Zabezpieczenie punktu końcowego lub ochrona punktu końcowego to nic innego jak podejście do ochrony sieci komputerowych, które są zdalnie połączone z urządzeniami klienckimi. Punkt końcowy może być dowolnym urządzeniem, które ma zdolność do łączenia się z siecią. Najważniejszymi z nich są komputery stacjonarne, laptopy, smartfony, tablety, drukarki czy też terminale. Zatem bezpieczeństwo punktów końcowych to wszelkie środki ochronne mające na celu zapobieganie i ograniczenie negatywnego wpływu na urządzenia końcowe.
Ochrona punktów końcowych (EDR)
Większość z nas myśląc o bezpieczeństwie punktu końcowego, ma na myśli antywirusy, jednak antywirus to tylko ochrona przed już znanym złośliwym oprogramowaniem. Największymi zagrożeniami dla punktów końcowych są phishing podatności w oprogramowaniu, malvertising i wirusy zmieniające swój kod by uniknąć wykrycia przez sygnatury.
Rozwiązania bezpieczeństwa EDR zapewniają wgląd w urządzenia końcowe w czasie rzeczywistym, a także możliwości identyfikacji i reagowania na zagrożenia.
Aby umożliwić te możliwości, rozwiązania EDR wykorzystują następujące mechanizmy:
- Zbieranie i rejestracja danych – zapewnia bazę danych historycznych związanych ze zdarzeniami bezpieczeństwa.
- Silnik detekcji pozwala wykryć odstępstwa od bazowej linii zachowania urządzenia końcowego – podejrzane procesy? Nagły wzrost wysyłanych danych? Próba połączenia ze stroną o wątpliwej reputacji lub nieznanym serwerem? EDR używa algorytmów behawioralnych jak i sygnatur by w porę unieszkodliwić zagrożenie.
- Aby zapewnić widoczność i analizę punktów końcowych w czasie rzeczywistym, rozwiązania EDR wykonują te zadania w sposób ciągły. Po wykryciu zagrożenia rozwiązanie EDR powiadomi administratorów i/lub zastosuje wstępnie skonfigurowaną akcję.
Rozwiązania EDR pozwalają Ci kontrolować brzeg sieci tam, gdzie jest jego rzeczywista granica – na urządzeniu końcowym.
Ochrona serwerów
Pierwsze kompleksowe rozwiązanie do zabezpieczania usług o znaczeniu krytycznym w hybrydowym modelu infrastruktury IT, które obejmuje serwery fizyczne, środowiska wirtualne i chmurowe.
Server Protection łączy technologie bezpieczeństwa minimalizujące obciążenie procesora, zapewnia zestaw narzędzi do kontroli dostępu i wykrywania zagrożeń, obsługuje wszystkie główne środowiska wirutalne i centralizuje zarządzanie bezpieczeństwem.
Jeżeli zastanawiasz się w jaki sposób zapewnić bezpieczeństwo dla zasobów rozproszonych – w chmurze, środowiskach wirtualnych i fizycznych – pomożemy Ci:
- zyskać centralny punkt widoczności dla danych i akcji wykonywanych na serwerach,
- wdrożyć hostowy system wykrywania włamań i działań złośliwych,
- zapewnić podstawy ochrony takie jak firewall i antywirus dla środowiska hybrydowego.
Dzięki Server Protection Twój wzrost elastyczności i skalowalności IT nie odbędzie się kosztem bezpieczeństwa.
Piaskownica – ochrona przeciw atakom zero-days
Piaskownica (Sandbox) to izolowane środowisko testowe, które umożliwia użytkownikom uruchamianie programów lub plików bez wpływu na aplikację, system lub platformę, na której są uruchamiane. Specjaliści od cyberbezpieczeństwa używają sandboxingu do testowania potencjalnie złośliwego oprogramowania.
Zespoły bezpieczeństwa doceniają sandboxing, gdyż bez niego:
- aplikacja lub inny proces systemowy mógłby mieć nieograniczony dostęp do wszystkich danych użytkownika i zasobów systemowych w sieci;
- złośliwe oprogramowanie o nieznanej sygnaturze – „zero day” – mogłoby bez trudu przeniknąć do sieci ukryte (obfuskacja kodu) w pozornie nieszkodliwych plikach.
Dla przykładu pliki takie, jak PDF, MS Word, MS Excel pobierane z Internetu przez użytkowników, dzięki sandboxingowi są otwierane i poddawane analizie pod kątem identyfikacji niebezpiecznych zachowań, np.: nawiązywania niedozwolonych połączeń sieciowych, dokonywania niedozwolonych zmian plików systemowych i wpisów w rejestrach, pobierania niedozwolonego kodu z Internetu.
Nasza technologia chroni krytyczną infrastrukturę organizacji przed podejrzanym kodem, ponieważ działa w oddzielnym systemie. Wykorzystuje do tego pełną emulację systemu (na poziomie milisekund odpowiedzi od poszczególnych części systemu operacyjnego) by uniknąć rozpoznania przez malware.
Uwierzytelnianie wieloskładnikowe (MFA)
Autentykacja Multi-Factor Authentication (MFA) użytkownika opiera się o 3 kluczowe elementy:
- Coś co znasz (hasło).
- Co co masz (telefon, token).
- Coś kim jesteś (dane biometryczne).
Włączenie MFA pozwala administratorowi nałożyć dodatkową warstwę zabezpieczeń – uzyskanie hasła i loginu to za mało by włamać się do systemu. Oprócz podania tych danych logowania, użytkownik musi (w kolejnych etapach) podać uzyskany kod lub frazę np. ze swojego przenośnego urządzenia internetowego (np. smartfon, tablet), poprzez przepisanie go z SMS lub potwierdzenie w aplikacji mobilnej.
MFA jest standardem bezpieczeństwa rekomendowanym dla każdej organizacji.
PRZYKŁAD:
Regulacja bezpieczeństwa danych w branży kart płatniczych (PCI) – wymaganie 8.3 wymaga użycia usługi MFA dla całego zdalnego dostępu sieciowego pochodzącego spoza sieci do środowiska danych karty (CDE). Począwszy od wersji 3.2 PCI-DSS, użycie MFA jest wymagane dla całego dostępu administracyjnego do CDE, nawet jeśli użytkownik znajduje się w zaufanej sieci.Inny przykład to oficjalna rekomendacja Google dotycząca korzystania z kont Gmail.
- Co co masz (telefon, token).
Wykrywanie i reagowanie na zagrożenia
Wykrywanie i reagowanie na zagrożenia polega na wykorzystaniu analizy Big Data do znajdowania zagrożeń w różnorodnych zestawach danych.
Cel?
- Znalezienie anomalii.
- Przeanalizowanie ich poziomu zagrożenia.
- Określenie, jakie działania łagodzące mogą być wymagane w odpowiedzi.
Zapotrzebowanie na rozwiązania do wykrywania zagrożeń i reagowania, wzrosło wraz z wręcz wykładniczym wzrostem ilości danych wytwarzanych przez organizacje oraz ewolucją kodu złośliwego oprogramowania.
Główną zaletą rozwiązań do wykrywania zagrożeń i reagowania na nie jest ich zdolność do automatycznego identyfikowania zagrożeń i reagowania na nie w czasie rzeczywistym. Łącząc funkcje wykrywania oparte na zachowaniu i wgląd w aktywność danych na urządzeniach końcowych, rozwiązania TDR mogą wychwytywać zagrożenia, które często pozostają niewykryte przez zapory i oprogramowanie antywirusowe.
Zaawansowane analizy służą do wykrywania anomalii i wzorców, takich jak rzadkie/podejrzane procesy, ryzykowne działania i nierozpoznane połączenia.