Огляд Symantec Endpoint Protection 14

1. Вступ
2. Системні вимоги
3. Функціональні можливості Symantec Endpoint Protection 14
4. Установка Symantec Endpoint Protection 14
5. Робота з Symantec Endpoint Protection 14
6. Висновки

1. Введення

2. Системні вимоги

3. Функціональні можливості

4. Установка продукту

5. Робота з продуктом

6. Висновки

Вступ

У 2011 році ми публікували огляд Symantec Endpoint Protection версії 12 - частина 1 і частина 2 . В кінці 2016 року компанія Symantec випустила нову версію продукту - Symantec Endpoint Protection 14. За минулі п'ять років в продукті з'явилася безліч нових захисних функцій, змінився інтерфейс програми конфігурації, спростився механізм розгортання і збільшилася кількість підтримуваних операційних систем.

Тренд останніх років - зміна концепції захисту кінцевих точок, що виражається в посиленні комплексності продукту, нарощуванні числа захисних механізмів, об'єднаних загальним управлінням, і фокусуванні на безсігнатурной захисту від невідомих загроз і вразливостей нульового дня. Для формалізації класифікації засобів захисту кінцевих точок аналітики і журналісти ввели термін Next Generation Endpoint Protection (NGEP) - засоби захисту кінцевих точок наступного покоління. Аналогічний процес ми спостерігали в області мережевого захисту і перехід від UTM-рішень до NGFW. Основні світові вендори прагнуть йти в ногу з часом і оновлювати свої продукти для вирішення актуальних завдань по забезпеченню безпеки. Метою виходу 14 версії Symantec Endpoint Protection став перехід до класу NGEP. Також за час свого існування компанія Symantec придбала активи компанії Blue Coat, одного з лідерів на ринку мережевих пристроїв для кешування даних і DPI, що дозволило впровадити нові технології у всю лінійку Symantec, наприклад прозорий аналіз зашифрованого SSL-трафіку, а також збільшило загальний обсяг репутаційних баз з мережних ресурсів і додатків.

У 14 версії Symantec Endpoint Protection реалізовані нові захисні механізми від експлуатації вразливостей нульового дня і невідомих погроз. До них відносяться технологія по захисту від експлойтів Generic Exploit Mitigation, оновлена ​​версія модуля аналізу поведінки додатків в реальному часі SONAR і технологія машинного навчання Advanced Machine Learning для статичного аналізу виконуваних файлів.

Системні вимоги

Системні вимоги Symantec Endpoint Protection Manager (включає в себе сервер управління і програму конфігурації):

• Процесор Intel Pentium Dual-Core або еквівалент, від 8 ядер.
• Мінімум 2 Гб оперативної пам'яті, рекомендується від 8 Гб.
• Мінімум 40 Гб вільного місця на жорсткому диску.

Вимоги до програмного забезпечення Symantec Endpoint Protection Manager:

• Операційні системи:
  • Windows Server 2008 (64-bit)
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
• Підтримувані браузери (для веб-версії інтерфейсу управління):
  • Microsoft Edge (64-bit)
  • Microsoft Internet Explorer 11
  • Mozilla Firefox 5.x і пізніше
  • Google Chrome 54.0.x і пізніше
• Зовнішня база даних (опціонально, не потрібно для розгортання до 5000 захищаються комп'ютерів):
  • Microsoft SQL Server 2008, SP4
  • Microsoft SQL Server 2008 R2, SP3
  • Microsoft SQL Server 2012 RTM - SP3
  • Microsoft SQL Server 2014 року, RTM - SP2
  • Microsoft SQL Server 2016

Системні вимоги захисного клієнта під Windows:

• Процесор Intel Pentium III (для 32-бітових систем) або Intel Pentium 4 і вище.
• Мінімум 512 Мб оперативної пам'яті, рекомендується від 1 Гб.
• Від 250 до 500 Мб вільного місця на жорсткому диску, в залежності від типу клієнта.
• Операційні системи:
• Windows Vista
• Windows 7
• Windows 8 / 8.1
• Windows 10
• Windows Server 2008 SP1 / SP2 / 2008 R2
• Windows Server 2012 / 2012R2
• Windows Server 2012 R2
• Windows Server 2016

Системні вимоги захисного клієнта під macOS:

• Процесор Intel Core 2 Duo і вище.
• Мінімум 2 Гб оперативної пам'яті.
• 500 Мб вільного місця на жорсткому диску.
• Операційні системи:
• macOS X 10.9
• macOS X 10.10
• macOS X 10.11
• macOS 10.12

Системні вимоги захисного клієнта під Linux:

• Процесор Intel Pentium 4 (2 ГГц) і вище.
• Мінімум 1 Гб оперативної пам'яті.
• 7 Гб вільного місця на жорсткому диску.
• Підтримувані дистрибутиви:
• CentOS 6U4 / 6U5
• Debian 6.0.5 / 8
• Fedora 16/17
• Oracle Linux 6U2 / 6U4 / 6U5 / 7
• Red Hat Enterprise Linux Server 6U2 - 6U8 / 7 / 7.1 / 7.2
• SUSE Linux Enterprise Server 11 SP1 - 11 SP3 / 12
• SUSE Linux Enterprise Desktop 11 SP1 - 11 SP3
• Ubuntu 12.04 / 14.04 / 16.04

Підтримувані середовища віртуалізації для захисту гостьовий операційної системи:

• Windows Azure, Amazon WorkSpaces
• VMware WS версії 5.0 і пізніше
• VMware GSX версії 3.2 і пізніше
• VMware ESX версії 2.5 і пізніше
• VMware ESXi 4.1 - 5.5 / 6.0
• Microsoft Virtual Server 2005
• Windows Server Hyper-V 2008/2012/2012 R2
• Citrix XenServer версії 5.6 і пізніше
• Virtual Box

Функціональні можливості Symantec Endpoint Protection 14

Функціональні можливості можна розділити на дві основні категорії - захисні механізми і можливості з централізованого управління.

Захисні функції:

• Мережевий брандмауер (міжмережевий екран) - класичний персональний мережевий фільтр з налаштованим правилами проходження трафіку. Правила брандмауера включають в себе наступні параметри:
  • Назва та опис
  • Дія (дозволити, заборонити, видати запит користувачеві)
  • прикладна програма
  • Хост відправника і одержувача
  • Служба / порт (протоколи TCP, UDP, ICMP, IP, Ethernet)
  • Аудит (запис в журнал, повідомлення по e-mail)
  • Прапор серйозності спрацьовування правила для ранжирування загроз
  • Мережевий адаптер (по типу або конкретної плати)
  • Час дії

Додатково в системі присутні вбудовані інтелектуальні правила для протоколів DHCP, DNS, WINS і Token Ring. Також в мережевий брандмауер входять функції по аутентифікації мережевих з'єднань «точка-точка» з можливістю настройки списку винятків.

