Категория:
Сетевые экраны, Система обнаружения атак, Защита рабочих станций и серверов
Исполнение:
Программный комплекс
операционная система:
Windows

ViPNet EndPoint Protection - система комплексной защиты рабочих станций и серверов, предназначенная для предотвращения «файловых» и сетевых атак, обнаружения вредоносных действий и реакции на эти действия. Основными модулями системы являются – персональный межсетевой экран, система обнаружения и предотвращения вторжений, а также контроль запуска приложений на основе чёрных и белых списков.

Решение сочетает:

  • проверенные в действии технологии обнаружения вторжений, дополненные настраиваемым модулем предотвращения вторжений;
  • модуль межсетевого экранирования с фильтрацией пакетов для непрерывной защиты рабочих станций от сетевых атак;
  • модуль контроля приложений, который работает на базе черных и белых списков программного обеспечения. Разграничивает доступ приложений к файлам, реестру ОС Windows, процессам и параметрам командной строки. Предотвращает установку и запуск вредоносного программного обеспечения.

Сценарии использования

ViPNet EndPoint Protection можно использовать как отдельно, так и совместно с другими продуктами ViPNet.
Основные задачи:

  • обнаружение и предотвращение вторжений (атак);
  • фильтрация входящего и исходящего трафика;
  • контроль приложений:
    • при обращении в сеть;
    • при обращении к объектам ОС (файлам, реестру, процессам, приложениям).

Архитектура

scheme

ViPNet EndPoint Protection является клиент-серверным приложением и состоит из:

  • ViPNet EndPoint Protection Агент, который устанавливается на рабочие станции и серверы, и осуществляет комплексную защиту хостов от внутренних и внешних угроз. В своей работе агент использует базы решающих правил (БРП), полученные от серверного компонента.
  • ViPNet EndPoint Protection Сервер обеспечивает централизованное управление агентами ViPNet EndPoint Protection, рассылку БРП и политик на Агенты, а также выполняет сбор и агрегацию событий информационной безопасности, поступающих с защищаемых рабочих станций и серверов.
  • ViPNet EndPoint Protection Консоль управления предназначена для администрирования ViPNet EndPoint Protection Сервер и отображения информации о состоянии защищаемых рабочих станций и серверов.

Преимущества

  • Защита рабочих станций и серверов информационных систем, в соответствии с требованиями 17,21, 31 и 239 приказов ФСТЭК России.
  • Эффективное решение для защиты рабочих станций и серверов от известных и неизвестных атак.
  • Мониторинг и противодействие подозрительной активности на хосте.
  • Гранулированные настройки безопасности для всех модулей продукта, применяемые как для одного, так и для группы хостов.
  • Преднастроенные режимы работы модулей ViPNet Endpoint Protection, а также регулярно обновляемые правила для модулей обнаружения и предотвращения вторжений, контроля приложений.
  • Интеграция ViPNet EndPoint Protection с аналитической системой ViPNet TIAS расширяет возможности обнаружения и реагирования на инциденты информационной безопасности.

scheme


Сертификация во ФСТЭК России

В процессе сертификации по требованиям к:

  • Системам обнаружения вторжений уровня узла (СОВ У4)- Профиль защиты систем обнаружения вторжений уровня узла четвертого класса защиты ИТ.СОВ.У4.ПЗ.
  • Межсетевым экранам (МЭ 4В) - Профиль защиты межсетевых экранов типа «в» четвертого класса защиты ИТ.МЭ.В4.ПЗ.
  • 4 классу ТДБ – «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» утверждены приказом ФСТЭК России от 30 июля 2018 г. № 131.

ИнфоТеКС оставляет за собой право без уведомления вносить изменения в поставляемую продукцию (характеристики, внешний вид, комплектность), не ухудшающие ее потребительских свойств.


Функциональные характеристики

Модуль обнаружения и предотвращение вторжений – обнаружение атак происходит на основе эвристического и сигнатурного метода. Мониторингу и анализу подвергаются следующие ключевые области:

  • системные журналы ОС (Windows event log);
  • журналы и логи приложений;
  • результаты выполнения команд;
  • файлы, папки, реестр ОС – создание, изменение, удаление;
  • трафик, проходящий через хост.

На основании выявленных в результате анализа подозрительных активностей модуль блокирует атаки руководствуясь установленными правилами блокировки и с учетом критичности атаки.

Модуль межсетевого экранирования – осуществляет контроль и фильтрацию входящего и исходящего трафика. Ключевые возможности:

  • фильтрация трафика IPv4 и IPv6;
  • работа сетевых фильтров по расписанию;
  • наличие преднастроенных фильтров;
  • блокировка атакующих компьютеров;
  • контроль сетевой активности программ.

Модуль контроля приложений - позволяет управлять установкой и запуском приложений, на основе настроенных чёрных и белых списков, а также контролировать доступ приложений к объектам ОС Windows:

  • файлам;
  • реестру;
  • процессам;
  • параметрам командной строки.

Централизованное управление модулями ViPNet EndPoint Protection – возможность централизованного управления, рассылки политик, обновления БРП.

Интеграция с ViPNet TIAS – передача событий информационной безопасности от ViPNet EndPoint Protection в аналитическую систему ViPNet TIAS позволяет выявлять сложные и неизвестные атаки при помощи используемых в ViPNet TIAS математической модели и метаправил. При обнаружении инцидента администратор безопасности имеет возможность оперативно отреагировать на атаку в масштабах всех защищаемых хостов сети с использованием модулей ViPNet EPP. 

Оповещение администратора ИБ о событиях безопасности.

Реализован функционал оповещения администратора ИБ о критических атаках посредством передачи информации в формате CEF по протоколу syslog, а также по электронной почте. При этом все события, атаки отображаются в консоли управления продуктом.

Регулярно обновляемые базы решающих правил (БРП) от российского производителя.

Поддерживаемые ОС

  • Microsoft Windows 8.1 (64-разрядная).
  • Microsoft Windows Server 2012 R2 (64-разрядная).
  • Microsoft Windows 10 (64-разрядная).
  • Microsoft Windows Server 2016 (64-разрядная), редакции Standard или Datacenter.

Материалы для загрузки

Enable JavaScript for correct display.