Огляд Safe "n" Sec Enterprise Suite, Безпека ПЗ, Security & Hack, статті


У даному огляді ми розглянемо Safe "n" Sec Enterprise Suite – нове покоління корпоративних систем захисту кінцевих точок від шкідливих програм і дій інсайдерів, що базується на проактивних технологіях збереження цілісності системи та поведінковому аналізі. В першу чергу рішення орієнтоване на захист типових робочих станцій, банкоматів і платіжних терміналів на базі Microsoft Windows.



Введення


Основне призначення Safe "n" Sec Enterprise Suite – це захист інформаційного активу компанії від зовнішніх загроз, таких як вторгнення хакерів і шкідливі програми, і внутрішніх загроз, таких як необережні або навмисне деструктивні дії співробітників.


В основі Safe "n" Sec Enterprise Suite лежить передова розробка компанії SNSafe & Software – технологія VIPO (Valid Inside Permitted Operations), яка побудована на гнучкому розмежування системних привілеїв при роботі комп'ютера. Продукти, що використовують технологію проактивного захисту VIPO, взагалі не вимагають ніякого налаштування для початку повноцінного функціонування, вони оснащені міцним запасом правил поведінки (складених і постійно оновлюваних фахівцями з інформаційної безпеки компанії SN Safe & Software), достатнім для більшості користувачів.


Використання проактивного технології поведінкового аналізу, списків довірених додатків (whitelisting – білий список), безпечної віртуальної середовища (sandbox – пісочниця), контролю програм, доступу до даних і апаратних компонентів кінцевих точок, сумісність з багатьма стороннім антивірусним програмним забезпеченням і оптимізована консоль управління роблять Safe "n" Sec Enterprise Suite потужним комплексом захисту з широкими можливостями.


За допомогою Safe "n" Sec Enterprise Suite можна ефективно захистити типові робочі станції, сервера, банкомати або POS-термінали, що працюють на операційній системі Microsoft Windows.



Системні вимоги


Системні вимоги для Safe "n" Sec Service Center


Апаратні вимоги:



Для Microsoft Windows XP Professional (Service Pack 2) / XP Professional x64 Edition:



Для Microsoft Windows Vista (x86) Home Premium Edition / Business Edition / Enterprise Edition / Ultimate Edition, Microsoft Windows 7:



Програмні вимоги:



Системні вимоги для Safe "n" Sec Client


Апаратні вимоги:



Для Microsoft Windows XP Professional (Service Pack 2), Microsoft Windows XP Professional x64 Edition:



Для Microsoft Windows Vista (x86) Home Premium Edition / Business Edition / Enterprise Edition / Ultimate Edition, Microsoft Windows 7:



Програмні вимоги:


Системні вимоги для Safe "n" Sec Admin Explorer


Апаратні вимоги:



Для Microsoft Windows XP Professional (Service Pack 2), Microsoft Windows XP Professional x64 Edition:



Для Microsoft Windows Vista (x86) Home Premium Edition / Business Edition / Enterprise Edition / Ultimate Edition, Microsoft Windows 7:



Програмні вимоги:


Microsoft Internet Explorer 6.0 або вище (для оновлення програмних модулів через інтернет).


Концепція корпоративних продуктів Safe "n" Sec


Інтегрований програмний продукт Safe "n" Sec Enterprise Suite складається з двох модулів SysWatch і DLP Guard, кожен з яких виконує певний набір функцій і може бути придбаний окремо як самостійний програмний продукт. При використанні цих модулів разом з консоллю адміністрування ви отримуєте єдиний продукт, що забезпечує багатоцільову захист корпоративної мережі від зовнішніх і внутрішніх загроз, а також економію бюджету внаслідок оптимального використання ресурсів.


Малюнок 1: Концепція Safe "n" Sec Enterprise Suite



Ріснок 2: Схема роботи Safe "n" Sec Enterprise Suite



Основні функції Safe "n" Sec Enterprise Suite


Основні функціональні компоненти і їхні можливості:


Як ми вже говорили, Safe "n" Sec Enterprise Suite складається з двох модулів SysWatch і DLP Guard + консоль управління + сервісні центри.


