Существует распространенное заблуждение о том, что работа антивирусных сканеров заключается именно в поиске файлов по базам, чтобы определить, является ли файл хорошим или нет. На самом деле, современные антивирусные решения выходят далеко за рамки сопоставления файлов с сигнатурами: применяют общие и эвристические методы обнаружения угроз.
Фактически, лучшие антивирусные движки предоставляют многочисленные методы выявления известных и неизвестных угроз. Файловая защита продуктов компании Symantec, является именно одной из таких технологий.
Файловая защита имеет довольно продолжительную историю, почти как один из краеугольных камней нашей технологии защиты. STAR продолжает инвестировать и развивать файловую защиту антивирусных решений Symantec, чтобы в компании могли обладать повышенными наработками на широком поле интернет-угроз. Наличие зараженных файлов на машине пользователя, является основным методом сохранения существования зловреда после первоначального заражения.
Для предотвращения подобного и существует файловая защита: именно она играет важную роль в выявлении, нейтрализации и удаления угроз с компьютеров наших клиентов. Основными направлениями защиты, которые обеспечивает наша файловая технология, являются:
Вредоносные программы и вирусы;
Направленные атаки, включая Advanced Persistent Threats (APT), троянские программы и общие угрозы Нулевого дня;
Атаки типа «Социальной инженерии»: FakeAV (поддельные антивирусы) и кодеки;
Боты и ботнеты;
Руткиты;
Вредоносные PDF-файлы и документы Microsoft Office (Powerpoint, Excel, Word);
Вредоносные файлы в архивах;
Программы-шпионы и Adware;
Кейлоггеры.
Для того, чтобы противостоять этим угрозам, четыре различных компонента формируют основу нашей файловой защиты: Антивирусное ядро, Автоматическая защита, движок ERASER, а также наши эвристические методы: Malheur и Bloodhound.
Уникальный сканирующий движок Symantec, развернут более чем на 350 миллионах машин. Это стабильный, высокопроизводительный движок, обеспечивающий безопасность от последних угроз. Движок часто обновляется при помощи LiveUpdate, что позволяет беспрепятственно реагировать на новейшие угрозы. Это позволяет нам актуализировать обнаружающую способность нашего продукта без требования полного обновления.
Файловый сканер Symanteс, обнаруживает угрозы в файловой системе в режиме реального времени. Сделанная на уровне ядра, Автоматическая защита является высокопроизводительным сканирующим движком, который защищает пользователя от новейших угроз, при этом не мешая ему. При записывании файлов на жесткий диск, срабатывает Автоматическая защита и ее компоненты: антивирус и движки Malheur и Bloodhound. Работая на низком уровне, Автоматическая защита позволяет заблокировать инфицированный файл до его запуска- прежде, чем он сможет заразить систему. Помимо защиты файлов, Автоматическая защита обеспечивает ключевую функциональность Download Insight - части нашей передовой технологии анализа репутации файлов.
Движок ERASER компании Symantec обеспечивает возможность ремонта и устранения угроз, найденных в системе пользователя. ERASER также отвечает за проверку драйверов и приложений при загрузке, чтобы исключить их зловредность. Чтобы убедиться в том, что наш продукт не «обманывается» руткитами или другим вредоносным ПО, ERASER имеет функционал прямого доступа к реестру и диску.
В дополнение к сигнатурному методу обнаружения, мы снабжаем продукт технологиями, которые могут «осудить» файл еще до того, как он был впервые обнаружен, если он обладает характеристиками зловреда. Защита на базе эвристики реализована в наших технологиях Malheur и Bloodhound. Эвристические сигнатуры способны определить неизвестные вредоносные программы на основе атрибута файла, при попытке использовать системные уязвимости, а также на основе общих действий, свойственных зловредным программам.
Каждый из последующих разделов подробно описывает технологии файловой защиты, присущие компонентам, описанным выше.
Широкая поддержка файлов
Сжатые файлы и файлы, находящиеся внутри других- один из примеров среди множества файловых типов, которые могут быть проанализированы на наличие скрытого вредоносного ПО. Неполный перечень доступных для анализа файлов включает в себя:
DOC, .DOT, .PPT, .PPS, .XLA, .XLS, .XLT, .WIZ, .SDW, .VOR, .VSS, .VST, .AC_, .ADP, .APR, .DB, .MSC, .MSI, .MTW, .OPT, .PUB, .SOU, .SPO, .VSD, .WPS, .MSG ZIP, .DOCX, .DOCM, .DOTX, .DOTM, .PPTX, .PPTM, .PPSX, .PPSM, .XLSX, .XLSB, .XLSM, .XLTX, .XLTM, .XLAM, .XPS, .POTX, .POTM, .ODT, .OTT, .STW, .SXW, .eml, .MME, .B64, .MPA,AMG, .ARJ, .CAB, .XSN, .GZ, .LHA, .SHS, .RAR, .RFT, .TAR, .DAT, .ACE, .PDF, .TXT, .HQX. .MBOZ, .UUE, .MB3, .AS, .BZ2, .ZIP, .ZIPX
Движок распаковки
В некоторых случаях, вредоносная программа использует «упаковщик», чтобы скрыть свои файлы и избежать попытки обнаружения технологией сопоставления файлов с базами. Наш движок распаковки имеет возможность:
Распаковывать исполняемые файлы;
- Распознавать сотни семейств пакера;
- Рекурсивно распаковывать файлы, которые были многочисленно упакованы, т.е. до достижения основного вредоносного файла.
Generic Virtual Machine
GVM позволяет коду быть выполненным в изолированной безопасной среде.
Байт-код на основе систем, таких, как Java или C#, позволяет чрезвычайно быстро производить новые защитные технологии- без зависаний и аварий приложения.
- Применяет экстремально сложную эвристику и «семейные» сигнатуры для зловредов на подобии Trojan.Vundo.
- Проводит все этапы сканирования для нетрадиционных файловых форматов: в т.ч. PDF, DOC, XLS, WMA, JPG и другие.
Анти-полиморфный движок
Включает в себя передовые технологии эмуляции CPU, с целью демаскировки вредоносного ПО.
Анти-руктит технологии
Symantec имеет 3 разные анти-руткит технологии, предназначенные для удаления даже самых упрямых руткитов, наподобие Tidserv и ZeroAccess. Техники включают в себя:
Прямой доступ к тому диска и прямое сканирование кустов реестра;
- Сканирование памяти ядра.
Движок анти-трояна
Включает в себя технологии хеширования, которые позволяют безостановочно сканировать на наличие миллионов троянов и шпионских программ, делая это буквально за микросекунды времени.
Находит и извлекает регионы ключевых файлов, которые содержат следы и логику зловредов;
- Обрабатывает криптографические хеш-файлы каждого раздела, и производит их поиск в базе «отпечатков»;
Движок Photon
Использует «размытые» сигнатуры для выявления как известных, так и новых, неизвестных вариантов вредоносных программ.
Сканирует файлы, одновременно используя сотни тысяч «размытых» сигнатур, кардинально улучшая производительность сканирования;
- «Размытые» сигнатуры позволяют детектировать абсолютно новые вредоносы, практически в момент их появления
Движок расширенной эвристики
Проводит более десятка различных эвристических поисков на наличие подозрительных характеристик.
- Все подозрительные файлы соотносятся с облаком Symantec и списками доверенных цифровых подписей.
- Движки используют контекст для регулировки эвристической чувствительности; в т.ч. эвристика относится с большим подозрением к только что загруженном файлу, нежели к уже установленному.
В следующей статье мы рассмотрим уровень "Сетевая защита".
По материалам Symantec
Нашли опечатку? Нажмите Ctrl + Enter
Symantec Endpoint Protection 14 это высокотехнологичное, комплексное решение для антивирусной защиты рабочих станций и серверов. Высокий уровень безопасности и быстродействия, поддержка физических и виртуальных систем. Интеграция в одном решении всех необходимых компонентов для обеспечения безопасности, без увеличения нагрузки на систему.
Описание функций
Компоненты
Сервер управления клиентами, установленными на рабочих станциях пользователей. Отвечает за контроль и управление корпоративной политикой безопасности в организации.
Работа с сервером осуществляется с помощью консоли управления, которая может быть установлена непосредственно на сервере или на любом удаленном компьютере, подключенном через сеть к серверу. Операции с консолью сервера управления могут быть выполнены, как через специально установленное приложение, так и через Web браузер. Это позволяет администраторам, находясь вне офиса, работать с Symantec Endpoint Protection Manager
.
Клиент Symantec Endpoint Protection устанавливается на сервера, рабочие станции и портативные компьютеры, которые требуется защищать. Обеспечивает защиту компьютеров с помощью сканирования на наличие вирусов и программ-шпионов, с помощью вышеуказанных технологий и функций.
Клиент Symantec Network Access Control обеспечивает выполнение требований политики безопасности на компьютерах клиентов путем выполнения проверок целостности хоста и применения средств самостоятельного контроля.
Symantec Protection Center позволяет интегрировать Endpoint Protection в единую среду управления с другими решениями Symantec, предназначенных для обеспечения безопасности. Устанавливается вместе с Symantec Endpoint Protection Manager .
Компонент LiveUpdate Administrator загружает описания, сигнатуры и обновления продукта с сервера Symantec LiveUpdate и распределяет обновления на клиентские системы.
База данных хранит политики безопасности и события. Устанавливается вместе с Symantec Endpoint Protection Manager .
Компонент Symantec Enforcer проверяет клиенты, подключенные к сети, на соответствие настроенным политикам безопасности.
Системные требования
Microsoft Windows
- Windows 10 (начиная с версии 12.1.6 MP1a) - Windows XP SP2, Vista, 7, 8 (32- и 64-разрядные)
- Windows Server 2003 R2, 2008, 2012 (32- и 64-разрядные версии)
- Windows Small Business Server 2011 (64-разрядный)
- Windows Essential Business Server 2008 (64-разрядный)
Mac OS
- Mac OS 10.11
- Mac OS X 10.8, 10.9 или 10.10 (32- и 64-разрядные версии)
- Mac OS X Server 10.5, 10.6, 10.7, 10
Linux
- Red Hat Enterprise Linux
- SuSE Linux Enterprise (server/desktop)
- Novell Open Enterprise Server
- Ubuntu
- Debian
- Fedora
- Oracle Linux
Облачные и виртуальные среды
- Windows Azure
- Amazon WorkSpaces
- Microsoft Windows Server 2008, 2012 и 2012 R2 Hyper-V
- Citrix XenServer 5.6 и более поздних версий
- Virtual Box by Oracle
- VMware WS 5.0, GSX 3.2, ESX 2.5 или более поздняя версия
- VMware ESXi 4.1-5.5
Призванный обеспечить комплексную защиту от атак злоумышленников на критически важные узлы физических и виртуальных дата центров. Новый релиз версии Symantec Data Center Security : Server Advanced (в прошлом известный как Symantec Critical System Protection), о котором и пойдет речь в данном обзоре, принес с собой новые улучшения, дополнительные возможности и расширенный ряд поддерживаемых программных платформ.
Помимо выше перечисленных возможностей, DCS:SA в своем составе инструментов содержит функции аудита, мониторинга и оповещения администраторов безопасности о целостности хостов и их соответствие нормативным требованиям стандартов безопасности в гетерогенных средах, например, таких как PCI DSS. А интеграция с SIEM системами предоставляет доступ к дополнительной информации о событиях системы и позволяет заблаговременно выявлять появление новых угроз.
Гибкость и масштабируемость архитектуры позволяет применять продукт независимо от сложности топологии защищаемой инфраструктуры, а также унифицированности программной среды. Стоит отметить, что сервер управления DCS:SA также поддерживает кластеризацию для решения задач в высоконагружей среде и fail-over режим для обеспечения отказоустойчивости и надежности.
Функции предотвращения использования эксплойтов, атак «нулевого дня», инъекций в исполняемый код и тому подробных, защищают операционную систему, работающие в ней приложения и сервисы посредством специальной оболочки – «песочницы» (sandbox ), создаваемой вокруг каждого набора сервисов и определяющей разрешенное ей безопасное поведение.
Кроме того, DCS:SA защищает хосты дата центра от атак злоумышленника направленных на попытку несанкционированной переконфигурации (Hardening) .
Централизованная консоль управления позволяет администраторам безопасности настраивать, развертывать и отслеживать политики безопасности, реагировать на предупреждения и создавать отчеты одновременно из нескольких платформ.
Продукт, представляет собой традиционную для таких решений клиент – серверную архитектуру, и состоит из 4 основных компонентов, наглядное изображение архитектуры представлено на Рисунке 1:
Рисунок 1. Архитектура SDCS:SA
Рассмотрим каждый компонент в отдельности:
Интересной особенностью является возможность использования агента в режиме unmanaged mode. В этом случае обеспечивается полностью автономная работа агента на защищаемых системах. Это особенно полезно при создании, например, апплайнсов или других закрытых систем. Например, компания Symantec таким образом защищает свои программно-аппаратные комплексы для резервного копирования NetBackup Appliance. До перевода в неуправляемый режим агент необходимо подключить к серверу управления, для назначения ему политик, и, затем переключить агент в Unmanagement режим. В этом режиме агент больше не пытается осуществлять подключение к серверу управления для передачи событий, сохраняя их локально (рисунок 2).
Рисунок 2. Схема взаимодействия приложений DCS:SA
DCS:SA призван работать в гетерогенной среде, поэтому разработчики Symantec учли все особенности тех платформ, в которых должна функционировать система защиты, обеспечивая баланс производительности и широкий ряд поддерживаемых операционных систем (см. рисунок 3). В случае невозможности установки агента на ОС, например в случае отстутствия ее в списке поддерживаемых или других требований - возможно использование виртуальных агентов, функционал которых ограничен только мониторингом систем.
Рисунок 3. Поддерживаемые DSC : SA платформы
Отстутствие поддержки более новых клиентских версий Windows объяснятся тем, что продукт DCS:SA ориентируется на защиту серверных ОС. Для защиты клиентских систем используется аналогичный продукт CSP: Client Edition (который планируется заменить на to Symantec Embedded Security: Critical System Protection, выход которого планируется на весну 2015 года). Именно в продукте Symantec Embedded Security: Critical System Protection будет сделан упор на поддержку большего спектра клиентских и встраевыемых (embedded) систем.
По заверениям разработчиков агенты, устанавливаемые на защищаемую систему, обладают низкой ресурсоемкостью, это 1- 6 % потребления ЦП, до 80 Мб занимаемой ОЗУ и от 100 Мб на жестком диске (во многом кол-во требуемого пространства зависит от того, сколько событий создает система и как часто эти события планируется передавать на сервер управления) (см. рисунок 4).
Рисунок 4. Потребление ресурсов агентской частью
В официальной спецификации указаны следующие системные требования (см. рисунок 5):
Microsoft Windows - Агент
Sun Solaris (версии 8 и 9) - Агент
IBM AIX 5L - Агент
HP-UX 11.i (версии 11.11 и 11.23) - Агент
Сервер управления DCS:SA
Рисунок 5. Системные требования DCS:SA
Консоль управления DCS:SA
Microsoft Windows XP / 2003 Server / Server 2008 / Server 2012
150 Мб дискового пространства
DCS:SA выстраивает свою защиту используя два глобальных задачи обеспечения безопасности – систему обнаружение вторжений (Host Intrusion Detection) и систему предотвращение вторжений (Host Prevention System) (см. рисунок 6).
