Panda Adaptive Defense 360: адаптация IT-защиты к новым потребностям предприятий



    Панорама вредоносных программ

    За последние годы панорама вредоносных программ претерпела серьезные изменения: во-первых, стремительно выросло число угроз в обращении, а во-вторых, они стали более сложными для обнаружения. В наши дни ежедневно появляются сотни тысяч новых вариантов вредоносных программ, при этом методы преодоления систем защиты и маскировки угроз стали намного более изощренными, в результате чего корпоративные сети стали более уязвимы перед целенаправленными атаками и угрозами «нулевого дня», чем когда-либо ранее.

    Защитить компьютеры от атаки очень сложно. Защита должна содержать широкий спектр модулей, включая традиционный антивирус, персональный файервол, веб-фильтрацию и защиту почты, контроль устройств. Плюс любая защита должна обеспечивать дополнительный барьер от трудно обнаруживаемых целенаправленных атак и атак «нулевого дня».

    Традиционные решения защиты конечных точек эффективны при блокировке известных угроз, используя техники обнаружения, основанные на сигнатурных файлах и алгоритмах эвристики.



    Однако они не способны защитить от направленных атак и угроз «нулевого дня», которые используют «окно возможностей» — время между появлением нового вируса и выпуском противоядия антивирусными компаниями. Увеличивающийся разрыв используется хакерами для распространения вирусов, «шифровальщиков», троянов и других типов угроз в корпоративных сетях.

    Кроме того, в последнее время мы все чаще слышим о «постоянных угрозах повышенной сложности» (APT). Такие угрозы предпочитают скрытно проникать в ИТ-систему предприятия и, находясь там на протяжении нескольких месяцев и даже лет, осуществлять свои вредоносные действия: как правило, это кража конфиденциальной информации. Возникает тревожная ситуация, когда предприятие, уверенное в эффективности и надежности своей защиты, даже не подозревает о наличии серьезных проблем.

    Необходимо отметить, что мишенью могут стать любые предприятия: не только крупные, но и небольшие. Зачастую хакерам проще поразить сотни мелких компаний и с каждого из них потребовать соответствующий выкуп за конфиденциальную или персональную информацию. К сожалению, чтобы спасти такую информацию, многие вынуждены платить. Следует отметить, что системы резервного копирования в некоторых случаях не являются спасением, потому что хакеры могут шантажировать предприятие тем, что опубликуют украденную информацию.

    Потребности предприятий в защите

    Получается, что в большинстве случаев предприятия вынуждены приобретать и обслуживать целый ряд продуктов от разных производителей для защиты конечных точек. Во многих случаях это может оказаться неоправданным: с одной стороны, повышаются расходы на приобретение всех требуемых решений безопасности, а с другой стороны, обслуживание таких комплексных систем становится более сложным (опять же, более дорогим).

    Очевидно, что предприятиям требуется система защиты, но насколько мощной она должна быть?
    На наш взгляд, предприятия должны быть в состоянии предотвращать атаки, и если превентивные меры не срабатывают, то в арсенале ИТ-директора должны быть автоматизированные средства реагирования на атаки и устранения последствий. Сам комплекс должен обеспечивать работу системы безопасности по следующим направлениям:
    — проактивное обнаружение атак;
    — оперативный сбор необходимой информации для эффективного реагирования на бреши безопасности;
    — автоматическое применение восстановительных действий для минимизации последствий и масштабов атаки / заражения.



    При этом необходимо учесть и тот немаловажный факт, что система безопасности не должна мешать бизнес-процессам предприятия. Для любого предприятия важен сам бизнес. Все остальное – вторично и должно быть направлено на повышение продаж, прибылей, эффективности работы и пр. Слишком строгие меры безопасности могут мешать повседневной работе сотрудников предприятия. Другими словами, безопасность не должна быть тормозом, но должна быть посредником.

    Кроме того, в эпоху BYOD, распределенных и удаленных офисов, при использовании различных облачных сервисов, слишком сложно и накладно устанавливать жесткие правила контроля над информационными потоками. Скорее всего, необходимо переходить от контроля к пониманию и мониторингу потока информации: кто, как и когда получал доступ к той или иной информации, куда она была отправлена (внутри компании или за ее пределами).

    Таким образом, с одной стороны, сотрудники просят не мешать выполнению их повседневных задач, а с другой стороны, ИТ-администраторы хотят обеспечить своему предприятию более высокий уровень безопасности при меньших усилиях и расходах.



    Что такое Panda Adaptive Defense 360

    Последние 5 лет компания Panda Security вела активные исследования и разработку нового семейства облачных сервисов, которые позволят предприятиям получить комплексное решение безопасности для защиты не только от традиционных угроз, но и целенаправленных атак, угроз «нулевого дня» и прочих неизвестных угроз нового поколения. Помимо высокого уровня защиты, такое решение должно быть простым во внедрении, легким в использовании и управлении, недорогим с точки зрения полной стоимости владения.



    В сентябре Panda Security представила новое решение – Panda Adaptive Defense 360. Что это такое?
    По утверждению разработчиков, Panda Adaptive Defense 360 – это первое и единственное облачное решение, сочетающее в едином решении возможности защиты конечных точек (EPP), а также обнаружения и реагирования на атаки (EDR) для защиты от угроз «нулевого дня» и целенаправленных атак, которые используют преимущества «окна возможностей для вредоносных программ». Adaptive Defense 360 также позволяет автоматизировать решение различных ИТ-вопросов, снижая нагрузку на ИТ-персонал.

    Panda Adaptive Defense 360 представляет собой полную интеграцию (в рамках единой консоли управления и единого интерфейса) двух облачных решений Panda, которые при необходимости можно приобрести отдельно. Функции EPP-решения выполняет одно из лучших в своем классе решений Panda Endpoint Protection Plus, которое предлагает простую и централизованную защиту, основанную на профилях, систему восстановления, отчеты и мониторинг в реальном времени, централизованный контроль устройств и веб-мониторинг с URL-фильтрацией. Данное решение предназначено для защиты систем под управлением Windows, Linux и Android.

    Для борьбы с целенаправленными атаками и угрозами «нулевого дня» используются возможности решения Panda Adaptive Defense, которое представляет собой облачный сервис EDR, способный безошибочно классифицировать каждое приложение, запущенное на компьютерах предприятия, разрешая запуск только легитимных программ.



    Возможности EDR в Panda Adaptive Defense 360 основаны на модели безопасности, в основе которой лежат три принципа: непрерывный мониторинг приложений на компьютерах и серверах компании, автоматическая классификация с использованием машинного обучения на нашей платформе Больших данных, и наши технические эксперты, анализирующие те приложения, которые не могут быть классифицированы автоматически. Все это позволяет точно определить поведение всех программ, запущенных в корпоративных системах.

    Таким образом, эти возможности теперь объединены с лучшим EPP-решением от Panda, замыкая цикл адаптивной защиты от угроз, которая теперь содержит автоматизированную защиту, обнаружение, экспертизу и восстановление.

    Основные характеристики Panda Adaptive Defense 360

    Будучи облачным сервисом, вся инфраструктура данного решения расположена в облаке – в дата-центрах Microsoft на платформе Windows Azure, с высочайшим уровнем физической и информационной безопасности. Поэтому для работы с данным решением требуется только обычный веб-браузер и регистрационные данные для безопасного доступа к веб-консоли управления.

    Решение содержит следующие элементы:

    Веб-консоль, доступная в любое время из любого места, для удаленного и централизованного управления безопасностью конечных точек;

    Локальные агенты, централизованно и удаленно устанавливаемые из веб-консоли в автоматическом режиме. Локальные агенты содержат локальные технологии защиты (сигнатуры, эвристика, поведенческий анализ) с возможностью двухстороннего автоматизированного «общения» с центральной облачной базой знаний в режиме реального времени;

    Облачная база знаний Коллективный разум, содержащая динамическую информацию о вредоносных (malware) и невредоносных (goodware) приложениях, объектах, файлах и кодах. Эта база знаний позволяет в режиме реального времени «консультировать» локальные агенты при обнаружении подозрительных файлов и кодов: в случае с malware – предоставлять микро-вакцину для лечения или помещать в централизованный карантин для последующего анализа; в случае с goodware – давать локальным агентам «отбой» и снижать уровень ложных срабатываний.
    Ниже приведены основные характеристики Panda Adaptive Defense 360, сгруппированные по типам задач:

