Системы защиты symantec. Сетевая защита - второй уровень защиты Symantec. Атаки, нацеленные на социальные медиа-приложения

Прочие модели 05.03.2019
Прочие модели

Призванный обеспечить комплексную защиту от атак злоумышленников на критически важные узлы физических и виртуальных дата центров. Новый релиз версии Symantec Data Center Security : Server Advanced (в прошлом известный как Symantec Critical System Protection), о котором и пойдет речь в данном обзоре, принес с собой новые улучшения, дополнительные возможности и расширенный ряд поддерживаемых программных платформ.

Помимо выше перечисленных возможностей, DCS:SA в своем составе инструментов содержит функции аудита, мониторинга и оповещения администраторов безопасности о целостности хостов и их соответствие нормативным требованиям стандартов безопасности в гетерогенных средах, например, таких как PCI DSS. А интеграция с SIEM системами предоставляет доступ к дополнительной информации о событиях системы и позволяет заблаговременно выявлять появление новых угроз.

Гибкость и масштабируемость архитектуры позволяет применять продукт независимо от сложности топологии защищаемой инфраструктуры, а также унифицированности программной среды. Стоит отметить, что сервер управления DCS:SA также поддерживает кластеризацию для решения задач в высоконагружей среде и fail-over режим для обеспечения отказоустойчивости и надежности.

Функции предотвращения использования эксплойтов, атак «нулевого дня», инъекций в исполняемый код и тому подробных, защищают операционную систему, работающие в ней приложения и сервисы посредством специальной оболочки – «песочницы» (sandbox ), создаваемой вокруг каждого набора сервисов и определяющей разрешенное ей безопасное поведение.

Кроме того, DCS:SA защищает хосты дата центра от атак злоумышленника направленных на попытку несанкционированной переконфигурации (Hardening) .

Централизованная консоль управления позволяет администраторам безопасности настраивать, развертывать и отслеживать политики безопасности, реагировать на предупреждения и создавать отчеты одновременно из нескольких платформ.

Архитектура Symantec Data Center Security: Server Advanced

Продукт, представляет собой традиционную для таких решений клиент – серверную архитектуру, и состоит из 4 основных компонентов, наглядное изображение архитектуры представлено на Рисунке 1:

Рисунок 1. Архитектура SDCS:SA

Рассмотрим каждый компонент в отдельности:

  1. Компонент «Management Server» – ядро системы, которое обеспечивает управление сервисами и элементами прикладных программ, реализующих функционал DCS:SA . На сервере выполняется регистрация агента, настройка и распространение политик безопасности, управление отдельными компонентами системы, мониторинг, журналирование и генерирование отчетов.
  2. Компонент «Agents» – приложение-агент, устанавливаемое на защищаемые DCS:SA узлы корпоративной системы, при установке агента можно выбирать в каком режиме он будет функционировать: мониторинг или мониторинг и предотвращение изменений в системе;
  3. Компонент «Management Console» – централизованная консоль управления для сбора и просмотра информации о работе агентов и применяемых на них политиках. Может быть установлена как отдельное приложение или фунционировать в режиме веб-консоли. Консоль обеспечивает единую систему мониторинга событий, позволяет создавать подробные отчеты, управлять устройствами, учётными записями пользователей и их ролями. С помощью консоли можно управлять сервером по защищенному протоколу HTTPS.
  4. Компонент «Database (SQL data store)» – централизованная база данных Microsoft SQL Server для хранения информации о защищаемых системах, политиках безопасности, отчетах, текущего состояния и т.д. Подключение происходит с использованием JDBC.

Интересной особенностью является возможность использования агента в режиме unmanaged mode. В этом случае обеспечивается полностью автономная работа агента на защищаемых системах. Это особенно полезно при создании, например, апплайнсов или других закрытых систем. Например, компания Symantec таким образом защищает свои программно-аппаратные комплексы для резервного копирования NetBackup Appliance. До перевода в неуправляемый режим агент необходимо подключить к серверу управления, для назначения ему политик, и, затем переключить агент в Unmanagement режим. В этом режиме агент больше не пытается осуществлять подключение к серверу управления для передачи событий, сохраняя их локально (рисунок 2).

Рисунок 2. Схема взаимодействия приложений DCS:SA

Системные требования

DCS:SA призван работать в гетерогенной среде, поэтому разработчики Symantec учли все особенности тех платформ, в которых должна функционировать система защиты, обеспечивая баланс производительности и широкий ряд поддерживаемых операционных систем (см. рисунок 3). В случае невозможности установки агента на ОС, например в случае отстутствия ее в списке поддерживаемых или других требований - возможно использование виртуальных агентов, функционал которых ограничен только мониторингом систем.

Рисунок 3. Поддерживаемые DSC : SA платформы

Отстутствие поддержки более новых клиентских версий Windows объяснятся тем, что продукт DCS:SA ориентируется на защиту серверных ОС. Для защиты клиентских систем используется аналогичный продукт CSP: Client Edition (который планируется заменить на to Symantec Embedded Security: Critical System Protection, выход которого планируется на весну 2015 года). Именно в продукте Symantec Embedded Security: Critical System Protection будет сделан упор на поддержку большего спектра клиентских и встраевыемых (embedded) систем.

По заверениям разработчиков агенты, устанавливаемые на защищаемую систему, обладают низкой ресурсоемкостью, это 1- 6 % потребления ЦП, до 80 Мб занимаемой ОЗУ и от 100 Мб на жестком диске (во многом кол-во требуемого пространства зависит от того, сколько событий создает система и как часто эти события планируется передавать на сервер управления) (см. рисунок 4).

Рисунок 4. Потребление ресурсов агентской частью

В официальной спецификации указаны следующие системные требования (см. рисунок 5):

Microsoft Windows - Агент

Sun Solaris (версии 8 и 9) - Агент

  • Платформа Sun SPARC
  • 1 Гб дискового пространства
  • 256 Мб оперативной памяти

IBM AIX 5L - Агент

  • Платформа POWER
  • 1 Гб дискового пространства
  • 256 Мб оперативной памяти

HP-UX 11.i (версии 11.11 и 11.23) - Агент

  • Платформа PA-RISC
  • 1 Гб дискового пространства
  • 256 Мб оперативной памяти

Сервер управления DCS:SA

Рисунок 5. Системные требования DCS:SA

Консоль управления DCS:SA

    Microsoft Windows XP / 2003 Server / Server 2008 / Server 2012

    150 Мб дискового пространства

Технологии защиты Symantec Data Center Security: Server Advanced

DCS:SA выстраивает свою защиту используя два глобальных задачи обеспечения безопасности – систему обнаружение вторжений (Host Intrusion Detection) и систему предотвращение вторжений (Host Prevention System) (см. рисунок 6).