Рисунок 6. Технологии защиты Symantec Data Center Security
Принцип работы системы обнаружения вторжений HIDS построен на непрерывном аудите и мониторинге защищаемых хостов. В случае выявления нарушений система незамедлительно оповещает администратора безопасности о найденных проблемах. Аудит и мониторинг включает в себя отслеживания поведения процессов запущенных в памяти, открытия закрытия и изменения файлов, реестра Windows, активности портов TCP и UDP, определенных событий в журналах безопасности операционных систем и приложений.
Система предотвращения вторжений HIPS нацелена на превентивные меры обеспечения безопасности. В ее состав входят следующие инструменты: использование для всех инициализируемых процессов изолированной среды запуска называемой песочницей (sandbox), защита от несанкционированного переконфигурирования (hardened), контроль сетевых соединений для каждой песочницы, в том числе и внутри защищаемой системы, прямого доступа к памяти и жестким дискам, контроль доступа к процессам, защиту от переполнения буфера и т.д. Эти технологии обеспечивают защиту от эксплоитов (exploits), внедрений в программный код (thread injection), повышение привилегий и других уязвимостей, для закрытия которых еще не выпущены патчи (security patch) или другого решения для защиты, при этом не требуя обновления самого продукта DCS:SA.
Symantec рассматривает разные стратегии обеспечения безопасности сред, среди них: Basic, Hardened, Protected Whitelisting (см. рисунок 7).
Любая стратегия позволяет доверенным приложениям устанавливать обновления, поэтому крайне важно четко определить доверенные источники обновлений (Trusted Updaters) и защитить сетевой периметр.
Базовая стратегия защиты (Basic ) обеспечивает защиту операционной системы и набора часто используемых приложений. Основная песочница, в которую будут перенаправляться все явно незаданные сервисы и приложения, настроена для максимальной совместимости с программами, работающими в нем.
Hardened (усиленная защита) - cтратегия предусматривает защиту операционной системы, сервисы операционной системы и набор общих приложений. Эта стратегия ограничивает все остальные приложения (такие как обслуживающие сервисы и интерактивные программы) в пределах Hardened-песочницы.
В данной стратегии описываются следующие опции:
Protected Whitelisting (стратегия основанная на «белых листах») - эта стратегия предусматривает защита для операционной системы, и запрет на запуск приложений, за исключением тех, которые явно указаны в конфигурационном «белом листе». По умолчанию, в данной политике лист разрешения для приложений пуст. Администратор должен выбрать приложение и добавить его в соответствующую песочницу,
Для операционной системы, чтобы она нормально функционировала, политикой используется предустановленный белый список в который включены сервисы операционной системы.
Рисунок 7. Новые подходы к превентивной защите
В отличие от традиционных «белых листов» (whitelist policy), применяемых в других продуктах, где просто формируются списки приложений, три уровня обеспечения безопасности представленные в DCS:SA предлагают максимальный уровень защиты с более гибким подходом. Изолированная среда, песочница (sandbox), представляет собой изолированный программный слой для выполнения бинарного кода запущенного приложения. В результате, если приложение окажется вредоносным, оно не сможет скомпрометировать базовую систему, её конфигурационные файлы, или провести сетевую атаку. Мы получаем защиту не только от уже известных угроз, но и проактивную защиту, нацеленную на обеспечение безопасности от еще неизвестных видов угроз. С помощью настраиваемых политик DCS:SA запускающиеся приложение получает только минимально необходимый набор ресурсов для выполнения необходимых ему действий.
Как пример можно привести следующую ситуацию: в Windows невозможно настроить права локальному администратору таким образом что бы он имел ограниченный доступ к определенным файлам или процессам в виду того что пользователь входящий в группу администраторов перекрывает все остальные ограничения. Точнее пользователь с правами администратора может с помощью нехитрых манипуляций преодолеть эти ограничения. DCS:SA позволяет очень тонко указать, что именно пользователь может, вне зависимости какие привилегии в ОС он имеет или в какую группу пользователей входит (см. рисунок 8), не опираясь при этом на функционал операционной системы.