    ОБНАРУЖЕНИЕ И РЕАГИРОВАНИЕ
    • Защита интеллектуальных активов от целенаправленных атак
    • Экспертный отчет
    • Защита уязвимых систем
    • Непрерывный мониторинг и анализ запущенных приложений
    • Мониторинг доступа и передачи данных для приложений

    ЗАЩИТА
    • Антивирусная защита от вредоносных программ
    • Персональный и централизованно управляемый файервол
    • Контроль устройств
    • URL-фильтрация
    • Фильтрация почтового трафика Exchange (антивирус, антиспам, контент-фильтр)

    ПРОИЗВОДИТЕЛЬНОСТЬ И УПРАВЛЕНИЕ
    • Простое и централизованное управление из единой веб-консоли (профили безопасности, группы пользователей, карантин и т.д.)
    • Простое внедрение (собственная утилита распространения и MSI-инсталляторы для сторонних утилит при внедрении локальных агентов защиты в локальной сети, генерация URL для отправки по почте для автоматического внедрения локальных агентов на удаленных и мобильных компьютерах и устройствах)
    • Легкий агент, требующий минимальные системные ресурсы (высокая производительность даже на откровенно старых машинах)
    • Полная прозрачность для конечных пользователей (автоматизация процессов, вынос ресурсоемких процессов в облако, при необходимости скрытый режим работы локальных агентов, низкое потребление ресурсов);
    • Автоматическая генерация тематических отчетов (сводный отчет для руководства, детализированные отчеты для ИТ-персонала) с требуемой периодичностью и автоматической отправкой получателям;
    • Оптимизированное обновление локальных агентов в локальной сети предприятия: централизованные обновления и коммуникации с облаком через компьютеры, указанные в качестве репозиториев, возможность автоматических обновлений внутри сети с использованием пиринговых технологий (один компьютер обновляет 10 других и т.д.).

    Используемая модель облачной безопасности

    В основе облачного решения Panda Adaptive Defense 360 лежит трехэтапная облачная модель для обнаружения и реагирования на атаки. Данная модель реализована на платформе Больших данных с использованием технологий машинного обучения.



    Этап 1. Комплексный непрерывный мониторинг конечной точки

    Защита конечной точки, установленная на каждом компьютере, осуществляет мониторинг всех действий, вызванных запущенными процессами. Каждое событие каталогизируется (на основе более чем 2000 характеристик) и отправляется в облако*:
    • Скачивания файлов
    • Установка ПО
    • Создание драйвера
    • Коммуникационные процессы
    • Загрузка DLL
    • Создание службы
    • Создание и удаление файлов или папок
    • Создание и удаление ветвей реестра
    • Локальный доступ к данным (свыше 200 форматов)

    Этап 2. Анализ Больших данных

    На данном этапе облачная платформа Больших данных принимает статическую и контекстную информацию от локальных агентов, а также внешнюю стороннюю информацию для дальнейшей корреляции, и осуществляет непрерывную классификацию исполняемых файлов. При этом автоматический анализ новых приложений осуществляется максимально не более 24 часов, хотя на практике, как правило, не более 4-6 часов в зависимости от целого ряда характеристик приложений. И лишь в единичных случаях требуется подключать экспертов антивирусной лаборатории PandaLabs для ручного анализа.

    Кластер классификации позволяет классифицировать каждый исполняемый файл, чтобы вынести вердикт: является ли он вредоносным или нет. Классификация осуществляется на основе оценки надежности – параметру, который определяет, можно ли доверять процессу или нет. Если доверять нельзя, то приложение может быть запрещено для запуска. Оценка надежности каждого процесса пересчитывается на основе динамического поведения процесса при получении новой информации (ретроспективный анализ).

    Этап 3. Упрочнение конечной точки

    На данном этапе решение Panda Adaptive Defense 360 получает из облака конкретные «инструкции» относительного каждого исполняемого файла. Система расширенной защиты может работать в трех режимах (для каждого профиля безопасности можно настроить свой отдельный режим работы):

    Аудит

    В данном режиме решение только собирает и анализирует информацию обо всех исполняемых процессах, ничего не блокируя. Такой режим работы, по сути дела, позволяет осуществлять аудит информационной безопасности предприятия.

