Обзор Symantec Endpoint Protection 14


Обзор Symantec Endpoint Protection 14

В обзоре обновленной версии Symantec Endpoint Protection описываются нововведения в продукте, приблизившие данное решение к классу средств защиты конечных точек следующего поколения (NGEP) — новая технология защиты от эксплоитов, машинное обучение для анализа небезопасных файлов, обновленный модуль анализа поведения приложений в реальном времени и многое другое.

Сертификат AM Test Lab

Номер сертификата: 186

Дата выдачи: 03.04.2017

Срок действия: 03.04.2022

Реестр сертифицированных продуктов »

 

 

 

1. Введение

2. Системные требования

3. Функциональные возможности

4. Установка продукта

5. Работа с продуктом

6. Выводы

 

 

Введение

В 2011 году мы публиковали обзор Symantec Endpoint Protection версии 12 — часть 1 и часть 2. В конце 2016 года компания Symantec выпустила новую версию продукта — Symantec Endpoint Protection 14. За прошедшие пять лет в продукте появилось множество новых защитных функций, изменился интерфейс программы конфигурирования, упростился механизм развертывания и увеличилось число поддерживаемых операционных систем.

Тренд последних лет — изменение концепции защиты конечных точек, выражающийся в усилении комплексности продукта, наращивании числа защитных механизмов, объединенных общим управлением, и фокусировке на безсигнатурной защите от неизвестных угроз и уязвимостей нулевого дня. Для формализации классификации средств защиты конечных точек аналитики и журналисты ввели термин Next Generation Endpoint Protection (NGEP) — средства защиты конечных точек следующего поколения. Аналогичный процесс мы наблюдали в области сетевой защиты и переход от UTM-решений к NGFW. Основные мировые вендоры стремятся идти в ногу со временем и обновлять свои продукты для решения актуальных задач по обеспечению безопасности. Целью выхода 14 версии Symantec Endpoint Protection стал переход к классу NGEP. Также за прошедшее время компания Symantec приобрела активы компании Blue Coat, одного из лидеров на рынке сетевых устройств для кеширования данных и DPI, что позволило внедрить новые технологии во всю линейку Symantec, например прозрачный анализ зашифрованного SSL-трафика, а также увеличило общий объем репутационных баз по сетевым ресурсам и приложениям.

В 14 версии Symantec Endpoint Protection реализованы новые защитные механизмы от эксплуатации уязвимостей нулевого дня и неизвестных угроз. К ним относятся технология по защите от эксплоитов Generic Exploit Mitigation, обновленная версия модуля анализа поведения приложений в реальном времени SONAR и технология машинного обучения Advanced Machine Learning для статического анализа исполняемых файлов.

 

Системные требования

Системные требования Symantec Endpoint Protection Manager (включает в себя сервер управления и программу конфигурирования):

  • Процессор Intel Pentium Dual-Core или эквивалент, от 8 ядер.
  • Минимум 2 Гб оперативной памяти, рекомендуется от 8 Гб.
  • Минимум 40 Гб свободного места на жестком диске.

Требования к программному обеспечению Symantec Endpoint Protection Manager:

  • Операционные системы:
    • Windows Server 2008 (64-bit)
    • Windows Server 2008 R2
    • Windows Server 2012
    • Windows Server 2012 R2
    • Windows Server 2016
  • Поддерживаемые браузеры (для веб-версии интерфейса управления):
    • Microsoft Edge (64-bit)
    • Microsoft Internet Explorer 11
    • Mozilla Firefox 5.x и позднее
    • Google Chrome 54.0.x и позднее
  • Внешняя база данных (опционально, не требуется для развертывания до 500 защищаемых компьютеров):
    • Microsoft SQL Server 2008, SP4
    • Microsoft SQL Server 2008 R2, SP3
    • Microsoft SQL Server 2012, RTM — SP3
    • Microsoft SQL Server 2014, RTM — SP2
    • Microsoft SQL Server 2016

Системные требования защитного клиента под Windows:

  • Процессор Intel Pentium III (для 32-битных систем) или Intel Pentium 4 и выше.
  • Минимум 512 Мб оперативной памяти, рекомендуется от 1 Гб.
  • От 250 до 500 Мб свободного места на жестком диске, в зависимости от типа клиента.
  • Поддерживаемые операционные системы:
    • Windows Vista
    • Windows 7
    • Windows 8/8.1
    • Windows 10
    • Windows Server 2008 SP1/SP2/2008 R2
    • Windows Server 2012/2012R2
    • Windows Server 2012 R2
    • Windows Server 2016

Системные требования защитного клиента под macOS:

  • Процессор Intel Core 2 Duo и выше.
  • Минимум 2 Гб оперативной памяти.
  • 500 Мб свободного места на жестком диске.
  • Поддерживаемые операционные системы:
    • macOS X 10.9
    • macOS X 10.10
    • macOS X 10.11
    • macOS 10.12

Системные требования защитного клиента под Linux:

  • Процессор Intel Pentium 4 (2 ГГц) и выше.
  • Минимум 1 Гб оперативной памяти.
  • 7 Гб свободного места на жестком диске.
  • Поддерживаемые дистрибутивы:
    • CentOS 6U4/6U5
    • Debian 6.0.5/8
    • Fedora 16/17
    • Oracle Linux 6U2/6U4/6U5/7
    • Red Hat Enterprise Linux Server 6U2 — 6U8/7/7.1/7.2
    • SUSE Linux Enterprise Server 11 SP1 — 11 SP3/12
    • SUSE Linux Enterprise Desktop 11 SP1 — 11 SP3
    • Ubuntu 12.04/14.04/16.04

Поддерживаемые среды виртуализации для защиты гостевой операционной системы:

  • Windows Azure, Amazon WorkSpaces
  • VMware WS версии 5.0 и позднее
  • VMware GSX версии 3.2 и позднее
  • VMware ESX версии 2.5 и позднее
  • VMware ESXi 4.1 - 5.5/6.0
  • Microsoft Virtual Server 2005
  • Windows Server Hyper-V 2008/2012/2012 R2
  • Citrix XenServer версии 5.6 и позднее
  • Virtual Box

 

Функциональные возможности Symantec Endpoint Protection 14

Функциональные возможности можно разделить на две основные категории — защитные механизмы и возможности по централизованному управлению.

Защитные функции:

  • Сетевой брандмауэр (межсетевой экран) — классический персональный сетевой фильтр с настраиваемыми правилами прохождения трафика. Правила брандмауэра включают в себя следующие параметры:
    • Название и описание
    • Действие (разрешить, запретить, выдать запрос пользователю)
    • Приложение
    • Хост отправителя и получателя
    • Служба/порт (протоколы TCP, UDP, ICMP, IP, Ethernet)
    • Аудит (запись в журнал, уведомление по e-mail)
    • Флаг серьезности срабатывания правила для ранжирования угроз
    • Сетевой адаптер (по типу или конкретной плате)
    • Время действия

Дополнительно в системе присутствуют встроенные интеллектуальные правила для протоколов DHCP, DNS, WINS и Token Ring. Также в сетевой брандмауэр входят функции по аутентификации сетевых соединений «точка-точка» с возможностью настройки списка исключений.