Клієнтські агенти SysWatch і DLP Guard встановлюються на будь-який комп'ютер корпоративної мережі. Вони дозволяють проводити аналіз активності додатків, блокують небезпечні дії, забезпечують захист від шкідливого коду і хакерських атак. Здійснюють контроль доступу та використання системних ресурсів. Версії агентів з інтегрованими антивірусними модулями додатково здатні лікувати заражені системи або виконувати функцію другого антивіруса в корпоративному середовищі, якщо це необхідно для задоволення вимог безпеки. Давайте розглянемо можливості цих модулів більш докладно.

Safe”n”Sec SysWatch


Модуль Safe "n" Sec SysWatch – це нове покоління систем захисту кінцевих точок, що базується на проактивних технологіях збереження цілісності системи та поведінковому аналізі. Він вирішує проблеми захисту конфіденційної інформації від хакерських вторгнень і впровадження шкідливого коду. SysWatch можна придбати в комплекті з антивірусним сканером BitDefender, VBA32 або Dr.Web.


Модуль забезпечує захист кінцевих точок корпоративної мережі, що працюють на операційній системі Microsoft Windows від новітніх (zero-day) і спеціально написаних (цільові атаки) шкідливих програм.


Основний функціонал Safe "n" Sec SysWatch:



Safe”n”Sec DLPGuard


Модуль DLP Guard здійснює постійний моніторинг і контроль мережевої активності користувачів, які мають доступ до конфіденційної інформації підприємства. Продукт захищає від витоків інформації, що відбуваються внаслідок необережних дій співробітників і злочинних дій інсайдерів.


DLP Guard контролює реалізацію політики безпеки шляхом створення правил контролю доступу користувачів (або груп користувачів) до певних інформаційних ресурсів. Можливість скритної установки системи моніторингу забезпечить постійну присутність програми без можливості її виявлення та вилучення.


Також DLP Guard забезпечує офіцера служби безпеки інформацією про всі дії, які здійснюються користувачем в локальній мережі, фіксує всі мережеві події і створює аналітичний звіт для ретроспективного аналізу і розслідування конкретного інциденту.


Основні функції Safe "n" Sec DLPGuard:



*- Функція в розробці

Консоль управління та додаткові сервісні центри


Централізована система віддаленого управління і організації робочої області адміністрування корпоративної мережі необхідна для ефективного управління та моніторингу сучасних комплексів захисту. А додаткові сервісні центри дозволяють сегментувати мережеву інфраструктуру на декілька робочих областей.
Ось список основних завдань, які можна виконувати за допомогою консолі управління:



Установка Safe "n" Sec Enterprise Suite


Оскільки Safe "n" Sec Enterprise Suite продукт корпоративний, перед початком установки необхідно уважно ознайомитися з Керівництвом по установці Safe "n" Sec Enterprise Suite,чітко і послідовно виконувати процес установки і початкового настроювання.


Для початку необхідно визначитися з базою даних, яку потрібно встановити та налаштувати перед установкою Safe "n" Sec Enterprise Suite. Вибір бази даних простий – або Microsoft SQL Express (до 1000 клієнтів), або Microsoft SQL Server (вже за гроші) при кількості клієнтів більше 1000. Кожен екземпляр Safe "n" Sec Service Center, який використовує Microsoft SQL Server, підтримує до 5000 клієнтів. Якщо потрібно підтримка більше 50 000 клієнтів, то необхідно встановити інший Safe "n" Sec Service Center.


Віддалена установка агентів на кінцеві точки мережі вимагає дотримання наступних умов:



Список портів, які використовуються додатком Safe "n" Sec Enterprise за замовчуванням















Номер порту і протокол

Опис


TCP 3846


Зв'язок між Safe "n" Sec Admin Explorer і Safe "n" Sec Service Center
Зв'язок між Safe "n" Sec Service Center і Safe "n" Sec Cl ient


TCP 80


Оновлення Safe "n" Sec Client через Safe "n" Sec Service Center


TCP 1433


Зв'язок між Safe "n" Sec Service Center і сервером бази даних


Може знадобитися змінити деякі параметри операційної системи на клієнтських комп'ютерах, на яких будуть встановлюватися модулі клієнтських агентів.















