“Лаборатория Касперского” представила на российском рынке два своих обновленных продукта для защиты корпоративной ИТ-среды: решение по защите рабочих станций Kaspersky Endpoint Security 8 for Windows пришло на смену “Антивирусу Касперского для Windows Workstation” и “Антивирусу для Windows Server”, а система централизованного администрирования всего парка ИБ-продуктов “Лаборатории” (включая и Kaspersky Endpoint Security 8) Kaspersky Security Center 9 заменила Kaspersky Administration Kit.
Как сообщил директор по исследованиям и разработке “Лаборатории Касперского” Николай Гребенников, в процессе создания новых версий продуктов компания отталкивалась от современных тенденций в ИТ, таких как консьюмеризация применяемых в офисах ИТ-устройств; использование корпоративных ИТ-ресурсов не только в производственных целях; повышение популярности мобильных технологий; виртуализация ИТ-среды; целенаправленность кибератак; распространение заражений с веб-старниц и флеш-накопителей; несвоевременная установка заплаток в программные приложения; лавинообразный рост числа новых зловредов (до 70 тыс. новых записей в базах данных “Лаборатории Касперского” в день).
По словам г-на Гребенникова, его компания в разработке средств защиты для корпоративных пользователей сегодня сосредоточена на двух аспектах: защита от заражений и управление этой защитой.
Антивирусная защита в Kaspersky Endpoint Security 8 for Windows строится на сигнатурном анализе и проактивных методах на базе мониторинга изменений в системе, а также на эвристическом анализе. В ней, как сообщил г-н Гребенников, используется новое антивирусное ядро и впервые для корпоративного применения задействованы облачные механизмы на основе сервисов Kaspersky Security Network (KSN). Снижена нагрузка на сеть при обновлении антивирусных баз, что потребовало архитектурных изменений в продуктах.
Суть предлагаемого “Лабораторией Касперского” облачного компонента защиты (которому в настоящее время уделяется особое внимание) заключается в снижении нагрузки на пользовательские системы и в ускорении реагирования на новые угрозы. При загрузке неизвестных файлов компьютер пользователя обращается к базам данных с оперативно обновляемыми сигнатурами, которые хранятся на серверах “Лаборатории”. В корпоративных условиях это делается не на каждой рабочей станции по отдельности, а централизованно через службу KSN-прокси. В облаке располагаются база данных быстрого реагирования и репутационная база ресурсов.
Поскольку эвристические методы при попытках повышения их чувствительности увеличивают число ложных срабатываний, то для борьбы с еще не известными вредоносными кодами “Лаборатория”, как сообщил г-н Гребенников, делает упор на защиту на основе репутационных характеристик ресурсов (приложений, веб-страниц, файлов), поддерживаемых с помощью облачных сервисов “Лаборатории Касперского”.
Управление защитой, реализованное в Kaspersky Security Center 9, разбито на три группы: управление устройствами, приложениями и сетевым трафиком.
К контролю типов устройства (принтеры, флэш-накопители, графические планшеты, DVD и т. п.) добавлена возможность проверять их серийные номера. Такая глубокая детализация контроля параметров позволяет администратору разрабатывать разнообразные правила применения различных устройств разными группами пользователей, формировать расписание работы с устройствами, задавать и контролировать тип выполняемых с их помощью операций (чтение, запись, печать и т. д.).
Веб-фильтр обеспечивает контроль доступа персонала к веб-ресурсам. В дополнение к спискам веб-адресов реализована фильтрация веб-ресурсов по категориям и типу размещаемых на них данных (видео, звук, архив, исполняемые файлы и др.). Как сообщил г-н Гребенников, исследовательская лаборатория компании поддерживает категоризованные списки сайтов в актуальном состоянии. Администратору Kaspersky Security Center предоставлена возможность управлять доступом к определенным категориям сайтов, оперируя не только конкретными веб-адресами, но и категориями. Он также может проверять адекватность категоризации сайтов, проведенных специалистами “Лаборатории Касперского”, и влиять на изменение категории того или иного сайта.
Контроль приложений, по словам г-на Гребенникова, является ключевой возможностью Kaspersky Security Center 9. Администратор может удаленно на любом устройстве, подключенном к корпоративной сети, проверять, разрешать и запрещать использование приложений, разделять приложения на категории, устанавливать правила использования ПО различных категорий разными группами пользователей и контролировать исполнение установленных правил.
Когда на подключенное к сети устройство попадает неизвестная программа, срабатывает весь комплекс проверок — модули файлового антивируса, веб-антивируса, контроля устройств, веб-контроля и др. — и блокирует ее исполнение. Если же информация о программе содержится в базе данных “Лаборатории Касперского”, то в работу включается модуль контроля запуска, который использует технологии поведенческого анализа, категоризации, определения репутации; задействуется также и обращение к облачному сервису KSN. Согласно представленной “Лабораторией Касперского” информации в ее базе данных сегодня более 230 млн. “белых” файлов и примерно 50 млн. “черных”. По подсчётам WestCoast Labs, которая занимается проверкой приложений на предмет имеющихся в них уязвимостей и вредоносных кодов, комплексная защита “Лаборатории” покрывает около 94% из примерно 10 тыс. наиболее распространенных в мире приложений.
Для неизвестных файлов на серверах “Лаборатории Касперского” проводится расчет рейтинга опасности, построенный на базе эвристики. В результате приложения разделяются на доверенные, недоверенные, группы сильных и слабых ограничений. На приложения могут накладываться ограничения, связанные с предоставлением им доступа к файловой системе и системному реестру. Администратор может самостоятельно редактировать параметры ограничений, предложенные модулем контроля приложений, по своему усмотрению создавать, используя функции сетевого экранирования, правила поведения приложений в сети и их влияния на среду исполнения (например, запускать процессы, устанавливать драйверы, контролировать ввод с пользовательской клавиатуры, делать снимки веб-камерой и т. п.) Список доступных для приложений действий, которыми может распоряжаться администратор, составлен экспертами “Лаборатории Касперского”.
Если приложение имеет высокий рейтинг опасности, то оператор может блокировать его действия, потенциально опасные для пользовательской среды, запускать его в ограниченном режиме или вовсе запретить. Модуль контроля программ предоставляет администратору возможность сканирования приложений на уязвимости и установки заплаток. Как утверждает г-н Гребенников, обнаруженные при сканировании уязвимости в ПО можно закрывать не только патчами его производителей, но и средствами “Лаборатории”. В дальнейшем предполагается развивать этот функционал.
К важным свойствам Kaspersky Security Center 9 (который наряду с Microsoft Management Console снабжен теперь и веб-консолью) г-н Гребенников отнес его улучшенные эргономику и систему составления отчетов. Поддержка иерархии серверов администрирования повышает масштабируемость и упрощает управление защитой в крупных разветвленных и территориально распределенных структурах. Эти свойства, как отметил г-н Гребенников, полезны также и для предоставления защиты корпоративных ресурсов как сервиса.
Работа новых продуктов “Лаборатории Касперского” с виртуальными машинами (ВМ), по словам г-на Гребенникова, организована таким образом, что администратор может наблюдать их наряду с физическими; он в состоянии организовывать рабочие процессы для их защиты, в том числе и для временных ВМ. Нагрузка на виртуальные машины, поднятые на одном физическом сервере, уменьшена за счет распределения между ними по времени задач сканирования и обновления антивируса.