Тест решения ESET Endpoint Security для защиты банкоматов

Дата проведения: 07.02.2017 00:00

Программное обеспечение ESET Endpoint Security представляет собой новый подход к созданию действительно комплексной системы безопасности банкоматов.

Модуль сканирования ThreatSense® в совокупности со специализированными модулями персонального файервола обеспечивает скорость и целостность, необходимые для безопасности программного обеспечения банкоматов. Продукт представляет собой развитую систему непрерывного предупреждения атак и защиты от вредоносных программ. В данном обзоре рассмотрим функционал, предлагаемый ESET Endpoint Security, а также проверим надёжность предоставляемой защиты.

Функциональные возможности

Системные требования

Система должна отвечать перечисленным ниже аппаратным и программным требованиям:

Установка

Для установки ESET Endpoint Security необходимо запустить предоставленный дистрибутив. Сначала программа проверяет наличие более новой версии ESET Endpoint Security. При обнаружении появится уведомление о её наличии на первом этапе установки. Производитель рекомендует выбирать «Загрузить и установить новую версию», для установки последней актуальной версии программы. На следующем этапе на экран будет выведено лицензионное соглашение с конечным пользователем. Нажав кнопку «Принять», подтверждаем свое согласие с условиями лицензионного соглашения с конечным пользователем. В режиме установки необходимо выбрать «Обычная (рекомендуемые оптимальные настройки)». После выбора режима установки и нажатия кнопки «Далее» предлагается ввести имя пользователя и пароль для автоматического обновления программы.

Следующим действием при установке является конфигурирование обнаружения потенциально нежелательных приложений. Они не обязательно являются вредоносными, но часто негативно влияют на работу операционной системы. Последним этапом обычной установки является подтверждение установки.

После установки ESET Endpoint Security следует выполнить сканирование компьютера устройства для выявления зловредного кода. Это действие так же применимо в случае групповой установки через консоль централизованного управления. В главном окне программы необходимо выбрать пункт «Сканирование компьютера», а затем — «Сканирование Smart».

Сканирование Smart позволяет быстро запускать сканирование компьютера устройства и очищать зараженные файлы. Преимущество данного сканирования заключается в том, что оно удобно в выполнении и не требует тщательного конфигурирования сканирования. При сканировании проверяются все файлы на локальных дисках и автоматически помещаются в карантин для дальнейшего изучения на наличие зловредного кода.

Работа с продуктом ESET Endpoint Security

ESET Endpoint Security имеет довольно простой и интуитивно понятный интерфейс. Из главного окна имеется возможность сразу попасть в интересующий раздел

«Состояние защиты» содержит сведения о состоянии защиты ESET Endpoint Security.

Пункт «Сканирование» компьютера позволит сконфигурировать и запустить сканирование Smart или выборочное сканирование.

«Обновление» выводит информацию об обновлениях базы данных сигнатур вирусов.

Пункт «Служебные программы» позволяет открыть файлы журнала, статистику защиты, программу мониторинга, запущенные процессы, сетевые подключения, планировщик, карантин, ESET SysInspector и ESET SysRescue.

Тест производительности системы без ПО ESET Endpoint Security показывает загрузку ЦПУ на уровне 2% и 235 МБ использованной оперативной памяти.

При установке ПО ESET Endpoint Security загрузка ЦПУ колебалась в пределах 2%-24%, загрузка оперативной памяти возросла и составила 340МБ.

Сканирование файловой системы модулем антивируса ESET Endpoint Security заняло 4 минуты 11 секунд. В ходе сканирования появляется всплывающее окно с информацией о найденных угрозах, а также краткая сводка результатов сканирования.

В ходе тестирования антивирус обнаружил заранее скопированные в систему тестовые файлы EICAR, которые не являются вирусом, но многие антивирусные программы будут детектировать их как "EICAR test file".

Узнать подробности сканирования можно, перейдя по ссылке «Показать подробности». Далее предоставляется возможность посмотреть дату и время начала и окончания сканирования, версию базы данных сигнатур, а также узнать, какие разделы были просканированы и какие файлы были заражены. Всё это отображено в журнале проверки.

Настройка параметров модуля ThreatSense

ThreatSense — технология, состоящая из множества сложных методов обнаружения угроз, является упреждающей, т. е. она защищает от новой угрозы уже в первые часы ее распространения. Используется сочетание нескольких методов (анализ кода, моделирование кода, обобщенные сигнатуры, сигнатуры вирусов). Модуль сканирования может контролировать несколько потоков данных одновременно. Для технологии ThreatSense можно настроить несколько параметров сканирования:

- расширения и типы файлов, подлежащих сканированию;
- сочетание методов обнаружения угроз;
- уровни очистки и т. д.

После нажатия кнопки «Настройка», открывается окно параметров любого модуля, использующего технологию ThreatSense. Разные сценарии обеспечения безопасности требуют различных настроек, поэтому технологию ThreatSense можно настроить отдельно для каждого из перечисленных далее модулей защиты:

- Защита файловой системы в режиме реального времени;
- Защита доступа в Интернет;
- Сканирование компьютера.

Параметры ThreatSense оптимизированы для каждого из модулей. Производитель не рекомендует изменять параметры ThreatSense по умолчанию ни для каких модулей, кроме модуля «Сканирование компьютера».

Контроль доступа к реестру обеспечивает «Система предотвращения вторжения на узел», настройки правил которой можно найти в разделе дополнительных настроек.

