ViPNet EndPoint Protection
-
Категория:
- Сетевые экраны, Система обнаружения атак, Защита рабочих станций и серверов
-
Исполнение:
- Программный комплекс
-
операционная система:
- Windows
-
Дополнительно:
- В РЕЕСТРЕ РОССИЙСКОГО ПО
ViPNet EndPoint Protection - система комплексной защиты рабочих станций и серверов, предназначенная для предотвращения «файловых», «бесфайловых» и сетевых атак, обнаружения вредоносных действий и реакции на эти действия. Ключевыми модулями системы являются – персональный межсетевой экран, система обнаружения и предотвращения вторжений, а также контроль запуска приложений на основе чёрных и белых списков.
- противодействия современным угрозам – вредоносному ПО, бесфайловым атакам, а также ранее неизвестным атакам (Never-seen-before attacks);
- обнаружения аномальных действий на рабочих станциях;
- машинного обучения;
- межсетевого экранирования с фильтрацией пакетов для непрерывной защиты рабочих станций от сетевых атак;
- контроля приложений для разграничения доступа приложений к файлам, реестру ОС Windows, процессам и параметрам командной строки.
Сценарии использования
- обнаружение и предотвращение вторжений (атак);
- фильтрация входящего и исходящего трафика;
- выявление и блокировка вредоносных файлов;
-
контроль приложений:
- при обращении в сеть;
- при обращении к объектам ОС (файлам, реестру, процессам, приложениям).
Архитектура
ViPNet EndPoint Protection является клиент-серверным приложением и состоит из:
- ViPNet EndPoint Protection Агент, который устанавливается на рабочие станции и серверы, и осуществляет комплексную защиту хостов от внутренних и внешних угроз. В своей работе агент использует базы решающих правил (БРП), полученные от серверного компонента.
- ViPNet EndPoint Protection Сервер обеспечивает централизованное управление агентами ViPNet EndPoint Protection, рассылку БРП и политик на Агенты, а также выполняет сбор и агрегацию событий информационной безопасности, поступающих с защищаемых рабочих станций и серверов.
- ViPNet EndPoint Protection Консоль управления предназначена для администрирования ViPNet EndPoint Protection Сервер и отображения информации о состоянии защищаемых рабочих станций и серверов.
Преимущества
- Защита от различных типов угроз – вредоносные программы, ранее неизвестные угрозы, бесфайловые атаки. Используются современные методы обнаружения, построенные на моделях машинного обучения.
- Защита процессов и активности приложений – возможность ограничения активности приложения и влияния приложения на работу других программ.
- Выявление аномалий в действиях пользователя, процессах и запуске системных утилит.
- Различные методы определения атак - для определения и противодействия атакам модуль системы обнаружения и предотвращения вторжений использует сигнатурный метод и метод аномалий.
- Предотвращение несанкционированного изменения системных файлов и записей реестра Windows.
- Использование технологий EDR (Endpoint Detection & Responce) – предоставление подробной информации о событиях информационной безопасности с возможностью реагирования на события с признаками киберинцидента.
- Защита рабочих станций и серверов информационных систем, в соответствии с требованиями 17,21, 31 и 239 приказов ФСТЭК России.
Сертификация во ФСТЭК России
В процессе сертификации по требованиям к:
- Системам обнаружения вторжений уровня узла (СОВ У4)- Профиль защиты систем обнаружения вторжений уровня узла четвертого класса защиты ИТ.СОВ.У4.ПЗ.
- Межсетевым экранам (МЭ 4В) - Профиль защиты межсетевых экранов типа «в» четвертого класса защиты ИТ.МЭ.В4.ПЗ.
- 4 классу ТДБ – «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» утверждены приказом ФСТЭК России от 30 июля 2018 г. № 131.
ИнфоТеКС оставляет за собой право без уведомления вносить изменения в поставляемую продукцию (характеристики, внешний вид, комплектность), не ухудшающие ее потребительских свойств.
