Сможет ли антивирус превратиться в систему обнаружения брешей? | Ofisp.org

Сможет ли антивирус превратиться в систему обнаружения брешей?

28 Март 201409:28

Антивирусное программное обеспечение традиционно считалось одним из важных компонентов корпоративных информационных систем, особенно на платформе Microsoft Windows, но по мере развития технологий возможности антивирусных приложений вышли за рамки обычных средств блокирования вирусов на основе сигнатур. И сегодня вопрос заключается в том, способен ли антивирусный продукт из средства проверки файлов на наличие вирусов превратиться в часть масштабной корпоративной системы обнаружения брешей (Breach Detection System, BDS).

«Необходимость создания систем обнаружения брешей обусловлена тем, что злоумышленники научились преодолевать все уровни защиты, поэтому организациям как можно быстрее нужны средства, умеющие самостоятельно выявлять слабые места в их системе информационной безопасности», – подчеркнул научный директор NSS Labs Рэнди Абрамс. Специалисты NSS Labs занимаются тестированием продуктов BDS, которые призваны выявлять признаки скрытых кибератак, следить за состоянием корпоративных компьютеров и сетей и оперативно реагировать на обнаружение шпионских программ, блокируя их доступ к конфиденциальным данным. Продукты BDS, использующие песочницу, агенты оконечных узлов и другие подходы, должны эффективно выявлять бреши в течение периода, не превышающего двух суток.

Продукты BDS пока не отличаются совершенством, но корпоративные клиенты проявляют к ним нескрываемый интерес, настойчиво предлагая организовать их независимое тестирование. NSS Labs приступила к проведению такого тестирования в прошлом году, начав с систем AhnLab и FireEye, а также с продуктов Fidelis Security, которые были приобретены компанией General Dynamics. По свидетельству Абрамса, на первом этапе тестирования указанная тройка очень хорошо зарекомендовала себя. Сегодня основные трудности связаны с увеличением числа проверяемых протоколов и блокированием «скрытых туннелей, которые предоставляют атакующим возможность проникновения в информационные системы предприятий». В этом году тестирование будет продолжено и должно стать еще более строгим.

В NSS Labs ожидают прихода на формирующийся рынок систем BDS компаний Cisco, FireEye, Symantec, McAfee, Palo Alto Networks, Damballa, Fidelis и AhnLab. Сегодня представители отрасли безопасности регистрируют многочисленные признаки «компрометации систем», в том числе увеличение объемов исходящего трафика, косвенно подтверждающего проведение взлома. Средствам BDS нужна централизованная система управления отчетами и облачные системы анализа данных об угрозах.

Каким окажется вектор дальнейшего развития, пока неясно. У термина BDS сегодня нет общепринятого определения. В прошлом году компания IDC объявила о появлении нового сегмента «специальных средств анализа и защиты от угроз», который, по сути, аналогичен BDS.

Вопрос заключается в том, сумеют ли поставщики традиционных антивирусов, особенно Symantec и McAfee, занимающие лидирующие позиции на рынке, приблизиться к тем взглядам на системы BDS, которых придерживаются сегодня в NSS Labs. По словам Абрамса, проблема любых средств защиты от вредоносного кода, как бы хороши они ни были, заключается в том, что злоумышленники, решившие взломать информационную систему, тестируют свой программный код, предназначенный для организации атак и шпионажа, на существующих антивирусных продуктах, находя способы, которые какое-то время позволяют им оставаться незамеченными.

Похоже, однако, что компании McAfee и Symantec осознали наконец важность создания систем BDS и начали принимать соответствующие меры.

В арсенале McAfee, например, присутствуют продукты для противодействия новым угрозам Advanced Threat Defense, работающие в песочнице, а также решения «Real Time», использующие средства борьбы с вредоносными программами. Среди других инициатив следует отметить программу Threat Intelligence Exchange, которая появится в середине текущего года и должна помочь в выявлении скомпрометированных узлов и быстром «восстановлении иммунитета» ресурсов.

На последней конференции RSA Conference старший вице-президент Symantec Стивен Триллинг, курирующий вопросы технологий безопасности, обратился к присутствующим с программной речью «Будущее систем безопасности». В своей презентации он подробно рассказал об отражении угроз посредством облачного анализа широкого спектра узлов и сетевых ресурсов, позволяющих выявлять подозрительную электронную почту, используемую при атаках фишинга.

Можно ли отнести соответствующие средства к классу систем управления событиями информационной безопасности (Security Information and Event Management, SIEM)? «Вовсе нет, – отвечает Триллинг. – Системы SIEM предназначены для исчерпывающего сбора данных, имеющих отношение к корпоративной информационной безопасности, а это вряд ли возможно проделать в течение нескольких минут или часов. Программные средства Symantec выявляют целенаправленные атаки путем непрерывного мониторинга текущей ситуации внутри корпоративной сети, в облаке и на мобильных устройствах сотрудников, а также оказывают противодействие этим атакам«.

Вдаваться в подробности будущих систем безопасности в Symantec не стали, но, по словам Абрамса, сегодня там активно работают над созданием системы BDS. «Облако помогло им сопоставить нужные данные, – указал он. – А система BDS должна следить за взаимодействием внутри компании».

Похожие материалы

27.05.2014
На выставке CES в этом году Google и NVIDIA сообщили о партнёрстве с General Motors, Honda, Audi и Hyundai в деле формирования открытого автомобильного альянса OAA. В изначальном анонсе деталей было не много — учредители рассказали лишь о ключевых принципах и цели представить Android для автомобильной электроники.
05.12.2013
Не секрет, что многие влюбленные люди настолько теряют голову, что в приступе ревности готовы нарушить уголовный кодекс – взять мобильный телефон другого человека и прочитать его сообщения.
06.03.2013
Полиция Австралии арестовала «самопровозглашенного лидера» хакерской группировки LulzSec. Об этом сообщается на сайте полиции. В пресс-релизе ведомства не раскрывается имя 24-летнего арестованного. Сообщается, что он проживал в городке Поинт-Клэр в штате Новый Южный Уэльс и работал специалистом по информационным технологиям. По мнению следствия, хакер собирал данные о пользователях IT-компании, в которой он работал.
29.04.2014
Компания «Манго Телеком» представила 24 апреля аудированные итоги работы в 2013 году и планы дальнейшего развития.
16.04.2014
Компания Google купила производителя беспилотных летательных аппаратов (БПЛА) Titan Aerospace, который, по слухам, намеревалась приобрести Facebook для развития проекта подключения удаленных регионов к интернету Internet.org, сообщает The Wall Street Journal. Titan Aerospace производит беспилотники, работающие на солнечной энергии, способные оставаться в воздухе до пяти лет. Первые экземпляры дронов компания показала в прошлом году. Производитель описывает их как «аппараты, функционирующие в атмосфере».

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв