Symantec Endpoint Protection - безопасность конечных точекАвтор: Марат Давлетханов
Опубликовано: 20.04.2011
Источник: SoftKey.info 
Надежная защита конечных точек, то есть рабочих станций и серверов, является одной из ключевых, наиважнейших задач в обеспечении информационной безопасности корпоративной ИС. И поэтому к ней выдвигаются весьма серьезные требования. В частности, она должна обеспечивать безопасность от всего спектра вредоносного ПО (начиная с простейших вирусов и "троянов" и заканчивая программами-шпионам и руткитами) и всевозможных сетевых атак. Кроме того, система защиты конечных точек должна иметь централизованное управление, которое бы позволило принимать решения и устанавливать политику безопасности специалистам, а не конечным пользователям. Ведь познания последних областей ИБ обычно весьма скромны. Естественно, для решения поставленной задачи необходимо специальное программное обеспечение, в котором учтены все эти требования. И сегодня мы подробно рассмотрим именно такой продукт - Symantec Endpoint Protection. Как видно из названия, его разработчиком является компания Symantec Corporation - один из мировых лидеров в области разработки ПО для обеспечения информационной безопасности.
Итак, Symantec Endpoint Protection. Данное решение можно смело отнести к классу Internet Security, поскольку в нем реализована защита как от вредоносного ПО, так и от сетевых угроз. Помимо этого в рассматриваемом продукте есть модуль превентивной защиты, увеличивающий надежность и функциональность системы безопасности. При этом Symantec Endpoint Protection - продукт, рассчитанный на использование в корпоративных информационных системах. Для этого в нем реализованы необходимые инструменты администрирования, включая возможность создания и централизованного распространения политик безопасности. Но давайте обо всем по порядку.
Защита от вредоносного ПО
В Symantec Endpoint Protection реализована мощная система защиты от самого широкого спектра вредоносного ПО: вирусов, троянских коней, программ-шпионов, руткитов и пр. Для этого используется как сигнатурный анализ, основанный на постоянно пополняемой разработчиками базе данных, так и проактивная защита в виде эвристического анализа.
Основным методом обнаружения вредоносного ПО является автоматическая защита. Она работает постоянно и в режиме реального времени осуществляет сканирование файлов и папок (в том числе и сетевых) в момент обращения к ним, проверяет всю входящую и исходящую электронную почту (по протоколам POP3 и SMTP), а также осуществляет защиту Microsoft Outlook и Lotus Note. Другой вариант - сканирование, то есть проверка на вирусы указанных файлов и папок, памяти, объектов автозагрузки, всей системы в целом и пр. Оно может запускаться как вручную, так и по расписанию.
Такой подход с двумя функциями защиты от вредоносного ПО является традиционным, он реализован практически во всех антивирусных средствах. Но что отличает Symantec Endpoint Protection, так это возможность создания очень и очень гибкой политики защиты. В ней предусмотрен широкий спектр настраиваемых параметров, с помощью которых можно определить действия программы при обнаружении угроз (причем для разных типов угроз они могут быть различными), настроить выдачу уведомлений конечному пользователю, установить исключения и многое, многое другое.
 | | Главное окно Symantec Endpoint Protection |
Защита от сетевых угроз
Очень важным инструментом защиты, реализованным в Symantec Endpoint Protection, является брандмауэр. Это традиционное решение, которое тем не менее необходимо для обеспечения безопасности от сетевых угроз. Работа брандмауэра основана на правилах, в соответствии с которыми он либо разрешает передачу сетевых пакетов, либо блокирует их. Для удобства администрирования эти правила объединяются в политики, которые можно распространять сразу же на целые группы рабочих станций.
При настройке политик можно использовать ряд дополнительных инструментов, значительно облегчающих эту процедуру. К ним относятся наследование правил от родительской группы, копирование и вставка правил, экспорт и импорт информации и пр. Также можно отметить наличие такой функции, как интеллектуальная фильтрация трафика. Ее включение автоматически разрешает передачу трафика между основными сетевыми сервисами (DHCP, DNS, WINS) без необходимости ручного открытия соответствующих портов. При этом обеспечивается защита от атак из сети. Дополнительно в брандмауэре реализована защита от скрытого просмотра веб-страниц, а также система одноранговой идентификации, которая запрещает доступ к удаленным компьютерам, не прошедшим проверку целостности хоста.
Второй инструмент для защиты от сетевых атак, реализованный в Symantec Endpoint Protection, - система предотвращения вторжений. Принцип ее работы основан на анализе всех входящих сетевых пакетов. Они сравниваются с сигнатурами, содержащимися в базе данных. И если обнаружится, что сетевые пакеты используются для организации какой-то атаки, то они будут отфильтрованы. Дополнительно на определенный промежуток времени может быть заблокировано соединение с компьютером, который их отправил.