    Стандартный режим

    В этом режиме сервис классифицирует все исполняемые файлы с точностью 99,9991%. Каждый процесс, классифицированный как вредоносное ПО, блокируется незамедлительно. Также сервис защищает браузеры и приложения (Java, Adobe, Microsoft Office и другие) от дыр безопасности, используя правила, основанные на контексте и поведении. Кроме того, обеспечивая защиту данных, решение контролирует, чтобы доступ к данным и критически важным зонам операционной системы могли получать только надежные приложения.

    Расширенный режим

    Расширенный режим дополняет стандартный режим работы блокировкой всех неклассифицированных приложений. Т.е. все неклассифицированные процессы не могут быть запущены до тех пор, пока в системе им не будет присвоен максимальный уровень доверия (MCL). Другими словами, запрещено все, что не разрешено.

    Таким образом, Panda Adaptive Defense 360 позволяет увидеть весь жизненный цикл любой угрозы на конечных точках (ниже представлен экран интерфейса Panda Adaptive Defense 360 с данными по шифровальщику):



    Эта же информация представлена в виде графика активности, когда можно посмотреть жизненный цикл угрозы в динамике по времени и в удобном визуальном виде:



    Кроме того, дополнительный внешний сервис LogTrust позволяет предприятию осуществлять автоматизированную глубокую обработку всех логов для получения экспертной информации:



    Отличительные особенности Panda Adaptive Defense 360

    Традиционные корпоративные антивирусные решения для идентификации вредоносных программ используют сигнатуры или поведенческий анализ. Это позволяет обнаруживать известные вредоносные программы, а также выявлять потенциально опасные угрозы. Поэтому в случае с Panda Adaptive Defense 360 основной задачей становится защита от вредоносных программ, которые остались незамеченными. Данное решение способно обнаруживать их за счет непрерывного мониторинга всех процессов, запущенных на конечных точках. Благодаря этому решение способно выявлять APT, которые в течение длительного времени могут находиться в состоянии покоя до момента своей активации.

    Помимо обнаружения, решение предоставляет интегрированное лечение угроз. Мгновенный доступ к информации в режиме реального времени и история событий предоставляют полную видимость активности вредоносных программ во времени, что позволяет более аккуратно и точно реагировать на атаки.



    Panda Adaptive Defense 360 позволяет обнаруживать и блокировать «шифровальщики», целенаправленные атаки и прочие подобные угрозы, а также значительно эффективнее выявлять неизвестные варианты традиционнных угроз. Собственные исследования компании Panda Security показали, что традиционные антивирусы обнаруживают в первые 24 часа только 82% новых угроз, и даже через 3 месяца этот показатель всего лишь 98%, в то время как решения, аналогичные Panda Adaptive Defense 360 при работе в расширенном режиме способны за первые 24 часа выявить порядка 99% новых угроз.

    В настоящий момент Panda Adaptive Defense 360 классифицировал свыше 1,2 миллиарда приложений, причем вредоносные программы были обнаружены при ВСЕХ внедрениях продукта независимо от наличия систем безопасности. На текущий момент свыше 100 000 компьютеров и серверов во всем мире защищены решением Panda Adaptive Defense 360.

    Также стоит отметить, что в отличие от традиционных решений, Panda Adaptive Defense 360 характеризуется низкой полной стоимостью владения: не требуется инфраструктура (аппаратное и программное обеспечение) для работы корпоративной системы безопасности, ее сопровождение и обслуживание, интуитивно понятный интерфейс, не требующий специфических ИТ-знаний.

    Заключение

    Современные атаки способны миновать наши традиционные решения безопасности и оставаться незамеченными в наших ИТ-системах в течение длительного времени. И такие угрозы вполне реальны. Т.е. целостность системы безопасности предприятия нарушена, но об этом никому неизвестно.

    По оценкам IDC, суммарный ущерб от действий кибер-преступников во всем мире достигает порядка 400 млрд. долларов США. И не стоит обманывать себя: любое предприятие может сделать свой «вклад» в эту печальную статистику.

    Panda Adaptive Defense 360 – это новое поколение облачных комплексных систем безопасности, доступных для предприятий любых размеров с любой структурой. Решение позволяет обеспечить высокий уровень безопасности от всех современных угроз и новых ИТ-вызовов с низкой полной стоимостью владения.

    Уважаемые IT-профессионалы, нам очень важно знать Ваше мнение.

    Only registered users can participate in poll. Log in, please.