• Запобігання мережевих атак - статичний і евристичний аналізатор мережевого трафіку. Підтримує детектування і блокування сканування портів і атак типу «відмова в обслуговуванні», захист від ARP-атак, маскування типу і версії операційної системи. Сигнатурні і евристичні аналізатори дозволяють захистити вузол від різних мережевих атак на систему і веб-браузер, а також детектируют мережеві дії шкідливих додатків.
• Контроль додатків - можливість створення різних правил по гранулярності контролю доступу додатків до файлів і елементів реєстру, а також запуску і завершення процесів і завантаження бібліотек. Кожне забороняє правило можна забезпечити описом, яке відображається користувачеві при заборону доступу. При введенні шляхів до файлів і об'єктів реєстру підтримуються регулярні вирази і гнучкі настройки вибору шляхів. Функціонує лише на клієнтах Windows.
• Контроль пристроїв - білий і чорний списки пристроїв, настройка яких дозволяє обмежити підключення пристроїв до комп'ютера. Для клієнтів Windows підтримується можливість вказати тільки тип пристрою (наприклад, всі принтери або все USB-пристрої), для macOS додатково може здаватися постачальник пристрої, модель і серійний номер. Контроль пристроїв в macOS з'явився тільки в цій версії продукту, раніше дана функція була доступна тільки під Windows. Контроль пристроїв для Linux знаходиться в розробці і поки не реалізований в продукті.
• Захист від експлуатації вразливостей Generic Exploit Mitigation - механізм контролю пам'яті Windows, що дозволяє забезпечити захист від експлуатації вразливостей нульового дня в різному програмному забезпеченні і в операційній системі. Даний механізм працює до початку аналізу виконуваних файлів системою SONAR і іншими захисними компонентами, що підвищує загальний рівень захищеності системи і дозволяє захиститися від атак на сам засіб захисту.
• Репутаційний аналіз - частина механізму SONAR, який враховує репутацію запускаються в системі процесів, використовуючи глобальне хмара Symantec або приватна хмара, розгорнуте у замовника. Застосовується для блокування невідомих шкідливих програм, які не виявляються за допомогою антивірусних механізмів. Функціонує лише на клієнтах Windows. Також репутаційний аналіз використовується в технології Download Insight, яка забезпечує перевірку репутації скачуваних з мережі файлів і запобігає загрози ще на етапі завантаження.
• Машинне навчання - розширений механізм виявлення шкідливих файлів статичними методами шляхом аналізу вмісту виконуваних файлів і скриптів. База для машинного навчання налічує мільярди зразків «хорошого» і «поганого» микрокода, який порівнюється з кодом аналізованих файлів. Даний механізм за принципом функціонування схожий на сигнатурний аналізатор, але забезпечує захист від ще невідомих загроз. Функціонує лише на клієнтах Windows.
• Емулятор - оновлений і оптимізований механізм аналізу виконуваних файлів в легковагій пісочниці для розпізнавання поліморфних і запакованих вірусів. Внесені зміни в даному модулі дозволили збільшити швидкість і продуктивність його роботи, а також підвищили відсоток успішного детектування шкідливих виконуваних файлів. Функціонує лише на клієнтах Windows.
• Антивірус - класичне антивірусне рішення з сигнатурними і евристичними аналізаторами. Додатковий захист забезпечує драйвер раннього запуску, запуск якого проводиться першим в системі, що дозволяє виявити і знешкодити шкідливий, виконані у вигляді драйвера. Антивірус має всі стандартні функції - постійний захист, сканування на вимогу, контекстне сканування, карантин, захист електронної пошти і так далі.
• Перевірка цілісності (контроль наявності захисту) - механізм перевірки та виправлення порушень політик безпеки в корпоративної безпеки, дозволяє визначати наявність антивіруса, брандмауера, установки оновлень програм і операційної системи. У разі детектування невідповідностей дозволяє виконати установку необхідних засобів захисту або виконання певних настройок. Функціонує лише на клієнтах Windows.
• LiveUpdate - механізм перевірки оновлень продукту, сигнатурних баз і інших елементів системи захисту. У версії 14 даний механізм був доповнений функціями установки виправлень помилок в бінарних модулях продукту.
• Інтеграція з Symantec Advanced Threat Protection - в клієнтські програми Symantec Endpoint Protection 14 інтегровані функції агента для Symantec Advanced Threat Protection, які дозволяють передавати метрики мережевого трафіку і дані про роботу додатків в хмару Anti-APT для кореляції подій і виявлення спрямованих атак.

Функції управління:

• Централізоване управління продуктом за допомогою програми-клієнта під Windows або веб-інтерфейсу (Java-аплет).
• Централізоване розгортання - підготовка пакетів установки для автоматичного підключення встановлюваного клієнта до сервера. Підтримується підготовка пакету для самостійної установки, створення посилання на пакет на веб-сервері або віддалене розгортання з наданням даних облікового запису адміністратора на віддалених комп'ютерах.
• Централізований моніторинг з панеллю стану захищеності, моніторами подій, журналами безпеки, повідомленнями по e-mail та іншими функціями.
• Система генерації звітів про стан захищеності мережевих вузлів і подій інформаційної безпеки.
• Централізоване управління політиками безпеки з можливістю створення різних політик і їх призначення на групи захищаються комп'ютерів.
• Підтримка інтеграції з Active Directory і LDAP-каталогами.
• Наявність REST API, спеціального набору службових функцій для інтеграції і взаємодії з іншими продуктами Symantec, сторонніми засобами захисту, що розробляються на замовлення модулями і системами управління.

В клієнті Symantec Endpoint Protection 14 під Windows підтримується три типи розгортання - стандартний, dark network і embedded / VDI. Стандартний клієнт під Windows забезпечує всі функції продукту і призначений для роботи на захищаються комп'ютерах всередині локальний мережі організації. Dark network - версія клієнта для віддалених комп'ютерів, які не мають постійного з'єднання з приватним або глобальним хмарою Symantec і сервером управління. В даному типі клієнта відключені перевірки, пов'язані з аналізом потенційно небезпечних файлів в хмарі, при цьому інші функції працюють аналогічно стандартному клієнту, включаючи репутаційні бази. Embedded / VDI є зменшеним в розмірі дистрибутивом, що використовують більше можливостей хмари, ніж інші клієнти, і призначається для експлуатації у вбудованих системах і в інфраструктурі віртуальних робочих столів.

Установка Symantec Endpoint Protection 14

Установка продукту не зазнала великих змін в порівнянні з версією 12. Підтримується розгортання захисного клієнта в призначеному для користувача режимі роботи без централізованого управління і мережева структура із загальним сервером. Як і раніше, для захисту комп'ютерів до 5000 одиниць використовується вбудована база даних, в великих інфраструктурах для зберігання інформації використовується СУБД Microsoft SQL.

Малюнок 1. Вибір конфігурації сервера управління Symantec Endpoint Protection 14

В процесі установки сервера управління вибирається схема розгортання, вказуються настройки електронної пошти, створюється обліковий запис адміністратора і налаштовуються інші параметри. Завершальним етапом установки є завантаження оновлень через утиліту LiveUpdate.

Малюнок 2. Оновлення продукту Symantec Endpoint Protection 14 під час установки

Робота з Symantec Endpoint Protection 14

У версії 14 змінився зовнішній вигляд Symantec Endpoint Protection Manager - програми управління продуктом. Програма отримала новий сучасний дизайн, при цьому зберігши загальне розташування інтерфейсів. Доступ до консолі управління може бути отриманий через Windows-додаток або в веб-браузері, при цьому зовнішній вигляд інтерфейсу незмінний, так як для його реалізації застосовується загальний Java-аплет.

Малюнок 3. Екран авторизації в Symantec Endpoint Protection Manager

Навігація по інтерфейсу менеджера Symantec Endpoint Protection 14 здійснюється за допомогою бічного меню, в якому представлені наступні розділи:

• «Головна» - панель моніторингу загального стану системи захисту, на якій присутній блок відображення необхідності вжити будь-які дії для виправлення рівня захищеності інфраструктури.
• «Монітори» - панель дашборда, що відображає графіки виникнення подій, статистику роботи системи і журнали аудиту.
• «Звіти» - система побудови звітів за статистикою роботи і подій аудиту.
• «Політики» - інтерфейс управління політиками безпеки продукту.
• «Клієнти» - управління переліком захищаються комп'ютерів включаючи систему розгортання та призначення політик безпеки.
• «Адмін» - адміністративний розділ для управління обліковими записами привілейованих користувачів і настройками сервера управління Symantec Endpoint Protection 14.

Малюнок 4. Головний екран системи управління Symantec Endpoint Protection 14 при доступі через веб-браузер

Моніторинг стану системи захисту і подій інформаційної безпеки здійснюється з розділу «Монітори». У даному розділі представлені чотири вкладки - «Огляд», «Журнали», «Стан команди» і «Повідомлення». У вікні розташовані графіки, що відображають стан різних аспектів роботи системи, за допомогою перемикача «Тип зведення» набір даних, що виводяться може бути змінений. Вся статистика відображає ситуацію на момент завантаження екрану, оновити поточні дані можна за допомогою посилання «Оновлення» у верхньому правому кутку інтерфейсу.

Малюнок 5. Панель моніторів в Symantec Endpoint Protection 14

У розділі «Журнали» відображаються останні події аудиту. Присутній система фільтрації по різних полях - типу журналу, інтервалу часу, версії продукту і політик, домену, групам комп'ютерів, IP-адресами і багатьом іншим. Налаштовані фільтри можна зберегти для подальшого використання. Журнал виводиться посторінково, для кожної події є детальний опис. Підтримується експорт подій в форматі CSV.

Малюнок 6. Журнали аудиту в Symantec Endpoint Protection 14

Вкладка «Стан команди» відображає стан і результат виконання різних команд, в першу чергу - завдань на антивірусне сканування і команд на включення і виключення окремих захисних функцій.

У розділі «Повідомлення» налаштовуються параметри і умови відправки e-mail-повідомлень при виникненні в системі різних подій.

Малюнок 7. Налаштування повідомлень по e-mail в Symantec Endpoint Protection 14

Система звітів Symantec Endpoint Protection 14 в цілому схожа за функціями на журнали - в продукті можна вказати тип аудиту для відображення в звітах і присутній фільтрація подій за різними параметрами. Звітом є витяг з журналу аудиту в готової до друку та експорту (в форматі HTML) формі. Присутня можливість побудови звітів за розкладом, відправка сформованих планових звітів здійснюється по електронній пошті.

Розділ «Політики» розбитий на сім основних груп по функціональності:

• Захист від вірусів і програм-шпигунів - політики і налаштування антивірусу, включають в себе параметри сканування на вимогу, настройки автоматичного захисту, управління захистом завантаження операційної системи, підсистеми SONAR для евристичного і репутаційного детектування, а також політики сканування електронної пошти. Окремі групи налаштувань дозволяють управляти політиками роботи антивіруса в macOS і Linux.

Малюнок 8. Політики захисту від вірусів і програм-шпигунів в Symantec Endpoint Protection 14

• Брандмауер - управління правилами Персональний брандмауер. Відображення правил виконан у виде плоскої табліці з переліком усіх доступних параметрів. Додатково підтримується настройка повідомлень, управління вбудованими правилами, настройка захисту від мережевих атак, параметри маскування і приховування даних про вузол, а також опції інтеграції з Windows і параметри аутентифікації між комп'ютерами.

Малюнок 9. Політики брандмауера в Symantec Endpoint Protection 14

• Запобігання вторгнень - настройки захисту від експлойтів для популярних офісних і прикладних програм, управління захистом від мережевих атак і настройка винятків для спрощення реагування на помилкові спрацьовування.
• Управління додатками і пристроями - політики управління доступом додатків до пристроїв і об'єктів комп'ютера, а також настройка політик дозволу і заборони роботи з пристроями.

Малюнок 10. Налаштування політики управління додатками в Symantec Endpoint Protection 14

• Цілісність хоста - управління вимогами до перевірки цілісності та захисту захищаються комп'ютерів.
• LiveUpdate - параметри доступу до серверів LiveUpdate, включно з вибором локального або глобального сервера і налаштування проксі-серверів, а також управління розкладом оновлень. Додатково налаштовується вміст LiveUpdate для завантаження.
• Винятки - глобальна політика винятків, в яку можна додати різноманітні об'єкти для виключення з усіх діючих політик безпеки. Як об'єкти підтримуються файли, директорії, пристрою, мережеві вузли, програми та багато іншого.

Для кожної групи підтримується безліч політик, їх можна додавати, видаляти, замінювати, копіювати, експортувати і імпортувати з файлу. Політики застосовуються до окремих захищається комп'ютерів або до груп комп'ютерів.

Малюнок 11. Управління політиками безпеки в Symantec Endpoint Protection 14

У розділі «Клієнти» здійснюється управління захищеними комп'ютерами, їх додавання, видалення і відправка оперативних команд. У додаткових вкладках здійснюється призначення політик безпеки на вузли мережі та управління установочними пакетами.

Малюнок 12. Управління захищеними комп'ютерами в Symantec Endpoint Protection 14

У розділі «Адмін» присутній п'ять розділів:

• Адміністратори - управління обліковими записами адміністраторів.
• Домени - синхронізація з Active Directory і робота з мережевими доменами.
• Сервери - управління серверами Symantec Endpoint Protection, настройка серверів управління, баз даних та інших параметрів.
• Установчі пакети - управління клієнтськими збірками та їх розповсюдженням на цільові системи.
• Ліцензії - настройка ліцензій продукту.

Малюнок 13. Служба захисту адміністраторів в Symantec Endpoint Protection 14

Інтерфейси клієнтських додатків під операційні системи Windows, Linux і macOS в цілому практично не змінилися - стиль оформлення, розташування меню і функціональні можливості, доступні звичайним користувачам, практично не змінилися в порівнянні з версією 12.

Малюнок 14. Інтерфейс агента захисту Symantec Endpoint Protection 14 під Windows

Висновки

Розробники Symantec Endpoint Protection 14 проробили велику роботу по посиленню способів і засобів захисту від невідомих шкідливих програм і вразливостей в порівнянні з 12-ї версією продукту. Додавання модулів захисту Generic Exploit Mitigation, оновлення технології SONAR і впровадження технології машинного навчання Advanced Machine Learning значно посилило позиції Symantec на ринку засобів захисту кінцевих точок і дозволило рішенням Endpoint Protection зберегти лідерство в своєму сегменті.

Придбання компанії Blue Coat і використання їх технологій в продукті також значно вплинуло на якість детектування мережевих атак і загальний рівень захищеності кінцевих точок з Symantec Endpoint Protection. Значне нарощування захисних можливостей і якості функціональності продукту фактично переводить продукт Symantec Endpoint Protection на новий рівень. Нову версію даного рішення можна вважати повноцінним продуктом класу Next Generation Endpoint Protection. Додатковим плюсом є інтеграція з Symantec Advanced Threat Protection, що дозволяє інтегрувати NGEP-продукт в інфраструктуру захисту від спрямованих атак.

Незважаючи на те що компанія Symantec сконцентрувала свої сили на поліпшення і доробки функцій захисту, дизайн і інтерфейс продукту не залишилися забутими. Новий зовнішній вигляд консолі Symantec Endpoint Protection Manager позитивно позначилося на зручності керування і налаштування продукту. Інтерфейс менеджера виглядає сучасно, юзабіліті продукту значно покращився, і в цілому для користувача інтерфейс залишає приємні враження.

переваги:

• Широкий набір функцій по захисту від шкідливих програм і вразливостей - машинне навчання, емулятор виконуваних файлів, об'ємні репутаційні бази, рання завантаження, аналіз завантажуються по мережі файлів і безліч інших. Гнучкість і легкість управління політиками безпеки.
• Підтримка різних типів клієнтських додатків під Windows для захисту різних пристроїв - комп'ютерів в локальній мережі, віддалених робочих місць, віртуальних середовищ і віртуальних робочих столів (VDI).
• Вбудована система роботи з журналами, звітами і можливість настройки гнучких фільтрів для оперативного повідомлення про погрози по електронній пошті.
• Система автоматичного завантаження і застосування оновлень, повністю вирішує всі питання щодо актуалізації баз даних і виконуваних модулів продукту.
• Відсутність необхідності розгортання бази даних для компаній з невеликим числом захищаються комп'ютерів.
• Наявність інтеграції з Active Directory і LDAP-каталогами, підтримка REST API для сторонньої інтеграції з продуктом.

недоліки:

• Загальна повільність інтерфейсу управління і недоліки в його локалізації - використання недоречних скорочень, неузгоджені фрази, використання англомовних термінів.
• Скорочений функціонал в клієнтах під macOS і Linux, підтримка захисту Windows XP за допомогою агента попередньої версії 12.1.
• Відсутність сертифікату ФСТЕК Росії (очікується в 2017 році).