Сможет ли антивирус превратиться в систему обнаружения брешей? | Ofisp.org

Сможет ли антивирус превратиться в систему обнаружения брешей?

28 Март 201408:28

Антивирусное программное обеспечение традиционно считалось одним из важных компонентов корпоративных информационных систем, особенно на платформе Microsoft Windows, но по мере развития технологий возможности антивирусных приложений вышли за рамки обычных средств блокирования вирусов на основе сигнатур. И сегодня вопрос заключается в том, способен ли антивирусный продукт из средства проверки файлов на наличие вирусов превратиться в часть масштабной корпоративной системы обнаружения брешей (Breach Detection System, BDS).

«Необходимость создания систем обнаружения брешей обусловлена тем, что злоумышленники научились преодолевать все уровни защиты, поэтому организациям как можно быстрее нужны средства, умеющие самостоятельно выявлять слабые места в их системе информационной безопасности», – подчеркнул научный директор NSS Labs Рэнди Абрамс. Специалисты NSS Labs занимаются тестированием продуктов BDS, которые призваны выявлять признаки скрытых кибератак, следить за состоянием корпоративных компьютеров и сетей и оперативно реагировать на обнаружение шпионских программ, блокируя их доступ к конфиденциальным данным. Продукты BDS, использующие песочницу, агенты оконечных узлов и другие подходы, должны эффективно выявлять бреши в течение периода, не превышающего двух суток.

Продукты BDS пока не отличаются совершенством, но корпоративные клиенты проявляют к ним нескрываемый интерес, настойчиво предлагая организовать их независимое тестирование. NSS Labs приступила к проведению такого тестирования в прошлом году, начав с систем AhnLab и FireEye, а также с продуктов Fidelis Security, которые были приобретены компанией General Dynamics. По свидетельству Абрамса, на первом этапе тестирования указанная тройка очень хорошо зарекомендовала себя. Сегодня основные трудности связаны с увеличением числа проверяемых протоколов и блокированием «скрытых туннелей, которые предоставляют атакующим возможность проникновения в информационные системы предприятий». В этом году тестирование будет продолжено и должно стать еще более строгим.

В NSS Labs ожидают прихода на формирующийся рынок систем BDS компаний Cisco, FireEye, Symantec, McAfee, Palo Alto Networks, Damballa, Fidelis и AhnLab. Сегодня представители отрасли безопасности регистрируют многочисленные признаки «компрометации систем», в том числе увеличение объемов исходящего трафика, косвенно подтверждающего проведение взлома. Средствам BDS нужна централизованная система управления отчетами и облачные системы анализа данных об угрозах.

Каким окажется вектор дальнейшего развития, пока неясно. У термина BDS сегодня нет общепринятого определения. В прошлом году компания IDC объявила о появлении нового сегмента «специальных средств анализа и защиты от угроз», который, по сути, аналогичен BDS.

Вопрос заключается в том, сумеют ли поставщики традиционных антивирусов, особенно Symantec и McAfee, занимающие лидирующие позиции на рынке, приблизиться к тем взглядам на системы BDS, которых придерживаются сегодня в NSS Labs. По словам Абрамса, проблема любых средств защиты от вредоносного кода, как бы хороши они ни были, заключается в том, что злоумышленники, решившие взломать информационную систему, тестируют свой программный код, предназначенный для организации атак и шпионажа, на существующих антивирусных продуктах, находя способы, которые какое-то время позволяют им оставаться незамеченными.

Похоже, однако, что компании McAfee и Symantec осознали наконец важность создания систем BDS и начали принимать соответствующие меры.

В арсенале McAfee, например, присутствуют продукты для противодействия новым угрозам Advanced Threat Defense, работающие в песочнице, а также решения «Real Time», использующие средства борьбы с вредоносными программами. Среди других инициатив следует отметить программу Threat Intelligence Exchange, которая появится в середине текущего года и должна помочь в выявлении скомпрометированных узлов и быстром «восстановлении иммунитета» ресурсов.

На последней конференции RSA Conference старший вице-президент Symantec Стивен Триллинг, курирующий вопросы технологий безопасности, обратился к присутствующим с программной речью «Будущее систем безопасности». В своей презентации он подробно рассказал об отражении угроз посредством облачного анализа широкого спектра узлов и сетевых ресурсов, позволяющих выявлять подозрительную электронную почту, используемую при атаках фишинга.

Можно ли отнести соответствующие средства к классу систем управления событиями информационной безопасности (Security Information and Event Management, SIEM)? «Вовсе нет, – отвечает Триллинг. – Системы SIEM предназначены для исчерпывающего сбора данных, имеющих отношение к корпоративной информационной безопасности, а это вряд ли возможно проделать в течение нескольких минут или часов. Программные средства Symantec выявляют целенаправленные атаки путем непрерывного мониторинга текущей ситуации внутри корпоративной сети, в облаке и на мобильных устройствах сотрудников, а также оказывают противодействие этим атакам«.

Вдаваться в подробности будущих систем безопасности в Symantec не стали, но, по словам Абрамса, сегодня там активно работают над созданием системы BDS. «Облако помогло им сопоставить нужные данные, – указал он. – А система BDS должна следить за взаимодействием внутри компании».

Похожие материалы

04.03.2015
Не секрет, что у айфона имеется очень хорошая камера, которая способна делать довольно качественные фотографии. Конечно, с профессиональной техникой ни один смартфон тягаться не может – все дело в оптике. Фотоаппараты обладают гораздо большей светосилой, могут предложить большой диапазон фокусных расстояний.
21.11.2014
В России мобильный Интернет стал доступен каждому. Ни для кого не составляет труда на сегодняшний день подключиться к сети и искать в ней нужную информацию с помощью подручных мобильных средств связи - смартфонов или планшетов. Мобильный Интернет стал одним из ключевых факторов, повлиявших на судьбу частных провайдеров, которых легко можно было встретить в 2000-х годах. Тогда Интернет еще не занимал нынешних позиций в человеческой жизни, и в домах большинства городских и сельских жителей компьютеры не имели доступа в глобальную сеть.
03.11.2012
Ученые предложили способ улучшить защищенность шифра Вернама — использовать вместо электронных шифроблокнотов куски полупрозрачного стекла. Работа исследователей в виде препринта выложена в архиве Корнельского университета, ее краткое содержание приводит блог издания Technology Review. Шифр Вернама является единственной системой шифрования, для которой доказана абсолютная криптографическая стойкость. Она, однако, соблюдается только в том случае, когда злоумышленник не может незаметно скопировать так называемый шифроблокнот – случайную последовательность символов, имеющуюся у отправителя и получателя. Поскольку хранящиеся в электронной памяти данные скопировать не составляет труда, ученые предложили использовать вместо набора символов физический носитель случайности – кусочки мутного стекла.
22.04.2014
Российская компания Mind выпустила третью версию своего решения видеоконференц-связи, позволяющего обойтись без использования клиентского ПО. В качестве клиента выступает браузер, который поддерживает технологию WebRTC. Особенностью Mind 3.0 является поддержка видео сверхвысокого разрешения UltraHD 4К, дающего практически такое же качество изображения, как и у систем телеприсутствия. Компания предлагает i.Mind, сервис для организации ВКС, а также продает программные решения для установки в корпоративной сети заказчиков.
30.04.2014
Adobe выпустила обновление для Adobe Flash Player, устраняющее уязвимость CVE-2014-0515, с помощью которой злоумышленники могли получить контроль над компьютером жертвы.Уязвимости содержатся во Flash Player 13.0.0.182 и более ранних версий для Windows, Flash Player 13.0.0.201 и более ранних версий для OS X и Flash Player 11.2.202.350 и более ранних версий для Linux.Обновленные версии с устраненными уязвимостями: Flash Player 13.0.0.206, Flash Player 13.0.0.206 и Flash Player 11.2.202.356 соответственно.Пользователям рекомендуется установить новые версии как можно скорее. И вероятно, стоит более внимательно проводить сертификацию средств защиты информации и ПО.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв