Сравнение Kaspersky Endpoint Security версий 10 и 11.1

Сравнение Kaspersky Endpoint Security версий 10 и 11.1

В начале марта 2019 года «Лаборатория Касперского» выпустила релиз Kaspersky Endpoint Security 11.1 для Windows. Основное назначение Kaspersky Endpoint Security — обеспечение комплексной защиты компьютера от различных угроз безопасности информации, включая нейтрализацию сетевых угроз и препятствование мошеннической деятельности. Наиболее значимые улучшения версии 11.х — адаптивный контроль аномалий, облачный режим функционирования, защита от майнинга и проверка https-трафика. Рассмотрим их более подробно.

 

 

 

  1. Введение
  2. Основные изменения в Kaspersky Endpoint Security 11.1
  3. Подробнее о новых возможностях Kaspersky Endpoint Security 11.1
    1. 3.1. Адаптивный контроль аномалий
    2. 3.2. Снижение стоимости владения
    3. 3.3. Максимально оперативная реакция на новейшие угрозы
    4. 3.4. Возможность визуальной проверки защиты
    5. 3.5. Анти-бриджинг
    6. 3.6. Интеграция с Endpoint Sensor
    7. 3.7. Проверка HTTPS-трафика
    8. 3.8. Возможность переноса списка устройств
    9. 3.9. Защита от майнинга
    10. 3.10. Улучшения совместимости
    11. 3.11. Защита от шифрования сетевых ресурсов
    12. 3.12. Расширение настроек защиты от сетевых угроз
    13. 3.13. Модернизированный пользовательский интерфейс
  4. Выводы

 

Введение

Сейчас средства антивирусной защиты уже не так часто встречаются в качестве самостоятельного продукта. С некоторого времени они стали частью нового типа решений — платформ защиты конечных станций, или Endpoint Рrotection Platform. Такие решения обладают как классической функциональностью средств антивирусной защиты, так и расширенным набором возможностей, позволяющим построить комплексную систему защиты: межсетевое экранирование; шифрование логических/виртуальных дисков, файлов и каталогов; обнаружение и предотвращение вторжений; контроль подключаемых устройств, защита от спама и т. д. Поменялось и понимание классической функциональности антивирусных средств: если раньше от них требовалось только регулярное обновление баз сигнатур, то сейчас пользователи вправе ожидать в том числе возможности активного анализа поведения и обучения.

Лидерами рынка средств защиты конечных станций становятся постоянно развивающиеся решения, которые учитывают последние достижения эволюции технологий и своевременно отвечают на появление новых угроз и изменение векторов атак. К их числу принадлежат решения «Лаборатории Касперского». В какой степени они отвечают реалиям, мы рассмотрели ранее, проанализировав обновленный Kaspersky Endpoint Security для Windows. Этот анализ может быть полезен тем, кто пребывает на стадии поиска подходящего решения.

В свою очередь, в настоящем обзоре мы предлагаем ознакомиться с основными изменениями в продукте, доступными в рамках обновления с Kaspersky Endpoint Security версии 10 до версии 11.1. Эти данные, безусловно, представляют интерес как для тех, кто уже использует последнюю версию Kaspersky Endpoint Security для Windows, так и для планирующих переход на нее с более старой версии.

 

Основные изменения в Kaspersky Endpoint Security 11.1

Для начала в сжатой форме сопоставим функциональность Kaspersky Endpoint Security версий 10 и 11.1. Очевидно, что общий набор функциональных возможностей гораздо шире того, что представлен в таблице ниже, но в данном материале нас интересуют только те, которые были затронуты в процессе модернизации решения (улучшения, реализованные в новой версии, выделены жирным шрифтом).

 

Таблица 1. Сопоставление функциональных возможностей Kaspersky Endpoint Security версий 10 и 11.1

Функциональная возможность Kaspersky Endpoint Security 10 Kaspersky Endpoint Security 11.х
Адаптивный контроль аномалий Отсутствует Отслеживание и блокирование нестандартного поведения программ. Функционирование на основе созданных правил.

