Сможет ли антивирус превратиться в систему обнаружения брешей? | Ofisp.org

Сможет ли антивирус превратиться в систему обнаружения брешей?

28 Март 201408:28

Антивирусное программное обеспечение традиционно считалось одним из важных компонентов корпоративных информационных систем, особенно на платформе Microsoft Windows, но по мере развития технологий возможности антивирусных приложений вышли за рамки обычных средств блокирования вирусов на основе сигнатур. И сегодня вопрос заключается в том, способен ли антивирусный продукт из средства проверки файлов на наличие вирусов превратиться в часть масштабной корпоративной системы обнаружения брешей (Breach Detection System, BDS).

«Необходимость создания систем обнаружения брешей обусловлена тем, что злоумышленники научились преодолевать все уровни защиты, поэтому организациям как можно быстрее нужны средства, умеющие самостоятельно выявлять слабые места в их системе информационной безопасности», – подчеркнул научный директор NSS Labs Рэнди Абрамс. Специалисты NSS Labs занимаются тестированием продуктов BDS, которые призваны выявлять признаки скрытых кибератак, следить за состоянием корпоративных компьютеров и сетей и оперативно реагировать на обнаружение шпионских программ, блокируя их доступ к конфиденциальным данным. Продукты BDS, использующие песочницу, агенты оконечных узлов и другие подходы, должны эффективно выявлять бреши в течение периода, не превышающего двух суток.

Продукты BDS пока не отличаются совершенством, но корпоративные клиенты проявляют к ним нескрываемый интерес, настойчиво предлагая организовать их независимое тестирование. NSS Labs приступила к проведению такого тестирования в прошлом году, начав с систем AhnLab и FireEye, а также с продуктов Fidelis Security, которые были приобретены компанией General Dynamics. По свидетельству Абрамса, на первом этапе тестирования указанная тройка очень хорошо зарекомендовала себя. Сегодня основные трудности связаны с увеличением числа проверяемых протоколов и блокированием «скрытых туннелей, которые предоставляют атакующим возможность проникновения в информационные системы предприятий». В этом году тестирование будет продолжено и должно стать еще более строгим.

В NSS Labs ожидают прихода на формирующийся рынок систем BDS компаний Cisco, FireEye, Symantec, McAfee, Palo Alto Networks, Damballa, Fidelis и AhnLab. Сегодня представители отрасли безопасности регистрируют многочисленные признаки «компрометации систем», в том числе увеличение объемов исходящего трафика, косвенно подтверждающего проведение взлома. Средствам BDS нужна централизованная система управления отчетами и облачные системы анализа данных об угрозах.

Каким окажется вектор дальнейшего развития, пока неясно. У термина BDS сегодня нет общепринятого определения. В прошлом году компания IDC объявила о появлении нового сегмента «специальных средств анализа и защиты от угроз», который, по сути, аналогичен BDS.

Вопрос заключается в том, сумеют ли поставщики традиционных антивирусов, особенно Symantec и McAfee, занимающие лидирующие позиции на рынке, приблизиться к тем взглядам на системы BDS, которых придерживаются сегодня в NSS Labs. По словам Абрамса, проблема любых средств защиты от вредоносного кода, как бы хороши они ни были, заключается в том, что злоумышленники, решившие взломать информационную систему, тестируют свой программный код, предназначенный для организации атак и шпионажа, на существующих антивирусных продуктах, находя способы, которые какое-то время позволяют им оставаться незамеченными.

Похоже, однако, что компании McAfee и Symantec осознали наконец важность создания систем BDS и начали принимать соответствующие меры.

В арсенале McAfee, например, присутствуют продукты для противодействия новым угрозам Advanced Threat Defense, работающие в песочнице, а также решения «Real Time», использующие средства борьбы с вредоносными программами. Среди других инициатив следует отметить программу Threat Intelligence Exchange, которая появится в середине текущего года и должна помочь в выявлении скомпрометированных узлов и быстром «восстановлении иммунитета» ресурсов.

На последней конференции RSA Conference старший вице-президент Symantec Стивен Триллинг, курирующий вопросы технологий безопасности, обратился к присутствующим с программной речью «Будущее систем безопасности». В своей презентации он подробно рассказал об отражении угроз посредством облачного анализа широкого спектра узлов и сетевых ресурсов, позволяющих выявлять подозрительную электронную почту, используемую при атаках фишинга.

Можно ли отнести соответствующие средства к классу систем управления событиями информационной безопасности (Security Information and Event Management, SIEM)? «Вовсе нет, – отвечает Триллинг. – Системы SIEM предназначены для исчерпывающего сбора данных, имеющих отношение к корпоративной информационной безопасности, а это вряд ли возможно проделать в течение нескольких минут или часов. Программные средства Symantec выявляют целенаправленные атаки путем непрерывного мониторинга текущей ситуации внутри корпоративной сети, в облаке и на мобильных устройствах сотрудников, а также оказывают противодействие этим атакам«.

Вдаваться в подробности будущих систем безопасности в Symantec не стали, но, по словам Абрамса, сегодня там активно работают над созданием системы BDS. «Облако помогло им сопоставить нужные данные, – указал он. – А система BDS должна следить за взаимодействием внутри компании».

Похожие материалы

31.03.2014
Компания Olympus представила компактный фотоаппарат Stylus Tough TG-3, который выполнен в защищенном корпусе и поступит в продажу уже в июне по ориентировочной стоимости в 350 долларов. По словам производителя, фотоаппарат можно использовать в различных условиях: под водой на глубине до 15 метров, так же производитель гарантирует сохранение работоспособности при падениях с высоты до 2,1 метра, а так же при эксплуатациях в температурных условиях до минус 10 градусов.
20.05.2014
Четко для себя определите, что вашему офису нужно для полноценного контактирования с внешним миром. Наличие доступа в Интернет на каждом рабочем компьютере, одна либо много телефонных линий, маленькая АТС, объединение в единую сеть всех подразделений с объектами (к примеру, отдельно стоящих терминалов POS или же удаленных складов) – все будет лучше заказывать у единого поставщика.
10.02.2014
Основатель интернет-аукциона eBay Пьер Омидьяр запустил первый сайт в рамках своего нового медиапроекта First Look Media. Ресурс, получивший название The Intercept, начал работу 10 февраля.
26.05.2014
Проблему хранения Больших Данных, похоже, поможет решить новая разработка компаний IBM и Fujifilm, которые представили прототип самой современной магнитной ленты, позволяющей хранить до 85,9 млрд бит данных на одном квадратном дюйме. На стандартном для отрасли картридже LTO в этом случае умещается 154 Тбайт несжатых данных. Существующая сегодня версия популярного формата, LTO-6, позволяет записать на один картридж 2,5 Тбайт данных. Новый прототип компании анонсировали на конференции IBM Edge, проходившей в Лас-Вегасе.
16.04.2014
Вчера, 15 апреля, «Ростелеком» ввел в эксплуатацию завершающий восьмой участок Северного оптического потока — Надым-Салехард. Северный оптический поток — это магистральная линия связи, протянувшаяся на 3,5 тысячи километров от Екатеринбурга через Ханты-Мансийск, Сургут, Ноябрьск, Новый Уренгой к Салехарду. Это самый крупный инфраструктурный телеком-проект на Урале и один из самых крупных в России. Строительство линии осуществлялось коллективом «Ростелекома» на протяжении нескольких лет.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв