Современные кибератаки предназначены для обхода защиты, обеспечиваемой традиционными решениями безопасности. По мере того, как хакеры становятся более профессиональными, эти атаки становятся все более частыми и изощренными. Это также является результатом недостаточного внимания к исправлению уязвимостей в системе безопасности. Из-за этого традиционных платформ защиты (Epp) недостаточно. Это связано с тем, что они не обеспечивают достаточно подробной информации о процессах и приложениях, запущенных в корпоративных сетях. Более того, некоторые решения EDR, далекие от решения каких-либо проблем и увеличивают нагрузку на администраторов безопасности, делегируя ответственность за управление предупреждениями и заставляя их вручную классифицировать угрозы.
Как инновация в области безопасности , Служба приложений с нулевым доверием-это управляемая служба, включенная в состав решений WatchGuard EPDR и WatchGuard EDR. Эта служба классифицирует приложения как вредоносные или как надежные, а затем разрешает выполнение только надежных приложений на каждой конечной точке. Поскольку это полностью автоматизированная служба, она не требует каких-либо вводных данных или решений от конечного пользователя, аналитиков безопасности или ИТ-групп. Служба классифицирует 100% запущенных процессов в режиме реального времени, отслеживает активность конечных точек и блокирует выполнение приложений и вредоносных процессов (до выполнения, во время выполнения и после выполнения).Служба приложений с нулевым доверием состоит из трех ключевых компонентов:
- Непрерывный мониторинг активности конечных точек с облачной платформы. Активность каждого приложения в конечной точке, независимо от его характера, отслеживается и отправляется в Облако для непрерывной классификации. Таким образом, можно предотвратить выполнение вредоносных программ и даже сложные угрозы. Служба приложений с нулевым доверием позволяет по умолчанию запретить любой процесс, запущенный на конечной точке, что позволяет избежать выполнения потенциально опасных приложений и вредоносных процессов. Для каждого выполнения она отправляет классификационный вердикт в режиме реального времени, злонамеренный или законный, без какой-либо неопределенности и без делегирования какого-либо ручного процесса клиенту. Этот процесс классификации позволяет запускать приложения, классифицированные как законные, но что произойдет, если законное приложение со временем превратится в вредоносное ПО? Во многих случаях законное программное обеспечение используется для совершения вредоносных действий с целью получения финансовой выгоды, в том числе некоторыми престижными фирмами-разработчиками программного обеспечения. Это аномальное поведение кажущегося законным программного обеспечения переклассифицируется благодаря постоянному мониторингу и переоценке, которые проводятся на нашей платформе BigData.
- Автоматизированная классификация на основе искусственного интеллекта. Автоматизированная классификация выполняется в облачной системе искусственного интеллекта, где множество алгоритмов машинного обучения (ML) обрабатывают сотни статических, поведенческих и контекстных атрибутов в режиме реального времени. Атрибуты извлекаются из телеметрии защищенной среды и из набора физических "песочниц", в которых детонируются исполняемые файлы. Сегодня уровень автоматизированной классификации составляет 99,98%, так что только 0,02% процессов требуют вмешательства наших экспертов. Таким образом, система классификации является самодостаточной, масштабируемой (для больших объемов файлов), работающей в режиме реального времени и не полагающейся на какие-либо данные конечного пользователя.
- Управление приложениями на основе рисков. Относится к режимам работы агента защиты, работающего в конечных точках. Существует два уровня защиты:
• Режим защиты: по умолчанию-запретить для любого неизвестного приложения или двоичного файла, поступающего извне (веб-загрузки, электронная почта, съемные носители, удаленные местоположения и т.д.).
• Режим блокировки: по умолчанию-запретить для любого неизвестного приложения или двоичного файла, независимо от его происхождения (из сети, из самой конечной точки или извне). Это гарантирует, что все запущенные процессы являются проверенными и безопасными.
Коллективный интеллект безопасности конечных точек WatchGuard-это еще один ключевой компонент, размещенный в Облаке. Он повышает эффективность службы приложений с нулевым доверием. Коллективный интеллект представляет собой консолидированное и инкрементное хранилище знаний всех приложений, двоичных файлов и других файлов, содержащих интерпретированный код, как надежный, так и вредоносный. Это хранилище в облаке постоянно поддерживается системой искусственного интеллекта и экспертами-аналитиками, и в то же время постоянно запрашивается решениями и службами WatchGuard Endpoint Security перед любым выполнением.
Более подробную информацию о решении запросить тут: https://b24-qjb185.bitrix24.site/registratsiya/