Когда пользователь пытается выполнить запрещенную операцию, выводится сообщение о блокировке потенциально опасных действий. Если блокировка, по мнению пользователя, произошла ошибочно, можно легко отправить соответствующее сообщение администратору

Облачный режим функционирования Реализация антивирусного облака — Kaspersky Security Network (KSN): обеспечивает доступ пользователей к оперативной базе знаний «Лаборатории Касперского» о репутации файлов, интернет-ресурсов и ПО, защиту от угроз нулевого дня
  1. Реализация KSN;
  2. реализация режима легких баз для защиты угроз: легкие антивирусные базы при включенном KSN занимают меньше оперативной памяти и пространства на жестком диске
Защита HTTPS-трафика Отсутствует Эксплуатация в роли дополнительного прокси с возможностью анализа зашифрованного трафика
Полноценная защита от майнинга Отсутствует
  • Выявление и блокирование попыток запуска майнинг-программ;
  • пресечение попыток доступа к криптовалютным биржам
Контроль устройств
  1. Настройка правил доступа к    устройствам и шинам подключения;
  2. формирование списка доверенных устройств;
  3. регистрация событий работы с устройствами;
  4. формирование запросов доступа к заблокированным устройствам
  1. Настройка правил доступа к    устройствам и шинам подключения;
  2. формирование списка доверенных устройств с возможностью экспорта в формате XML;
  3. регистрация событий работы с устройствами;
  4. формирование запросов доступа к заблокированным устройствам;
  5. анти-бриджинг: обеспечивает защиту от сетевых мостов, исключая возможность одновременной установки нескольких сетевых соединений
Анализ поведения
  • Получение данных о действиях программ и предоставление этой информации другим компонентам защиты с использованием шаблонов опасного поведения;
  • выбор действия при обнаружении вредоносной активности
  • Получение данных о действиях программ и предоставление этой информации другим компонентам защиты;
  • выбор действия при обнаружении вредоносной активности;
  • защита от внешнего шифрования сетевых ресурсов
Защита от сетевых атак
  • Отслеживание во входящем сетевом трафике активности, характерной для сетевых атак;
  • вывод уведомлений о попытке сетевой атаки с информацией об атакующем узле;
  • возможность изменения времени блокирования атакующего узла

 

  • Отслеживание во входящем сетевом трафике активности, характерной для сетевых атак;
  • вывод уведомлений о попытке сетевой атаки с информацией об атакующем узле;
  • возможность изменения времени блокирования атакующего узла;
  • защита от атак, использующих уязвимости в протоколе ARP для фальсификации MAC-адреса устройства
Защита от скрытия вредоносных программ с помощью Windows Subsystem for Linux (WSL) Отсутствует Поддержка WSL
Предоставление сторонним программам возможности проверки на вирусы по требованию Отсутствует Поддержка AMSI

 

Подробнее о новых возможностях Kaspersky Endpoint Security 11.1

Далее рассмотрим подробнее основные изменения, предлагаемые в Kaspersky Endpoint Security 11.1.

Адаптивный контроль аномалий

Новый модуль заключает в себе радикальную доработку функциональности продукта. Модель позволяет анализировать поведение пользователей и запоминать сценарии их работы, а также типичные процессы, которые они реализуют (рисунок 1). Как только система фиксирует какое-либо отклонение от привычной деятельности на устройствах, она блокирует действие, воспринимаемое теперь как аномальное, и оповещает системного администратора о подозрении на угрозу информационной безопасности. Весь процесс полностью автоматизирован и не требует ручной настройки политик контроля программ — это не только экономит время, но и позволяет избежать ложноположительных срабатываний.

 

Рисунок 1. Настройка Адаптивного контроля аномалий в Kaspersky Endpoint Security 11.1

Настройка Адаптивного контроля аномалий в Kaspersky Endpoint Security 11.1

 

Адаптивный контроль аномалий, как это и ожидается, работает в следующих режимах:

  • Обучающий режим. В ходе обучения Адаптивный контроль аномалий отправляет в Kaspersky Security Center информацию о подозрительных действиях. С использованием этой информации администратор локальной сети может добавить часть подозрительных действий в исключения. По истечении периода работы обучающего режима Адаптивный контроль аномалий блокирует все подозрительные действия, не добавленные в исключения. Длительность функционирования продукта в обучающем режиме устанавливается специалистами «Лаборатории Касперского».
  • Рабочий режим. В этом режиме Адаптивный контроль аномалий в зависимости от выбранного действия блокирует подозрительную активность или информирует о появлении такой активности (рисунок 2).

Адаптивный контроль аномалий работает на основе созданных правил. При обнаружении подозрительного действия, подпадающего под одно из включенных правил Адаптивного контроля аномалий, Kaspersky Endpoint Security в зависимости от параметров этого правила блокирует или разрешает подозрительное действие и сохраняет данные в отчет о срабатывании правил.

Если модель работы пользователя меняется, система может быть вновь переведена в режим обучения и адаптироваться к новому сценарию. Кроме того, предусмотрена возможность тонкой настройки — на случай если потребуется добавить исключения. Разумеется, это не панацея, но существенно сократить поверхность возможных атак позволяет.

