skladnost, preprečuje prekinitve v poslovanju, ohranja integriteto poslovnih podatkov, odkriva ranljivosti, nadzira in izpopolnjuje varnost sistemov.
Kupci rešitev Intel Security so največje vladne organizacije in mednarodne korporacije, a tudi milijoni domačih uporabnikov in družinskih podjetij. Za podjetjem je dolgoletna tradicija, velik del Intel Security je namreč nastal iz nekdanjega podjetja McAfee, ustanovljenega že leta 1987 kot prva komercialna proti-virusna rešitev, katerega je Intel prevzel leta 2011 in potem postopoma ukinil ime blagovne znamke.
Več o podjetju najdete na spletnih straneh: http://www.intelsecurity.com/
Dodatne informacije:
Matic Knuplež, PreSales Engineer
REAL security d.o.o.
Žolgarjeva ulica 17
2000 Maribor
tel.: 02 234 74 74