Сравнение технологии edr и антивирусов

Обновлено: 07.07.2024

Если после новостей о продаже корпоративного бизнеса McAfee вы размышляете над тем, выбрать ли для защиты конечных точек McAfee или другой антивирус, эта статья может быть полезной для вас. Ниже представлено сравнение McAfee и SentinelOne, которое может стать отправной точкой для выбора продукта, лучше всего подходящего для вашего бизнеса.

McAfee — классический бренд на рынке антивирусов

McAfee уже давно на рынке антивирусного ПО — с 1987 года. Несмотря на то, что McAfee имеет статус Визионера в магическом квадранте Gartner и Contender в отчете Forrester Wave по EDR-решениям, сегодня у этого решения для защиты конечных точек появились серьезные конкуренты.

Возможности McAfee по защите от угроз и реагированию на них представлены в пакете решений на платформе MVISION. Однако при обнаружении угроз на конечных точках EDR-решение McAfee все еще во многом полагается на сигнатуры, а если они не помогают — на запрос вердикта в облаке. В соответствии с описанием артикула данные EDR хранятся только 7 дней, но судя по документации вендора фактически этот период составляет 30 дней, а за дополнительную плату время хранения можно увеличить до 90 дней.

По сути, в основе ПО McAfee по-прежнему традиционный антивирус. И хотя технология развивается, стоит рассмотреть ее в сравнении с современными системами активного EDR.

SentinelOne — новый стандарт защиты конечных точек

SentinelOne, относительно новый игрок на рынке ИБ, все больше ассоциируется с современной защитой конечных точек. Это подтверждают рекордные результаты теста MITRE ATT&CK APT29 в 2020 году и 100% общая точность срабатываний по оценке SE Labs.

Компания быстро продвигается в магическом квадранте Gartner и рейтинге Forrester Wave, и обладает сильным функционалом, приведенном в таблице ниже. К тому же, у SentinelOne конкурентная и прозрачная цена.

SentinelOne представил видеодоказательства возможностей своей платформы, в которых она справляется с программами-вымогателями Maze и WannaCry менее чем за 2 минуты. Более того, вместе с платформой по умолчанию предоставляется гарантия на защиту от программ-вымогателей в размере до 1 млн. долларов, однако еще никому не приходилось ей воспользоваться.

Защита конечных точек: основные факторы сравнения

Ниже приведеные шест факторов, по которым имеет смысл сравнивать антивирусы и EDR-решения.

  1. Насколько легко развертывать и управлять ПО?
  2. Зависит ли ПО от облачного управления при обнаружении угроз и реагировании на инциденты?
  3. Эффективна ли ПО против атак нулевого дня?
  4. Насколько равнозначны возможности защиты для Windows, Mac и Linux?
  5. Насколько ПО справляется с реальными атаками?
  6. Что говорят о ПО реальные заказчики?

Сравнение возможностей McAfee и SentinelOne

Отзывы аналитиков и пользователей

Gartner Peer Insights


Данные на апрель 2021 года, ссылка на исходные данные

Волшебный квадрант Gartner, 2019


Отчет Forrester Wave: Enterprise Detection And Response, Q1 2020


Независимые тестирования

Демо и бесплатное тестирование SentinelOne

Заинтересованы? Закажите демонстрацию, расчет цен или тест SentinelOne по ссылке ниже.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором решений по кибербезопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.


Несколько последних лет в тренде направленные кибератаки, отличающиеся хорошим финансированием и высокими компетенциями злоумышленников, — технологии, средства и методы цифрового криминала продолжают активно развиваться. Эксперты группы компаний Angara отмечают особую изобретательность киберпреступников в сокрытии следов присутствия вредоносного программного обеспечения (ВПО) в корпоративной инфраструктуре, высокую скорость в использовании уязвимостей нулевого дня, усложняющиеся техники фишинга и первого проникновения.