Рисунок 8. Песочница, как главный инструмент безопасности в DCS:SA
Прежде всего, это очень актуально для защиты от атак и уязвимостей 0day. При условии отсутствия обновлений безопасности, устраняющих уязвимость, можно тонко ограничить права и ресурсы небезопасного приложения или сервиса таким образом, что злоумышленник не смог ими воспользоваться. В случае проведения атаки он просто получит отказ в выполнении небезопасной функции или запроса. В результате мы получаем еще одно дополнительное преимущество – снижения требований к установке обновлений, а, следовательно, снижение нагрузки на сотрудников компании, увеличение времени доступности сервиса и снижение рисков сбоев, вызванного установкой обновления. При этом, сам продукт не требует обновлений, что так-же снижает любые риски, связанные с перечисленными выше проблемами.
Контроль соответствия требованиям международным стандартам безопасности -- еще одно преимущество, получаемое от применения DCS:SA . Так, например, обеспечение целостности программного обеспечения является обязательным требованием стандарта безопасности платежных систем PCI DSS . Использование DCS:SA повлияет выполнить технические требования по мониторингу и контролю: например контроль целостности систем, что, например, является одним из обязательных пунктов соответствия международному стандарту безопасности платежных систем PCI DSS.
Стоит отметить и преимущества применения DCS:SA в критически важных инфраструктурных SCADA – комплексах , например на атомных электростанциях или системах аэронавигации, где важнейшими показателями являются надежность и безотказность функционирования систем. Часто в SCADA системах используются устаревшее ПО, которое не может быть обновлено, при этом, сеть SCADA не является изолированной от основных сетей, поэтому защита от 0-day уязвимостей является важной частью обеспечения безопасности данных систем.
Продукт DCS:SA отличное решение длятерминалов самообслуживания, различных информационных табло, киосков и других POS-устройств. Поскольку такие системы выполняют ограниченный функционал, на них используется малое количество заранее определенных приложений, которые достаточно один раз правильно сконфигурировать. Это может сэкономить много времени и сил ИТ-специалистов, учитывая, что этих устройств весьма много и они находятся на значительном удалении от основной инфраструктуры. Это также идеальный вариант в тех случаях, когда нет доступа в интернет или по другим причинам нет возможности получать актуальные обновления продукта или при использовании тех продуктов, которые уже официально не поддерживаются производителями, например Windows NT, Windows 2000 и подобные им. DCS:SA позволяет защитить систему от несанкционированного переконфигурирования и, выполняя приложения в песочнице, минимизировать риски связанные с уязвимостями и ошибками в программном обеспечении при отсутствии обновлений.
Неоспоримыми преимуществами защиты виртуальной инфраструктуры функционалом DCS:SA является низкое потребление ресурсов, а также защита от специфических ситуаций как апдейт - (update storm ) и бут-шторм (boot storm ). Суть заключается в том, что при массовом обновлении виртуализированные ОС друг за другом начинают перезагружаться, а это влечет всплески усиливающейся нагрузки на аппаратные ресурсы. Более того, после перезагрузки агентские приложения средств защиты, установленные на хостовой машине тоже стремятся проверить и получить обновления. Исключая эти ситуации, мы обеспечиваем непрерывную и стабильную работу виртуальных хостов, одновременно сводя до минимума риски связанные с получением обновлений.