Операційна система

Конфігурація


Windows XP в робочій групі


Вимкніть простий спільний доступ до файлів. Простий спільний доступ до файлів може перешкоджати розгортанню клієнта.


Windows Vista і Windows Server 2008


Вимкніть майстер загального доступу до файлів. Увімкніть пошук комп'ютерів в мережі за допомогою вікна "Мережа і загальний доступ".
Перевірте наявність підвищеного рівня прав доступу у вашому профілі.


Windows Vista і Windows Server 2008 в домені Active Directory


Рахунок, що застосовується для розгортання клієнта, повинна бути адміністратором домену і мати підвищені права доступу на клієнтському комп'ютері.

Сама установка не викликає особливих складнощів і проходить у кілька етапів. Спочатку встановлюється Safe "n" Sec Admin Explorer, далі з його допомогою – Safe "n" Sec Service Center. Потім вже через Safe "n" Sec Service Center відбувається віддалена установка клієнтських агентів Safe "n" Sec Client на кінцеві точки мережі.

Малюнок 3: Вікно установки Safe "n" Sec Admin Explorer


Малюнок 4: Головне вікно Safe "n" Sec Admin Explorer


Після того, як ми встановили Safe "n" Sec Admin Explorer, необхідно з нього встановити Safe "n" Sec Service Center. Для цього, в Safe "n" Sec Admin Explorer необхідно вибрати точку мережі, на яку ми будемо встановлювати сервісний центр. У нашому прикладі це буде VM-2003TEST (див. малюнок 5).

Малюнок 5: Вибір точки мережі та завдання параметрів установки сервісного центру


Як ми бачимо, можна відразу перевірити можливість віддаленої інсталяції на кінцеву точку мережі.


Важливо не забути створити нову базу даних перед установкою. Micrsoft SQL Server повинен бути вже встановлено на один із серверів в мережі, перевірений і налаштований.


У параметрах установки вказуємо і ліцензійний ключ.

Малюнок 6: Створення бази даних для сервісного центру


Не забуваємо перевірити з'єднання з сервером бази даних, якшо по посилання внизу вікна установки сервісного центру.


Після того, як був задані всі параметри, можна починати установку сервісного центру. У результаті, при виборі в Safe "n" Sec Admin Explorer кінцевої точки мережі, куди ми встановлювали сервісний центр, ми побачимо отриманий результат – сервісний центр запущений, проблем немає (клієнтська частина ще не встановлена). Також можна переглянути інформацію про ліцензії, а також список команд, які можна виконати на віддаленій точці мережі.

Малюнок 7: Перегляд статусу віддаленої точки мережі


Коли сервісний центр успішно встановлений, можна приступати безпосередньо до розгортання захисту кінцевих точок мережі, тобто установці модулів SySWatch і DLP Guard. Її можна робити відразу на кілька кінцевих точок мережі.


Перед установкою Safe "n" Sec Admin Explorer перевіряє її можливість, висновки експрес-звіт. Як бачимо на малюнку 8, проблем не виникло.

Малюнок 8: Вибір кінцевих точок мережі для установки SySWatch і DLP Guard


Далі необхідно вказати який саме пакет установки (SySWatch або DLP Guard) ми збираємося використовувати і вказати ліцензійний ключ.

Рисунок 9: Вибір пакетів для установки (SySWatch або DLP Guard)


Рисунок 10: Завдання облікового запису, від імені якої проводитиметься установка


На завершення процедури потрібно вказати час установки пакетів. Є можливість зробити це негайно або запланувати установку на певний час, наприклад, коли навантаження на мережу і самі віддалені точки мережі буде мінімальна.

Малюнок 11: Вибір часу установки


Для коректної роботи модуля DLP Guard після його установки на кінцевих точках, їх потрібно перезавантажити. Після перезавантаження у Safe "n" Sec Admin Explorer побачимо радісну картину у вигляді працюючого модуля (Галочки зеленого кольору біля областей контролю системи показують, що DLP Guard веде за ними спостереження).

Малюнок 12: Модуль DLP Guard, загальний стан


Установка модуля SysWatch проходить аналогічно. Після установки клієнтів SySWatch, SySWatch + BitDefender або SySWatch TPSecure необхідно виконати автоматичне налаштування клієнтів.

Рисунок 13: Завдання параметрів автоматичної настройки клієнтів SySWatch, SySWatch + BitDefender, SySWatch TPSecure


Автоматична настройка займе якийсь час. Після її закінчення ми побачимо, що у вікні стану кінцевої точки мережі додався модуль SysWatch, а також список областей системи, за якими він веде спостереження (Рисунок 14).

Малюнок 14: Вікно стану після автоматичної настройки


Тепер наші робочі станції знаходяться під контролем. Давайте тепер подивимося, на можливості продукту в дію, та й налаштувати весь цей комплекс не завадило б під наші потреби. Адже ми хочемо контролювати доступ до інформації, а також відслідковувати які неблагонадійні співробітники вирішили за бочку варення і кошик печива розжитися конфіденційною інформацією:)


Налагодження та приклади використання Safe "n" Sec Enterprise Suite


Ну що ж, почнемо настройку рішення. Нагадуємо, що ми працюємо в консолі Safe "n" Sec Admin Explorer. У вкладці Загальні (Див. малюнок 14) можна побачити які області системи контролюються, виключати з нагляду ту чи іншу область, віддалено вимикати / перезапускати комп'ютер, виконувати настройку встановлених клієнтських модулів (див. малюнок. 15), а також здійснювати антивірусну перевірку робочої станції (див. малюнки 16, 17) і ряд інших завдань.

Малюнок 15: Вікно налаштування встановлених клієнтських модулів


Малюнок 16: Завдання області перевірки антивірусним сканером


Рисунок 17: Завдання параметрів перевірки антивірусним сканером


У вкладці Процеси і додатки відображаються всі запущені і відомі програми і процеси на обраній нами кінцевій точці мережі. Частина з них знаходиться в списку Довірених. Для Довірених і відомих програм діють приватні правила дозволів і обмежень.

Малюнок 18: Процеси і додатки, загальний вид


Програми та процеси можна віддалено завершувати, переглядати їх властивості, задавати приватні умови виконання та обмеження, вести історію активності. Також можна перевірити запущене застосування антивірусним сканером, додавати / видаляти додаток до / з довірених.

Малюнок 19: Перегляд властивостей запущеного додатка


Рисунок 20: Завдання приватних обмежень роботи програми з мережею


Рисунок 21: Завдання приватних обмежень роботи програми з реєстром


У вкладці Області контролю задаються загальні обмеження та дозволи: читання, зміна, видалення каталогів і файлів, ключів та гілок системного реєстру. Це дає можливість запобігти доступ до конфіденційної інформації, а також запобігти несанкціонованому зміна налаштувань системи. У тому числі передбачена можливість блокування роботи з USB пристроями, відстеження використання привілеїв процесів основними групами користувачів, настройка роботи з мережею (завдання мережевих правил) і взаємодія процесів з системою. Все це дозволяє гнучко налаштувати доступ до найбільш важливих даних і критичним областям системи.


Загальні правила діють для всіх програм, які не знаходяться в списку Довірених і відомих.

Малюнок 22: Загальний вигляд вікна Області контролю


Можна вибрати якусь область контролю ми хочемо переглянути та налаштувати (файлова система, системний реєстр, мережа, привілеї процесів, пристрої, взаємодії процесів). Розглянемо налаштування області контролю більш докладно.

Малюнок 23: Області контролю, файлова система


Налаштування дозволів може проводитися як для одного файлу, так і для каталогу. Головне чітко розуміти, що робимо інакше можна наламати дров.

Малюнок 24: Області контролю, системний реєстр


Тут все аналогічно контролю файлової системи. Працюємо уважно і акуратно, вкрай бажано вести документування своїх дій.

Малюнок 25: Області контролю, мережа


Для мережі набір готових правил великий. Якщо раптом, чогось не вистачає, то можна створювати свої власні правила.

Малюнок 26: Області контролю, привілеї процесів


Як бачимо, в настройках галузі контролю привілеїв процесів вже враховано все найнеобхідніше, розробники економлять наш час.

Малюнок 27: Області контролю, пристрої


У плані можливостей контролю пристроїв поки що вибір небагатий, але за заявами вендора розробка в цьому напрямку активно йде.

Малюнок 28: Області контролю, взаємодія процесів


У налаштуванні взаємодії процесів для кожного правила можна вибрати користувача, для якого воно буде діяти, а також період його дії (див. малюнок 29). Зверніть увагу, що можна задати кілька періодів дії правила.

Малюнок 29: Вибір користувачів, на яких поширюватиметься дане правило


Малюнок 30: Завдання періоду часу для дії правила


Давайте, як приклад, заборонимо користувачам використовувати USB-диски. Для цього відкриваємо Область контролю – Пристрої і знімаємо галочки "Читання" і "Зміна", після чого натискаємо Застосувати.

Малюнок 31: Зміна дозволів для USB-пристроїв


Малюнок 32: Результат дії налаштованого правила для USB-пристроїв


Як бачимо, при підключенні USB-пристрої запускається автоматична перевірка накопичувача на наявність шкідливого коду. А от з самим пристроєм ми працювати не можемо – відмовлено в доступі. Це спрацювало наше щойно створене правило. Тепер "злити" що-небудь на флешку не вийде. До речі, заодно вийшло кардинальне рішення проблеми Autorun-вірусів. Ні зубів – немає карієсу. Ще один плюс до рівня захисту мережі.


Аналогічно діємо і для інших областей контролю. Не забуваймо, що це загальні правила, які діють для всіх недовірених і невідомих додатків. Для довірених і відомих програм існую приватні обмеження, правила в яких створюються аналогічно.


У вкладці Інформація відображаються повідомлення та попередження про різні події на підконтрольній точці мережі. На малюнку 33 ми бачимо два попередження повідомлення про те, що спрацювало наше створене вище правило – заборона роботи з USB-пристроями. Користувач спробував відкрити підключений зовнішній диск.

Малюнок 33: Повідомлення від модуля DLP Guard – користувач намагався відкрити флешку


У вкладці Завдання відображаються всі виконані, поточні та заплановані завдання на кінцевій точці. Завдання можна запускати, зупиняти, видаляти і переглядати їх властивості. Показує час початку та закінчення виконання, а також стан виконання (див. малюнок 34). У нашому випадку бачимо, що вибраної точки мережі ряд завдань вже присутня.

Малюнок 34: Список завдань та їх стан


У вкладці Спостереження ми можемо створювати правила стеження за об'єктами системного реєстру і файлової системи – це дуже важлива функція. По-мовчанню тут немає ніяких правил, їх потрібно створювати самостійно.

Малюнок 35. Вікно спостереження, правила ще не створені


Давайте створимо пару правил для спостереження і подивимося на результат. Для початку, створимо правило для стеження за текстовим файлом, який знаходиться на робочій станції користувача. Для цього достатньо клацнути правою кнопкою миші на розділі Файлова система і виконати команду Додати. У вікні вибираємо об'єкт файлової системи, за яким будемо вести спостереження (див. малюнок 36).

Малюнок 36: Вибираємо об'єкт для правила спостереження


Правило створено, не забуваємо клікнути по посиланню Застосувати в нижній частині екрана.

Малюнок 37: Створене правило спостереження


Аналогічно створимо правило і для системного реєстру. Будемо відстежувати маніпуляції з однією з гілок автозапуску.

Малюнок 38: Правила для файлової системи і системного реєстру готові


Не варто надмірно захоплюватися створенням правил і спробами контролю за все і вся, інакше в купі повідомлень ми пропустимо дійсно важливі події.


Тепер прийшов час подивитися на результат наших дій. Заходимо у вкладку Інформація і бачимо так нові повідомлення про те, що підконтрольний файл відкривався і змінювався, а в підконтрольній гілці реєстру з'явився новий параметр. Подібним чином може бути відстежено несанкціонований доступ до конфіденційної інформації або установка шкідливої ​​програми.