  • Предотвращение сетевых атак — статический и эвристический анализатор сетевого трафика. Поддерживает детектирование и блокировку сканирования портов и атак типа «отказ в обслуживании», защиту от ARP-атак, маскировку типа и версии операционной системы. Сигнатурные и эвристические анализаторы позволяют защитить узел от различных сетевых атак на систему и веб-браузер, а также детектируют сетевые действия вредоносных приложений.
  • Контроль приложений — возможность создания различных правил по гранулярному контролю доступа приложений к файлам и элементам реестра, а также запуску и завершению процессов и загрузки библиотек. Каждое запрещающее правило можно снабдить описанием, которое отображается пользователю при запрете доступа. При вводе путей к файлам и объектам реестра поддерживаются регулярные выражения и гибкие настройки выбора путей. Функционирует только на клиентах Windows.
  • Контроль устройств — белый и черный списки устройств, настройка которых позволяет ограничить подключения устройств к компьютеру. Для клиентов Windows поддерживается возможность указать только тип устройства (например, все принтеры или все USB-устройства), для macOS дополнительно может задаваться поставщик устройства, модель и серийный номер. Контроль устройств в macOS появился только в этой версии продукта, ранее данная функция была доступна только под Windows. Контроль устройств для Linux находится в разработке и пока не реализован в продукте.
  • Защита от эксплуатации уязвимостей Generic Exploit Mitigation — механизм контроля памяти Windows, позволяющий обеспечить защиту от эксплуатации уязвимостей нулевого дня в различном программном обеспечении и в операционной системе. Данный механизм работает до начала анализа исполняемых файлов системой SONAR и другими защитными компонентами, что повышает общий уровень защищенности системы и позволяет защититься от атак на само средство защиты.
  • Репутационный анализ — часть механизма SONAR, который учитывает репутацию запускаемых в системе процессов, используя глобальное облако Symantec или частное облако, развернутое у заказчика. Применяется для блокировки неизвестных вредоносных программ, которые не обнаруживаются с помощью антивирусных механизмов. Функционирует только на клиентах Windows. Также репутационный анализ используется в технологии Download Insight, которая обеспечивает проверку репутации скачиваемых из сети файлов и предотвращает угрозы еще на этапе загрузки.
  • Машинное обучение — расширенный механизм обнаружения вредоносных файлов статическими методами путем анализа содержимого исполняемых файлов и скриптов. База для машинного обучения насчитывает миллиарды образцов «хорошего» и «плохого» микрокода, который сравнивается с кодом анализируемых файлов. Данный механизм по принципу функционирования похож на сигнатурный анализатор, но обеспечивает защиту от еще неизвестных угроз. Функционирует только на клиентах Windows.
  • Эмулятор — обновленный и оптимизированный механизм анализа исполняемых файлов в легковесной песочнице для распознавания полиморфных и запакованных вирусов. Внесенные изменения в данном модуле позволили увеличить скорость и производительность его работы, а также повысили процент успешного детектирования вредоносных исполняемых файлов. Функционирует только на клиентах Windows.
  • Антивирус — классическое антивирусное решение с сигнатурными и эвристическими анализаторами. Дополнительную защиту обеспечивает драйвер раннего запуска, запуск которого производится первым в системе, что позволяет обнаружить и обезвредить вредоносы, выполненные в виде драйвера. Антивирус обладает всеми стандартными функциями — постоянная защита, сканирование по требованию, контекстное сканирование, карантин, защита электронной почты и так далее.
  • Проверка целостности (контроль наличия защиты) — механизм проверки и исправления нарушений политик безопасности в корпоративной безопасности, позволяет определять наличие антивируса, брандмауэра, установки обновлений программ и операционной системы. В случае детектирования несоответствий позволяет выполнить установку необходимых средств защиты или выполнение определенных настроек. Функционирует только на клиентах Windows.
  • LiveUpdate — механизм проверки обновлений продукта, сигнатурных баз и других элементов системы защиты. В версии 14 данный механизм был дополнен функциями установки исправлений ошибок в бинарных модулях продукта.
  • Интеграция с Symantec Advanced Threat Protection – в клиентские приложения Symantec Endpoint Protection 14 интегрированы функции агента для Symantec Advanced Threat Protection, которые позволяют передавать метрики сетевого трафика и данные о работе приложений в облако Anti-APT для корреляции событий и выявления направленных атак.

Функции управления:

  • Централизованное управление продуктом с помощью программы-клиента под Windows или веб-интерфейса (Java-апплет).
  • Централизованное развертывание — подготовка пакетов установки для автоматического подключения устанавливаемого клиента к серверу. Поддерживается подготовка пакета для самостоятельной установки, создание ссылки на пакет на веб-сервере или удаленное развертывание с предоставлением данных учетной записи администратора на удаленных компьютерах.
  • Централизованный мониторинг с панелью состояния защищенности, мониторами событий, журналами безопасности, уведомлениями по e-mail и другими функциями.
  • Система генерации отчетов по состоянию защищенности сетевых узлов и событиям информационной безопасности.
  • Централизованное управление политиками безопасности с возможностью создания различных политик и их назначения на группы защищаемых компьютеров.
  • Поддержка интеграции с Active Directory и LDAP-каталогами.
  • Наличие REST API, специального набора служебных функций для интеграции и взаимодействия с другими продуктами Symantec, сторонними средствами защиты, разрабатываемыми на заказ модулями и системами управления.

