Корпорация Symantec расширила спектр своих продуктов, противодействующих изощрённым направленным атакам, и представила новую технологию Disarm, реализованную в обновлённом решении для защиты почтового трафика на уровне шлюза Symantec Messaging Gateway, и технологию защиты платформы Mac от сетевых угроз в рамках обновлённого решения Symantec Endpoint Protection.
Разработанная специалистами исследовательского центра Symantec Research Labs технология Disarm, вошедшая в состав Symantec Messaging Gateway 10.5, предлагает первую подобного рода технику защиты от направленных атак. В настоящее время большинство направленных атак начинается с проникновения вредоносной программы, спрятанной внутри, казалось бы, безобидных документов, пересылаемых по электронной почте. Каждый такой вредоносный документ, например PDF-, DOC- или XLS-файл, содержит активное содержимое — средства атаки, позволяющие скрытно заразить компьютер жертвы всего лишь при просмотре документа.
Традиционные технологии защиты сканируют документы, пытаясь обнаружить в них что-либо подозрительное. Но проблема в том, что подобные документы созданы злоумышленниками так, чтобы ничего в них не вызывало подозрений, и в результате вредоносный функционал остаётся незамеченным. В технологии Disarm использован иной подход: вместо сканирования документа создаётся его безопасная копия, которая и направляется адресату. Таким образом, пользователь никогда не сталкивается с вредоносными программами в пересылаемых по электронной почте файлах. Эта технология уже показала свою высокую эффективность: согласно проведённому Symantec исследованию, будучи запущенной в начале 2013 года, технология Disarm остановила бы 98% всех осуществленных за это время направленных атак, в которых злоумышленники при помощи вредоносного документа эксплуатировали уязвимости нулевого дня. Эти неизвестные ранее угрозы с высокой вероятностью преодолевали все традиционные технологии — эвристическое сканирование, эмуляцию и даже системы виртуального исполнения (Virtual Execution, VX) или песочницы.
С целью улучшения защищённости клиентских компьютеров компания Symantec встроила передовую технологию защиты от сетевых угроз для платформы Mac в обновлённую версию решения Symantec Endpoint Protection 12.1.4. Многие пользователи компьютеров Mac ошибочно полагают, что они не подвержены атакам, и поэтому относятся к вопросам защиты недостаточно внимательно, однако именно такое отношение превращает пользователей Mac в «лакомый кусочек» для злоумышленников. Технология Symantec Network Threat Protection обеспечивает перехват входящего сетевого трафика до того, как он успеет оказать воздействие, выявляет эксплойты и автоматически их блокирует. Запатентованная система предотвращения вторжений — IPS уровня протоколов и уровня приложений — способна обнаруживать и блокировать не только известные, но и ещё неизвестные угрозы, в том числе использующие уязвимости нулевого дня.
Помимо двух представленных выше инновационных технологий, другие решения Symantec также опираются на глобальную сеть Symantec Global Intelligence Network (GIN) и профессионализм команды из более 550 исследователей центров управления безопасностью, расположенных по всему миру. Symantec GIN круглосуточно осуществляет сбор анонимных телеметрических данных с сотен миллионов сенсоров и систем своих клиентов. Эти данные превышают 2,5 трлн. строк телеметрии и их анализ обеспечивает автоматическое обнаружение новых атак и отслеживание активности злоумышленников. Собранная информация также используется для разработки проактивных технологий защиты, таких как, например, технология репутационной оценки Symantec’s Insight, присутствующей в решениях для защиты шлюзов, узлов и центров обработки данных.
Symantec предлагает пользователям различные варианты защиты электронной почты, каждый из которых обеспечивает противодействие направленным атакам. Помимо шлюзового решения Symantec Messaging Gateway, размещаемого на периметре компании, также предлагается облачное решение Email Security.cloud. Это инновационное облачное решение автоматически фильтрует всю входящую и исходящую почту без необходимости установки в вашей сети какого-либо дополнительного оборудования или ПО. Email Security.cloud предлагает наивысший уровень противодействия направленным атакам за счёт использования ряда технологий, таких как, например, SKEPTIC и Real-Time Link Following.
SKEPTIC использует тысячи крайне чувствительных критериев оценки для тщательного анализа каждого сообщения и каждого вложения входящей или покидающей компанию электронной почты, благодаря чему предотвращаются десятки тысяч попыток проведения направленных атак в год. SKEPTIC применяется в связке с технологией проверки URL-ссылок в реальном времени Real-Time Link Following. Эта инновационная система автоматически исследует вложенные в письма подозрительные URL-ссылки и определяет, куда они ведут, включая переадресацию, вплоть до источника. Если адресуемый объект или сайт опасен для пользователя, то письмо, содержащее URL-ссылку на него, автоматически блокируется. Проверка ссылок осуществляется в режиме реального времени, до получения письма пользователем, что явно безопаснее, чем реагирование «постфактум».
Разумеется, злоумышленники стараются использовать все доступные им векторы атак. Часто они связываются с сотрудниками компаний через социальные сети (посещаемые через веб-браузер) и используют эту возможность для проникновения на компьютер жертвы, а затем и в корпоративную сеть. Symantec Web Gateway (SWG) — это инновационный продукт, осуществляющий мониторинг входящего и исходящего трафика с целью обнаружения и блокирования направленных атак. SWG использует запатентованную технологию Insight для автоматического выявления файлов «с низкой репутацией» и их блокирования до того, как они попадут к пользователю. С помощью данных о поведении ПО, анонимно собираемых с сотен миллионов компьютеров клиентов, Insight классифицирует по степени опасности каждый из сотен миллионов файлов, относя его к хорошим или к плохим. На основе такой оценки система определяет, какое ПО наиболее популярно среди пользователей по всему миру, какое ПО они, как правило, избегают использовать, а какое ещё никто раньше не встречал. Поскольку в направленных атаках злоумышленники для преодоления традиционных и эвристических сканеров, эмуляторов и систем виртуального исполнения (песочниц) используют видоизменённые и собственные варианты вредоносных программ, технология Insight — единственный путь идентификации и блокирования подобных атак.
Для защиты ПК и ноутбуков от направленных атак решение Symantec Endpoint Protection включает в себя такие эффективные технологии, как Network Threat Protection, Insight и SONAR. Network Threat Protection анализирует данные во входящем сетевом трафике до того, как их обработкой займется компьютер пользователя, и блокирует направленные атаки ещё до того, как они вступят во взаимодействие с пользователем или уязвимым ПО. Symantec Endpoint Protection использует технологию Insight для автоматического блокирования загрузки/записи файлов ПО, имеющих низкую репутацию (настройки продукта по умолчанию). Наконец, запатентованная технология SONAR анализирует в реальном времени поведение всех программ, запускаемых на защищаемых компьютерах, и выявляет программы, которые ведут себя как направленные атаки. За последний год более 50% всех угроз, обезвреженных продуктами Symantec, было остановлено благодаря этим трём проактивным не-сигнатурным технологиям.
Symantec обеспечивает безопасность ключевых активов и информации центров обработки данных (ЦОД) с помощью продукта Symantec Critical System Protection (CSP) — решения, созданного для защиты как физических, так и виртуальных серверов. CSP можно установить и настроить таким образом, что на сервере будет осуществляться лишь заведомо разрешённая активность и блокироваться вся остальная (аномальная). Если злоумышленник сможет проникнуть на сервер, то он попытается осуществить активность, отличающуюся от обычной, например, получить доступ к важной информации или другим ресурсам ЦОД. CSP автоматически обнаружит и заблокирует всю непредусмотренную активность, а, следовательно, и саму атаку. Только разрешённые программы будут запускаться и работать, выполняя при этом лишь разрешённые операции и имея доступ лишь к разрешённым ресурсам и т.д.