 

Рисунок 2. Отчет о состоянии правил Адаптивного контроля аномалий в Kaspersky Endpoint Security 11.1

 Отчет о состоянии правил Адаптивного контроля аномалий в Kaspersky Endpoint Security 11.1

Снижение стоимости владения

В Kaspersky Endpoint Security 11 стал доступен облачный режим работы защитных компонентов, который:

  • вдвое уменьшает размер инсталляционного пакета для быстрого развертывания;
  • сокращает использование оперативной памяти и дискового пространства;
  • сокращает нагрузку на сеть.

Максимально оперативная реакция на новейшие угрозы

Kaspersky Endpoint Security 11 позволяет использовать опыт пользователей по всему миру для предотвращения угроз за счет добавления возможности работы в облачном режиме. При включении облачного режима (рисунок 3) Kaspersky Endpoint Security позволяет получить доступ к открытой базе знаний. Помимо указанных преимуществ, это увеличивает скорость реакции программы на новые угрозы, снижает вероятность ложных срабатываний.

 

Рисунок 3. Настройки облачного режима в Kaspersky Endpoint Security 11.1

 Настройки облачного режима в Kaspersky Endpoint Security 11.1

Возможность визуальной проверки защиты

В новой версии добавлен индикатор защиты. Если обеспечена полноценная защита, то индикатор зеленого цвета, при постепенном отключении важных функций безопасности индикатор меняет цвет на желтый, а затем, при низком уровне защиты, на красный.

Индикатор защиты используется также при установке программы и меняет цвет в зависимости от полноты состава устанавливаемых компонентов.

Анти-бриджинг

Анти-бриджинг в рамках контроля устройств обеспечивает защиту в рамках сетевых соединений, устанавливаемых с помощью сетевых мостов, связывающих между собой несколько сетевых интерфейсов. То есть в случае необходимости можно установить запрет одновременного использования нескольких типов соединений.

Правила установки соединений (рисунок 4) созданы для следующих предустановленных типов устройств:

  • сетевые адаптеры;
  • адаптеры Wi-Fi;
  • модемы.

 

Рисунок 4. Настройка функции Анти-бриджинг в Kaspersky Endpoint Security 11.1

 Настройка функции Анти-бриджинг в Kaspersky Endpoint Security 11.1

 

Если правило установки соединений включено, то Kaspersky Endpoint Security выполняет следующие действия:

  • блокирует активное соединение при установке нового соединения, если для обоих соединений используется указанный в правиле тип устройств;
  • блокирует соединения, установленные или устанавливаемые с помощью тех типов устройств, для которых используются правила с более низким приоритетом.

Интеграция с Endpoint Sensor

Endpoint Sensor является компонентом Kaspersky Anti Targeted Attack Platform и позволяет получать аналитическую и статистическую информацию с рабочих станций, на которых стоит Endpoint Security. Начиная с версии 11.0, Endpoint Sensor разворачивается из Kaspersky Endpoint Security, поэтому администратору нужно выполнять меньше операций для разворачивания средств.

Проверка HTTPS-трафика

Большинство современных средств защиты конечных станций обладают возможностью проверки HTTP-трафика. Для организации безопасного соединения используется HTTPS-трафик (например, начиная с версии 11.1, Kaspersky Endpoint Security поддерживает обновление баз с серверов «Лаборатории Касперского» по этому протоколу), процент его использования вместо менее защищенного аналога постоянно растет. Однако проверке HTTPS-трафика пока не уделяется достаточно внимания. Kaspersky Endpoint Security одно из немногих решений, предоставляющих нужную функциональность.

Возможность переноса списка устройств

Функция, значительно облегчающая настройку программы администратором, — возможность экспорта/импорта списков доверенных устройств. Теперь для задания однотипных настроек в отношении устройств достаточно однажды сформировать список и перенести файл экспорта на другие рабочие станции. Файл экспорта имеет формат XML, который можно редактировать вручную или с помощью скрипта.

Защита от майнинга

Еще одна угроза, актуальность которой не вызывает сомнений, — скрытый майнинг. От него страдают и компании, сотрудники которых задействуют рабочие серверы для получения криптовалюты, и простые пользователи, которые вместе с контентом могут ненароком скачать майнинг-программу. В отличие от обычных хакерских программ, такие приложения не разрушают компьютер и не приводят к стиранию данных, но вызывают перегрев процессора, зависание компьютера, внезапное отключение или даже повреждение аппаратной составляющей на некоторых устройствах, не говоря уже о чрезмерном потреблении электроэнергии. Подробнее о том, что такое майнинг и какие опасности он в себе таит, можно почитать в отдельной публикации.