    Насколько актуальна защита вашего предприятия от шифровальщиков?

    • 11.5%да, очень актуальна3
    • 42.3%да, желательно иметь такую защиту11
    • 34.6%нет9
    • 11.5%не знаю3

    Насколько актуальна защита вашего предприятия от целенаправленных атак, кражи данных?

    • 8.6%да, очень актуальна2
    • 47.8%да, желательно иметь такую защиту11
    • 30.4%нет7
    • 13%не знаю3

    Вы хотели бы посетить вебинар по решению Panda Adaptive Defense 360?

    • 17.3%да4
    • 52.1%нет12
    • 30.4%еще не определился7

    Готовы ли Вы к обсуждению части вопросов на вебинаре на английском языке?

    • 25%да5
    • 75%нет15

    Вы хотели бы протестировать решение Panda Adaptive Defense 360?

    • 9%да, готов прямо сейчас2
    • 27.2%да, но позже6
    • 18.1%приму решение после вебинара4
    • 45.4%нет10
    Panda Security в России и СНГ
    77.67
    Облачные решения безопасности, антивирусы
    Share post

    Comments 12

      +2
      Угрозы окна возможностей — это, как я понимаю, вредоносные программы, которые их создатели протестировали на необнаружение всеми стандартными механизмами используемого защитного решения (все остальное не попавшее на исследование — ловится эвристиками) — включая эвристики, база знаний облака, поведенческие анализаторы и тд. Соответственно они ничем и не обнаруживаются в момент заражения.

      Если не сложно — из статьи не понятно, как вы ловите то, что ваши механизмы до получения обновлений не детектируют. Ограничения путем запрета загрузки и запуска новых программ не считаем
        0
        Работа Adaptive Defense 360 основана на непрерывном мониторинге и анализе целого ряда событий, происходящих на машине. В процессе мониторинга собирается информация о различных событиях: загрузка файлов, установка программ, откуда что скачивается, изменения файла hosts, записи в реестр, запуск DLL, открытие, удаление или переименование файлов, доступ к данным (свыше 200 форматов) и многое другое. Вся эта информация анализируется в облаке и между всеми процессами устанавливается корреляция. Анализ такого большого массива статической, динамической и контекстной информации в режиме реального времени позволяет с высокой точностью классифицировать процесс (вредоносный или нет). Кроме того, выполняется ретроспективный анализ, а потому процесс, который ранее классифицировался как невредоносный, может впоследствии оказаться вредоносным.

        Анализ осуществляется в облаке в глобальном режиме, информация по каждому из процессов поступает как локально с машины, так и из других источников (сообщество пользователей, внешние источники, антивирусная лаборатория и т.д.).

        Если говорить о неизвестных угрозах, то в борьбе с ними принимают участие следующие основные технологии:
        — специальная технология по защите от эксплойтов (локально и из облака), которая позволяет закрывать доступ эксплойтов к незакрытым уязвимостям в часто используемых приложениях
        — поведенческий анализ (локально и из облака) для оценки поведения каждого процесса
        — эвристика (локально и из облака) для оценки подозрительности каждого процесса
        — защита от несанкционированного доступа к определенным критически важным зонам операционной системы
        — блокировка запуска подозрительных и неклассифицированных процессов и приложений

        Да, мы не оперируем какими-то принципиально новыми техниками: поведенческий анализ, эвристика, блокировка запуска — сами по себе эти технологии используются в решениях Panda и других производителей достаточно давно. Но усовершенствование данных технологий в сочетании с использованием платформы больших данных для глубокого и тщательного глобального анализа в облаке в реальном времени (а главное, с учетом анализа корреляции между всеми процессами) и специальных техник машинного обучения позволяют добиться высоких результатов.