Антивирусные решения, средства защиты сети, SIEM давно стали традиционными и покрылись «налетом» недостатков, проявившихся на фоне современных трендов киберугроз. Но технологии защиты развиваются — на рынке зазвучали новые термины EDR и SOAR. Что стоит за этими технологиями, чем они отличаются и, главное, являются ли они взаимозаменяемыми или дополняют друг друга, – рассмотрим ниже.

Если сравнить статистику от «Лаборатории Касперского» по развитию информационных угроз за последний расчетный квартал 2019 года и, например, за 2014 год, то можно проследить основную тенденцию – рост числа угроз. Понятно, что статистика не стабильна от квартала к кварталу, множество факторов мирового уровня может спровоцировать всплески активности киберзлоумышленников, плюс распространенность самого антивируса Kaspersky влияет на собираемую им статистику. Но основная тенденция четко прослеживается — практически все цифры удвоились (см. Табл. 1).


Табл. 1 – Сравнение статистики по отчетам о развитии информационных угроз от «Лаборатории Касперского» за 2019 и 2014 годы

Исследователи компании Positive Technologies в аналитическом отчете «Актуальные киберугрозы: II квартал 2019 года» также приходят к выводам, что количество уникальных киберинцидентов и целенаправленных атак планомерно растет, что усложняет работу по расследованию и предупреждению кибератак.

Если обратиться к отчету Trend Micro «Evasive threats pervasive effects» за первое полугодие 2019 года, подтверждается рост распространения бесфайловых вирусов. Они создают отдельную нишу рисков, так как по своей природе не используют запись на жесткий диск, и поэтому не детектируются антивирусным движком. Вредоносный код функционирует в оперативной памяти, реестре или в доверенных приложениях, например, Power Shell, Ps Exec, WMI, выполняя необходимые злоумышленнику активности: Ransomware, банковский троян и др. Такого рода активность можно обнаружить, применяя поведенческий анализ и выявляя аномальное поведение.

Что такое EDR и зачем он нужен?

Классическим антивирусным решением уже, объективно, не обойтись. Для эффективной проактивной защиты конечного устройства необходим поведенческий анализ активности ПО в системе и работа с аномальными событиями. Gartner дает определение Endpoint Detection and Response (EDR) Solutions – как решению, осуществляющему анализ и запись системных событий конечного устройства, детектирование аномального поведения в системе, блокирование подозрительной активности приложений, предложение по восстановлению пострадавших файлов и процессов в случае компрометации. Основные функции EDR, по мнению Gartner, это:

  • детектирование инцидентов информационной безопасности (ИБ);
  • расследование инцидентов ИБ;
  • предложение по исправлению причиненного инцидентом ИБ вреда;
  • хранение информации об инцидентах ИБ.

Поведенческий движок решения EDR обнаружит подозрительную активность в случае заражения файла, в том числе, неизвестным ВПО за счет анализа аномалий в системе, обнаружит сами вредоносные действия, например:

  • попытку сетевого соединения с URL с плохой репутацией,
  • попытку шифрования жесткого диска или файлов,
  • попытку инсталляция недоверенного драйвера,
  • попытку эскалации привилегий, изменения параметров безопасности,
  • добавление ссылки на недоверенный файл при проверке объектов автозапуска,
  • внедрение в код «чужого» процесса,
  • изменение ключей реестра, связанных с автозапуском,
  • нелегитимную установку службы,
  • использование внутренних отладочных привилегий ОС,
  • нелегитимное использование Power Shell.

EDR может также обнаруживать известные вирусные сигнатуры — как правило, антивирусный механизм присутствует, но может быть отключен (что делать крайне не рекомендуется).

Как выглядит работа EDR на практике на примере ВПО «WannaCry» (информация доступна из публичного видеоанализа шифровальщика в Cisco AMP for Endpoints):

И Gartner, и Forrester считают EDR-решение частью комплекса Endpoint Security Suite, распространяющего функции защиты на весь спектр агентских реализаций (для аппаратных серверов и ПК, для мобильного устройства, для виртуальной среды), таким образом, покрывая своим действием, практически, всю корпоративную среду на уровне конечного устройства (аппаратного, мобильного и виртуального).

Примеры EDR-систем включены в лидеры решений Endpoint Security Suites:

Рис. 1 – Квадрат Gartner для Endpoint Protection Platform, Рис. 2 – Forrester Endpoint Security Suites.


Рисунок 1 – Квадрат Gartner для Endpoint Protection Platform


Рисунок 2 – Forrester Endpoint Security Suites

Что такое SOAR и зачем он нужен?

Рост числа кибератак повлиял на другой фактор ИБ-среды — существенно выросло количество событий ИБ. Усложнилась сама природа атаки, вышли на первый план направленные атаки, для детектирования которых необходимо сопоставлять события, не очевидно зависимые и разнесенные во времени. На команды SOC обрушивается интенсивный поток инцидентов, количество задач стремительно растет. Отсюда появилась потребность в автоматизации шаблонных действий и появился класс решений SOAR (Security Orchestration, Automation and Response).

Gartner следующим образом описывает SOAR — система, позволяющая автоматизировать часть аналитической работы специалиста по ИБ компании с помощью автоматизированных машинных алгоритмов. Наиболее частое применение – анализ событий ИБ в системе SIEM, их корреляция и выявление инцидента ИБ и далее превращение этих действий в запрограммированный алгоритм, который будет срабатывать на подобных инцидентах или будет влиять на приоритет событий и обогащать их.

Основные функции SOAR-систем:

  • Оркестрация – интеграция и координация разных технических средств и технологий с единой целью, как правило, через Workflow – автоматизированный бизнес-процесс.
  • Автоматизация части процессов, выполняемых ранее людьми, повторяемых низкоуровневых операций для ускорения расследования, но при этом функция принятия решения остается на человеке.
  • Управление инцидентами и реакциями – основной элемент SOAR-систем. Автоматизация этого процесса принципиально меняет его качество за счет сквозного всестороннего понимания инцидентов и более информированного ответа. Плюс предоставление индикаторов и обратной связи в имеющиеся в компании средства защиты.
  • Отчетность и наглядность (Dashboards) – визуализация данных с их параллельным обогащением и корреляцией дает наглядность и возможность принятия специалистом SOC быстрого решения.


Рисунок 3 – Основные функции SOAR-систем, по мнению Gartner

Важный фактор, значительно влияющий на весь процесс работы с инцидентами, включая их блокирование, — это разнообразие технических средств защиты, с которыми работают команды ИБ. По данным исследования компании Demisto — одного из лидирующих производителей решений SOAR —практически в половине компаний количество средств защиты различных производителей превышает 6 (Рис. 1). Поэтому грамотная оркестрация важна для оптимизации работы эксперта ИБ с имеющимся парком ПО.


Рисунок 4 – Количество различных средств защиты информации в управлении ИБ компании

Ниже приводится пример разбора инцидентов с самым распространенным механизмом первого вхождения ВПО в корпоративную среду – фишинговыми e-mail – и автоматизируемых действий от компании Demisto:

SOAR-системы обладают функционалом, позволяющим снизить времени расследования критичных инцидентов ИБ:

За счет создания или использования соответствующего алгоритма производителя решения (playbook) силами системы SOAR можно решать некоторые процессные задачи ИБ, например, изменение правил межсетевого экранирования, прием/увольнение персонала и работа с правами доступа.

Волна поглощений SOAR-систем демонстрирует активный интерес рынка к этому классу решений информационной безопасности (источник Gartner):


Рисунок 5 - Поглощения SOAR-систем

С практической точки зрения системы EDR и SOAR решают разные задачи:

  • EDR занимается поведенческим анализом на конечном устройстве, детектирует аномалии и ВПО.
  • SOAR облегчает жизнь аналитику SOC (SIEM) и повышает скорость расследования инцидента.

Оба решения обладают недостатками, связанными с парадигмой реализации:

  • В EDR полностью отсутствует аналитика сетевых аномалий в корпоративной сети (не считая запросы конкретного хоста) – сетевые аномалии часто являются одним из важных показателей присутствия ВПО в корпоративной среде.
  • SOAR может охватывать всю инфраструктуру, но, по своей природе, это только реактивная защита, не проактивная.

Обе системы выполняют схожую роль, но с разными подходами. Они могут эффективно друг друга дополнять:

  • EDR может значительно дополнить данные SIEM об активности на узле пользователя, а, значит, при грамотном использовании усилить возможности SOAR-системы.
  • Вовремя обнаруженным инцидентом можно сформировать блокирующее правило для EDR с целью остановки распространения ВПО, а также сформировать IOC-файл для передачи в EDR-систему с целью обнаружения следов компрометации.

Что интересно, исследования компании Demisto показали, что EDR и SIEM (отсюда необходимость в SOAR-системе) статистически конкурируют, как средства расследования инцидентов:


Рисунок 6 – Технические средства, использующиеся для расследования инцидентов ИБ в компании

Это демонстрирует, что следы кибератаки остаются на всех уровнях информационной инфраструктуры. И одной из важных задач ИБ-специалиста является оперативная реконструкция этапов атаки, включая первое вхождение, горизонтальное распространение (Lateral Movement), влияние на скомпрометированные узлы (Impact), а также последующее распространение результатов расследования на средства защиты и автоматизация применения алгоритмов блокирования угроз.

С точки зрения целей ИБ обе системы предназначены для защиты конечных ПК пользователей компании от компрометации и оперативного расследования инцидентов, своевременного блокирования распространения ВПО. При этом технологии EDR и SOAR не являются взаимозаменяемыми, но позволяют повысить эффективность экспертов по кибербезопасности.

Что такое Endpoint Detection and Response (EDR)? Информационная безопасность, Антивирус, Длиннопост

Исследовательская и консалтинговая компания, специализирующаяся на рынках информационных технологий Gartner определяет технологию Endpoint Detection and Response (EDR) как одну из трех основополагающих технологий Security operations center (SOC) (центр мониторинга и оперативного реагирования на инциденты).

EDR — это уже гораздо больше, чем просто передовая защита рабочих станций и серверов от сложных угроз. На протяжении долгого времени рабочие места остаются ключевой целью злоумышленников и самыми распространёнными точками входа в инфраструктуру организаций, что требует должного внимания и соответствующей защиты. Исходя из этого EDR стремительно становится движущей силой повышения уровня зрелости и эффективности современных SOC.

Давайте разберемся почему?

EDR как инструмент для обнаружения сложных угроз

Стоит понимать что сложные угрозы как правило это ряд целенаправленных мероприятий направленных на проникновение в структуру организации и они не ограничиваются только запуском вредоносного исполняемого файла (который может быть обнаружен антивирусом методом сравнения с базой сигнатур) а могут включать атаки с использованием неизвестного вредоносного кода, скомпрометированных учетных записей, без файловых методов, легитимных приложений и действий, не несущих под собой ничего подозрительного например криптожекинг и т.д.

В таких случаях EDR может включать, различные технологии обнаружения, работающие в автоматическом, полуавтоматическом режиме, и встроенные инструменты, например:

- движок поведенческого анализа

- поиск индикаторов компрометации (IoC)

- Анализ индикаторов атак IoA

- сопоставление с техниками MITRE ATT&CK

- взаимодействие с Threat Intelligence

- проактивный поиска угроз (Threat Hunting)

EDR позволяет составлять сложные запросы на поиск подозрительных активностей, вредоносных действий с учетом особенностей защищаемой инфраструктуры но все же стоит помнить что EDR является одним из трех основополагающих систем SOC другие две технологи Security information and event management (SIEM)и Network Traffic Analysis (NTA))