Стоит отметить, что система предотвращения вторжений - весьма гибкий инструмент. Во-первых, у администратора есть возможность задавать, на какие именно атаки будет осуществляться проверка. Во-вторых, он может самостоятельно создавать собственные сигнатуры для блокировки нежелательного трафика, который, однако, не является попыткой вторжения. В-третьих, в системе предусмотрена возможность указания исключений - хостов, пакеты с которых не будут обрабатываться. Это действительно необходимо, поскольку работа некоторых сетевых приложений внешне может оказаться схожей с попыткой атаки.
 | | Окно работы со сканированиями |
Превентивная защита от угроз
Третьим модулем защиты, присутствующим в продукте Symantec Endpoint Protection, является превентивная защита от угроз. Он состоит из двух частей. Первый - превентивный поиск угроз TrueScan. Данная система является дополнением к антивирусной и сетевой защите компьютера. Суть ее заключается в эвристическом анализе активности приложений и процессов. Проще говоря, TrueScan отслеживает поведение запущенных программ и выявляет их подозрительные действия (открытие сетевых портов, запись нажатий на клавиши и пр.). Такой подход позволяет выявить такое вредоносное ПО, как интернет-черви, троянские кони, шпионское ПО, эксплойты "нулевого дня" и пр., причем даже в том случае, если его сигнатуры отсутствуют в базе данных.
Вторая часть превентивной защиты от угроз - система управления приложениями и устройствами. Что же она позволяет? Управление приложениями обеспечивает защиту от взлома ПО, случайное или намеренное уничтожение или порчу системных и программных файлов, а также реестра Windows и пр. Кроме того, с помощью данного модуля можно ограничить запуск различных программ конечными пользователями и обеспечить, таким образом, единообразие используемых приложений в пределах корпоративной информационной системы. Управление приложениями использует API Windows и может очень гибко настраиваться администратором.
Управление устройствами позволяет администратору блокировать доступ пользователей к нежелательному оборудованию. И в первую очередь, конечно же, ко всевозможным съемным накопителям. Ведь ни для кого не секрет, что именно "флешки" сегодня являются одним из наиболее активно используемых каналов распространения вредоносного ПО. Стоит отметить, что данный модуль в Symantec Endpoint Protection может блокировать не только USB-накопители, но и различное оборудование, подключающееся к портам COM, LPT, IrDA, FireWire, SCSI и пр. Стоит отметить, что управление осуществляется на основе гибких политик, в которых можно использовать не только порты, но и типы подключаемого оборудования, а также уникальные идентификаторы устройств. К слову сказать, данная функция может использоваться не только для защиты от вирусов, но и в какой-то мере играть роль системы защиты от утечки конфиденциальных данных.
Администрирование системы защиты
Важнейшей особенностью рассматриваемого продукта является широкий набор инструментов для централизованного администрирования системы защиты. Главным из них является Symantec Endpoint Protection Manager. Это сервер управления, с помощью которого можно выполнить весь спектр действий: развертывание программ-клиентов на рабочие станции сети; создание, изменение, сохранение политик безопасности, а также распространение их на выбранные компьютеры; осуществление постоянного мониторинга системы защиты (просмотр журнала событий, графика распределения угроз и пр.); генерацию и просмотр всевозможных отчетов.
 | | Окно настройки |
Symantec Endpoint Protection Manager состоит из двух частей. Первая инсталлируется на сервере и работает постоянно, поддерживая связи между клиентами и базой данных с политиками безопасности. Вторая - консоль управления, которая может работать как локально, так и удаленно. Она позволяет ИТ-специалистам управлять защитой корпоративной сети непосредственно со своих рабочих компьютеров. При этом обеспечивается необходимая защита от несанкционированного доступа к системе администрирования.
Помимо этого в Symantec Endpoint Protection реализован широкий спектр дополнительных инструментов, которые позволяют с одинаковым удобством разворачивать данный продукт как в малых корпоративных сетях, так и в крупных информационных системах. Среди них можно отметить работу с сайтами и серверами, интеграцию с LDAP и пр.
Подводим итоги
Итак, Symantec Endpoint Protection - очень и очень мощный продукт для защиты конечных точек, то есть рабочих станций и серверов корпоративной сети, от широкого спектра угроз. С одной стороны, он отличается богатейшими функциональными возможностями. Достаточно вспомнить хотя бы модули для управления приложениями и подключаемыми к компьютерам устройствами. А с другой - данный продукт очень гибок в управлении, что позволяет с успехом использовать его в корпоративных сетях любого размера. |