Отдельно стоит отметить возможность с помощью политик DCS:SA обеспечить возможность аутсорсинга ПО . Идея заключается в том, что бы можно было доверить обслуживание критически важных для бизнеса приложений сторонним организациям с соблюдением достаточного уровня безопасности. С помощью политик DCS:SA администратор безопасности гранулярно раздает права на конкретные приложения и ресурсы серверов, позволяя внешним пользователям прозрачно работать с ними. Одновременно это позволяет защитить систему от компрометации и отслеживать действия пользователей, чтобы оперативно отреагировать на потенциальные инциденты
Другая особенность продукта это деэскалация – тонкая настройка, приводящая к частному снижению прав на объект. Операционные системы имеют ограниченные возможности разграничения прав штатными средствами – при этом DCS:SA позволяет очень тонко организовать права доступа к процессам, файлам, реестру и т.д. При этом, даже локальный администратор не сможет эти права поменять. Для примера, с помощью DCS:SA в Windows можно настроить ограничения прав локального администратора так, чтобы он ни при каких условиях не получил доступ к определенным файлам, а стандартными средствами Windows этого добиться невозможно.
Политику обнаружения вторжения (Prevention Police) можно настроить с главной консоли управления программы, щелкнув Policies > Prevention. В отрывшейся панели можно увидеть все доступные для настройки пункты: базовые настройки политики, расширенные политики, список ресурсов и итоговые сводки по выпаленным политикам (см. рисунок 9).
Рисунок 9. DCS:SA. Панель настройки Prevention Policy
На следующем изображении показано как можно выбрать уровень глобальной стратегии безопасности в песочнице (см. рисунок 10).
Рисунок 10. DCS:SA. Определение глобальной стратегии безопасности
Выбрав режим Hardened (Additional Security) на следующем шаге формируется список приложений, для которых будут выполняться предписанные правила (см. рисунок 11)
Рисунок 11. DCS:SA. Определение правил для приложений
В окне Trusted Updates выполнится добавление приложений, для которых будут формироваться события изменения конфигурации (см. рисунок 12)
Рисунок 12. DCS:SA. Конфигурирование компонента Trusted Updates – приложений, отвечающих за установку или обновление ПО и ОС
Следующее окно Policy Quick Links содержит ссылки для быстрой настройки режима политики предотвращения, защиты периметра сети, переопределения политик и настроек агента (см. рисунок 13).
Рисунок 13. DCS:SA. Настройка элементов Prevention Policy с помощью быстрых ссылок
Ниже представлены опции доступные в режиме конфигурирования политик. Опции песочницы для приложений и операционной системы (рисунок 14), а также и расширенные опции приложений (рисунок 15).
Рисунок 14. DCS:SA. Опции конфигурирования режима Prevention для каждой отдельной песочницы
Рисунок 15. DCS:SA. Расширенные опции глобальных политик безопасности – настройка агента и программ
Рисунок 16. DCS:SA. Расширенные опции конфигурирования политик– компонентов защиты сети
Рисунок 17. DCS:SA. Расширенные опции конфигурирования политик – процессы
Рисунок 18. DCS:SA. Расширенные опции конфигурирования политик – файловая система
Рисунок 19. DCS:SA. Расширенные опции конфигурирования политик – контроль сетевого трафика
Рисунок 20. DCS:SA. Просмотр изменений, внесенных в базовую политику
Политика предотвращения вторжений (Detection Policy) настраивается аналогично рассмотренной в предыдущем абзаце Prevention Policy. Панель конфигурирования открывается с главной консоли управления программы по щелчку Policies > Detection. В отрывшейся панели можно увидеть все доступные для настройки пункты (см. рисунок 21).
Рисунок 21. DCS:SA. Главная панель Detection Policy
В процессе конфигурирования выбираются критерии, по которым будут формироваться события безопасности и оповещения (рисунок 22).
Рисунок 22. DCS:SA. Настройка событий аккауитинга
Рисунок 23. DCS:SA. Настройка событий Active Directory
Рисунок 24. DCS:SA. События пользовательских сессий
Рисунок 25. DCS:SA. Мониторинг ключей автозапуска
Рисунок 26. DCS:SA. События файловой системы
Рисунок 27. DCS:SA. События внешних устройств, сетевого и файлового окружения
Рисунок 28. DCS:SA. События антивирусной защиты
Рисунок 29. DCS:SA. обнаружение Web -атак
Рисунок 30. DCS:SA. События контроля внешних и съемных носителей
Сильной стороной DCS:SA является функция мониторинга и генерации отчетов. Все события, возникающие как в самой системе DCS:SA, так и в целевых защищаемых системах имеют двустороннюю связь, во-первых все они фиксируются в журнале событий, во-вторых, в ответ на то или иное событие от DCS:SA происходит ответное действие в соответствии с настройками политики, например выполнение скрипта (см. рисунок 31).