В клиенте Symantec Endpoint Protection 14 под Windows поддерживается три типа развертывания — стандартный, dark network и embedded/VDI. Стандартный клиент под Windows обеспечивает все функции продукта и предназначен для работы на защищаемых компьютерах внутри локальный сети организации. Dark network — версия клиента для удаленных компьютеров, не имеющих постоянного соединения с частным или глобальным облаком Symantec и сервером управления. В данном типе клиента отключены проверки, связанные с анализом потенциально небезопасных файлов в облаке, при этом остальные функции работают аналогично стандартному клиенту, включая репутационные базы. Embedded/VDI является уменьшенным в размере дистрибутивом, использующим больше возможностей облака, чем остальные клиенты, и предназначается для эксплуатации во встраиваемых системах и в инфраструктуре виртуальных рабочих столов.

 

Установка Symantec Endpoint Protection 14

Установка продукта не претерпела больших изменений по сравнению с версией 12. Поддерживается развертывание защитного клиента в пользовательском режиме работы без централизованного управления и сетевая структура с общим сервером. Как и раньше, для защиты компьютеров до 500 единиц используется встроенная база данных, в крупных инфраструктурах для хранения информации используется СУБД Microsoft SQL.

 

Рисунок 1. Выбор конфигурации сервера управления Symantec Endpoint Protection 14

Выбор конфигурации сервера управления Symantec Endpoint Protection 14

 

В процессе установки сервера управления выбирается схема развертывания, указываются настройки электронной почты, создается учетная запись администратора и настраиваются другие параметры. Завершающим этапом установки является загрузка обновлений через утилиту LiveUpdate.

 

Рисунок 2. Обновление продукта Symantec Endpoint Protection 14 во время установки

Обновление продукта Symantec Endpoint Protection 14 во время установки

 

Работа с Symantec Endpoint Protection 14

В версии 14 изменился внешний вид Symantec Endpoint Protection Manager — программы управления продуктом. Программа получила новый современный дизайн, при этом сохранив общее расположение интерфейсов. Доступ к консоли управления может быть получен через Windows-приложение или в веб-браузере, при этом внешний вид интерфейса неизменен, так как для его реализации применяется общий Java-апплет.

 

Рисунок 3. Экран авторизации в Symantec Endpoint Protection Manager

Экран авторизации в Symantec Endpoint Protection Manager

 

Навигация по интерфейсу менеджера Symantec Endpoint Protection 14 осуществляется с помощью бокового меню, в котором представлены следующие разделы:

  • «Главная» — панель мониторинга общего состояния системы защиты, на которой присутствует блок отображения необходимости предпринять какие-либо действия для исправления уровня защищенности инфраструктуры.
  • «Мониторы» — панель дашбордов, отображающая графики возникновения событий, статистику работы системы и журналы аудита.
  • «Отчеты» — система построения отчетов по статистике работы и событиям аудита.
  • «Политики» — интерфейс управления политиками безопасности продукта.
  • «Клиенты» — управление перечнем защищаемых компьютеров включая систему развертывания и назначения политик безопасности.
  • «Админ» — административный раздел для управления учетными записями привилегированных пользователей и настройками сервера управления Symantec Endpoint Protection 14.

 

Рисунок 4. Главный экран системы управления Symantec Endpoint Protection 14 при доступе через веб-браузер

Главный экран системы управления Symantec Endpoint Protection 14 при доступе через веб-браузер

 

Мониторинг состояния системы защиты и событий информационной безопасности осуществляется из раздела «Мониторы». В данном разделе представлены четыре вкладки — «Обзор», «Журналы», «Состояние команды» и «Уведомления». На экране обзора расположены графики, отражающие состояние различных аспектов работы системы, с помощью переключателя «Тип сводки» набор выводимых данных может быть изменен. Вся статистика отражает ситуацию на момент загрузки экрана, обновить текущие данные можно с помощью ссылки «Обновление» в верхнем правом углу интерфейса.

 

Рисунок 5. Панель мониторов в Symantec Endpoint Protection 14

Панель мониторов в Symantec Endpoint Protection 14

 

В разделе «Журналы» отображаются последние события аудита. Присутствует система фильтрации по различным полям — типу журнала, интервалу времени, версии продукта и политик, домену, группам компьютеров, IP-адресам и многим другим. Настроенные фильтры можно сохранить для дальнейшего использования. Журнал выводится постранично, для каждого события доступно детальное описание. Поддерживается экспорт событий в формате CSV.