Рисунок 6. Технологии защиты Symantec Data Center Security

Принцип работы системы обнаружения вторжений HIDS построен на непрерывном аудите и мониторинге защищаемых хостов. В случае выявления нарушений система незамедлительно оповещает администратора безопасности о найденных проблемах. Аудит и мониторинг включает в себя отслеживания поведения процессов запущенных в памяти, открытия закрытия и изменения файлов, реестра Windows, активности портов TCP и UDP, определенных событий в журналах безопасности операционных систем и приложений.

Система предотвращения вторжений HIPS нацелена на превентивные меры обеспечения безопасности. В ее состав входят следующие инструменты: использование для всех инициализируемых процессов изолированной среды запуска называемой песочницей (sandbox), защита от несанкционированного переконфигурирования (hardened), контроль сетевых соединений для каждой песочницы, в том числе и внутри защищаемой системы, прямого доступа к памяти и жестким дискам, контроль доступа к процессам, защиту от переполнения буфера и т.д. Эти технологии обеспечивают защиту от эксплоитов (exploits), внедрений в программный код (thread injection), повышение привилегий и других уязвимостей, для закрытия которых еще не выпущены патчи (security patch) или другого решения для защиты, при этом не требуя обновления самого продукта DCS:SA.

Symantec рассматривает разные стратегии обеспечения безопасности сред, среди них: Basic, Hardened, Protected Whitelisting (см. рисунок 7).

Любая стратегия позволяет доверенным приложениям устанавливать обновления, поэтому крайне важно четко определить доверенные источники обновлений (Trusted Updaters) и защитить сетевой периметр.

Базовая стратегия защиты (Basic ) обеспечивает защиту операционной системы и набора часто используемых приложений. Основная песочница, в которую будут перенаправляться все явно незаданные сервисы и приложения, настроена для максимальной совместимости с программами, работающими в нем.

Hardened (усиленная защита) - cтратегия предусматривает защиту операционной системы, сервисы операционной системы и набор общих приложений. Эта стратегия ограничивает все остальные приложения (такие как обслуживающие сервисы и интерактивные программы) в пределах Hardened-песочницы.

В данной стратегии описываются следующие опции:

  • глобальный список ограничений данных приложений
  • глобальный список ограничения ресурсов
  • ограничение установки программного обеспечения
  • защита от модификации исполняемых файлов
  • защита от модификации папок автозапуска
  • защита от регистрации компонентов COM и ActiveX
  • защита от автоматического запуска с иных носителей
  • защита ресурсов операционной системы
  • защита локальных дисков помеченных как RAW

Protected Whitelisting (стратегия основанная на «белых листах») - эта стратегия предусматривает защита для операционной системы, и запрет на запуск приложений, за исключением тех, которые явно указаны в конфигурационном «белом листе». По умолчанию, в данной политике лист разрешения для приложений пуст. Администратор должен выбрать приложение и добавить его в соответствующую песочницу,

Для операционной системы, чтобы она нормально функционировала, политикой используется предустановленный белый список в который включены сервисы операционной системы.

Рисунок 7. Новые подходы к превентивной защите

В отличие от традиционных «белых листов» (whitelist policy), применяемых в других продуктах, где просто формируются списки приложений, три уровня обеспечения безопасности представленные в DCS:SA предлагают максимальный уровень защиты с более гибким подходом. Изолированная среда, песочница (sandbox), представляет собой изолированный программный слой для выполнения бинарного кода запущенного приложения. В результате, если приложение окажется вредоносным, оно не сможет скомпрометировать базовую систему, её конфигурационные файлы, или провести сетевую атаку. Мы получаем защиту не только от уже известных угроз, но и проактивную защиту, нацеленную на обеспечение безопасности от еще неизвестных видов угроз. С помощью настраиваемых политик DCS:SA запускающиеся приложение получает только минимально необходимый набор ресурсов для выполнения необходимых ему действий.

Как пример можно привести следующую ситуацию: в Windows невозможно настроить права локальному администратору таким образом что бы он имел ограниченный доступ к определенным файлам или процессам в виду того что пользователь входящий в группу администраторов перекрывает все остальные ограничения. Точнее пользователь с правами администратора может с помощью нехитрых манипуляций преодолеть эти ограничения. DCS:SA позволяет очень тонко указать, что именно пользователь может, вне зависимости какие привилегии в ОС он имеет или в какую группу пользователей входит (см. рисунок 8), не опираясь при этом на функционал операционной системы.

Рисунок 8. Песочница, как главный инструмент безопасности в DCS:SA

Прежде всего, это очень актуально для защиты от атак и уязвимостей 0day. При условии отсутствия обновлений безопасности, устраняющих уязвимость, можно тонко ограничить права и ресурсы небезопасного приложения или сервиса таким образом, что злоумышленник не смог ими воспользоваться. В случае проведения атаки он просто получит отказ в выполнении небезопасной функции или запроса. В результате мы получаем еще одно дополнительное преимущество – снижения требований к установке обновлений, а, следовательно, снижение нагрузки на сотрудников компании, увеличение времени доступности сервиса и снижение рисков сбоев, вызванного установкой обновления. При этом, сам продукт не требует обновлений, что так-же снижает любые риски, связанные с перечисленными выше проблемами.

Контроль соответствия требованиям международным стандартам безопасности -- еще одно преимущество, получаемое от применения DCS:SA . Так, например, обеспечение целостности программного обеспечения является обязательным требованием стандарта безопасности платежных систем PCI DSS . Использование DCS:SA повлияет выполнить технические требования по мониторингу и контролю: например контроль целостности систем, что, например, является одним из обязательных пунктов соответствия международному стандарту безопасности платежных систем PCI DSS.

Стоит отметить и преимущества применения DCS:SA в критически важных инфраструктурных SCADA – комплексах , например на атомных электростанциях или системах аэронавигации, где важнейшими показателями являются надежность и безотказность функционирования систем. Часто в SCADA системах используются устаревшее ПО, которое не может быть обновлено, при этом, сеть SCADA не является изолированной от основных сетей, поэтому защита от 0-day уязвимостей является важной частью обеспечения безопасности данных систем.

Продукт DCS:SA отличное решение длятерминалов самообслуживания, различных информационных табло, киосков и других POS-устройств. Поскольку такие системы выполняют ограниченный функционал, на них используется малое количество заранее определенных приложений, которые достаточно один раз правильно сконфигурировать. Это может сэкономить много времени и сил ИТ-специалистов, учитывая, что этих устройств весьма много и они находятся на значительном удалении от основной инфраструктуры. Это также идеальный вариант в тех случаях, когда нет доступа в интернет или по другим причинам нет возможности получать актуальные обновления продукта или при использовании тех продуктов, которые уже официально не поддерживаются производителями, например Windows NT, Windows 2000 и подобные им. DCS:SA позволяет защитить систему от несанкционированного переконфигурирования и, выполняя приложения в песочнице, минимизировать риски связанные с уязвимостями и ошибками в программном обеспечении при отсутствии обновлений.

Неоспоримыми преимуществами защиты виртуальной инфраструктуры функционалом DCS:SA является низкое потребление ресурсов, а также защита от специфических ситуаций как апдейт - (update storm ) и бут-шторм (boot storm ). Суть заключается в том, что при массовом обновлении виртуализированные ОС друг за другом начинают перезагружаться, а это влечет всплески усиливающейся нагрузки на аппаратные ресурсы. Более того, после перезагрузки агентские приложения средств защиты, установленные на хостовой машине тоже стремятся проверить и получить обновления. Исключая эти ситуации, мы обеспечиваем непрерывную и стабильную работу виртуальных хостов, одновременно сводя до минимума риски связанные с получением обновлений.

Отдельно стоит отметить возможность с помощью политик DCS:SA обеспечить возможность аутсорсинга ПО . Идея заключается в том, что бы можно было доверить обслуживание критически важных для бизнеса приложений сторонним организациям с соблюдением достаточного уровня безопасности. С помощью политик DCS:SA администратор безопасности гранулярно раздает права на конкретные приложения и ресурсы серверов, позволяя внешним пользователям прозрачно работать с ними. Одновременно это позволяет защитить систему от компрометации и отслеживать действия пользователей, чтобы оперативно отреагировать на потенциальные инциденты

Другая особенность продукта это деэскалация – тонкая настройка, приводящая к частному снижению прав на объект. Операционные системы имеют ограниченные возможности разграничения прав штатными средствами – при этом DCS:SA позволяет очень тонко организовать права доступа к процессам, файлам, реестру и т.д. При этом, даже локальный администратор не сможет эти права поменять. Для примера, с помощью DCS:SA в Windows можно настроить ограничения прав локального администратора так, чтобы он ни при каких условиях не получил доступ к определенным файлам, а стандартными средствами Windows этого добиться невозможно.

Обзор политики предотвращения вторжений (Prevention Policy)

Политику обнаружения вторжения (Prevention Police) можно настроить с главной консоли управления программы, щелкнув Policies > Prevention. В отрывшейся панели можно увидеть все доступные для настройки пункты: базовые настройки политики, расширенные политики, список ресурсов и итоговые сводки по выпаленным политикам (см. рисунок 9).

Рисунок 9. DCS:SA. Панель настройки Prevention Policy

На следующем изображении показано как можно выбрать уровень глобальной стратегии безопасности в песочнице (см. рисунок 10).

Рисунок 10. DCS:SA. Определение глобальной стратегии безопасности

Выбрав режим Hardened (Additional Security) на следующем шаге формируется список приложений, для которых будут выполняться предписанные правила (см. рисунок 11)

Рисунок 11. DCS:SA. Определение правил для приложений

В окне Trusted Updates выполнится добавление приложений, для которых будут формироваться события изменения конфигурации (см. рисунок 12)

Рисунок 12. DCS:SA. Конфигурирование компонента Trusted Updates – приложений, отвечающих за установку или обновление ПО и ОС

Следующее окно Policy Quick Links содержит ссылки для быстрой настройки режима политики предотвращения, защиты периметра сети, переопределения политик и настроек агента (см. рисунок 13).

Рисунок 13. DCS:SA. Настройка элементов Prevention Policy с помощью быстрых ссылок

Ниже представлены опции доступные в режиме конфигурирования политик. Опции песочницы для приложений и операционной системы (рисунок 14), а также и расширенные опции приложений (рисунок 15).

Рисунок 14. DCS:SA. Опции конфигурирования режима Prevention для каждой отдельной песочницы

Рисунок 15. DCS:SA. Расширенные опции глобальных политик безопасности – настройка агента и программ

Рисунок 16. DCS:SA. Расширенные опции конфигурирования политик– компонентов защиты сети

Рисунок 17. DCS:SA. Расширенные опции конфигурирования политик – процессы

Рисунок 18. DCS:SA. Расширенные опции конфигурирования политик – файловая система

Рисунок 19. DCS:SA. Расширенные опции конфигурирования политик – контроль сетевого трафика

Рисунок 20. DCS:SA. Просмотр изменений, внесенных в базовую политику

Обзор политик предотвращения (Detection Police)

Политика предотвращения вторжений (Detection Policy) настраивается аналогично рассмотренной в предыдущем абзаце Prevention Policy. Панель конфигурирования открывается с главной консоли управления программы по щелчку Policies > Detection. В отрывшейся панели можно увидеть все доступные для настройки пункты (см. рисунок 21).

Рисунок 21. DCS:SA. Главная панель Detection Policy


В процессе конфигурирования выбираются критерии, по которым будут формироваться события безопасности и оповещения (рисунок 22).

Рисунок 22. DCS:SA. Настройка событий аккауитинга

Рисунок 23. DCS:SA. Настройка событий Active Directory

Рисунок 24. DCS:SA. События пользовательских сессий


Рисунок 25. DCS:SA. Мониторинг ключей автозапуска


Рисунок 26. DCS:SA. События файловой системы

Рисунок 27. DCS:SA. События внешних устройств, сетевого и файлового окружения

Рисунок 28. DCS:SA. События антивирусной защиты


Рисунок 29. DCS:SA. обнаружение Web -атак

Рисунок 30. DCS:SA. События контроля внешних и съемных носителей


Мониторинг и Отчетность (Monitoring and Reporting)

Сильной стороной DCS:SA является функция мониторинга и генерации отчетов. Все события, возникающие как в самой системе DCS:SA, так и в целевых защищаемых системах имеют двустороннюю связь, во-первых все они фиксируются в журнале событий, во-вторых, в ответ на то или иное событие от DCS:SA происходит ответное действие в соответствии с настройками политики, например выполнение скрипта (см. рисунок 31).

Рисунок 31. DCS:SA Оповещение и мониторинг в реальном времени

Из главного меню консоли администрирования все события можно посмотреть по щелчку на кнопке Monitoring (см. рисунок 32).

Рисунок 32. DCS:SA. Панель мониторинга - список всех событий

Рисунок 33.

Мощные механизмы предоставления отчетности позволяют формировать данные в графических представлениях (см. рисунок 34).

