Поделиться
Что должен уметь современный антивирус для бизнеса: взгляд «Лаборатории Касперского»
Современный антивирус — это сложная система. Eго работа не ограничивается только сигнатурным анализом — то есть поиском в файлах уникальных фрагментов кода (сигнатур), которые являются «отпечатками» известных вирусов. К этому добавился поведенческий анализ, анализ аномалий приложений, контроль запуска приложений и новых подключений, система предотвращения вторжений на уровне узла и многое другое. Рост числа массовых и целевых кибератак, а также распространение технологий искусственного интеллекта (ИИ) формируют новые вызовы для корпоративной безопасности. Эксперты отмечают, что злоумышленники всё чаще атакуют не только крупный, но и средний бизнес, используя его как плацдарм для атак на большие компании. В этих условиях эффективная защита требует комплексного подхода, сочетающего традиционные антивирусные решения (EPP) и современные системы обнаружения и реагирования на угрозы на конечных точках (EDR).
Атаки на Linux — в тренде
По словам старшего менеджера отдела развития продуктов для конечных устройств «Лаборатории Касперского» Павла Петрова, в компании год от года отмечают не только рост числа массовых, но и целевых атак: когда злоумышленники изучают конкретную компанию и готовятся взломать именно её. Это касается как крупного, так и среднего бизнеса. Небольшие компании часто используют в качестве «мостика», чтобы получить доступ к организациям побольше.
«Если говорить об угрозах в контексте платформ, то по-прежнему целью злоумышленников чаще всего становятся устройства на Windows. Однако в последнее время растёт количество атак на Linux, причём одними из самых высоких темпов. Эта платформа доминирует в серверном и облачном сегментах. Соответственно, можно сделать вывод о том, что атакующие хорошо адаптируются к условиям изменяющегося ИТ-ландшафта», — говорит Петров.
Двуликий искусственный интеллект
ИИ расширил возможности как атакующих, так и защитников. ИБ-специалистам он позволил упростить обнаружение угроз за счёт обучения паттернам поведения вредоносных программ. Однако для корректного результата необходимо иметь огромный объём данных. Впрочем, в «Лаборатории Касперского» стали использовать машинное обучение ещё до всплеска его популярности. В частности, оно применяется в Kaspersky Security Network (KSN). Это глобальная репутационная база знаний для обмена сведениями об угрозах.
«В KSN поступают обезличенные данные со всего мира о новых подозрительных объектах, ассоциированных с атаками. Полученная информация анализируется автоматически, в том числе с помощью технологий машинного обучения, а также нашими экспертами, что позволяет защищать наших пользователей от новейших киберугроз, — рассказывает Петров. — Ключевое преимущество — широкое географическое покрытие, охватывающее все континенты, более 200 стран. Знания об угрозах поступают не только от корпоративных, но и от домашних пользователей, что даёт максимальный охват и более полные знания о ландшафте угроз».
Однако существуют пользователи, которые не могут по разным причинам отправлять во внешний контур информацию об угрозах. Специально для них создан Kaspersky Private Security Network. Система позволяет получать преимущества KSN, даже находясь в закрытом контуре.
EPP и EDR — сила в связке
В последнее время часто можно встретить мнение, что антивирус, или EPP (Endpoint Protection Platform, платформа защиты конечных точек), уже не является обязательным атрибутом контура защиты. Многие переходят сразу к следующему уровню защиты — EDR. Речь идёт о системе обнаружения и реагирования на угрозы на конечных точках (Endpoint Detection and Response). Как объясняют в «Лаборатории Касперского», для надёжной защиты в современных условиях нужны как EDR, так и EPP. EPP — больше про предотвращение атаки, EDR — про расследование и реагирование на этапе, когда злоумышленник уже проник в систему. В компании подчёркивают, что EPP несёт нагрузку по автоматическому отражению огромного потока угроз. «Итоговая защищённость инфраструктуры снижается до защищённости самого слабого компонента. Поэтому антивирус не должен быть слабым. Такой EPP будет снижать возможности даже мощного и многофункционального EDR», — говорит Петров.
Ключевым критерием должна быть возможность обнаружения угроз, и важно, чтобы это подтверждалось независимыми профессиональными тестами на постоянной основе. Одновременно необходимо обеспечить низкий уровень ложных срабатываний и быструю обработку больших объёмов данных, минимизировать задержки при доступе к файлам, а также исключить конфликты с бизнес-приложениями. Эти технологии совершенствуются годами.
Особые требования предъявляются к защите крупных инфраструктур. Приходится работать с десятками и сотнями тысяч устройств, в том числе с серверами, которые генерируют огромные потоки данных, и здесь уже просто обнаруживать угрозы недостаточно. Необходимо, чтобы EPP в таких условиях был способен эффективно масштабироваться.
«И EPP, и EDR должны иметь широкие возможности для распредёленной работы, чтобы можно было организовать единое управление защитой нескольких филиалов компании, которые, к тому же, могут быть значительно удалены друг от друга географически и иметь узкие каналы передачи информации», — объясняет Петров.
Ещё одно важное условие корректной защиты — совместимость EPP и EDR. Решения должны поддерживать и дополнять работу друг друга, а не мешать. Поэтому необходимо убедиться, что EPP и EDR будут иметь единый агент (единый драйвер, механизм самозащиты, единый лог, и т.д.). Это сильно упрощает работу пользователя в части установки и отслеживания совместимости между версиями EPP и EDR.
Особенная защита для «особенных» устройств
К конечным точкам сегодня относятся не только ПК или серверы. Устройств, работающих на разных платформах, стало гораздо больше. Им всем тоже требуется защита. «Лаборатория Касперского» работает со всеми распространёнными платформами — Windows, Linux, macOS и мобильными операционными системами. Причём в последнем случае к антивирусной защите требуется особый подход из-за особенностей этих устройств.
В качестве примера можно привести Kaspersky Secure Mobility Management (KSMM). Это комплексное решение для централизованного управления, контроля и защиты мобильных устройств сотрудников внутри ИТ-инфраструктуры компании. Оно позволяет администраторам удалённо настраивать политики безопасности, разграничивать доступ к корпоративным данным, защищать устройства от вредоносного ПО. А при необходимости — блокировать или полностью очищать потерянные или украденные гаджеты, обеспечивая тем самым безопасность конфиденциальной информации организации.
Заключение
В «Лаборатории Касперского» подчёркивают, что, с учётом огромного объёма информации о вирусах и постоянно эволюционирующих угроз, важно выбрать проверенное EPP-решение. При этом следует помнить, что в современном мире кибербезопасности EPP рассматривается не в отрыве от EDR, а как работающая в связке важнейшая часть общей защиты корпоративной инфраструктуры.
■ Рекламаerid:2W5zFJSusxtРекламодатель: АО «Лаборатория Касперского»ИНН/ОГРН: 7713140469/1027739867473Сайт: https://www.kaspersky.ru/Поделиться
Короткая ссылка
