Мережева захист являє собою набір технологій, покликаних блокувати шкідливі атаки до того, як у зловмисників вийде розмістити шкідливий файл в системі
продовження статті 5 рівнів захисту рішень від Symantec .
На відміну від файлових методів захисту , Які змушені чекати створення фізичного файлу на комп'ютері користувача, мережевий захист починає аналізувати вхідні потоки даних, що надходять на комп'ютер користувача через мережу, і блокує загрози перш, ніж вони потрапляють в систему.
Основними напрямками мережевого захисту, які забезпечують технології Symantec, є:
- Завантаження методом drive-by, веб-атаки;
- Атаки типу «Соціальної інженерії»: FakeAV (підроблені антивіруси) і кодеки;
- Атаки через соціальні мережі на кшталт Facebook;
- Виявлення шкідливих програм, руткітів і заражених ботами систем;
- Захист від ускладнених загроз;
- Загрози Нульового дня;
- Захист від невиправлених вразливостей ПЗ;
- Захист від шкідливих доменів і IP-адрес.
Технології Мережевий захисту
Рівень "Мережева захисту" включає в себе 3 різні технології.
Network Intrusion Prevention Solution (Network IPS)
Технологія Network IPS розуміє і сканує більше 200 різних протоколів. Він інтелектуально і точно «пробивається» крізь двійковий і мережевий протокол, попутно шукаючи ознаки шкідливого трафіку. Цей інтелект дозволяє забезпечити більш точне мережеве сканування, при цьому забезпечуючи надійний захист. У його «серце» знаходиться движок блокування експлойтів, який забезпечує відкриті уразливості практично непробивною захистом. Унікальною особливістю Symantec IPS є те, що ніякої настройки цей компонент не вимагає. Всі його функції працюють, як то кажуть, «з коробки». кожен призначений для користувача продукт Norton , А також кожен продукт Symantec Endpoint Protection версії 12.1 і новіше, мають даної критичної технологією, включеної за замовчуванням.
захист браузера
Цей захисний движок розташовується всередині браузера. Він здатний виявляти найбільш складні загрози, які ні традиційний антивірус, ні Network IPS не здатні визначити. В наш час, багато мережеві атаки використовують методи обфускаціі щоб уникнути виявлення. Оскільки Захист браузера працює всередині браузера, вона здатна вивчати поки ще не прихований (обфускацірованний) код, під час того, як він виконується. Це дозволяє виявити і заблокувати атаку, в разі, якщо вона була пропущена на нижніх рівнях захисту програми.
Un-Authorized Download Protection (UXP)
Що знаходиться всередині шару мережевого захисту, остання лінія оборони допомагає прикрити і «пом'якшити» наслідки використання невідомих і невиправлених вразливостей, без використання сигнатур. Це забезпечує додатковий захисний шар від атак Нульового дня.
Орієнтуючись на проблеми
Працюючи разом, технології мережевого захисту вирішують такі проблеми.
Завантаження методом Drive-by і набори інструментів для веб-атак
Використовуючи Network IPS, Захист браузера, і UXP-технологію, технології мережевого захисту компанії Symantec блокують завантаження Drive-by і, фактично, не дозволяють зловредів навіть досягти системи користувача. Практикуються різні превентивні методи, що включають використання цих самих технологій, включаючи технологію Generic Exploit Blocking і інструментарій виявлення веб-атак. Загальний веб-інструментарій виявлення атак аналізує характеристики поширеною веб-атаки, не залежно від того, який саме уразливості стосується ця атака. Це дозволяє забезпечити додатковим захистом нові і невідомі уразливості. Найкраще в цьому типі захисту - це те, що якщо шкідливий файл зміг би «тихо» заразити систему, він все одно був би проактивно зупинений і видалений з системи: адже саме ця поведінка зазвичай пропускається традиційними антивірусними продуктами. Але Symantec продовжує блокувати десятки мільйонів варіантів шкідливого ПО, яке зазвичай не може бути виявлено іншими способами.
Атаки типу «Соціальної інженерії»
Оскільки технології компанії Symantec спостерігають за мережевим трафіком і трафіком браузера під час його передачі, вони визначають атаки типу «Соціальної інженерії», на подобі FakeAV або підроблених кодеків. Технології призначені блокувати подібні атаки до того, як вони з'являться на екрані користувача. Більшість інших конкуруючих рішень не включає в себе цей потужний потенціал.
Symantec блокує сотні мільйонів подібних атак за допомогою технології захисту від мережевих погроз.