Рисунок 34. DCS:SA Просмотр отчетов по запросу пользователя (графический вид)

Рисунок 35. DCS:SA Подробный просмотр сведений о событии

Рисунок 36. DCS:SA Отчет представленный в виде диаграммы в недельном интервале

Выводы

Symantec является один из бесспорных лидеров в области решений нацеленных на обеспечение комплексной безопасности корпоративной среды. Доказательством тому один из ее продуктов Symantec Data Center Security: Server Advanced, призванный обеспечить комплексную защиту виртуальных и физических дата центров от разнообразных хакерских атак, таких как эксплоиты (exploits), атаки на переполнение буфера (buffer overflow), внедрений в код (thread injection), повышение привилегий в приложениях для которых еще нет обновления безопасности (security patch), атаки на отказ в обслуживание (DoS). Продукт построен на использовании «песочницы» (sandbox), как основного инструмента безопасности, с использованием разработанных Symantec уникальных технологий системы обнаружения (Host Intrusion Detection) и предотвращения вторжений (Host Prevention System). Продукт позволяет управлять настройками доступа к съемным носителям (CD\DVD диски, USB-устройства), на основании гибко настраиваемых политик создавать разрешенные списки приложений (whitelisting), обеспечивать защиту от несанкционированного переконфигурирования (Hardening), контролировать сетевую активность, вести непрерывный аудит в гетерогенной среде всех происходящих событий. Настраиваемые отчеты, представляемые в разнообразных текстовых и графических видах, и система оповещений информирует администратора безопасности о текущем состоянии защищаемой среды, что заблаговременно позволяет обнаружить угрозы и снизить риски.

Особенностью продукта, является возможность гранулировано назначить права пользователям (деэскалация ) входящими в разные административные группы на системные и прикладные приложения, что недоступно достичь штатными средствами операционных систем. Исключительной полезностью Symantec Data Center Security: Server Advanced обладает для различных ATM и POS-терминалов, находящихся далеко за периметрами основной корпоративной инфраструктуры компании. Неуправляемый (unmanagment agent) режим агента позволяет обеспечить выполнение назначенных политик безопасности в том случае, когда защищаемая система изолирована и у нее нет связи с внешним миром. Большой плюс будет тем, кто продолжает использовать уже не поддерживающиеся операционные системы, например Windows NT, Windows 2000. Windows XP и, в скором времени - Windows 2003 (14 июля 2015 года официальная дата окончания поддержки), обновления для которых больше не выходят особенно с учетом того, что сам продукт DCS:SA в принципе не требует обновлений.

Тесная интеграция продукта с VMware vSphere обеспечивает защиту всей виртуальной инфраструктуры, а так же контроль целостности гипервизоров. Безопасность предоставляется как сервис, обеспечивая защищенность, как на уровне отдельного виртуального хоста (VM), так и на уровне самого гипервизора.

Data Center Security: Server Advanced несомненно станет мощным инструментом для обеспечения безопасности корпоративной среды, а в сопряжении с другими решениями безопасности, позволит эффективно снизить ИТ-риски, обеспечить непрерывность и надежность бизнес процессов компании.

Cообщить об ошибке


  • Битая ссылка на скачивание Файл не соответствует описанию Прочее
    • Отправить сообщение

    Symantec Endpoint Protection – комплексное антивирусное ПО, обеспечивающее многоуровневую защиту. Для повышения уровня безопасности в состав антивируса был добавлен мощный фаервол. Приложение способно обеспечить защиту не только компьютера, но и сети.

    Разработчики Симантек создали уникальный антивирус, способный справляться не только с вирусами, но и сетевыми угрозами. К тому же комплекс прекрасно справляется с эксплойтами нулевого дня. Благодаря фаерволу, любая хакерская атака будет своевременно обнаружена.

    Минимальные требования антивируса

    • ОС –Windows 10 и ниже (до XP);
    • Разрядность ОС – 32 (64) бит;
    • Процессор – 2.0 GHz;
    • ОЗУ – 1 Gb.

    Модули антивирусного комплекса

    Чтобы превратить антивирус Symantec Endpoint Protection в настоящую неприступную крепость, разработчики объединили несколько модулей. В комплекс вошли следующие модули и компоненты:

    • Компонент Protection Suit;
    • Модуль Exploit Blocking;
    • Endpoint Encryption;
    • Device Control;
    • Антишпион;
    • Симантик Хелп;
    • Компонент Insight;
    • Network Threat;
    • Sonar;
    • Фаервол.

    Все модули настроены таким образом, чтобы между ними не возникало конфликтов. Каждый элемент уникален и обладает расширенным функционалом. Именно поэтому комплекс способен обеспечить многоуровневую защиту.

    Основные возможности

    • Многоуровневая защита;
    • Защита от шпионов и кейлогеров;
    • Блокировка доступа, в случае хакерской атаки;
    • Возможность централизованного управления;
    • Совместимость с Windows 10;
    • Создание списка исключений;
    • Блокировка потенциально опасных веб-сайтов;
    • Возможность экспорта настроек;
    • Снижение уровня потребляемых ресурсов;
    • Постоянное обновление баз данных;
    • Обнаружение и ликвидация руткитов;
    • Мониторинг входящего и исходящего трафика;
    • Эвристический анализ системы;
    • Проактивная защита;
    • Поддержка облачных технологий.

    Преимущества

    Антивирусное ПО Endpoint Protection для windows 10 и других систем оснащено различными компонентами и модулями. Именно поэтому комплекс имеет ряд преимуществ. Проанализировав все достоинства, можно убедиться, что антивирус подходит не только для крупных компаний, у которых насчитывается более 100 локальных машин, но и частного использования.

    Уровень защиты

    В первую очередь следует отметить уровень безопасности антивирусного комплекса. Антивирус способен блокировать не только вирусы, но и шпионы, а также руткиты. Благодаря встроенному фаерволу, попытки несанкционированного доступа, будут сразу замечены, а затем заблокированы.

    Чтобы обеспечить своевременную защиту, приложение анализирует входящий и исходящий трафик. Таким образом, все вирусы будут обнаружены еще до того момента, как они попадут на компьютер. Все это стало возможно благодаря модулю Network Threat.

    Вирусы и другие вредоносные программы могут проникнуть на компьютер даже в тот момент, когда пользователь играет или смотрит фильмы. Чтобы этого не произошло антивирус обеспечивает защиту в режиме реального времени. Благодаря модулю Сонар, могут быть определены не только вирусы, но и эксплойты.

    Еще одним преимуществом в осуществлении безопасности является технология Insight. Все файлы сортируются на 2 группы: безопасные и подверженные угрозам.

    Интеллектуальное управление

    Управление антивирусом играет одну из важнейших ролей. Если интерфейс будет слишком сложным и непонятным, пользователи не смогут настроить программу так, чтобы она обеспечивала постоянную защиту. К достоинствам можно отнести наличие одной панели управления для виртуальной и физической платформы.

    Интерфейс программы разработан таким образом, чтобы комплекс корректно работал как на Windows 10, так и Mac OS, а также Linux. Благодаря кроссплатформенности, у программы увеличилось количество потребителей.

    Опытные пользователи могут применять различного рода политики. Подобные настройки позволят блокировать системы, а также контролировать любые устройства.

    Быстродействие антивирусного ПО

    Многие пользователи избавляются даже от хороших антивирусов если они медленно работают и потребляют ресурсы системы. Антивирус Эндпоинт Протекшн кардинально отличается от конкурентов. Комплекс оптимизирован под любые системы, включая Windows 10.

