Ключевые возможности современного бизнес-антивируса: мнение экспертов «Лаборатории Касперского»
Сегодняшние антивирусные решения представляют собой комплексные системы. Их функционал выходит далеко за рамки простого сигнатурного поиска — идентификации уникальных фрагментов вредоносного кода, которые служат цифровыми отпечатками уже известных угроз. Современный арсенал включает анализ поведения программ, выявление аномалий в работе приложений, управление их запуском и сетевыми подключениями, технологии предотвращения вторжений на уровне рабочих станций и другие компоненты. Увеличение объёма массовых и целевых кибератак, вместе с развитием искусственного интеллекта, создаёт новые вызовы для корпоративной защиты. Специалисты обращают внимание, что злоумышленники теперь активно атакуют не только крупные, но и средние компании, используя последние в качестве ступени для проникновения в более масштабные организации. В такой обстановке надёжная безопасность требует интеграции классических антивирусных платформ (EPP) и продвинутых систем для обнаружения и нейтрализации угроз на конечных устройствах (EDR).
Атаки на Linux набирают популярность
Как отмечает старший менеджер по развитию продуктов для конечных точек «Лаборатории Касперского» Павел Петров, в компании ежегодно фиксируют рост не только массовых, но и целенаправленных атак, когда злоумышленники целенаправленно исследуют и атакуют определённую организацию. Это касается предприятий любого масштаба. Небольшие фирмы нередко становятся тем самым «трамплином», который позволяет получить доступ к более крупным игрокам.
«Если рассматривать угрозы с точки зрения платформ, то устройства под управлением Windows по-прежнему остаются главной мишенью для атакующих. Тем не менее, в последнее время наблюдается значительный рост числа инцидентов, направленных на Linux, причём одними из самых динамичных. Данная операционная система преобладает в серверной и облачной инфраструктуре. Следовательно, можно заключить, что киберпреступники успешно адаптируются к трансформациям в ИТ-среде», — поясняет Петров.
Искусственный интеллект: инструмент и угроза
Искусственный интеллект усилил потенциал как киберпреступников, так и специалистов по безопасности. Для экспертов в области ИБ он стал инструментом, упрощающим выявление угроз благодаря анализу шаблонов поведения вредоносного кода. Однако для достижения точных результатов требуется обработать колоссальные массивы информации. Тем не менее, в «Лаборатории Касперского» машинное обучение начали применять задолго до того, как оно стало повсеместным трендом. В частности, эта технология задействована в Kaspersky Security Network (KSN) — глобальной облачной системе, аккумулирующей данные о репутации файлов и обменивающейся информацией об угрозах.
«В KSN поступают анонимизированные сведения со всего мира о новых подозрительных объектах, связанных с кибератаками. Эти данные обрабатываются автоматически, в том числе с применением алгоритмов машинного обучения, а также анализируются нашими экспертами. Это позволяет обеспечивать защиту пользователей от самых современных угроз, — поясняет Петров. — Ключевое достоинство системы — её глобальный масштаб, охватывающий все континенты и свыше 200 стран. Информация об угрозах поступает не только от корпоративных клиентов, но и от частных пользователей, что обеспечивает максимальный охват и формирует наиболее полную картину угроз».
При этом существуют пользователи, которые в силу различных ограничений не могут передавать данные об угрозах во внешнюю сеть. Специально для таких случаев была разработана Kaspersky Private Security Network. Эта система даёт возможность использовать преимущества KSN, оставаясь в рамках изолированной инфраструктуры.
EPP и EDR — эффективность в сочетании
В последнее время нередко можно услышать мнение, что антивирус, или EPP (Endpoint Protection Platform, платформа защиты конечных точек), больше не считается обязательным элементом системы защиты. Многие организации сразу переходят к следующему уровню — EDR, то есть системе обнаружения и реагирования на инциденты на конечных точках (Endpoint Detection and Response). Как отмечают в «Лаборатории Касперского», для обеспечения надёжной защиты в современных условиях необходимы и EDR, и EPP. EPP в большей степени отвечает за предотвращение атак, тогда как EDR — за расследование и реагирование на этапе, когда злоумышленник уже проник в систему. В компании подчёркивают, что на EPP ложится задача по автоматическому отражению огромного потока угроз. «Общий уровень защищённости инфраструктуры определяется надёжностью самого уязвимого её компонента. Поэтому антивирусное решение не должно быть слабым звеном. Неэффективный EPP будет ограничивать возможности даже самого продвинутого и многофункционального EDR», — отмечает Петров.
Главным требованием должна выступать способность выявлять угрозы, что необходимо регулярно подтверждать в ходе независимых экспертных проверок. Параллельно нужно добиваться минимального числа ложных тревог, оперативной обработки значительных массивов информации, сокращения времени доступа к файлам и предотвращения несовместимости с рабочими приложениями. Данные технологии оттачиваются на протяжении многих лет.
Защита масштабных инфраструктур предъявляет специфические запросы. Приходится иметь дело с десятками или сотнями тысяч единиц оборудования, включая серверы, создающие колоссальные потоки данных, и в таких условиях одного лишь обнаружения угроз уже не хватает. Требуется, чтобы EPP-решение могло уверенно масштабироваться в подобной среде.
«Как EPP, так и EDR обязаны обладать развитыми возможностями для распределённой работы. Это позволяет выстроить централизованное управление защитой для множества филиалов предприятия, которые к тому же могут быть географически разбросаны и обладать ограниченной пропускной способностью каналов связи», — поясняет Петров.
Ещё одним критически важным условием для надёжной защиты является взаимная совместимость EPP и EDR. Эти решения должны слаженно взаимодействовать и усиливать друг друга, а не создавать помехи. Следовательно, важно обеспечить, чтобы у EPP и EDR был общий агент (единый драйвер, механизм самозащиты, общий журнал событий и т.д.). Это существенно облегчает пользователю задачи по установке и контролю совместимости различных версий EPP и EDR.
Специализированная защита для специфичных устройств
Сегодня конечными точками считаются не только персональные компьютеры или серверы. Количество устройств, функционирующих на различных платформах, значительно возросло. Все они также нуждаются в защите. «Лаборатория Касперского» поддерживает все распространённые платформы — Windows, Linux, macOS и мобильные ОС. При этом для последних необходим особый подход к антивирусной защите, обусловленный спецификой самих устройств.
В качестве иллюстрации можно рассмотреть Kaspersky Secure Mobility Management (KSMM). Это комплексное решение для централизованного администрирования, контроля и защиты мобильных устройств сотрудников в рамках корпоративной ИТ-инфраструктуры. Оно даёт администраторам возможность удалённо настраивать политики безопасности, разделять доступ к корпоративным данным, оберегать устройства от вредоносных программ. А в случае необходимости — заблокировать или полностью стереть информацию с утерянных или похищенных гаджетов, гарантируя тем самым сохранность конфиденциальных сведений компании.
Итог
Специалисты «Лаборатории Касперского» отмечают, что в условиях колоссального потока данных о вредоносных программах и непрерывного развития угроз, критически важно внедрять надёжное EPP-решение. При этом стоит учитывать, что в современной концепции кибербезопасности EPP воспринимается не изолированно, а как ключевой компонент, эффективно взаимодействующий с EDR в рамках комплексной защиты корпоративных информационных систем.
■ Рекламаerid:2W5zFJSusxtРекламодатель: АО «Лаборатория Касперского»ИНН/ОГРН: 7713140469/1027739867473Сайт: https://www.kaspersky.ru/
