ViPNet EndPoint Protection

ViPNet EndPoint Protection – система комплексной защиты рабочих станций и серверов, предназначенная для предотвращения "файловых", "бесфайловых" и сетевых атак, обнаружения вредоносных действий и реакции на эти действия. Ключевыми модулями системы являются – персональный межсетевой экран, система обнаружения и предотвращения вторжений, а также контроль запуска приложений на основе чёрных и белых списков.

Решение сочетает в себе технологии:

• противодействия современным угрозам – вредоносному ПО, бесфайловым атакам, а также ранее неизвестным атакам (Never-seen-before attacks);
• обнаружения аномальных действий на рабочих станциях;
• машинного обучения;
• межсетевого экранирования с фильтрацией пакетов для непрерывной защиты рабочих станций от сетевых атак;
• контроля приложений для разграничения доступа приложений к файлам, реестру ОС Windows, процессам и параметрам командной строки.

Преимущества

• Защита от различных типов угроз – вредоносные программы, ранее неизвестные угрозы, бесфайловые атаки. Используются современные методы обнаружения, построенные на моделях машинного обучения.
• Защита процессов и активности приложений – возможность ограничения активности приложения и влияния приложения на работу других программ.
• Выявление аномалий в действиях пользователя, процессах и запуске системных утилит.
• Различные методы определения атак - для определения и противодействия атакам модуль системы обнаружения и предотвращения вторжений использует сигнатурный метод и метод аномалий.
• Предотвращение несанкционированного изменения системных файлов и записей реестра Windows.
• Использование технологий EDR (Endpoint Detection & Responce) – предоставление подробной информации о событиях информационной безопасности с возможностью реагирования на события с признаками киберинцидента.
• Защита рабочих станций и серверов информационных систем, в соответствии с требованиями 17,21, 31 и 239 приказов ФСТЭК России.

Модуль обнаружения и предотвращение вторжений

• Обнаружение атак происходит на основе эвристического и сигнатурного метода. Мониторингу и анализу подвергаются следующие ключевые области:
• системные журналы ОС (Windows event log);
• журналы и логи приложений;
• результаты выполнения команд;
• файлы, папки, реестр ОС – создание, изменение, удаление;
• трафик, проходящий через хост.
• Предотвращение атак и вторжений обеспечивает блокировку подозрительной активности, выявленной модулем обнаружения вторжений. Правила блокировки поставляются в рамках сервиса обновления БРП.
• Обнаружение и предотвращение бесфайловых атак. Отслеживаются техники Keylogging и Process injection:
• Credential API Hooking (T1056.004)
• Process Hollowing (T1055.012)
• Process Doppelganging (T1055.013)
• Dynamic-link library injection (T1055.001)
• Portable Executable Injection (T1055.002)

Модуль межсетевого экранирования – осуществляет контроль и фильтрацию входящего и исходящего трафика.

• Фильтрация трафика IPv4 и IPv6.
• Работа сетевых фильтров по расписанию.
• Наличие преднастроенных фильтров.
• Блокировка атакующих компьютеров.
• Контроль сетевой активности программ.

Модуль контроля приложений – позволяет управлять установкой и запуском приложений на основе чёрных и белых списков программного обеспечения, а также доступом приложений к объектам ОС Windows:

• файлам;
• реестру;
• процессам;
• параметрам командной строки;
• чёрные и белые списки программного обеспечения.

Модуль поведенческого анализа – позволяет выявлять различного вида аномалии, например:

• Аномальный вход в систему.
• Аномалия в создании процесса.
• Аномалия в создании задачи планировщику.
• Аномальные запуски системных утилит, таких как powershell, rundll32, regsrv32 и т. д.

Для обнаружения аномалий используется модель нормальной активности защищаемого узла, построенная с помощью машинного обучения.

Antimalware модуль – предназначен для сканирования файлов и библиотек с целью выявления и блокировки признаков вредоносного ПО. Сканирование выполняется на основе модели, построенной с помощью машинного обучения.

Управление ViPNet SafeBoot из консоли ViPNet EndPoint Protection для лицензирования и сбора журналов с ViPNet SafeBoot.

Преднастроенные режимы работы для всех модулей продукта позволяют быстро применить необходимые правила безопасности.

Предотвращение угроз в соответствии с категориями, которые настраиваются и передаются на защищаемый узел в составе базы правил и применяются в ViPNet EndPoint Protection Агент для блокирования подозрительной/нежелательной сетевой активности.

Централизованное управление модулями ViPNet EndPoint Protection – возможности централизованного управления, рассылки политик, обновления БРП.