Другими словами данные с EDR о событиях на хостах являются значимым дополнением к информации, генерируемой другими элементами безопасности, которые сопоставляются SIEM системой в центре мониторинга и оперативного реагирования на инциденты. EDR обеспечивает быстрый доступ к уже обогащённым дополнительным контекстом данным c инфраструктуры конечных точек, что позволяет, с одной стороны, быстро идентифицировать ложные срабатывания, с другой, использовать эти данные, как уже обработанный материал при расследовании сложносоставных атак, то есть EDR предоставляет релевантные логи для корреляции с событиями от иных источников, тем самым повышает качество глобальных расследований в SOC.

EDR обеспечивает полностью автоматизированный рабочий процесс управления инцидентами, от обнаружения угроз, до анализа и реагирования. Это позволяет SOC выполнять более эффективно ежедневные задачи, не тратя времени на ручную работу, тем самым снижая затраты на анализ ненужных журналов.

Злоумышленники после проникновения зачастую уничтожают свои следы, но EDR записывает каждое действие атакующих. Вся цепочка событий фиксируется сохраняется для дальнейшего использования. При срабатывании предупреждения любого характера, EDR предоставляет удобный инструментарий, с помощью которого аналитики SOC могут оперативно запрашивать информацию для проверки угроз, устранения ложных срабатываний, а также делать запросы на повторное сканирование ретроспективных данных для повышения эффективности расследования и реагирования.

Все действия на хостах представляются в интерфейсе в виде дерева событий, тем самым помогая аналитикам видеть всю картину развития атаки.

Централизованное хранение телеметрии, объектов и ранее сформированных вердиктов позволяет аналитикам работать с ретроспективными данными в рамках расследования угроз, в том числе и растянутых во времени атак. EDR сегодня – это один из основных источников ценных данных для современного SOC.

В случае обнаружения инцидента, EDR предоставляет расширенные возможности для принятия мер на разных этапах его расследования, например:

- выполнение произвольных команд на хосте удаление объекта

- сетевая изоляция хостов.

EDR позволяет незамедлительно реагировать на инциденты за счет наглядного представления информации и централизованной постановки задач, что не требует прямого доступа на атакованный хост, и может управляться с централизованной панели управления.

Как итог написанному, использование EDR в рамках SOC позволит организациям:

повысить эффективность процесса обработки сложных инцидентов за счет дополнительной видимости уровня конечных точек, возможности проактивного поиска угроз и наглядного предоставления информации об обнаруженных событиях на хостах;

обогатить SOC предобработанными релевантными данными с рабочих мест и серверов, для сопоставления с логами, предоставляемыми другими источниками для эффективного расследования;

значительно сократить количество часов, затрачиваемых аналитиками на утомительные, но необходимые задачи, связанные со анализом данных с рабочих мест и серверов, а также реагированию на инциденты.


Информационная безопасность

1.2K постов 22.7K подписчика

Правила сообщества

Обязательно к прочтению для авторов:

1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".

Обязательно к прочтению для всех:

Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.

Запрещены политические holy wars.

По решению модератора или администратора сообщества пользователь будет забанен за:

1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.

2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.

3. За обвинение в киберпреступной деятельности.

4. За нарушение прочих Правил Пикабу.

Статья ни о чем


Ответ на пост «Бесплатный антивирус Avira Free Antivirus крадет пароли?»

Бывший разработчик Firefox призвал отказаться от антивирусов

(В связи с разгоревшейся дискуссией. Статья не новая, но на Pikabu не нашел.)

Разработчик Firefox и хакер Роберт О'Каллахан временно покинул Mozilla, стал свободен от корпоративных обязательств и теперь волен говорить правду без оговорок. Он призвал пользователей к немедленному удалению сторонних антивирусов со своих компьютеров (Windows Defender лучше оставить).

Основные правила безопасности: следить за обновлениями операционной системы, устанавливать последние патчи безопасности. Специалист добавил, что если человеку приходится использовать устаревшие системы Windows 7 или, не дай бог, Windows XP, то сторонние антивирусы всё-таки помогут ему быть не в полной дыре — чувствовать, что есть хоть какая-то защита.

Ответ на пост «Бесплатный антивирус Avira Free Antivirus крадет пароли?» Антивирус, Уязвимость, Avira, Информационная безопасность, Ответ на пост, Длиннопост

Пример исправления 0-day уязвимостей в популярном антивирусном продукте, 2015-2016 гг.

В самых известных коммерческих антивирусах — десятки уязвимостей. Речь идёт о тех багах, которые обычно обнаружены сторонними исследователями или уже активно эксплуатируются вредоносным ПО. Разработчики антивирусов стараются закрывать эти баги, но многие пользователи не обновляют антивирус и не устанавливают патчи. К тому же, обновление не поможет, если злоумышленникам известны другие уязвимости, о которых информация пока не просочилась в открытый доступ. А таких багов много, ведь антивирус — очень соблазнительная мишень для хакеров. Антивирус сидит в ОС на нижнем уровне, и взломав его можно получить полный доступ к файловой системе, вплоть до загрузчика ОС.

Наличие серьёзных багов в антивирусах даёт понять две вещи:

Антивирусы открывают злоумышленникам разнообразные векторы для атаки.

Антивирусы пишут не соблюдая стандартные правила безопасности.

Ответ на пост «Бесплатный антивирус Avira Free Antivirus крадет пароли?» Антивирус, Уязвимость, Avira, Информационная безопасность, Ответ на пост, Длиннопост

Несколько раз антивирусы блокировали обновления Firefox, не давая установить последние важные обновления безопасности. Разработчикам приходится тратить много времени на обход антивирусов. А ведь это время можно было уделить другим вопросам безопасности.

Хотя сам О'Каллахан предпочитает воздержаться от негативной оценки антивируса Microsoft, но нужно заметить, что именно этот антивирус хуже всех влияет на производительность компьютера (сильнее Windows Defender тормозит систему только антивирус от Trend Micro).


Традиционные вирусы в виде исполняемых файлов, которые отправляются «в массы» для заражения огромного количества компьютеров и устройств, уже контролируются системами защиты (платформы для защиты конечных точек - Endpoint Protection Platforms ). Имеются в виду популярные известные антивирусы, которые, как следует из названия, защищают систему пользователя. Но проблема заключается в том, что кибер-преступники существенно эволюционировали за последние годы, поменяв манеры атак.

Кибер-преступники меняют свои споты каждый день, и теперь они в основном сфокусированы на угрозах повышенной сложности ( advanced threats ) . Прямые атаки, ransomware (угрозы-«шифровальщики» типа Cryptolocker , который осуществляет кражу информации с зараженного компьютера), атаки «нулевого дня», постоянные угрозы повышенной сложности… они все очень распространены на рынке. Предприятия и обычные домашние пользователи ежедневно подвержены риску не только кражи информации, они могут стать жертвами вымогательства денег. Это также может негативно отразиться и на компании, если она пострадает от атаки и ее репутации будет нанесен ущерб.

К счастью, индустрия информационной безопасности уже начала реагировать на новые угрозы и многие крупные игроки на этом рынке уже анонсировали платформы, которые далеко выходят за рамки просто защиты Вашей системы: такие системы могут обнаруживать угрозы повышенной сложности, одновременно реагируя на возможные инциденты . В данном случае мы говорим о платформах EDR ( Endpoint Detection and Response ) для обнаружения атак на конечные точки и реакции на них. Этот термин был придуман в 2013 году аналитиком Gartner по безопасности Антоном Чувакиным. Отслеживая данную тенденцию, в Panda Security создали свой продукт – Panda Adaptive Defense 360 .

«Защита, предлагаемая решениями класса EPP ( Endpoint Protection Platform ), включая те, которыми обладают традиционные антивирусы, уже недостаточна», - объясняет Эдуардо Фернандес Канга, эксперт в Panda Security . «Антивирусы все еще важны, т.к. они являются продуктами, которые защищают от известных угроз. Проблема в том, что некоторые новые угрозы все-таки способны проникнуть в систему. Поэтому недостаточно просто защищать свою систему: Вам также необходим инструмент, который позволит Вам обнаруживать новые угрозы . Нельзя сказать, что мы способны блокировать все вредоносные программы, но мы можем обнаружить их и прореагировать наилучшим образом», - добавил он.

Комплексное и настраиваемое решение

Это как раз то место, где начинает играть свою роль решение, подобное Adaptive Defense 360. Разработанное экспертами Panda в течение пяти лет, данное решение совместимо с Windows и скоро станет доступным и для устройств Android . «Решения защиты, которые обнаруживают угрозу, всегда генерируют идентификатор и включают ее в черный список. Проблема заключается в том, что если существует исполняемый файл, который не представлен в этом черном списке, то решение предполагает, что данный файл «хороший» и ничего не предпринимает против него. Однако, Adaptive Defense не полагается только на черный список. Он подозрителен ко всему, что запускается на конечной точке», - подчеркивает наш эксперт.

Итак, как работает данная платформа? Первое, что она делает, - это устанавливает агента на устройстве пользователя. Затем она анализирует поведение каждого приложения, которое запускается в системе, и отправляет эту информацию о поведении в облако. С помощью больших данных и средств интеллектуального анализа данных, Panda способна классифицировать 95% всех приложений, по которым поступает информация, включая невредоносные программы ( goodware ) и вредоносные программы ( malware ) . Чтобы покрыть оставшиеся 5%, Panda подключает свою группу экспертов-аналитиков, которые способны проанализировать и классифицировать то, что попало в систему.


Важным отличием, по сравнению с другими решениями, представленными на рынке, является то, что Adaptive Defense « создает для клиента белый список, который используется для анализа исполняемых файлов », - говорит Фернандес. Кроме этого, платформа не просто классифицирует исполняемые файлы, но также отслеживает, чтобы их поведение не менялось. «Обычно решения с белым списком не способны обнаруживать изменения, после того как они классифицировали исполняемый файл в качестве невредоносной программы. Однако мы создаем шаблон для каждого исполняемого файла, поэтому если позже файл меняется и становится отличным от шаблона, генерируется предупреждение», - добавляет наш эксперт.

Эта последняя часть является важным фактором, который позволяет клиентам работать с уязвимыми приложениями, такими как старые версии Java , Chrome или Internet Explorer . «Многие компании вынуждены использовать только такие программы, которые работают с этими приложениями. Следовательно, единственный способ, когда они могут быть защищены при использовании таких программ, - это использовать системы, подобные Adaptive Defense », - объясняет Фернандес.

Полный контроль информационного потока в организации

Другое преимущество Adaptive Defense заключается в том, что он позволяет системному администратору точно знать, какой ущерб компьютеру был нанесен каждой вредоносной программой . Более того, решение позволяет Вам знать и контролировать, кто имеет доступ к этим вредным исполняемым файлам. Например, речь может идти о случае, когда сотрудник подключается к конфиденциальной информации и отправляет ее кому-то за пределы компании. Adaptive Defense , хотя и не блокирует подобные действия, но способен обнаружить их и проинформировать об этом администраторов .

На самом деле, делая шаг вперед, Adaptive Defense – это мощный инструмент, позволяющий точно проанализировать, понять и визуализировать поток информации, который возникает внутри Вашей организации, является исходящим из нее или наоборот. «Администратор может узнать, кто, как и когда получал доступ к тем или иным данным, со всеми вытекающими отсюда преимуществами», - резюмировал Фернандес Канга.

Читайте также: