Категория:
Сетевые экраны, Система обнаружения атак, Защита рабочих станций и серверов
Исполнение:
Программный комплекс
операционная система:
Windows
Дополнительно:
В РЕЕСТРЕ РОССИЙСКОГО ПО

ViPNet EndPoint Protection - система комплексной защиты рабочих станций и серверов, предназначенная для предотвращения «файловых», «бесфайловых» и сетевых атак, обнаружения вредоносных действий и реакции на эти действия. Ключевыми модулями системы являются – персональный межсетевой экран, система обнаружения и предотвращения вторжений, а также контроль запуска приложений на основе чёрных и белых списков.

Решение сочетает в себе технологии:
  • противодействия современным угрозам – вредоносному ПО, бесфайловым атакам, а также ранее неизвестным атакам (Never-seen-before attacks);
  • обнаружения аномальных действий на рабочих станциях;
  • машинного обучения;
  • межсетевого экранирования с фильтрацией пакетов для непрерывной защиты рабочих станций от сетевых атак;
  • контроля приложений для разграничения доступа приложений к файлам, реестру ОС Windows, процессам и параметрам командной строки.

Сценарии использования

ViPNet EndPoint Protection можно использовать как совместно с другими продуктами ViPNet, так и отдельно. Основные задачи:
  • обнаружение и предотвращение вторжений (атак);
  • фильтрация входящего и исходящего трафика;
  • выявление и блокировка вредоносных файлов;
  • контроль приложений:
    • при обращении в сеть;
    • при обращении к объектам ОС (файлам, реестру, процессам, приложениям).

Архитектура

scheme

ViPNet EndPoint Protection является клиент-серверным приложением и состоит из:

  • ViPNet EndPoint Protection Агент, который устанавливается на рабочие станции и серверы, и осуществляет комплексную защиту хостов от внутренних и внешних угроз. В своей работе агент использует базы решающих правил (БРП), полученные от серверного компонента.
  • ViPNet EndPoint Protection Сервер обеспечивает централизованное управление агентами ViPNet EndPoint Protection, рассылку БРП и политик на Агенты, а также выполняет сбор и агрегацию событий информационной безопасности, поступающих с защищаемых рабочих станций и серверов.
  • ViPNet EndPoint Protection Консоль управления предназначена для администрирования ViPNet EndPoint Protection Сервер и отображения информации о состоянии защищаемых рабочих станций и серверов.

Преимущества

  • Защита от различных типов угроз – вредоносные программы, ранее неизвестные угрозы, бесфайловые атаки. Используются современные методы обнаружения, построенные на моделях машинного обучения.
  • Защита процессов и активности приложений – возможность ограничения активности приложения и влияния приложения на работу других программ.
  • Выявление аномалий в действиях пользователя, процессах и запуске системных утилит.
  • Различные методы определения атак - для определения и противодействия атакам модуль системы обнаружения и предотвращения вторжений использует сигнатурный метод и метод аномалий.
  • Предотвращение несанкционированного изменения системных файлов и записей реестра Windows.
  • Использование технологий EDR (Endpoint Detection & Responce) – предоставление подробной информации о событиях информационной безопасности с возможностью реагирования на события с признаками киберинцидента.
  • Защита рабочих станций и серверов информационных систем, в соответствии с требованиями 17,21, 31 и 239 приказов ФСТЭК России.

scheme


Сертификация во ФСТЭК России

В процессе сертификации по требованиям к:

  • Системам обнаружения вторжений уровня узла (СОВ У4)- Профиль защиты систем обнаружения вторжений уровня узла четвертого класса защиты ИТ.СОВ.У4.ПЗ.
  • Межсетевым экранам (МЭ 4В) - Профиль защиты межсетевых экранов типа «в» четвертого класса защиты ИТ.МЭ.В4.ПЗ.
  • 4 классу ТДБ – «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» утверждены приказом ФСТЭК России от 30 июля 2018 г. № 131.

ИнфоТеКС оставляет за собой право без уведомления вносить изменения в поставляемую продукцию (характеристики, внешний вид, комплектность), не ухудшающие ее потребительских свойств.


