Продукты

Traps

Traps представляет собой решение для расширенной защиты рабочих станций, способное предотвращать изощренные атаки с использованием эксплойтов или вредоносных исполняемых файлов еще до выполнения каких-либо злонамеренных действий вне зависимости от установленных исправлений программ.

При попытке атаки Traps сразу же блокирует выполняемые ею операции, завершает процесс и сообщает о предотвращении угрозы пользователям и системным администраторам. После блокирования атаки Traps собирает подробные аналитические данные, включающие название вредоносного процесса, состояние памяти во время блокировки и другую информацию, а затем создает отчеты для Endpoint Security Manager.

Решение Traps защищает рабочие станции как от вредоносного ПО в виде исполняемых файлов, так и от эксплойтов, содержащихся в файлах данных, а также от атак, осуществляемых по сети.

Traps

Защита от уязвимостей «нулевого дня» и неизвестного вредоносного ПО
Вам больше не придется ждать обновления сигнатур или отслеживать симптомы возможного вторжения – вы уже защищены от самых новых и изощренных угроз.

Удобный вам график установки исправлений
Поскольку исправления выходят не сразу, уязвимости долгое время оставляют систему незащищенной, а установка исправлений отнимает много времени и сил. Необходимость тщательного тестирования исправлений и их своевременного развертывания на всех рабочих станциях – непростая задача для ИТ-отделов. Кроме того, практически в каждой организации имеются устаревшие, но необходимые системы, на которые по тем или иным причинам установка исправлений невозможна. Расширенная защита рабочих станций позволяет обеспечить их безопасность вне зависимости от наличия исправлений.

Защита любых приложений от эксплойтов
За счет того, что решение Traps отслеживает алгоритмы эксплойтов, а не уникальные характеристики отдельных программ, его использование возможно для защиты любых приложений. Большинство систем безопасности рабочих станций способны защитить от эксплойтов лишь несколько самых популярных программ, в то время как Traps позволяет пользователям обеспечить безопасность сотен специализированных приложений.

Минимальный ущерб для производительности
Технология Traps не опирается на сканирование системы, виртуализацию и другие ресурсоемкие технологии. Агент потребляет минимум ресурсов и не затрагивает работу программ, а значит, может оставаться полностью невидимым для конечных пользователей.

Экономия времени и средств
За счет предотвращения атак вы сможете избавиться от затрат, связанных с простоем работы и восстановлением систем, которые часто оказываются неизбежными при заражении вредоносным ПО, особенно когда необходимо повторное развертывание образов.

Простота управления и низкая частота обновлений
Одним из недостатков традиционных систем защиты рабочих станций является необходимость постоянно устанавливать обновления сигнатур. Решение Traps выполняет обнаружение по небольшому ряду алгоритмов, обычно используемых вредоносным ПО, за счет чего необходимость в частых обновления отсутствует.

Анализ угроз за счет интеграции с WildFire
Благодаря интеграции с WildFire клиентам доступна обширная экосистема по анализу угроз, участники которой ежедневно загружают в нее более миллиона образцов. За счет автоматической загрузки и анализа неизвестных исполняемых файлов вы сможете проанализировать каждый новый исполняемый файл на рабочей станции.

Архитектура системы Traps

Консоль Endpoint Security Manager
Инфраструктура Traps поддерживает множество вариантов архитектуры и возможность масштабирования под крупные распределенные среды. При установке ESM в Microsoft SQL Server создается специальная база данных, а в IIS устанавливается консоль администрирования. Поддерживаются версии Microsoft SQL 2008 и 2012. Под ESM может быть выделен новый сервер SQL, также возможно создание базы данных на уже существующем SQL-сервере.
Сервер для рабочих станций может быть установлен на физических или виртуальных машинах с Windows Server 2008 R2, Windows Server 2012 или Windows Server 2012 R2.

Серверы Endpoint Security Manager
Серверы ESM по сути выступают в роли посредников между агентами Traps и базой данных ESM. Передача данных между агентами Traps и серверами ESM осуществляется по протоколу HTTPS. Серверы ESM не хранят никаких данных, поэтому можно легко добавлять в существующую среду новые серверы или удалять уже имеющиеся по мере необходимости, обеспечивая требуемое резервирование и географический охват.
При необходимости глобальных подключений клиенты, не использующие мобильное решение, например Palo Alto Networks® GlobalProtect™, могут установить ESM-сервер в сегменте DMZ или в облачной среде с внешними подключениями. ESM-серверы поддерживают установку на физических или виртуальных машинах с Windows Server 2008 R2, Windows Server 2012 или Windows Server 2012 R2.

Агент Traps
Для установки агента Traps используется пакет MSI объемом около 9 МБ. Установить пакет можно с помощью любого инструмента развертывания ПО. Последующие обновления агента осуществляются через ESM. Агент занимает менее 25 МБ на диске и не более 40 МБ в оперативной памяти во время работы. Загрузка ЦП при этом составляет менее 0,1%. В агенте также используются различные методы для предотвращения вмешательства в его работу, которые не позволяют пользователям и вредоносному коду отключить защиту или изменить конфигурацию агента.
За счет того, что структура среды Traps не потребляет много ресурсов, она поддерживает горизонтальное масштабирование и позволяет создавать крупные системы с 50 000 агентов на каждый сервер ESM. При этом настройка политик и хранение их базы данных по-прежнему осуществляются централизованно. Traps может работать параллельно с большинством популярных решений для безопасности рабочих станций, сохраняя невероятно низкую загрузку ЦП и подсистемы ввода-вывода. За счет минимального вмешательства в работу имеющихся систем Traps идеально подходит для критически важных инфраструктур, специализированных систем и сред виртуальных рабочих станций.

Ведение внешнего журнала
Системы ESM могут не только сохранять внутренние логи, но и вести журнал при помощи внешней платформы, например SIEM, SOC или syslog. В организациях, где используется множество ESM-серверов, внешняя платформа позволяет совместно контролировать все базы данных журналов.