        Если же говорить о потребительских качествах, то такая расширенная защита работает автоматически. В расширенном режиме запрещаются все процессы, которые не классифицированы в настоящий момент как вредоносные или подозрительные. Классификация каждого нового процесса и приложения, как правило, занимает секунды и минуты. Администратору не требуется выполнять какие-либо настройки, достаточно только выбрать один из трех режимов работы. При необходимости, можно указать исключения и настроить нагрузку на полосу пропускания.
          0
          Просьба не воспринимать как критику — все обсуждаемое аналогично и на иных вендорах, но все же хабр не для такого маркетинга:
          — облако не будет работать в закрытых от интернета сетях (кроме контроля контрольных сумм через локальное облако)
          — при оценке через облако есть задержка между заражением и вердиктом — за это время шифровальщик вполне может выполнить свою роль
          — как и любой механизм облако доступно и злоумышленникам — в ходе тестирования вируса они могут принимать во внимание оценку в облаке — и сразу после выпуска вирус облачными репутациями обнаруживаться не будет — до получения вердикта от аналитиков — а это дни и более
          — специальная технология по защите от эксплойтов (локально и из облака), которая позволяет закрывать доступ эксплойтов к незакрытым уязвимостям в часто используемых приложениях — по сути поведенческий анализатор (за исключением технологии у Dr.Web). Работает на основе базы знаний, учитывается при разработке вредоносного ПО и соответственно обходится
          — поведенческий анализ (локально и из облака) для оценки поведения каждого процесса. Аналогично предыдущему
          — эвристика (локально и из облака) для оценки подозрительности каждого процесса. Не смешите. Также база знаний, но в антивирусных базах. обходится скажем шифрованием/перепаковкой существующего вредоносного файла
          — защита от несанкционированного доступа к определенным критически важным зонам операционной системы. Уязвимости. Но в принципе я и исключил этот пункт, так как он не относится к антивирусной защите и зависит от уровня знаний сисадмина
          — блокировка запуска подозрительных и неклассифицированных процессов и приложений. Подписи к приложениям утекают периодически. А подозрительные — та же превентивка, то есть обходится тщательным тестированием создаваемых вредоносных программ.

          Итого мы вернулись к первому моему замечанию. Имеющиеся технологии до момента обновления (локальных ав и поведенческих баз или глобальных баз в облаке) — не способны защитить от неизвестной им угрозы. Ибо злоумышленники не идиоты и если хотят зарабатывать — тестируют свои произведения. Защита от них — закрытие уязвимостей и ограничение прав. Плюс естественно антивирус для защиты от пионеров
            0
            Спасибо за Ваш комментарий, ибо нахожу его предельно конкретным и профессиональным.
            Ну и потом критика, если она по существу, — это не страшно, а зачастую полезно.

            1. Adaptive Defense 360 — это все же продукт для сетей, которые имеют хотя бы один компьютер, подключенный к Интернету.
            Конечно, для совсем закрытых сетей этот продукт не подойдет. Но мы и не разрабатывали его для полностью закрытых сетей.
            2. Насчет задержки между заражением и вердиктом. В нашем продукте есть несколько режимов работы. Например, в расширенном режиме ни один исполняемый процесс не запустится, если он не классифицирован в текущий момент как невредоносный. Как правило, оценка каждого нового процесса осуществляется в течение секунд или минут. В настоящий момент классифицировано свыше 1,5 млрд процессов. Технологии машинного обучения, собственные аналитические технологии и мощные вычислительные ресурсы позволяют большинство процессов классифицировать без привлечения экспертов, т.е. в автоматическом режиме. Соответственно, скорость классификации очень высокая.
            3. Доступность облаков для злоумышленников: да, доступно, в текущий момент на текущую минуту. В облаках все может менять оперативно :)
            4. По поводу защиты от уязвимостей. Тут все же вопрос может быть спорный, потому что использовать уязвимость — это цель для хакеров. Если данная уязвимость не закрыта, но она известна антивирусной компании, то антиэксплойтная технология может отслеживать процессы, которые пытаются воспользоваться этой уязвимостью, чтобы блокировать ее. Конечно, я не говорю, что тут 100% защиты — ни одна превентивная технология такого не даст, наверное, в принципе. Но опять же насколько широки эти знания и насколько детально можно отслеживать все процессы, пытающиеся воспользоваться уязвимостью — тут есть возможности для улучшения. А как это реализовано в Dr. Web?
            5. По поводу маркетинга. А почему нет? Adaptive Defense 360 достаточно уникален в силу своей облачной природы. Рассказать о данном решении на хабре — я думаю, что стоит. Тем более, что, как показывает статистика и наш анализ, на хабре очень много людей, которым такая информация интересна :)

            Соглашусь с Вами в том плане, что действительно, на текущий момент 100% защиты от неизвестных угроз нет. Кстати, вряд ли она когда-либо будет создана (извечная битва атаки и обороны).

