Moderní přístup k ochraně koncových stanic

Úvod

Kompletně jiný pohled na ochranu koncových stanic

attack surface

V dnešní době cílených hackerských útoků na data společností, zero-day útoků či permanentních nových malwarových hrozeb typu ransomware, klasická antivirová řešení již nejsou dostačující pro spolehlivou ochranu dat.

Standardní metody zabezpečení koncových stanic je třeba doplnit o dodatečnou bezpečnostní vrstvu ochrany koncových stanic založenou na analýze chování počítače schopnou detekovat doposud neznámé hrozby.

Exploit Guardian chrání aplikace se zranitelnými bezpečnostními dírami kritických a velmi zranitelných aplikací jako jsou webové prohlížeče, systémové soubory, PDF editory, apod. Monitoruje chování procesů v paměti a na základě rozhodujícího algoritmu spojenému se systémovými aktivitami vyhodnocuje, reportuje a blokuje hrozby.

Exploit Guardian

Monitorovací a ochranný nástroj k zabezpečení koncových stanic proti typickým vektorům útoků

Exploit Guardian je monitorovací a ochranný nástroj k zabezpečení operačního systému a rizikových aplikací oproti typickým vektorům útoků. Tato ochrana je doplňujícím bezpečnostním prvkem k existujícím antivirovým produktům a je schopna zabránit útokům, proti kterým jsou tato řešení neúčinná, tedy zneužití neznámých zranitelností aplikací nebo OS, neaktualizovaný OS a dosud neznámé typy útoků.

Řešení Exploit Guardian monitoruje chování spouštěných programů na počítači s cílem detekovat neobvyklé chování, které může indikovat útok malware nebo hackera. V podstatě se jedná o vytvoření obsluhy základních systémových operací, např. otevírání souborů, spouštění procesů, zápis do registrů a přístup do sítě. Podle nastaveného režimu je toto podezření na útok buď reportováno nebo je podezřelý proces zablokován před tím, než stačí vykonat svoji aktivitu.

Zaznamenání událostí se provádí takovým způsobem, aby bylo možné jednoduše dohledat směr útoku a s ním související informace, které byly během provedení útoku zaznamenány a slouží pro jeho analýzu administrátorem systému.

attack surface

Výhody oproti klasické antivirové ochraně

Řešení Exploit Guardian v porovnání s klasickými antiviry umožňuje chránit koncové systémy proti širšímu spektru útoků

Zero-day útoky

Oproti typickým antivirovým řešením, Exploit Guardian vyhodnocuje potenciálně nebezpečné aktivity malware v reálném čase na základě behaviorálních pravidel. Zabezpečuje tedy systém i v kritické době, kdy na zneužívanou zranitelnost neexistuje patch, a malware není popsán virovou signaturou pro zachycení antiviry.

Ransomware útoky

Exploit Guardian chrání koncové stanice a jejich aktiva proti působení ransomware. Tento druh malware patří do skupiny škodlivého kódu, který šifruje uživatelská aktiva. V dnešní době je ransomware velmi rozšířený a zároveň nebezpečný, protože kombinuje moderní distribuční techniky spolu s pokročilými metodami šifrování dat.

Nežádoucí aktivita aplikací

Exploit Guardian průběžně monitoruje aktivitu procesů v operačním systému a přehledně informuje uživatele o potenciálně nežádoucích operacích. Umožňuje uživateli definovat aplikacím povolené operace a omezit tak i legitimním programům práva k přístupu k systémovým prostředkům a uživatelským aktivům.

Management server

Incidenty nalezené na koncových stanicích jsou zasílány do Management serveru, který slouží
k jejich remediaci a vyhodnocení rizikovosti sítě administrátorovi nebo SOC operátorovi.

attack surface

Pro správu incidentů detekovaných aplikací Exploit Guardian ve firemních prostředích je využíván Management server, který přijímá informace o incidentech a návazných informacích ze stanic, koreluje informace podle nadefinovaných vektorů útoků a poskytuje předzpracované informace bezpečnostním správcům s cílem zpřehlednit stav bezpečnosti na síti a ušetřit čas při analýze bezpečnostních událostí. Příkladem může být automatické vyhledání stanic se stejným bezpečnostním incidentem v síti. Poskytuje přehledně informaci o rozšíření malware v síti a bezpečnostním kontextu pro rychlou reakci. Návazné uložené informace pak pomohou administrátorovi zjistit detaily o incidentech a jejich příčinách bez nutnosti fyzické přítomnosti u problematických koncových zařízení v síti.

Řetězec zpracování podezřelých událostí

Systém Exploit Guardian se stará o zpracování událostí detekovaných na koncových stánicích
od momentu jejich vzniku až do korelace a zobrazení na stráně systémového administrátora

  • Zaznamenání aktivity procesu

    Systém Exploit Guardian provádí obsluhu systémových volání v operačním systému, tj. monitoruje otevírání souborů, spouštění procesů, zápis do registrů a přístup do sítě.

  • Vyhodnocení detekovaných rizik

    Vyhodnocení útoků probíhá podle předem definovaných pravidel, která jsou tvořena korelací ustanovení danými pro zdrojový a cílový objekt, restrikcemi na přístup k objektu (create, open, read, write, delete a rename) a prioritou, která určuje pořadí aplikování pravidel.

  • Aplikování odpovídajícího pravidla

    V případě, jestli zachycená událost bude porušovat existující pravidla, systém Exploit Guardian vyhodnotí možné riziko na základě priority porušeného pravidla a v závislosti na nastaveném režimu operaci povolí, zablokuje nebo se dotáže uživatele.

  • Provedení synchronizace se serverem

    Koncové stanice průběžně provádí synchronizaci se serverovou stranou Exploit Guardian a poskytují jí všechny detekované události, které na nich byly zaznamenány. Na základě přijatých dat bude server schopen provést jejich analýzu a korelaci.

  • Korelace souvisejících událostí

    V dalším kroku systém Exploit Guardian koreluje související události, přijaté z koncových stanic, s cílem vytvoření řetězce událostí, na základě kterého je možné získat hlubší znalost o detekovaném incidentu, provést jeho analýzu a odpovídající protiopatření.

  • Zobrazení útoku správci

    Administrátor systému bude schopen provádět analýzu vzniklých útoků pomocí webové aplikace, která přehledně a srozumitelně zobrazuje zaznamenané útoky a pomáhá stanovit jejich dopady.

Vizualizace útoků

Vytvoření komplexního přehledu o nebezpečných aktivitách procesů a jimi ovlivněných aktivitách

attack surface

Řešení Exploit Guardian navíc nabízí nástroj, který umožňuje správci systému provádět analýzu a protiopatření zaměřené na předcházení vzniku negativních dopadů hrozeb cílených na koncové stanice. Výhoda nástroje pro provedení analýzy v porovnání s existujícími řešeními spočívá v tom, že v sobě spojuje použití moderních způsobů zobrazení a technologií, které umožní provádět zkoumání vzniklých incidentů efektivněji.

Webová aplikace nabízí inteligentní rozhraní, které se jednoduše ovládá, je dynamické a skládá se ze třech hlavních komponent, kde každá se stará o konkrétní funkci. První komponenta zastupuje časovou osu, na které jsou vzniklé incidenty tříděny podle jejích závažnosti a času. Druhá komponenta představuje graf reprezentující vývoj útoku na koncové stanice. Třetí komponenta tvoří informační panel poskytující informace o zvoleném incidentu a zprostředkovává přístup k službám jako jsou VirusTotal a IP Geolocation.

Síťová hierarchie

Detailní charakteristika

Analýza chování

Síťová aktivita

Dynamická časová osa

Podrobné informace

Download

Pomocí následujících odkazů je možné se seznámit s funkcionalitou řešení Exploit Guardian

Instalátor produktu Exploit Guardian
Manuál produktu Exploit Guardian

EU projekt

Projekt Exploit Guardian byl vyvinut za podpory Evropské unie

Produkt Exploit Guardian byl vyvinut za podpory Ministerstva průmyslu a obchodu ČR, v dotačním programu Operační Program Podnikání a Inovace pro konkurenceschopnost – Pokročilá ochrana před neznámými malwarovými a hackerskými útoky pomocí analýzy chování počítačů, reg. číslo CZ.01.4.04/0.0./0.0./16_066/0007813.

Napište nám

Rádi zodpovíme všechny Vaše dotazy

Kontakt

Tvoříme nový typ ochrany koncových stanic v síti s centrální
správou pro bezpečnostní administrátory a operátory SOC center

Adresa

Sec Guardian, s.r.o.
Veveří 2845/102,
616 00 Brno, ČR,
IČ: 01673246
DIČ: CZ01673246
Společnost je vedená u Krajského soudu Brno pod číslem C96344.

Web: www.sec-guardian.cz
Email: info@sec-guardian.cz
Tel.: +420 733 468021
Bankovní účet: UniCredit Bank Czech Republic and Slovakia,
a.s., č.ú. 2113755783/2700