Модуль обнаружения и предотвращение вторжений
  • Обнаружение атак происходит на основе эвристического и сигнатурного метода. Мониторингу и анализу подвергаются следующие ключевые области:
    • системные журналы ОС (Windows event log);
    • журналы и логи приложений;
    • результаты выполнения команд;
    • файлы, папки, реестр ОС – создание, изменение, удаление;
    • трафик, проходящий через хост.
  • Предотвращение атак и вторжений обеспечивает блокировку подозрительной активности, выявленной модулем обнаружения вторжений. Правила блокировки поставляются в рамках сервиса обновления БРП.
  • Обнаружение и предотвращение бесфайловых атак. Отслеживаются техники Keylogging и Process injection:
    • Credential API Hooking (T1056.004)
    • Process Hollowing (T1055.012)
    • Process Doppelganging (T1055.013)
    • Dynamic-link library injection (T1055.001)
    • Portable Executable Injection (T1055.002)
Модуль межсетевого экранирования – осуществляет контроль и фильтрацию входящего и исходящего трафика.
  • Фильтрация трафика IPv4 и IPv6.
  • Работа сетевых фильтров по расписанию.
  • Наличие преднастроенных фильтров.
  • Блокировка атакующих компьютеров.
  • Контроль сетевой активности программ.
Модуль контроля приложений - позволяет управлять установкой и запуском приложений на основе чёрных и белых списков программного обеспечения, а также доступом приложений к объектам ОС Windows:
  • файлам;
  • реестру;
  • процессам;
  • параметрам командной строки;
  • чёрные и белые списки программного обеспечения.
Модуль поведенческого анализа – позволяет выявлять различного вида аномалии, например:
  • Аномальный вход в систему.
  • Аномалия в создании процесса.
  • Аномалия в создании задачи планировщику.
  • Аномальные запуски системных утилит, таких как powershell, rundll32, regsrv32 и т.д.

Для обнаружения аномалий используется модель нормальной активности защищаемого узла, построенная с помощью машинного обучения.

Antimalware модуль - предназначен для сканирования файлов и библиотек с целью выявления и блокировки признаков вредоносного ПО. Сканирование выполняется на основе модели, построенной с помощью машинного обучения.

Управление ViPNet SafeBoot из консоли ViPNet EndPoint Protection для лицензирования и сбора журналов с ViPNet SafeBoot.

Преднастроенные режимы работы для всех модулей продукта позволяют быстро применить необходимые правила безопасности.

Предотвращение угроз в соответствии с категориями, которые настраиваются и передаются на защищаемый узел в составе базы правил и применяются в ViPNet EndPoint Protection Агент для блокирования подозрительной/нежелательной сетевой активности.

Централизованное управление модулями ViPNet EndPoint Protection – возможности централизованного управления, рассылки политик, обновления БРП.

Поддерживаемые ОС

ViPNet EndPoint Protection сервер и консоль управления могут быть установлены на следующие операционные системы:
  • Microsoft Windows 8.1 (64-разрядная).
  • Microsoft Windows Server 2012 R2 (64-разрядная).
  • Microsoft Windows 10 (64-разрядная).
  • Microsoft Windows Server 2016 (64-разрядная).
  • Microsoft Windows Server 2019.
ViPNet EndPoint Protection агент может быть установлен на следующие операционные системы:
  • Microsoft Windows 8.1 (64-разрядная).
  • Microsoft Windows Server 2012 R2 (64-разрядная).
  • Microsoft Windows 10 (64-разрядная).
  • Microsoft Windows Server 2016 (64-разрядная).
  • Microsoft Windows Server 2019.
  • Astra Linux Special Edition 1.6 релиз «Смоленск» (64-разрядная), ядро 4.15.3-1.
  • Astra Linux Special Edition 1.7 релиз «Смоленск» (64-разрядная), ядро 5.4.0-54. 
  • Debian 11 (64-разрядная), ядро 5.10.0-10-amd64. 
  • Альт Рабочая станция 8 СП (64-разрядная), ядро 5.4.68.
  • CentOS 7.5 (64-разрядная), ядро 3.10.
  • Ред ОС 7.3 (64-разрядная), ядро 5.10.29.

Публикации о продукте

Материалы для загрузки

Enable JavaScript for correct display.