Рисунок 31. DCS:SA Оповещение и мониторинг в реальном времени
Из главного меню консоли администрирования все события можно посмотреть по щелчку на кнопке Monitoring (см. рисунок 32).
Рисунок 32. DCS:SA. Панель мониторинга - список всех событий
Рисунок 33.
Мощные механизмы предоставления отчетности позволяют формировать данные в графических представлениях (см. рисунок 34).
Рисунок 34. DCS:SA Просмотр отчетов по запросу пользователя (графический вид)
Рисунок 35. DCS:SA Подробный просмотр сведений о событии
Рисунок 36. DCS:SA Отчет представленный в виде диаграммы в недельном интервале
Symantec является один из бесспорных лидеров в области решений нацеленных на обеспечение комплексной безопасности корпоративной среды. Доказательством тому один из ее продуктов Symantec Data Center Security: Server Advanced, призванный обеспечить комплексную защиту виртуальных и физических дата центров от разнообразных хакерских атак, таких как эксплоиты (exploits), атаки на переполнение буфера (buffer overflow), внедрений в код (thread injection), повышение привилегий в приложениях для которых еще нет обновления безопасности (security patch), атаки на отказ в обслуживание (DoS). Продукт построен на использовании «песочницы» (sandbox), как основного инструмента безопасности, с использованием разработанных Symantec уникальных технологий системы обнаружения (Host Intrusion Detection) и предотвращения вторжений (Host Prevention System). Продукт позволяет управлять настройками доступа к съемным носителям (CD\DVD диски, USB-устройства), на основании гибко настраиваемых политик создавать разрешенные списки приложений (whitelisting), обеспечивать защиту от несанкционированного переконфигурирования (Hardening), контролировать сетевую активность, вести непрерывный аудит в гетерогенной среде всех происходящих событий. Настраиваемые отчеты, представляемые в разнообразных текстовых и графических видах, и система оповещений информирует администратора безопасности о текущем состоянии защищаемой среды, что заблаговременно позволяет обнаружить угрозы и снизить риски.
Особенностью продукта, является возможность гранулировано назначить права пользователям (деэскалация ) входящими в разные административные группы на системные и прикладные приложения, что недоступно достичь штатными средствами операционных систем. Исключительной полезностью Symantec Data Center Security: Server Advanced обладает для различных ATM и POS-терминалов, находящихся далеко за периметрами основной корпоративной инфраструктуры компании. Неуправляемый (unmanagment agent) режим агента позволяет обеспечить выполнение назначенных политик безопасности в том случае, когда защищаемая система изолирована и у нее нет связи с внешним миром. Большой плюс будет тем, кто продолжает использовать уже не поддерживающиеся операционные системы, например Windows NT, Windows 2000. Windows XP и, в скором времени - Windows 2003 (14 июля 2015 года официальная дата окончания поддержки), обновления для которых больше не выходят особенно с учетом того, что сам продукт DCS:SA в принципе не требует обновлений.
Тесная интеграция продукта с VMware vSphere обеспечивает защиту всей виртуальной инфраструктуры, а так же контроль целостности гипервизоров. Безопасность предоставляется как сервис, обеспечивая защищенность, как на уровне отдельного виртуального хоста (VM), так и на уровне самого гипервизора.
Data Center Security: Server Advanced несомненно станет мощным инструментом для обеспечения безопасности корпоративной среды, а в сопряжении с другими решениями безопасности, позволит эффективно снизить ИТ-риски, обеспечить непрерывность и надежность бизнес процессов компании.
