Tradycyjna ochrona punktów końcowych bazująca na oprogramowaniu antywirusowym już od pewnego czasu jest niewystarczająca. Chociaż wielu przedsiębiorców nadal wierzy w moc antywirusów, to prędzej czy później będą musieli sięgnąć po nowsze rozwiązania. Odwrót od klasycznego oprogramowania biznesowego, bazującego na sygnaturach, nie musi jednak oznaczać rezygnacji z systemów ochrony stacji końcowych. Nawet największe korporacje, dysponujące rozbudowanymi działami IT, nie potrafią w 100 proc. zapobiec nieustannie ewoluującym zagrożeniom.

Inteligentne zabezpieczenia

Aby sprostać nowym wyzwaniom, dostawcy rozwiązań z zakresu bezpieczeństwa wykorzystują techniki proaktywne, m.in. zaawansowaną analizę heurystyczną, emulację czy uczenie maszynowe. W efekcie na rynku debiutują nowe grupy produktów, takie jak np. EDR – Endpoint Detection & Response. Ich rola polega na bardzo wczesnym wykrywaniu ataków, jeszcze zanim hakerzy wtargną do firmowej sieci. Co ważne, prewencja nie ogranicza się jedynie do blokowania znanych zagrożeń, ale polega na wyszukiwaniu nowych, potencjalnie niebezpiecznych incydentów, aplikacji, kodów itp. EDR zapewnia szczegółowy obraz każdego zdarzenia występującego w sieci, co gwarantuje skuteczne wykrywanie wszelkich anomalii. Jeśli wziąć pod uwagę możliwość analizy w trakcie czy po ataku, to odbiorcami systemów EDR są przede wszystkim duże firmy, które stać na zatrudnianie specjalistów IT. Analiza udostępnianych informacji związanych z bezpieczeństwem wymaga bowiem fachowej wiedzy i odpowiednich zasobów.

Więcej niż EDR

Systemy EDR oferowane przez najważniejszych graczy na rynku cyberbezpieczeństwa bazują na analogicznej koncepcji, a co za tym idzie mają zbliżoną funkcjonalność. Jak zwraca uwagę Damian Przygodzki, inżynier wsparcia technicznego w ABC Data, nieco odmienną strategię realizuje McAfee. Na pierwszy rzut oka system EDR tej marki opiera się na podobnych założeniach. Produkt dostarcza informacje o potencjalnych zagrożeniach czyhających w sieci, koreluje zdarzenia, pozwala również na automatyzację, dzięki czemu administratorzy mogą podejmować szybkie działania naprawcze i zastosować zabezpieczenia chroniące firmę przed przyszłymi atakami. Niemniej działanie produktu McAfee nie ogranicza się do analizy zachowania użytkowników sieci czy wykorzystania technik uczenia maszynowego.

System ten jest połączony z dwoma ważnymi komponentami: McAfee Threat Intelligence Exchange (TIE) i McAfee Data Exchange Layer (DXL). Ich współpraca zapewnia informacje zarówno o zagrożeniach globalnych, jak i tych specyficznych, występujących w lokalnej sieci.

McAfee wychodzi z założenia, że EDR nie powinien być osobnym produktem, lecz elementem dużej sieci bezpieczeństwa. Kluczową kwestią jest więc komunikowanie się systemów ochrony występujących w infrastrukturze. Wymiana informacji pozwala na podejmowanie trafnych decyzji. Duże znaczenie ma fakt, że McAfee wykrywa zagrożenia na podstawie informacji uzyskiwanych z chmury publicznej oraz komponentów lokalnych, takich jak sandbox czy system EDR – zauważa Damian Przygodzki.

 

Pełna integracja, proste zarządzanie

Spora grupa przedsiębiorców coraz słabiej radzi sobie z zabezpieczaniem rosnącej liczby urządzeń. Jedną z największych bolączek jest brak odpowiedniego rozwiązania do wymiany informacji o zagrożeniach między elementami systemu. Problem ten rozwiązuje McAfee TIE – komponent, do którego spływają dane z urządzeń końcowych, systemów zainstalowanych na styku z internetem, np. McAfee Web Gateway, oraz innych produktów bezpieczeństwa. McAfee TIE korzysta z dedykowanej szyny wymiany danych: McAfee Data Exchange Layer – DXL.

Informacje lokalne mogą być wzbogacane przez dane z systemów globalnej bazy reputacji, takich jak McAfee Global Threat Intelligence (GTI), oraz zewnętrznych źródeł np. Virus Total. O zmianie reputacji plików – niezależnie, czy została dokonana ręcznie, przez zewnętrzne źródło lub sandbox – automatycznie są powiadamiane wszystkie komponenty zintegrowane poprzez szynę McAfee DXL. W rezultacie proces rozprzestrzeniania złośliwego kodu jest blokowany w całej infrastrukturze: na stacjach końcowych oraz w rozwiązaniach brzegowych. Warto dodać, że kompleksowy system bezpieczeństwa McAfee obok wymienionych wcześniej produktów tworzą: McAfee Endpoint Security oraz McAfee Advanced Threat Defense. Natomiast informacje z systemu EDR mogą również skutecznie zasilać McAfee Enterprise Security Managera (SIEM).
Oprócz wymiany informacji pomiędzy elementami systemu nie mniej istotne jest zarządzanie nimi. W systemie McAfee odpowiada za nie centralna konsola McAfee Policy Orchestrator (ePO), dostępna z dowolnego miejsca w wersji hostowanej lub lokalnie w infrastrukturze klienta. Umożliwia ona integrację produktów, ujednolicone zarządzanie, tworzenie raportów oraz przeprowadzanie audytów wszystkich wykorzystywanych rozwiązań McAfee. Tym samym ePO zapewnia administratorom sieci szybki dostęp do informacji na temat zagrożeń i luk występujących w systemie.

MVISION – odpowiedź na nowe wyzwania

Zabezpieczenia wprowadzone przez Microsoft w Windows 10 wywołały małą burzę wśród dostawców antywirusów. Niektórzy próbowali nawet oskarżać koncern z Redmond o praktyki monopolistyczne. W innym kierunku podążyły działania McAfee, które wprowadziło na rynek rodzinę produktów MVISION, obejmującą: McAfee MVISION ePO, McAfee MVISION Endpoint i McAfee MVISION Mobile.

Rodzina produktów MVISION stanowi odpowiedź na nowe potrzeby zgłaszane przez użytkowników biznesowych, w tym zabezpieczenie smartfonów czy wzmocnienie ochrony w urządzeniach końcowych działających pod kontrolą systemu operacyjnego Windows 10. Najnowszy pakiet Microsoftu jest wyposażony w program antywirusowy Windows Defender. Niestety, aplikacja koncernu z Redmond pozbawiona jest modułów oferowanych przez nowoczesne platformy bezpieczeństwa. McAfee MVISION Endpoint rozszerza możliwości Windows Defendera – tłumaczy Damian Przygodzki.

McAfee MVISION Endpoint uzupełnia ochronę Windows 10, m.in. o szczegółowo opracowane, bezsygnaturowe i zaawansowane zabezpieczenia przed zagrożeniami. Dodatkową korzyścią jest wykorzystanie uczenia maszynowego. Inną  ważną składową rodziny MVISION jest program chroniący przed zagrożeniami użytkowników smartfonów i tabletów z systemami iOS lub Android. McAfee MVISION Mobile analizuje wszelkie anomalie związane z pracą urządzenia oraz identyfikuje zaawansowane ataki wykorzystujące sprzęt, instalowane aplikacje i niezaufane sieci. Zasoby mobilne są widoczne w konsoli McAfee MVISION ePO i mogą być przez nią zarządzane. Należy podkreślić, że aplikacja jest przystosowana do współpracy z systemami MDM (InTune, MobileIron, AirWatch czy BlackBerry).
– Jeszcze kilka lat temu aplikacje bezpieczeństwa przeznaczone dla urządzeń mobilnych cieszyły się nikłym popytem, co wynikało z dwóch przyczyn. Po pierwsze użytkownicy mieli niewielką świadomość dotyczącą potencjalnych zagrożeń, a po drugie nie używali terminali do realizacji płatności, przelewów czy zakupów online. Obecnie większość z nas ma na swoim smartfonie aplikacje bankowe i biurowe. Coraz częściej korzystamy z niego (lub tabletu) w równym stopniu co z komputera, tworząc, przechowując i udostępniając dokumenty – podkreśla Damian Przygodzki.

W grudniu McAfee podczas konferencji partnerskiej MPOWER w Rzymie zaprezentowało nową odsłonę produktów MVISION. Spośród pokazywanych nowości szczególną uwagę warto zwrócić na system EDR przeznaczony dla platformy MVISION. Niewykluczone, że z początkiem nowego roku to właściciele mniejszych i średnich firm będą sięgać po tego typu wartościowe narzędzie, stosując je jako kluczowy komponent w swojej infrastrukturze bezpieczeństwa.

Opisane rozwiązania McAfee dostępne są w ofercie ABC Data. Dystrybutor zapewnia integratorom i resellerom niezbędne szkolenia oraz pomoc w ich doborze i wdrożeniach.