В данном разделе располагаются сконфигурированные правила, запрещающие системе несанкционированно изменять, удалять или переименовывать значения реестра. В ходе тестирования, при попытке внести изменения в защищённую область реестра, операция была заблокирована, и появилось окно с соответствующим уведомлением.

В разделе «Система предотвращения вторжения на узел» имеется возможность настройки правил, которые позволяют обеспечить контроль целостности программного обеспечения. Здесь Вы сможете сконфигурировать правила для защиты выбранных файлов от удаления и записи, а также для блокирования операций доступа к диску, загрузки драйверов и других действий.

Теперь, при попытке произвести одно из вышеописанных действий над защищенными файлами, на экране устройства появится сообщение об отказе в выполнении данного действия.

ESET Endpoint Security обеспечивает автоматическое «управление устройствами» (компакт- и DVD-дисками, USB-устройствами и т.д.). Данный модуль позволяет сканировать, блокировать и изменять разрешения, а также выбирать способ получения доступа к конкретному устройству и работы с ним. Это удобно, если у Вас есть необходимость предотвращать использование внешних устройств

При попытке подключить к системе внешнее устройство с заражёнными файлами, появится оповещение о результате сканирования, проведённого на данном устройстве. Если данное устройство отсутствует в списке разрешённых к использованию, Вы получите уведомление о блокировке данного устройства.

Настройки модуля «Сетевого контроля приложений» можно найти в дополнительных настройках сети, в разделе «Персональный файервол». Здесь доступны уже готовые режимы фильтрации на выбор, а также дана возможность задать свои профили файервола.

В ручном режиме настройки можно задать правила фильтрации сетевых соединений для всех приложений либо выбрать определённые и задать правила для них.

При попытке приложения использовать запрещённое профилем соединение, на экран будет выведено оповещение о запрете использования данного соединения.

ESET Endpoint Security даёт возможность вести мониторинг сетевых соединений. Данная функция доступна из раздела служебных программ, пункта сетевых подключений. В разделе «Сетевые подключения» можно наблюдать за всеми активными подключениями устройства в данный момент, а также узнать, какие ip-адреса и порты используются приложениями в данных соединениях.

ESET Remote Administrator (ERA) — средство, используемое для управления политиками безопасности и получения общих сведений о безопасности сети. Средство ERA не только повышает уровень безопасности, но и облегчает администрирование ESET Endpoint Security. В таком режиме можно устанавливать и конфигурировать программы, просматривать журналы, планировать задачи по обновлению, задачи по сканированию и т.д.

Для обмена данными между ESET Remote Administrator (ERA) и ESET Endpoint Security необходимо правильно выполнить конфигурирование доступа конечной точки и сервера удалённого администрирования.

ERA базируется на двух основных принципах:

- Централизованное управление — предусматривает возможности для настройки сети, её управления и осуществления мониторинга с одного ресурса;
- Масштабируемость — развертывание системы можно выполнить в больших корпоративных рабочих средах.

На рисисунке изображена консоль централизованного администрирования (ESET Remote Administrator):

Выводы

ESET Endpoint Security предоставляет многостороннюю защиту от вирусов и шпионских программ, предотвращает вредоносные атаки на банкомат путём контроля файловой системы и обмена данными через Интернет. Обнаружив угрозы или вредоносного код, модуль защиты от вирусов сначала заблокирует и обезвредит его, а затем удалит или переместит в карантин.

Функция защиты файловой системы в режиме реального времени позволяет контролировать все события, относящиеся к защите файлов от вирусов. Все файлы сканируются на наличие вредоносного кода в момент их открытия, создания или изменения. Благодаря использованию защиты в режиме реального времени, было снижено влияние на производительность. Файлы, которые уже сканировались, не проверяются повторно, пока они не будут изменены. После каждого обновления базы данных сигнатур вирусов, файлы сканируются повторно. Защита в режиме реального времени является наиболее существенным элементом всей системы обеспечения безопасности.

Сканирование Smart позволяет быстро запустить сканирование компьютера и выявить зараженные файлы без вмешательства пользователя. Преимущество сканирования Smart заключается в том, что оно удобно в выполнении и не требует тщательного конфигурирования.

Технология ThreatSense, состоящая из множества сложных методов обнаружения угроз, защищает от новых угроз уже в первые часы их распространения. При этом используется сочетание нескольких методов (анализ кода, моделирование кода, обобщенные сигнатуры, сигнатуры вирусов), которые совместно значительно повышают уровень безопасности банкомата.

ESET Endpoint Security обеспечивает автоматическое управление устройствами (компакт- и DVD-дисками, USB- устройствами и т. п.), позволяя сканировать, блокировать и изменять разрешения, а также выбирать, как пользователь может получать доступ к конкретному устройству и работать с ним.

Система предотвращения вторжений на узел защищает от вредоносных программ и другой нежелательной активности, которые пытаются отрицательно повлиять на безопасность компьютера. В системе предотвращения вторжений на узел используется расширенный анализ поведения в сочетании с возможностями сетевой фильтрации по обнаружению, благодаря чему отслеживаются запущенные процессы, файлы и разделы реестра. Система предотвращения вторжений на узел стоит отдельно от защиты файловой системы в режиме реального времени и не является файерволом; она отслеживает только запущенные процессы в операционной системе.

ESET Endpoint Security автоматически сканирует подключаемые внешние устройства и блокирует работу с ними, если данное устройство не имеется в списке разрешённых. Дополнительный модуль сканирования памяти отслеживает поведение процессов и сканирует зловредные процессы, когда они снимают маскировку в памяти. Защита от уязвимости дополнительно расширяет настройки фильтрации для обнаружения атак и уязвимостей различных типов.