    Технология Insight позволяет сократить время сканирования системы до 70%. Это стало возможно благодаря сортировке файлов. Мониторингу подлежат только файлы, получившие статус «подверженные угрозам». Во время сканирования, потребляется минимальное количество оперативной памяти.

    Антивирусный комплекс практически не нагружает сеть. Таким образом, загрузка файлов из интернета осуществляется достаточно быстро. Пользователи получили возможность гибкой настройки сканирования сети и посещаемых сайтов.

    Прочие достоинства

    Пользователи обращают внимание не только на управление, и функционал. Многие считают преимуществом, то что скачать antivirus можно совершенно бесплатно. При этом триал-версия действует 60 дней. Достаточно посетить веб-сайт разработчика.

    Еще одним незначительным преимуществом можно считать мультиязычность интерфейса. Присутствие русского языка позволяет пользователям быстрее разобраться с программой.

    Недостатки

    Антивирусный комплекс Symantec Endpoint разрабатывался для коммерческих организаций с большим количеством компьютеров. Именно поэтому на домашнем компьютере его неудобно использовать. Сложность заключается в тонкой настройке продукта. Если неправильно настроить антивирус, будут удаляться даже безопасные файлы, а интернет начнет постоянно отключаться. Корректно настроить программу смогут только те пользователи, которые имеют глубокие познания в администрировании.

    Еще одним недостатком является блокировка взломанного софта. Чтобы разблокировать файлы, их необходимо отправить в Симантек. Конечно, отправка занимает около 5 минут. Что касается ответа, то его приходится ждать 2 дня. Примечательно, что разработчики антивируса быстро снимают детект со взломанного ПО. Единственно что может оставаться заблокированным, это программа несущая опасность системе.

    Как скачать «защитника»

    Пользователи могут разработчика. Для перехода на Интернет-ресурс, требуется в браузере ввести «https://www.symantec.com/ru/ru/». После загрузки главной, русскоязычной страницы необходимо навести курсор мышки на меню «Продукты». Во всплывающем меню нужно кликнуть по гиперссылке с анкором «Продукты от А до Я».

    Когда будет загружена страница со всеми продуктами Симантек, необходимо среди всего разнообразия отыскать антивирус «Endpoint Protection». Раздел находится во втором столбике.

    Через мгновенье откроется страница с описанием возможностей антивируса. Чтобы скачать продукт необходимо кликнуть по ссылке «пробные версии», расположенной в боковой колонке. Конечно, если хочется, можно сразу приобрести платную версию, но как советуют многие специалисты, лучше всего сначала ознакомиться с возможностями, поэтому стоит установить триал-версию.

    К сожалению, просто так скачать программу не получится, нужно будет ввести свои данные. Для этого достаточно заполнить представленную регистрационную форму. При желании можно ввести несуществующие данные, главное, чтобы почтовый индекс, страна и город совпадали.

    Когда форма будет заполнена откроется страница с одной ссылкой. Достаточно кликнуть по ней мышью, чтобы перейти к следующему шагу.

    На открывшейся странице появится список с Symantec Endpoint. Пользователю остается определиться с языком. А затем установив галки напротив продукта нажать на кнопку «Download». Скачивать лучше всего файлы с пометкой «RU».

    Установка серверной части

    После загрузки антивируса, следует запустить дистрибутив. Для продолжения инсталляции, нужно выбрать пункт «Install Symantec Endpoint Protection Manager».

    На следующем шаге достаточно кликнуть по кнопке «Next». После этого откроется окно с пользовательским соглашением. Для продолжения установки требуется принять соглашение, а затем нажать на кнопку «Next».

    Следующий шаг заключается в выборе месторасположения антивируса. К тому же в этом же окне можно будет увидеть минимальные требования программы. Закончив с выбором каталога, остается только продолжить и нажать на кнопку «Install».

    После начала установки, пользователю необходимо сконфигурировать сервер. Существует 3 типа настроек. Лучше всего выбирать выборочную настройку. Подобный вариант позволит точнее сконфигурировать сервер.

    Сначала нужно указать количество компьютеров, подключенных к одной сети. В идеале антивирус лучше устанавливать на сервер, а на остальные машины – клиент.

    На следующем шаге нужно ввести название web-сайта и имя сервера. К тому же можно ознакомиться с портами, которые позволяют корректно функционировать антивирусу.

    Новая форма требует ввода данных об организации. Если антивирус устанавливается на домашний компьютер, можно ввести любые данные. В качестве имени пользователя лучше всего указать «admin».

    Новая форма позволяет установить пароль на учетную запись администратора. Существует два варианта: автоматическое создание и указание пароля вручную. После ввода пароля, пользователю требуется настроить почтовый сервер, указав его адрес и порт.

    Завершающим этапом установки будет форма, в которой следует определиться, нужно ли отправлять анонимную информацию. Для этого следует установить галку, а затем нажать кнопку «Next».

    После этого остается проверить корректность указанных данных. Если все поля были заполнены правильно, нужно только нажать кнопку «Финиш».

    В том случае, если в локальной сети имеется несколько компьютеров, рекомендуется развернуть клиентскую версию. В первую очередь в менеджере антивируса следует перейти во вкладку «Клиент», а затем кликнуть по ссылке «Добавить клиента».

    В новом окне нужно будет выбрать группу, в которую входят остальные машины.

    Открывшаяся форма «Install Feature Sets», предлагает пользователям определиться с одним из существующих вариантов установки. К тому же в этом окне нужно будет выбрать вид клиентской защиты.

    Пятый шаг установки заключается в выборе метода установки защиты. Лучше всего выбрать пункт «Передача установочных файлов по сети».

    Следующий шаг установки клиента заключается в добавлении машин, для которых будет настроен антивирус. Для быстрого поиска лучше всего использовать диапазон IP-адресов.

    После выбора локальных машин, по сети будут отправлены установочные файлы. Что касается инсталляции, то она начнется в автоматическом режиме. Когда клиент настроится на локальной машине, в менеджере появится новый клиент.

    Заключение

    Антивирусный комплекс Symantec Endpoint Protection является прекрасным решением для владельцев нескольких компьютеров. Таким образом, можно будет один антивирус установить на все машины. К тому же управлять антивирусом можно будет с сервера.

    Следует учесть, что антивирус требует глубоких познаний IT-технологий. Если по неопытности неправильно настроить «защитника», могут быть удалены даже безопасные файлы. В остальном, антивирус способен конкурировать с другими популярными продуктами.

    Возможно вас еще заинтересует:

    Видео обзор Symantec Endpoint Protection

    Которые вынуждены ждать создания физического файла на компьютере пользователя, сетевая защита начинает анализировать входящие потоки данных, поступающие на компьютер пользователя через сеть, и блокирует угрозы прежде, чем они попадают в систему.