Функция веб-контроля Kaspersky Endpoint Security 11.1 реализует специальную технологию, которая выявляет и блокирует попытки запуска таких программ, а также пресекает попытки доступа к криптовалютным биржам.

Улучшения совместимости

Ранее в сети можно было наблюдать сообщения о попытках успешного скрытия вредоносных программ от антивирусов, установленных на компьютере пользователя, с помощью Windows Subsystem for Linux (WSL). В рамках последней версии программы — 11.1 — поддержана эта подсистема и добавлены специализированные техники, которые позволяют детектировать по поведению и эвристически, а также блокировать любые Linux- и Windows-угрозы при включенном режиме WSL.

В составе отдельного модуля поддержан Antimalware Scan Interface (AMSI) (рисунок 5). Теперь Kaspersky Endpoint Security может использоваться для поиска вирусов по требованию.

 

Рисунок 5. Настройка Kaspersky Endpoint Security 11.1 как поставщика AMSI-защиты

 Настройка Kaspersky Endpoint Security 11.1 как поставщика AMSI-защиты

 

Расширен список поддерживаемых операционных систем:

  • Windows 10 April 2018 Update (Redstone 4, версия 1803);
  • серверные операционные системы в рамках компонентов Анализ поведения, Откат вредоносных действий и Защита от эксплойтов.

Защита от шифрования сетевых ресурсов

В рамках компонента Анализ поведения программ обеспечен анализ активности в папках общего доступа (рисунок 6). Если активность совпадает с одним из шаблонов поведения, характерного для внешнего шифрования, Kaspersky Endpoint Security выполняет одно из следующих действий на выбор:

  • блокирует сетевую активность компьютера, осуществляющего изменение, создание резервных копий подверженных изменению файлов и создание в журнале записи об этой попытке изменения файлов в папках общего доступа. Если при этом включен компонент Откат вредоносных действий, то выполняется восстановление подверженных изменению файлов из резервных копий. Отметим, что время блокирования может быть установлено пользователем;
  • добавляет информацию о попытке изменения файлов в папках общего доступа в список активных угроз.

 

Рисунок 6. Настройка защиты от шифрования сетевых ресурсов в Kaspersky Endpoint Security 11.1

 Настройка защиты от шифрования сетевых ресурсов в Kaspersky Endpoint Security 11.1

Расширение настроек защиты от сетевых угроз

Функциональность компонента Защита от сетевых угроз (ранее Защита от сетевых атак) расширена за счет добавления функции защиты от атак, использующих уязвимости в протоколе ARP для фальсификации MAC-адреса устройства (рисунок 7). По умолчанию функция отключена.

 

Рисунок 7. Настройка режима работы от атак типа MAC-спуффинг в Kaspersky Endpoint Security 11.1

 Настройка режима работы от атак типа MAC-спуффинг в Kaspersky Endpoint Security 11.1

Модернизированный пользовательский интерфейс

Для оптимизации и повышения дружественности программы выполнены следующие улучшения интерфейса:

  • Группировка компонентов защиты по следующим разделам:
  • Продвинутая защита;
  • Базовая защита;
  • Названия компонентов, соответствующие современным реалиям информационной безопасности:
  • Компонент Файловый Антивирус переименован в Защита от файловых угроз;
  • Компонент Почтовый Антивирус переименован в Защита от почтовых угроз;
  • Компонент Веб-Антивирус переименован в Защита от веб-угроз;
  • Компонент Защита от сетевых атак переименован в Защита от сетевых угроз;
  • Компонент Мониторинг системы разделен на следующие компоненты: Анализ поведения, Откат вредоносных действий, Защита от эксплойтов;
  • Компонент Контроль активности программ переименован в Предотвращение вторжений;
  • Компонент Контроль запуска программ переименован в Контроль программ.

 

Выводы

В статье описаны основные нововведения и улучшения в Kaspersky Endpoint Security 11.1. Эта версия наделена функциональностью, позволяющей организации быстро адаптироваться к изменениям информационных технологий.

Наиболее заметное отличие новой версии — механизм адаптивного контроля аномалий, с помощью которого организация может противостоять атакам со стороны еще не исследованных типов вредоносных программ.

Другим многообещающим изменением является реализация облачного режима, позволяющего снизить нагрузку на аппаратные средства информационной системы и использовать опыт миллионов пользователей по всему миру для максимально оперативного реагирования на новые угрозы.

Заслуживают отдельного упоминания также функции защиты от майнинга и проверки HTTPS-трафика.

В целом, можно отметить, что версия Kaspersky Endpoint Security 11.1 стала значимым шагом в адаптации защиты конечных точек на операционной системе Windows к новым видам угроз, и мы рекомендуем запланировать обновление на нее с любых предыдущих версий.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru