ViPNet EndPoint Protection (ViPNet EPP)

ViPNet EndPoint Protection (ViPNet EPP) - система комплексной защиты рабочих станций и серверов, предназначенная для предотвращения «файловых», «бесфайловых» и сетевых атак, обнаружения вредоносных действий и реакции на эти действия. Ключевыми модулями системы являются – персональный межсетевой экран, система обнаружения и предотвращения вторжений, а также контроль запуска приложений на основе чёрных и белых списков.

Решение сочетает в себе технологии:

1. Противодействие современным угрозам – вредоносному ПО, бесфайловым атакам, а также ранее неизвестным атакам (Never-seen-before attacks).
2. Обнаружение аномальных действий на рабочих станциях.
3. Машинное обучение.
4. Межсетевое экранирование с фильтрацией пакетов для непрерывной защиты рабочих станций от сетевых атак.
5. Контроль приложений для разграничения доступа приложений к файлам, реестру ОС Windows, процессам и параметрам командной строки.

Сценарии использования ViPNet EPP:

• обнаружение и предотвращение вторжений (атак);
• фильтрация входящего и исходящего трафика;
• выявление и блокировка вредоносных файлов;
• контроль приложений: при обращении в сеть и при обращении к объектам ОС (файлам, реестру, процессам, приложениям).

Преимущества ViPNet EndPoint Protection:

1. Защита от различных типов угроз – вредоносные программы, ранее неизвестные угрозы, бесфайловые атаки. Используются современные методы обнаружения, построенные на моделях машинного обучения.
2. Защита процессов и активности приложений – возможность ограничения активности приложения и влияния приложения на работу других программ.
3. Выявление аномалий в действиях пользователя, процессах и запуске системных утилит.
4. Различные методы определения атак - для определения и противодействия атакам модуль системы обнаружения и предотвращения вторжений использует сигнатурный метод и метод аномалий.
5. Предотвращение несанкционированного изменения системных файлов и записей реестра Windows.
6. Использование технологий EDR (Endpoint Detection & Response) – предоставление подробной информации о событиях информационной безопасности с возможностью реагирования на события с признаками киберинцидента.
7. Защита рабочих станций и серверов информационных систем, в соответствии с требованиями 17, 21, 31 и 239 приказов ФСТЭК России.

Модуль обнаружения и предотвращение вторжений

1. Обнаружение атак происходит на основе эвристического и сигнатурного метода. Мониторингу и анализу подвергаются следующие ключевые области:

• системные журналы ОС (Windows event log);
• журналы и логи приложений;
• результаты выполнения команд;
• файлы, папки, реестр ОС – создание, изменение, удаление;
• трафик, проходящий через хост.

2. Предотвращение атак и вторжений обеспечивает блокировку подозрительной активности, выявленной модулем обнаружения вторжений. Правила блокировки поставляются в рамках сервиса обновления БРП

3. Обнаружение и предотвращение бесфайловых атак. Отслеживаются техники Keylogging и Process injection:

• Credential API Hooking (T1056.004)
• Process Hollowing (T1055.012)
• Process Doppelganging (T1055.013)
• Dynamic-link library injection (T1055.001)
• Portable Executable Injection (T1055.002)

4. TLS-инспекция – возможность расшифровывания трафика, входящего на рабочую станцию, и анализ этого трафика

5. SafeBrowsing – безопасный сёрфинг в интернете (веб-фильтрация). В рамках БРП поставляется набор запрещённых сайтов и доменов (malware, phishing, spam)

Модуль межсетевого экранирования – осуществляет контроль и фильтрацию входящего и исходящего трафика.

1. Фильтрация трафика IPv4 и IPv6

2. Работа сетевых фильтров по расписанию

3. Наличие преднастроенных фильтров

4. Блокировка атакующих компьютеров

5. Контроль сетевой активности программ

6. Интеграция c ViPNet Client 4U ViPNet Client 5:

• Возможность Добавления / Редактирования / Удаления фильтров защищённой сети из локальной консоли ViPNet EndPoint Protection (агент)
• Возможность получения централизованных политик для фильтров открытой сети от ViPNet Policy Manager / ViPNet PMM

7. Реализация набора функций из стека технологий ZTNA

• Проверка соответствия хоста на наличие необходимого / требуемого ПО, обновлений ПО, запущенных процессов, обновление антивирусных баз и т.д.
• Блокировка входа в защищенную сеть ViPNet при несоответствии устройства политикам ZTNA, информирование пользователя об этом

Модуль контроля приложений

Позволяет управлять установкой и запуском приложений на основе чёрных и белых списков программного обеспечения, а также доступом приложений к объектам ОС Windows:

• файлам;
• реестру;
• процессам;
• параметрам командной строки;
• чёрные и белые списки программного обеспечения.

Дополнительно реализованы механизмы контроля запуска программ, DLL-модулей, драйверов и контроль сетевой активности приложений.

Модуль поведенческого анализа

Позволяет выявлять различного вида аномалии, например:

• Аномальный вход в систему
• Аномалия в создании процесса
• Аномалия в создании задачи планировщику
• Аномальные запуски системных утилит, таких как powershell, rundll32, regsrv32 и т.д.

Для обнаружения аномалий используется модель нормальной активности защищаемого узла, построенная с помощью машинного обучения.

Antimalware модуль

Предназначен для сканирования файлов и библиотек с целью выявления и блокировки признаков вредоносного ПО. Сканирование выполняется на основе модели, построенной с помощью машинного обучения.

Управление ViPNet SafeBoot SafeBoot из консоли ViPNet EndPoint Protection. Реализованы следующие механизмы удалённого управления:

• Лицензирование
• Получение журналов
• Обновление МДЗ
• Управление пользователями
• Установка корневых сертификатов

Преднастроенные режимы работы для всех модулей продукта позволяют быстро применить необходимые правила безопасности.

Предотвращение угроз в соответствии с категориями, которые настраиваются и передаются на защищаемый узел в составе базы правил и применяются в ViPNet EndPoint Protection Агент для блокирования подозрительной/нежелательной сетевой активности.

Централизованное управление модулями ViPNet EndPoint Protection – возможности централизованного управления, рассылки политик, обновления БРП.