 

Рисунок 6. Журналы аудита в Symantec Endpoint Protection 14

Журналы аудита в Symantec Endpoint Protection 14

 

Вкладка «Состояние команды» отображает состояние и результат выполнения различных команд, в первую очередь — заданий на антивирусное сканирование и команд на включение и выключение отдельных защитных функций.

В разделе «Уведомления» настраиваются параметры и условия отправки e-mail-сообщений при возникновении в системе различных событий.

 

Рисунок 7. Настройка уведомлений по e-mail в Symantec Endpoint Protection 14

Настройка уведомлений по e-mail в Symantec Endpoint Protection 14

 

Система отчетов Symantec Endpoint Protection 14 в целом похожа по функциям на журналы — в продукте можно указать тип аудита для отображения в отчетах и присутствует фильтрация событий по различным параметрам. Отчет представляет собой выписку из журнала аудита в готовой к печати и экспорту (в формате HTML) форме. Присутствует возможность построения отчетов по расписанию, отправка сформированных плановых отчетов осуществляется по электронной почте.

Раздел «Политики» разбит на семь основных групп по функциональности:

  • Защита от вирусов и программ-шпионов — политики и настройки антивируса, включают в себя параметры сканирования по требованию, настройки автоматической защиты, управление защитой загрузки операционной системы, подсистемы SONAR для эвристического и репутационного детектирования, а также политики сканирования электронной почты. Отдельные группы настроек позволяют управлять политиками работы антивируса в macOS и Linux.

 

Рисунок 8. Политики защиты от вирусов и программ-шпионов в Symantec Endpoint Protection 14

Политики защиты от вирусов и программ-шпионов в Symantec Endpoint Protection 14

 

  • Брандмауэр — управление правилами персонального межсетевого экрана. Отображение правил выполнено в виде плоской таблицы с перечислением всех доступных параметров. Дополнительно поддерживается настройка уведомлений, управление встроенными правилами, настройка защиты от сетевых атак, параметры маскировки и сокрытия данных об узле, а также опции интеграции с Windows и параметры аутентификации между компьютерами.

 

Рисунок 9. Политики брандмауэра в Symantec Endpoint Protection 14

Политики брандмауэра в Symantec Endpoint Protection 14

 

  • Предотвращение вторжений — настройки защиты от эксплойтов для популярных офисных и прикладных приложений, управление защитой от сетевых атак и настройка исключений для упрощения реагирования на ложные срабатывания.
  • Управление приложениями и устройствами — политики управления доступом приложений к устройствам и объектам компьютера, а также настройка политик разрешения и запрета работы с устройствами.

 

Рисунок 10. Настройки политики управления приложениями в Symantec Endpoint Protection 14

Настройки политики управления приложениями в Symantec Endpoint Protection 14

 

  • Целостность хоста — управление требованиями к проверке целостности и защиты защищаемых компьютеров.
  • LiveUpdate — параметры доступа к серверам LiveUpdate, включая выбор локального или глобального сервера и настройки прокси-серверов, а также управление расписанием обновлений. Дополнительно настраивается содержимое LiveUpdate для загрузки.
  • Исключения — глобальная политика исключений, в которую можно добавить разнообразные объекты для исключения из всех действующих политик безопасности. В качестве объектов поддерживаются файлы, директории, устройства, сетевые узлы, приложения и многое другое.

Для каждой группы поддерживается множество политик, их можно добавлять, удалять, заменять, копировать, экспортировать и импортировать из файла. Политики применяются к отдельным защищаемым компьютерам или к группам компьютеров.

 

Рисунок 11. Управление политиками безопасности в Symantec Endpoint Protection 14

Управление политиками безопасности в Symantec Endpoint Protection 14

 

В разделе «Клиенты» осуществляется управление защищаемыми компьютерами, их добавление, удаление и отправка оперативных команд. В дополнительных вкладках осуществляется назначение политик безопасности на узлы сети и управление установочными пакетами.

