Модуль обнаружения и предотвращение вторжений
- Обнаружение атак происходит на основе эвристического и сигнатурного метода. Мониторингу и анализу подвергаются следующие ключевые области:
- системные журналы ОС (Windows event log);
- журналы и логи приложений;
- результаты выполнения команд;
- файлы, папки, реестр ОС – создание, изменение, удаление;
- трафик, проходящий через хост.
- Предотвращение атак и вторжений обеспечивает блокировку подозрительной активности, выявленной модулем обнаружения вторжений. Правила блокировки поставляются в рамках сервиса обновления БРП.
- Обнаружение и предотвращение бесфайловых атак. Отслеживаются техники Keylogging и Process injection:
- Credential API Hooking (T1056.004)
- Process Hollowing (T1055.012)
- Process Doppelganging (T1055.013)
- Dynamic-link library injection (T1055.001)
- Portable Executable Injection (T1055.002)
Модуль межсетевого экранирования – осуществляет контроль и фильтрацию входящего и исходящего трафика.
- Фильтрация трафика IPv4 и IPv6.
- Работа сетевых фильтров по расписанию.
- Наличие преднастроенных фильтров.
- Блокировка атакующих компьютеров.
- Контроль сетевой активности программ.
Модуль контроля приложений - позволяет управлять установкой и запуском приложений на основе чёрных и белых списков программного обеспечения, а также доступом приложений к объектам ОС Windows:
- файлам;
- реестру;
- процессам;
- параметрам командной строки;
- чёрные и белые списки программного обеспечения.
Модуль поведенческого анализа – позволяет выявлять различного вида аномалии, например:
- Аномальный вход в систему.
- Аномалия в создании процесса.
- Аномалия в создании задачи планировщику.
- Аномальные запуски системных утилит, таких как powershell, rundll32, regsrv32 и т.д.
Для обнаружения аномалий используется модель нормальной активности защищаемого узла, построенная с помощью машинного обучения.
Antimalware модуль - предназначен для сканирования файлов и библиотек с целью выявления и блокировки признаков вредоносного ПО. Сканирование выполняется на основе модели, построенной с помощью машинного обучения.
Управление ViPNet SafeBoot из консоли ViPNet EndPoint Protection для лицензирования и сбора журналов с ViPNet SafeBoot.
Преднастроенные режимы работы для всех модулей продукта позволяют быстро применить необходимые правила безопасности.
Предотвращение угроз в соответствии с категориями, которые настраиваются и передаются на защищаемый узел в составе базы правил и применяются в ViPNet EndPoint Protection Агент для блокирования подозрительной/нежелательной сетевой активности.
Централизованное управление модулями ViPNet EndPoint Protection – возможности централизованного управления, рассылки политик, обновления БРП.
- Защита от различных типов угроз – вредоносные программы, ранее неизвестные угрозы, бесфайловые атаки. Используются современные методы обнаружения, построенные на моделях машинного обучения.
- Защита процессов и активности приложений – возможность ограничения активности приложения и влияния приложения на работу других программ.
- Выявление аномалий в действиях пользователя, процессах и запуске системных утилит.
- Различные методы определения атак - для определения и противодействия атакам модуль системы обнаружения и предотвращения вторжений использует сигнатурный метод и метод аномалий.
- Предотвращение несанкционированного изменения системных файлов и записей реестра Windows.
- Использование технологий EDR (Endpoint Detection & Responce) – предоставление подробной информации о событиях информационной безопасности с возможностью реагирования на события с признаками киберинцидента.
- Защита рабочих станций и серверов информационных систем, в соответствии с требованиями 17, 21, 31 и 239 приказов ФСТЭК России.
Сертификат соответствия ФСТЭК России № 4666 от 22.03.2023 г. на ViPNet EndPoint Protection соответствует требованиям к системам обнаружения вторжений уровня узла 4 класса, межсетевым экранам типа В четвёртого класса и требованиям доверия 4 класса.
Скачать
Поддерживаемые ОС
ViPNet EndPoint Protection сервер и консоль управления могут быть установлены на следующие операционные системы:
- Microsoft Windows 8.1 (64-разрядная).
- Microsoft Windows Server 2012 R2 (64-разрядная).
- Microsoft Windows 10 (64-разрядная).
- Microsoft Windows Server 2016 (64-разрядная).
- Microsoft Windows Server 2019.
ViPNet EndPoint Protection агент может быть установлен на следующие операционные системы:
- Microsoft Windows 8.1 (64-разрядная).
- Microsoft Windows Server 2012 R2 (64-разрядная).
- Microsoft Windows 10 (64-разрядная).
- Microsoft Windows Server 2016 (64-разрядная).
- Microsoft Windows Server 2019.
- Astra Linux Special Edition 1.6 релиз «Смоленск» (64-разрядная).
- Astra Linux Special Edition 1.7.
- Debian 11 (64-разрядная).
- Альт Рабочая станция 8 СП (64-разрядная).
- Ред ОС 7.3 (64-разрядная).