            Поэтому AD360 (например, в расширенном режиме) использует помимо всех традиционных антивирусных технологий, запрет на запуск всех процессов, которые не классифицированы как невредоносные. Особенность решения в том, что:
            1. Решение полностью облачное, а потому не требуется инфраструктура на предприятии и соответствующие расходы на ее приобретение / обслуживание (до 40-50% ТСО)
            2. Расширенная защита работает полностью в автоматическом режиме. Соответственно, простота управления и низкие ресурсы на настройку, обслуживание.
            3. Экспертная информация по всему жизненному циклу угроз, по всем процессам (с использованием LogTrust).

            Данные технологии тестировались в течение 1,5 лет на различных предприятиях в мире.
            Уровень обнаружения новых угроз, блокируемых в течение первых 24 часов — 99,999%
            Уровень ложных срабатываний — 0,0009%
              0
              > Например, в расширенном режиме ни один исполняемый процесс не запустится, если он не классифицирован в текущий момент как невредоносный.

              Логично и пожалуй верно

              >Как правило, оценка каждого нового процесса осуществляется в течение секунд или минут
              Опять же не наезд на вас. Но у иной не менее именитой компании при уведомлении о том, что ее облако разрешает работу отлично известному иным вендорам вирусу ничего не происходило. Увы облако — есть только вероятность оперативной реакции — так же как и оперативное занесение нового вируса в базу

              У Dr.Web идет внедрение в защищаемые процессы с целью их защиты. Тоесть в дополнение к превентивке, которая контролирует поведение процесса в целом и доступ к ресурсам — идет контроль работы процесса изнутри
                0
                Согласен про облако.
                Опять же, нет 100% защиты, хотя мы все очень стремимся к этому.
                Но облако все же в целом серьезно расширяет возможности обнаружения и реагирования

                Что касается контроля работы процесса изнутри.
                А Вы можете пояснить, каким образом идет контроль процесса изнутри? Что Вы подразумеваете под этим?
                  0
                  Математику контроля не видел, сразу скажу. Знаю, что контролирующий код внедряется в защищаемые процессы. Ну и общая информация есть тут:
                  products.drweb.ru/home/version11/new
                    0
                    Прочитал по ссылке. Честно говоря, все те же самые виды защит реализованы и в Panda Adaptive Defense 360. Я не увидел чего-то нового.
                    Конечно, допускаю вариации уже на уровне исполнения, но пока не попробуешь, не узнаешь…

                    Но если в AD360 посмотреть жизненный цикл угрозы, то там четко видно все, что данный процесс пытается / пытался сделать с указанием времени и машин, когда и что происходило. Причем отслеживается связь процессов между собой.

                    Например, на компьютер попал какой-то файл (пока не представляет угрозу) и далее мы видим, тогда-то и там-то он создал еще один файл, переименовал его, запустил такую-то службу, создал DLL, попытался по такому-то порту в таком-то протоколе связаться с таким-то IP, сделал такую-то запись в реестр с таким-то ключом и т.д. Т.е. полная видимость процесса изнутри, шаг за шагом, что делается. Какие-то действия сами по себе не вызывают опасности и они пока не пресекаются, но какие-то сразу кажутся подозрительными и в зависимости от режима работы блокируются или нет, и т.д.
                      0
                      Да, это тоже есть — в облачной части, просто ее описание не приводится, по ссылке только часть, конкретно касающаяся взаимодействия с процессом
                        0
                        Кстати, добавлю про облако Panda: оно работает в двухстороннем режиме.

                        т.е. облако не только собирает информацию с локальных агентов, анализирует и потом добавляет что-то в сигнатуры, но и в реальном времени «консультирует» локального агента. Например, если локальный агент увидел что-то подозрительное, то он автоматически отправляет короткий запрос в облако и практически тут же получает ответ: либо не реагировать (если файл не вредоносный), либо блокировать с помещением в карантин, либо вылечить (+микровакцина).
                          0
                          Дело понятное, но к маркетингу не рекомендуемое
        0
        Не осилил. Пролистав по диагонали, понял, что статья представляет собой классическую маркетинговую презентацию с картинками. " Вы знали? Вы хотели бы..., готовы ли вы?". Скучно.

        Only users with full accounts can post comments. Log in, please.