    Основными направлениями сетевой защиты, которые обеспечивают технологии Symantec, являются:

    Загрузки методом drive-by, веб-атаки;
    - Атаки типа «Социальной инженерии»: FakeAV (поддельные антивирусы) и кодеки;
    - Атаки через социальные сети наподобие Facebook;
    - Обнаружение вредоносных программ, руткитов и зараженных ботами систем;
    - Защита от усложненных угроз;
    - Угрозы Нулевого дня;
    - Защита от неисправленных уязвимостей ПО;
    - Защита от вредоносных доменов и IP-адресов.

    Технологии Сетевой защиты

    Уровень "Сетевая защиты" включает в себя 3 различные технологии.

    Network Intrusion Prevention Solution (Network IPS)

    Технология Network IPS понимает и сканирует более 200 различных протоколов. Он интеллектуально и точно «пробивается» сквозь двоичный и сетевой протокол, попутно ища признаки вредоносного трафика. Этот интеллект позволяет обеспечить более точное сетевое сканирование, при этом обеспечивая надежную защиту. В его «сердце» находится движок блокировки эксплойтов, который обеспечивает открытые уязвимости практически непробиваемой защитой. Уникальной особенностью Symantec IPS является то, что никакой настройки этот компонент не требует. Все его функции работают, как говорится, «из коробки». Каждый пользовательский продукт Norton , а также каждый продукт Symantec Endpoint Protection версии 12.1 и новее, обладают данной критичной технологией, включенной по умолчанию.

    Защита Браузера

    Этот защитный движок располагается внутри браузера. Он способен обнаруживать наиболее сложные угрозы, которые ни традиционный антивирус, ни Network IPS не способны определить. В наше время, многие сетевые атаки используют методы обфускации во избежание обнаружения. Поскольку Защита Браузера работает внутри браузера, она способна изучать пока еще не скрытый (обфускацированный) код, во время того, как он выполняется. Это позволяет обнаружить и заблокировать атаку, в случае, если она была пропущена на нижних уровнях защиты программы.

    Un-Authorized Download Protection (UXP)

    Находящаяся внутри слоя сетевой защиты, последняя линия обороны помогает прикрыть и «смягчить» последствия использования неизвестных и неисправленных уязвимостей, без использования сигнатур. Это обеспечивает дополнительный слой защиты от атак Нулевого дня.

    Ориентируясь на проблемы

    Работая вместе, технологии сетевой защиты решают следующие проблемы.

    Загрузки методом Drive-by и наборы инструментов для веб-атак

    Используя Network IPS, Защиту Браузера, и UXP-технологию, технологии сетевой защиты компании Symantec блокируют загрузки Drive-by и, фактически, не позволяют зловреду даже достичь системы пользователя. Практикуются различные превентивные методы, включающие использование этих самых технологий, включая технологию Generic Exploit Blocking и инструментарий обнаружения веб-атак. Общий веб-инструментарий обнаружения атак анализирует характеристики распространенной веб-атаки, не зависимо от того, какой именно уязвимости касается эта атака. Это позволяет обеспечить дополнительной защитой новые и неизвестные уязвимости. Самое лучшее в этом типе защиты - это то, что если вредоносный файл смог бы «тихо» заразить систему, он все равно был бы проактивно остановлен и удален из системы: ведь именно это поведение обычно пропускается традиционными антивирусными продуктами. Но Symantec продолжает блокировать десятки миллионов вариантов вредоносного ПО, которое обычно не может быть обнаружено другими способами.

    Атаки типа «Социальной инженерии»

    Поскольку технологии компании Symantec наблюдают за сетевым трафиком и трафиком браузера во время его передачи, они определяют атаки типа «Социальной инженерии», на подобии FakeAV или поддельных кодеков. Технологии предназначены блокировать подобные атаки до того, как они отобразятся на экране пользователя. Большинство других конкурирующих решений не включает в себя этот мощный потенциал.

    Symantec блокирует сотни миллионов подобных атак при помощи технологии защиты от сетевых угроз.

    Атаки, нацеленные на социальные медиа-приложения

    Социальные медиа-приложения в последнее время стали широко востребованы, поскольку они позволяют мгновенно обмениваться различными сообщениями, интересными видео и информацией с тысячами друзей и пользователей. Широкое распространение и потенциал подобных программ, делают их объектом внимания №1 для хакеров. Некоторые распространенные трюки «взломщиков» включают в себя создание поддельных аккаунтов и рассылку спама.

    Технология Symantec IPS способна защитить от подобных методов обмана, зачастую предотвращая их до того, как пользователь успеет кликнуть на них мышкой. Symantec останавливает мошеннические и поддельные URL, приложения и другие методы обмана с помощью технологии защиты от сетевых угроз.

    Обнаружение вредоносного ПО, руткитов и зараженных ботами систем

    Правда было бы неплохо знать, где именно в сети располагается зараженный компьютер? IPS-решения компании Symantec предоставляют эту возможность, также включая в себя обнаружение и восстановление тех угроз, возможно которым удалось обойти другие слои защиты. Решения компании Symantec обнаруживают вредоносов и ботов, которые пытаются совершить автодозвон или загрузить «обновления», чтобы увеличить свою активность в системе. Это позволяет IT-менеджерам, у которых есть четкий лист систем для проверки, получить гарантию того, что их предприятие находится в безопасности. Полиморфные и сложные скрытые угрозы, использующие методы руткитов наподобие Tidserv, ZeroAccess, Koobface и Zbot, могут быть остановлены и удалены при помощи этого метода.

    Защита от «запутанных» угроз

    Сегодняшние веб-атаки используют комплексные методы усложнения атак. Browser Protection компании Symantec «сидит» внутри браузера, и может обнаружить очень сложные угрозы, которые зачастую не способны увидеть традиционные методы.

    Угрозы «Нулевого дня» и неисправленные уязвимости

    Одним из прошлых, добавленных компанией защитных дополнений, является дополнительный слой защиты против угроз «Нулевого дня» и неисправленных уязвимостей. Используя безсигнатурную защиту, программа перехватывает вызовы System API и защищает от загрузок вредоносного ПО. Эта технология называется Un-Authorized Download Protection (UXP). Она является последним рубежом опоры внутри экосистемы защиты от сетевых угроз. Это позволяет продукту «прикрыть» неизвестные и непропатченные уязвимости без использования сигнатур. Эта технология включена по умолчанию, и она находится во всех продуктах, выпущенных с момента дебюта Norton 2010.

    Защита от неисправленных уязвимостей в ПО

    Вредоносные программы зачастую устанавливаются без ведома пользователя, используя уязвимости в ПО. Сетевая защита компании Symantec предоставляют дополнительный слой защиты, именуемый Generic Exploit Blocking (GEB). Независимо от того, установлены ли последние обновления или нет, GEB «в основном» защищает основные узявимости от эксплуатации. Уязвимости в Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, контролях ActiveX, или QuickTime сейчас повсеместно распространены. Generic Exploit Protection была создана методом «обратного инжиниринга», выяснив, каким образом уявимость могла быть использована в сети, предоставляя при этом специальный патч на сетевом уровне. Одна-единственная GEB или сигнатура уязвимости, способна предоставить защиту от тысяч вариантов зловредов, новых и неизвестных.

    Вредоносные IP и блокировка доменов

    Сетевая защита компании Symantec также включает в себя возможность блокировки вредоносных доменов и IP-адресов, при этом останавливая вредоносно ПО и трафик от известных вредоносных сайтов. Благодаря тщательному анализу и обновлению базы веб-сайтов отделом STAR, Symantec предоставляет защиту от постоянно меняющихся угроз в режиме реального времени.

    Улучшенное сопротивление к Уклонению

    Была добавлена поддержка дополнительных кодировок, чтобы улучшить эффективность детекта атак при помощи техник шифрования, таких как base64 и gzip.

    Обнаружение сетевого аудита для применения политик использования и идентификации утечки данных

    Сетевой IPS может быть использован для идентификации приложений и инструментов, которые могут нарушить корпоративную политику использования, или для предотвращения утечки данных через сеть. Является возможным обнаружить, предупредить или предотвратить трафик на подобии IM, P2P, социальных медиа, или другого «интересного» вида трафика.

    STAR Intelligence Communication Protocol

    Технология сетевой защиты сама по себе не работает. Движок обменивается данными с другими сервисами защиты при помощи протокола STAR Intelligence Communication (STAR ICB). Движок Network IPS соединяется с движком Symantec Sonar, а затем с движком Внутренней Репутации (Insight Reputation). Это позволяет предоставить более информативную и точную защиту.

    В следующей статье мы рассмотрим уровень "Поведенческий анализатор".

    По материалам Symantec

    Нашли опечатку? Нажмите Ctrl + Enter

    Symantec Endpoint Protection 14 это высокотехнологичное, комплексное решение для антивирусной защиты рабочих станций и серверов. Высокий уровень безопасности и быстродействия, поддержка физических и виртуальных систем. Интеграция в одном решении всех необходимых компонентов для обеспечения безопасности, без увеличения нагрузки на систему.

    Тип лицензии Постоянная лицензия Временная лицензия Поддержка
    Программа лицензирования Business
    Поддержка 1 год
    Категория цены
    A B C D

    от 1 до 24 шт.

    от 25 до 49 шт.

    от 50 до 99 шт.

    от 100 до 249 шт.

    Описание функций

    Клиент Symantec Endpoint Protection









    Symantec Endpoint Protection Manager









    Компоненты

    Компоненты

    Сервер управления клиентами, установленными на рабочих станциях пользователей. Отвечает за контроль и управление корпоративной политикой безопасности в организации.
    Работа с сервером осуществляется с помощью консоли управления, которая может быть установлена непосредственно на сервере или на любом удаленном компьютере, подключенном через сеть к серверу. Операции с консолью сервера управления могут быть выполнены, как через специально установленное приложение, так и через Web браузер. Это позволяет администраторам, находясь вне офиса, работать с Symantec Endpoint Protection Manager .

    Клиент Symantec Endpoint Protection устанавливается на сервера, рабочие станции и портативные компьютеры, которые требуется защищать. Обеспечивает защиту компьютеров с помощью сканирования на наличие вирусов и программ-шпионов, с помощью вышеуказанных технологий и функций.

    Клиент Symantec Network Access Control обеспечивает выполнение требований политики безопасности на компьютерах клиентов путем выполнения проверок целостности хоста и применения средств самостоятельного контроля.

    Symantec Protection Center позволяет интегрировать Endpoint Protection в единую среду управления с другими решениями Symantec, предназначенных для обеспечения безопасности. Устанавливается вместе с Symantec Endpoint Protection Manager .

    Компонент LiveUpdate Administrator загружает описания, сигнатуры и обновления продукта с сервера Symantec LiveUpdate и распределяет обновления на клиентские системы.

    База данных хранит политики безопасности и события. Устанавливается вместе с Symantec Endpoint Protection Manager .

    Компонент Symantec Enforcer проверяет клиенты, подключенные к сети, на соответствие настроенным политикам безопасности.

    Системные требования

    Системные требования

    Microsoft Windows
    - Windows 10 (начиная с версии 12.1.6 MP1a) - Windows XP SP2, Vista, 7, 8 (32- и 64-разрядные)
    - Windows Server 2003 R2, 2008, 2012 (32- и 64-разрядные версии)
    - Windows Small Business Server 2011 (64-разрядный)
    - Windows Essential Business Server 2008 (64-разрядный)

    Mac OS
    - Mac OS 10.11
    - Mac OS X 10.8, 10.9 или 10.10 (32- и 64-разрядные версии)
    - Mac OS X Server 10.5, 10.6, 10.7, 10

    Linux
    - Red Hat Enterprise Linux
    - SuSE Linux Enterprise (server/desktop)
    - Novell Open Enterprise Server
    - Ubuntu
    - Debian
    - Fedora
    - Oracle Linux

    Облачные и виртуальные среды
    - Windows Azure
    - Amazon WorkSpaces
    - Microsoft Windows Server 2008, 2012 и 2012 R2 Hyper-V
    - Citrix XenServer 5.6 и более поздних версий
    - Virtual Box by Oracle
    - VMware WS 5.0, GSX 3.2, ESX 2.5 или более поздняя версия
    - VMware ESXi 4.1-5.5

    Существует распространенное заблуждение о том, что работа антивирусных сканеров заключается именно в поиске файлов по базам, чтобы определить, является ли файл хорошим или нет. На самом деле, современные антивирусные решения выходят далеко за рамки сопоставления файлов с сигнатурами: применяют общие и эвристические методы обнаружения угроз.

    Фактически, лучшие антивирусные движки предоставляют многочисленные методы выявления известных и неизвестных угроз. Файловая защита продуктов компании Symantec, является именно одной из таких технологий.

    Файловая защита имеет довольно продолжительную историю, почти как один из краеугольных камней нашей технологии защиты. STAR продолжает инвестировать и развивать файловую защиту антивирусных решений Symantec, чтобы в компании могли обладать повышенными наработками на широком поле интернет-угроз. Наличие зараженных файлов на машине пользователя, является основным методом сохранения существования зловреда после первоначального заражения.

    Для предотвращения подобного и существует файловая защита: именно она играет важную роль в выявлении, нейтрализации и удаления угроз с компьютеров наших клиентов. Основными направлениями защиты, которые обеспечивает наша файловая технология, являются:

    Вредоносные программы и вирусы;
    Направленные атаки, включая Advanced Persistent Threats (APT), троянские программы и общие угрозы Нулевого дня;
    Атаки типа «Социальной инженерии»: FakeAV (поддельные антивирусы) и кодеки;
    Боты и ботнеты;
    Руткиты;
    Вредоносные PDF-файлы и документы Microsoft Office (Powerpoint, Excel, Word);
    Вредоносные файлы в архивах;
    Программы-шпионы и Adware;
    Кейлоггеры.

    Для того, чтобы противостоять этим угрозам, четыре различных компонента формируют основу нашей файловой защиты: Антивирусное ядро, Автоматическая защита, движок ERASER, а также наши эвристические методы: Malheur и Bloodhound.

    Антивирусное ядро

    Уникальный сканирующий движок Symantec, развернут более чем на 350 миллионах машин. Это стабильный, высокопроизводительный движок, обеспечивающий безопасность от последних угроз. Движок часто обновляется при помощи LiveUpdate, что позволяет беспрепятственно реагировать на новейшие угрозы. Это позволяет нам актуализировать обнаружающую способность нашего продукта без требования полного обновления.

    Автоматическая защита

    Файловый сканер Symanteс, обнаруживает угрозы в файловой системе в режиме реального времени. Сделанная на уровне ядра, Автоматическая защита является высокопроизводительным сканирующим движком, который защищает пользователя от новейших угроз, при этом не мешая ему. При записывании файлов на жесткий диск, срабатывает Автоматическая защита и ее компоненты: антивирус и движки Malheur и Bloodhound. Работая на низком уровне, Автоматическая защита позволяет заблокировать инфицированный файл до его запуска- прежде, чем он сможет заразить систему. Помимо защиты файлов, Автоматическая защита обеспечивает ключевую функциональность Download Insight - части нашей передовой технологии анализа репутации файлов.

    Движок ERASER

    Движок ERASER компании Symantec обеспечивает возможность ремонта и устранения угроз, найденных в системе пользователя. ERASER также отвечает за проверку драйверов и приложений при загрузке, чтобы исключить их зловредность. Чтобы убедиться в том, что наш продукт не «обманывается» руткитами или другим вредоносным ПО, ERASER имеет функционал прямого доступа к реестру и диску.

    Malheur и Bloodhound

    В дополнение к сигнатурному методу обнаружения, мы снабжаем продукт технологиями, которые могут «осудить» файл еще до того, как он был впервые обнаружен, если он обладает характеристиками зловреда. Защита на базе эвристики реализована в наших технологиях Malheur и Bloodhound. Эвристические сигнатуры способны определить неизвестные вредоносные программы на основе атрибута файла, при попытке использовать системные уязвимости, а также на основе общих действий, свойственных зловредным программам.

    Подробнее о файловой защите

    Каждый из последующих разделов подробно описывает технологии файловой защиты, присущие компонентам, описанным выше.

    Широкая поддержка файлов

    Сжатые файлы и файлы, находящиеся внутри других- один из примеров среди множества файловых типов, которые могут быть проанализированы на наличие скрытого вредоносного ПО. Неполный перечень доступных для анализа файлов включает в себя:

    DOC, .DOT, .PPT, .PPS, .XLA, .XLS, .XLT, .WIZ, .SDW, .VOR, .VSS, .VST, .AC_, .ADP, .APR, .DB, .MSC, .MSI, .MTW, .OPT, .PUB, .SOU, .SPO, .VSD, .WPS, .MSG ZIP, .DOCX, .DOCM, .DOTX, .DOTM, .PPTX, .PPTM, .PPSX, .PPSM, .XLSX, .XLSB, .XLSM, .XLTX, .XLTM, .XLAM, .XPS, .POTX, .POTM, .ODT, .OTT, .STW, .SXW, .eml, .MME, .B64, .MPA,AMG, .ARJ, .CAB, .XSN, .GZ, .LHA, .SHS, .RAR, .RFT, .TAR, .DAT, .ACE, .PDF, .TXT, .HQX. .MBOZ, .UUE, .MB3, .AS, .BZ2, .ZIP, .ZIPX

    Движок распаковки

    В некоторых случаях, вредоносная программа использует «упаковщик», чтобы скрыть свои файлы и избежать попытки обнаружения технологией сопоставления файлов с базами. Наш движок распаковки имеет возможность:

    Распаковывать исполняемые файлы;
    - Распознавать сотни семейств пакера;
    - Рекурсивно распаковывать файлы, которые были многочисленно упакованы, т.е. до достижения основного вредоносного файла.

    Generic Virtual Machine

    GVM позволяет коду быть выполненным в изолированной безопасной среде.

    Байт-код на основе систем, таких, как Java или C#, позволяет чрезвычайно быстро производить новые защитные технологии- без зависаний и аварий приложения.
    - Применяет экстремально сложную эвристику и «семейные» сигнатуры для зловредов на подобии Trojan.Vundo.
    - Проводит все этапы сканирования для нетрадиционных файловых форматов: в т.ч. PDF, DOC, XLS, WMA, JPG и другие.

    Анти-полиморфный движок

    Включает в себя передовые технологии эмуляции CPU, с целью демаскировки вредоносного ПО.

    Анти-руктит технологии

    Symantec имеет 3 разные анти-руткит технологии, предназначенные для удаления даже самых упрямых руткитов, наподобие Tidserv и ZeroAccess. Техники включают в себя:

    Прямой доступ к тому диска и прямое сканирование кустов реестра;
    - Сканирование памяти ядра.

    Движок анти-трояна

    Включает в себя технологии хеширования, которые позволяют безостановочно сканировать на наличие миллионов троянов и шпионских программ, делая это буквально за микросекунды времени.

    Находит и извлекает регионы ключевых файлов, которые содержат следы и логику зловредов;
    - Обрабатывает криптографические хеш-файлы каждого раздела, и производит их поиск в базе «отпечатков»;

    Движок Photon

    Использует «размытые» сигнатуры для выявления как известных, так и новых, неизвестных вариантов вредоносных программ.

    Сканирует файлы, одновременно используя сотни тысяч «размытых» сигнатур, кардинально улучшая производительность сканирования;
    - «Размытые» сигнатуры позволяют детектировать абсолютно новые вредоносы, практически в момент их появления

    Движок расширенной эвристики

    Проводит более десятка различных эвристических поисков на наличие подозрительных характеристик.
    - Все подозрительные файлы соотносятся с облаком Symantec и списками доверенных цифровых подписей.
    - Движки используют контекст для регулировки эвристической чувствительности; в т.ч. эвристика относится с большим подозрением к только что загруженном файлу, нежели к уже установленному.

    В следующей статье мы рассмотрим уровень "Сетевая защита".

    По материалам Symantec

    Нашли опечатку? Нажмите Ctrl + Enter



    Рекомендуем почитать