- Обнаружение атак происходит на основе эвристического и сигнатурного метода. Мониторингу и анализу подвергаются следующие ключевые области:
- системные журналы ОС (Windows event log);
- журналы и логи приложений;
- результаты выполнения команд;
- файлы, папки, реестр ОС – создание, изменение, удаление;
- трафик, проходящий через хост.
- Предотвращение атак и вторжений обеспечивает блокировку подозрительной активности, выявленной модулем обнаружения вторжений. Правила блокировки поставляются в рамках сервиса обновления БРП.
- Обнаружение и предотвращение бесфайловых атак. Отслеживаются техники Keylogging и Process injection:
- Credential API Hooking (T1056.004)
- Process Hollowing (T1055.012)
- Process Doppelganging (T1055.013)
- Dynamic-link library injection (T1055.001)
- Portable Executable Injection (T1055.002)
- Фильтрация трафика IPv4 и IPv6.
- Работа сетевых фильтров по расписанию.
- Наличие преднастроенных фильтров.
- Блокировка атакующих компьютеров.
- Контроль сетевой активности программ.
- файлам;
- реестру;
- процессам;
- параметрам командной строки;
- чёрные и белые списки программного обеспечения.
- Аномальный вход в систему.
- Аномалия в создании процесса.
- Аномалия в создании задачи планировщику.
- Аномальные запуски системных утилит, таких как powershell, rundll32, regsrv32 и т.д.
Для обнаружения аномалий используется модель нормальной активности защищаемого узла, построенная с помощью машинного обучения.
Antimalware модуль - предназначен для сканирования файлов и библиотек с целью выявления и блокировки признаков вредоносного ПО. Сканирование выполняется на основе модели, построенной с помощью машинного обучения.
Управление ViPNet SafeBoot из консоли ViPNet EndPoint Protection для лицензирования и сбора журналов с ViPNet SafeBoot.
Преднастроенные режимы работы для всех модулей продукта позволяют быстро применить необходимые правила безопасности.
Предотвращение угроз в соответствии с категориями, которые настраиваются и передаются на защищаемый узел в составе базы правил и применяются в ViPNet EndPoint Protection Агент для блокирования подозрительной/нежелательной сетевой активности.
Централизованное управление модулями ViPNet EndPoint Protection – возможности централизованного управления, рассылки политик, обновления БРП.
Поддерживаемые ОС
- Microsoft Windows 8.1 (64-разрядная).
- Microsoft Windows Server 2012 R2 (64-разрядная).
- Microsoft Windows 10 (64-разрядная).
- Microsoft Windows Server 2016 (64-разрядная).
- Microsoft Windows Server 2019.
- Microsoft Windows 8.1 (64-разрядная).
- Microsoft Windows Server 2012 R2 (64-разрядная).
- Microsoft Windows 10 (64-разрядная).
- Microsoft Windows Server 2016 (64-разрядная).
- Microsoft Windows Server 2019.
- Astra Linux Special Edition 1.6 релиз «Смоленск» (64-разрядная), ядро 4.15.3-1.
- Astra Linux Special Edition 1.7 релиз «Смоленск» (64-разрядная), ядро 5.4.0-54.
- Debian 11 (64-разрядная), ядро 5.10.0-10-amd64.
- Альт Рабочая станция 8 СП (64-разрядная), ядро 5.4.68.
- CentOS 7.5 (64-разрядная), ядро 3.10.
- Ред ОС 7.3 (64-разрядная), ядро 5.10.29.
Публикации о продукте
Продукты для защиты информации ViPNet совместимы с операционной системой РЕД ОС
Компания «ИнфоТеКС» анонсирует систему комплексной защиты рабочих станций ViPNet EndPoint Protection
Выпущена новая версия ViPNet EndPoint Protection
Как защититься от новой уязвимости Windows? Рекомендации по настройке продуктов ИнфоТеКС