Малюнок 39: Правила спостереження спрацювали


І на закінчення розглянемо дуже цікаву вкладку Safe”n”Sec iCamera. У ній ми можемо вести віддалене відеоспостереження за робочою станцією або який-небудь іншою точкою мережі з можливістю запису відео-роликів. Як правило, в організаціях часто вже застосовуються системи віддаленого управління і відеоспостереження типу Radmin або сімейство VNC. Не варто відмовлятися від них, якщо вони вже розгорнуті. Вони прекрасно доповнять один одного.


Записані відео-фрагменти систематизуються за часом, що дуже зручно для їх подальшого пошуку та аналізу, див. малюнок 40.

Малюнок 40: Записаний відео-фрагмент дій користувача за допомогою Safe "n" Sec iCamera


На сервері з встановленим сервісним центром доступні додаткові можливості в Safe "n" Sec Admin Explorer, а саме перегляд списку кінцевих точок мережі обслуговуються цим сервісним центром і керування ліцензіями. У вікнах Інформація і Завдання відображаються всі повідомлення і завдання з усіх кінцевих точок мережі обслуговуються цим сервісним центром.

Малюнок 41: Головною вікно Safe "n" Sec Admin Explorer


Бачимо, що крім встановлених SysWatch і DLPGuard на даному сайті є ще й Safe "n" Sec Service Center.

Малюнок 42: Список кінцевих точок мережі, що обслуговуються даними сервісним центром


Малюнок 43: Встановлені ліцензії


Малюнок 44: Список повідомлень всіх кінцевих точок мережі, що обслуговуються даними сервісним центром


Централізований збір і відображення всіх подій з усіх кінцевих точок мережі позбавляє офіцера безпеки від необхідності перегляду кожної кінцевої точки мережі окремо.

Малюнок 45: Список завдань всіх кінцевих точок мережі обслуговуються даним сервісним центром


На цьому ми закінчуємо огляд основних можливостей Safe "n" Sec Enterprise Suite


Висновки


Safe "n" Sec Enterprise Suite є потужним продуктом для забезпечення комплексної безпеки корпоративних мереж, контролю і розмежування доступу до конфіденційної інформації, заснованим на найсучасніших технологіях.


До плюсів Safe "n" Sec Enterprise Suite варто віднести великий функціонал по контролю і захисту інформації від зовнішніх і внутрішніх загроз, достатню простоту установки і легкість в роботі, застосування передових інноваційних технологій у роботі продукту, хороша сумісність з антивірусним програмним забезпеченням, а також низькі системні вимоги для клієнтської частини продукту.


Використання технології "білих списків" прекрасно підходить для захисту типових робочих станцій, платіжних терміналів і банкоматів. Так як програмне забезпечення та обладнання там змінюється вкрай рідко, то блокування всіх недовірених додатків і дій є найбільш логічним і ефективним підходом з точки зору безпеки.


Варто відзначити вбудований клієнт відеоспостереження Safe”n”Sec iCamera, Який надає можливість запису відео-фрагментів з робочого столу віддаленої кінцевої точки мережі. Це дає додаткові можливості по збору доказової бази для служби безпеки.


До мінусів продукту, як було вже сказано на початку огляду, можна віднести відсутність можливості моніторингу повідомлень інтернет-месенджерів (дуже потрібна функція, з урахуванням того, що вони увійшли міцно навіть в робочу життя), роботи з бездротовими мережами і контроль над відвідуванням інтернет-ресурсів співробітниками підприємства. Але це скоріше не мінуси, а побажання для подальшого розвитку функціоналу продукту з нашого боку, тому що в більшості випадків на фірмах вже використовуються системи контролю доступу співробітників до мережі Інтернет.


Також в Safe "n" Sec Enterprise Suite явно не вистачає можливості відстеження змін вмісту конфіденційних документів, на наш погляд, для продуктів такого класу вона просто необхідна. Також розробникам варто ввести в продукт можливість відправки повідомлень і звітів не тільки по e-mail, а й по інших каналах, наприклад, по ICQ, Jabber або по SMS.


Окремо варто відзначити проблеми технічного характеру: були помічені збої в роботі сервісних компонентів продукту, проведені зміни налаштувань не завжди зберігалися.


Тим не менш, наша суб'єктивна оцінка рішення Safe "n" Sec Enterprise Suite – 8 з 10 балів.

Продукт отримує нагороду Approved by Anti-Malware.ru

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*