Атаки, націлені на соціальні медіа-додатки
Соціальні медіа-додатки останнім часом стали широко затребувані, оскільки вони дозволяють миттєво обмінюватися різними повідомленнями, цікавими відео та інформацією з тисячами друзів і користувачів. Широке поширення і потенціал подібних програм, роблять їх об'єктом уваги №1 для хакерів. Деякі поширені трюки «зломщиків» включають в себе створення підроблених аккаунтів і розсилку спаму.
Технологія Symantec IPS здатна захистити від подібних методів обману, часто запобігаючи їх до того, як користувач встигне клікнути на них мишкою. Symantec зупиняє шахрайські і підроблені URL, додатки та інші методи обману за допомогою технології захисту від мережевих погроз.
Виявлення шкідливого ПО, руткітів і заражених ботами систем
Правда було б непогано знати, де саме в мережі розташовується заражений комп'ютер? IPS-рішення компанії Symantec надають цю можливість, також включаючи в себе виявлення та відновлення тих загроз, можливо яким вдалося обійти інші шари захисту. Рішення компанії Symantec виявляють шкідливий і ботів, які намагаються зробити автодозвон або завантажити «оновлення», щоб збільшити свою активність в системі. Це дозволяє IT-менеджерам, які мають чіткий лист систем для перевірки, отримати гарантію того, що їх підприємство знаходиться в безпеці. Поліморфні і складні приховані загрози, які використовують методи руткітів зразок Tidserv, ZeroAccess, Koobface і Zbot, можуть бути зупинені і видалені за допомогою цього методу.
Захист від «заплутаних» загроз
Сьогоднішні веб-атаки використовують комплексні методи ускладнення атак. Browser Protection компанії Symantec «сидить» всередині браузера, і може виявити дуже складні загрози, які часто не здатні побачити традиційні методи.
Загрози «Нульового дня» і невиправлені уразливості
Одним з минулих, доданих компанією захисних доповнень, є додатковий захисний шар проти загроз «Нульового дня» і невиправлених вразливостей. Використовуючи безсігнатурную захист, програма перехоплює виклики System API і захищає від завантажень шкідливого ПЗ. Ця технологія називається Un-Authorized Download Protection (UXP). Вона є останнім рубежем опори всередині екосистеми захисту від мережевих погроз. Це дозволяє продукту «прикрити» невідомі і непропатченних уразливості без використання сигнатур. Ця технологія включена за замовчуванням, і вона знаходиться у всіх продуктах, випущених з моменту дебюту Norton 2010 року.
Захист від невиправлених вразливостей в ПО
Шкідливі програми часто встановлюються без відома користувача, використовуючи вразливості в ПЗ. Мережева захист компанії Symantec надають додатковий захисний шар, іменований Generic Exploit Blocking (GEB). Незалежно від того, чи встановлені останні оновлення чи ні, GEB «в основному» захищає основні узявімості від експлуатації. Уразливості в Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, контролях ActiveX, або QuickTime зараз повсюдно поширені. Generic Exploit Protection була створена методом «зворотного інжинірингу», з'ясувавши, яким чином уявімость могла бути використана в мережі, надаючи при цьому спеціальний патч на мережевому рівні. Одна-єдина GEB або сигнатура уразливості, здатна надати захист від тисяч варіантів зловредів, нових і невідомих.
Шкідливі IP і блокування доменів
Мережева захист компанії Symantec також включає в себе можливість блокування шкідливих доменів і IP-адрес, при цьому зупиняючи шкідливо ПО і трафік від відомих шкідливих сайтів. Завдяки ретельному аналізу і оновленню бази веб-сайтів відділом STAR, Symantec надає захист від постійно мінливих загроз в режимі реального часу.
Покращене опір до ухилення
Була додана підтримка додаткових кодувань, щоб поліпшити ефективність детектив атак за допомогою технік шифрування, таких як base64 і gzip.
Виявлення мережевого аудиту для застосування політик використання та ідентифікації витоку даних
Мережевий IPS може бути використаний для ідентифікації програм та інструментів, які можуть порушити корпоративну політику використання, або для запобігання витоку даних через мережу. Є можливим виявити, попередити або запобігти трафік на подобі IM, P2P, соціальних медіа, або іншого «цікавого» виду трафіку.
STAR Intelligence Communication Protocol
Технологія мережевого захисту сама по собі не працює. Движок обмінюється даними з іншими сервісами захисту за допомогою протоколу STAR Intelligence Communication (STAR ICB). Движок Network IPS з'єднується з двигуном Symantec Sonar, а потім з движком Внутрішньої Репутації (Insight Reputation). Це дозволяє надати більш інформативну та точну захист.
У наступній статті ми розглянемо рівень "Поведінковий аналізатор".
За матеріалами Symantec
Знайшли друкарську помилку? Виділіть і натисніть Ctrl + Enter
