Апдейт MaxPatrol Endpoint Security: от уменьшения поверхности атаки до восстановления зашифрованных файлов

Positive Technologies выпустила десятую версию MaxPatrol Endpoint Security — решения для защиты конечных устройств. В его состав входят два продукта — MaxPatrol EPP (для предотвращения массовых и известных киберугроз) и MaxPatrol EDR (для выявления сложных кибератак и реагирования на них). Продукт получил возможность устанавливать агенты сразу из интерфейса. В решение добавлен контроль приложений и подключаемых устройств, что уменьшает поверхность атаки и возможность злоумышленника закрепиться в системе. Кроме того, появился компонент «Антишифровальщик»* для мгновенного восстановления поврежденных и удаленных файлов. Это важно, потому что действия вайперов и шифровальщиков могут привести к остановке критически важных бизнес-процессов или полному уничтожению инфраструктуры. По результатам нагрузочных тестов скорость обнаружения вредоносного ПО антивирусным движком в некоторых сценариях выросла почти на четверть, а средняя скорость сканирования приложений — на 11%.

По данным Центра стратегических разработок, за новейший год доля сегмента защиты конечных устройств на рынке кибербезопасности выросла с 15 до 20%, достигнув 40 млрд рублей. Ожидается, что к 2031 году этот показатель составит более 78 млрд рублей. Прогнозы подтверждает и текущая обстановка по киберугрозам: массовые атаки (20%) остаются одной из самых опасных угроз для организаций, зачастую в них применяется автоматизация и продвинутые инструменты, которые ранее были присущи целевым атакам. Такие инциденты все чаще приводят к нарушению основной деятельности организации, вплоть до необратимого повреждения систем (в частности, с помощью шифровальщиков и вайперов, которые применялись в 52% успешных атак с использованием ВПО). В таких условиях результативная защита невозможна без комплексного подхода к безопасности компьютеров, серверов и виртуальных рабочих мест. MaxPatrol Endpoint Security позволяет бизнесу, независимо от его масштаба и отрасли, обеспечивать защиту конечных устройств на необходимом уровне даже в автономном режиме, помогая вовремя предотвращать их компрометацию.

В десятой версии появились функции, которые делают борьбу с актуальными угрозами более проактивной. Среди них — управление перечнем разрешенных к подключению внешних устройств, позволяющее не допустить загрузку вредоносного кода через флеш-накопители или другое USB-оборудование. Равным образом, подход помогает блокировать нежелательные программы для обмена файлами, утилиты для удаленного доступа (RAT), некорпоративные VPN и мессенджеры.

К тому же, в MaxPatrol Endpoint Security впервые представлен публике модуль для противодействия наиболее распространенной угрозе — шифровальщикам. В случае успешной компрометации данных модуль восстанавливает зашифрованные и поврежденные файлы до первоначального состояния. Это актуально и в случае применения вайперов: при исправлении последствий кибератаки удаленные файлы возвращаются в исходный вид за несколько секунд, не требуя от пользователя никаких дополнительных действий. Алгоритм решает важную задачу по защите бизнеса от нанесения непоправимого ущерба.

Еще одно важное новшество связано с расширением возможностей самозащиты агента: он продолжает отслеживать и останавливать атаки, вопреки попытки злоумышленника повысить права до уровня администратора, обойти защиту либо остановить работу агента. Изменился и сам механизм подключения агента: теперь это можно сделать из интерфейса без прописывания команд, что упрощает процедура и экономит ресурсы на установку решения, нев зависимости от количества устройств в инфраструктуре.

Антивирусная технология, разработанная Positive Technologies совместно «ВИРУСБЛОКАДОЙ», также была усовершенствована с момента выпуска на рынок в составе MaxPatrol EPP. Команда оптимизировала антивирусную базу, благодаря чему потребление оперативной памяти сократилось на 8%. В дополнение к этого, специалисты оптимизировали логику работы движка: в некоторых сценариях поток файлов проверяется на 24% быстрее. Была модернизирована и подсистема сканирования .NET-приложений, что дало прирост скорости на операционных системах семейства Microsoft Windows в среднем на 11%.

В антивирусный движок внедрен модернизированный алгоритм обнаружения вредоносных скриптов. Он позволяет выявлять целые семейства ВПО без использования многочисленных сигнатур — идентификаторов известного ВПО. Схожие механизмы теперь используются и для обнаружения подозрительных приложений в форматах PE (в операционных системах Microsoft Windows) и ELF (в ОС на базе Linux).

Злоумышленники продолжают совершенствовать вредоносные программы, превращая их в гибридные инструменты с функциями разных типов ВПО. Более того, киберпреступники разрабатывают сценарии для обхода классических антивирусов и решений EDR, создавая среди прочего отдельные модули. С учётом эти реалии, мы не только расширяем функциональные возможности MaxPatrol Endpoint Security, но и продолжаем усиливать самозащиту агентов, чтобы атакующие не смогли выключить их даже после повышения привилегий в системе.

Сергей Лебедев, директор по продуктам для защиты рабочих станций и серверов, Positive Technologies

MaxPatrol Endpoint Security объединяет все возможности продуктов MaxPatrol EPP и MaxPatrol EDR в одной платформе и может быть установлен на все устройства инфраструктуры компании менее чем за день[3].

*Представлен на этапе обоснования работоспособности технологии — proof of concept (PoC).