 

Рисунок 12. Управление защищаемыми компьютерами в Symantec Endpoint Protection 14

Управление защищаемыми компьютерами в Symantec Endpoint Protection 14

 

В разделе «Админ» присутствует пять разделов:

  • Администраторы — управление учетными записями администраторов.
  • Домены — синхронизация с Active Directory и работа с сетевыми доменами.
  • Серверы — управление серверами Symantec Endpoint Protection, настройка серверов управления, баз данных и других параметров.
  • Установочные пакеты — управление клиентскими дистрибутивами и их распространением на целевые системы.
  • Лицензии — настройка лицензий продукта.

 

Рисунок 13. Управление учетными записями администраторов в Symantec Endpoint Protection 14

Управление учетными записями администраторов в Symantec Endpoint Protection 14

 

Интерфейсы клиентских приложений под операционные системы Windows, Linux и macOS в целом практически не изменились — стиль оформления, расположение меню и функциональные возможности, доступные обычным пользователям, практически не изменились по сравнению с версией 12.

 

Рисунок 14. Интерфейс агента защиты Symantec Endpoint Protection 14 под Windows

Интерфейс агента защиты Symantec Endpoint Protection 14 под Windows

 

Выводы

Разработчики Symantec Endpoint Protection 14 проделали большую работу по усилению способов и средств защиты от неизвестных вредоносных программ и уязвимостей по сравнению с 12-й версией продукта. Добавление модулей защиты Generic Exploit Mitigation, обновление технологии SONAR и внедрение технологии машинного обучения Advanced Machine Learning значительно усилило позиции Symantec на рынке средств защиты конечных точек и позволило решению Endpoint Protection сохранить лидерство в своем сегменте.

Приобретение компании Blue Coat и использование их технологий в продукте также значительно повлияло на качество детектирования сетевых атак и общий уровень защищенности конечных точек с Symantec Endpoint Protection. Значительное наращивание защитных возможностей и качества функциональности продукта фактически переводит продукт Symantec Endpoint Protection на новый уровень. Новую версию данного решения можно считать полноценным продуктом класса Next Generation Endpoint Protection. Дополнительным плюсом является интеграция с Symantec Advanced Threat Protection, позволяющая интегрировать NGEP-продукт в инфраструктуру защиты от направленных атак.

Несмотря на то что компания Symantec сконцентрировала свои силы на улучшении и доработках функций защиты, дизайн и интерфейс продукта не остались забытыми. Новый внешний вид консоли Symantec Endpoint Protection Manager положительно сказался на удобстве управления и настройки продукта. Интерфейс менеджера выглядит современно, юзабилити продукта значительно улучшилось, и в целом пользовательский интерфейс оставляет приятные впечатления.

Достоинства:

  • Широкий набор функций по защите от вредоносных программ и уязвимостей — машинное обучение, эмулятор исполняемых файлов, объемные репутационные базы, ранняя загрузка, анализ загружаемых по сети файлов и множество других. Гибкость и легкость управления политиками безопасности.
  • Поддержка различных типов клиентских приложений под Windows для защиты различных устройств — компьютеров в локальной сети, удаленных рабочих мест, виртуальных сред и виртуальных рабочих столов (VDI).
  • Встроенная система работы с журналами, отчетами и возможность настройки гибких фильтров для оперативного уведомления об угрозах по электронной почте.
  • Система автоматической загрузки и применения обновлений, полностью решающая все вопросы по актуализации баз данных и исполняемых модулей продукта.
  • Отсутствие необходимости развертывания базы данных для компаний с небольшим числом защищаемых компьютеров.
  • Наличие интеграции с Active Directory и LDAP-каталогами, поддержка REST API для сторонней интеграции с продуктом.

Недостатки:

  • Общая медлительность интерфейса управления и недостатки в его локализации — использование неуместных сокращений, несогласованные фразы, использование англоязычных терминов.
  • Сокращенный функционал в клиентах под macOS и Linux, поддержка защиты Windows XP с помощью агента предыдущей версии 12.1.
  • Отсутствие сертификата ФСТЭК России (ожидается в 2017 году).

Реестр сертифицированных продуктов »

Записаться на демонстрацию

...

Запросить пробную версию

...

Запросить цены

...

Задать вопрос

...

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции    Система Orphus

Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любых продуктов или сервисов по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.