WithSecure Elements EPP - antywirus dla biznesu

1. Wstęp

“WithSecure™ Elements to ujednolicona, bazująca na chmurze platforma cyberbezpieczeństwa, zaprojektowana w celu ograniczenia ryzyka, zmniejszenia stopnia skomplikowania mechanizmów ochronnych oraz zwiększenia ich wydajności.” - za www.withsecure.com

WithSecure, dawniej F-Secure for Business, w swoim portfolio posiada wiele rozwiązań z zakresu cyberbezpieczeństwa. W tym materiale skupię się głównie na WithSecure Elements EPP (Endpoint Protection Premium).

2. WithSecure EPP (Endpoint Protection Premium)

WithSecure EPP jest idealnym rozwiązaniem do zastosowania w firmach, składa się na to wiele aspektów. Ja skupię się głównie na tych praktycznych, które pomagają w codziennej pracy administratora, który musi dbać o cyberbezpieczeństwo niejednokrotnie kilkudziesięciu komputerów w danej organizacji.

2.1 Konsola zarządzająca “in the cloud”

Konsola zarządzająca jest dostępna jedynie przez przeglądarkę WWW, z każdego miejsca na świecie non-stop dzięki rozwiązaniu “in the cloud”. Oznacza to, że jest dostępna zawsze i z każdego urządzenia, które potrafi wyświetlać stronę WWW. Dzięki temu, nie trzeba już mieć specjalnej instalacji na jednym z komputerów w sieci lokalnej, aby logować się do konsoli administracyjnej (tak jak było to w rozwiązaniu F-Secure CS).

Usprawnia to szalenie proces zarządzania, ponieważ administracją WithSecure EPP można zajmować się skądkolwiek.

2.2 Błyskawiczna reakcja na zagrożenia - łatki na bieżąco

WithSecure EPP został wyposażony w sprawny system instalacji aktualizacji, zarówno definicji nowych zagrożeń, jak i samego agenta EPP (nazwa stosowana przez WithSecure dla zainstalowanego oprogramowania WithSecure EPP).

Zdarza się, że w ciągu dnia agent aktualizuje swoją bazę zagrożeń kilkanaście razy. Świadczy to o bardzo poważnym podejściu do kwestii bezpieczeństwa przez WithSecure.

2.3 Profile

Oczywiście i tego nie mogło zabraknąć w rozwiązaniu WithSecure EPP. Na czym więcj polegają te profile? Otóż każdą stację roboczą (czy serwer) można przypisać do danego profilu, który definiuje pracę stacji w ramach danej instalacji WithSecure EPP. Jako przykład niech posłużą dwa profile. W profilu o nazwie A definiujemy, iż każda stacja w tym profilu ma zablokowany dostęp do portów USB, natomiast stacje z profilu “B” nie mają takiej blokady. Jednym słowem od polityki bezpieczeństwa w danej organizacji możemy definiować w rozwiązaniu WithSecure, co na danej stacji można robić, a co nie.

Jeśli ktoś miał doczynienia z F-Secure Client Security, to tam były tzw. “polisy”, które mogły dziedziczyć swoje właściwości z “polis” nadrzędnych. Tutaj tego nie ma, są natomiast właśnie profile, które umożliwiają zarządzanie “płaskie”, czyli bez mechanizmów dziedziczenia (jak to miało miejsce w F-Secure CS). Wystarcza to jednak w zupełności do zarządzania.

2.4 Blokada zmiany ustawień przez użytkowników

Istnieje możliwość blokowania zmian w WithSecure EPP, tak aby użytkownik dla swojej wygody nie zmieniał pewnych ustawień (obchodząc politykę bezpieczeństwa w danej organizacji). Bardzo przydatna opcja.

2.5 Automatyzacja

W profilu WithSecure EPP można ustawiać zadania, które będą wykonywane cyklicznie (automatycznie).

Przykład: Zazwyczaj użytkownicy nie instalują aktualizacji systemowych, ponieważ nie chce im się czekać na zamknięcie systemu. Można więc tak ustawić zadanie automatyzacji, aby komputer o danej porze instalował aktualizacje systemowe i następnie wyłączał się. Inny przykład, to skanowanie całego dysku przed szkodliwym oprogramowaniem, raz na tydzień w piątek o 10.00.

To są tylko przykłady, ale pokazują możliwości zarządzania taką stacją roboczą. Konsola umożliwia wybór z listy wcześniej zdefiniowanych czynności.

2.6 Izolacja sieciowa stacji roboczej

W przypadku infekcji lub wykrycia podejrzanego zachowania na stacji roboczej, można wykonać izolację sieciową takiej stacji roboczej. W takim przypadku, dostęp do stacji jest jedynie możliwy z poziomu konsoli zarządzającej WithSecure EPP. Pozostałe połączonia wychodzące i przychodzące zostają zablokowane.

Przydatne narzędzie, które w szybki sposób odcina urządzenie od sieci w przypadku wykrytego zagrożenia.

2.7 Kontrola nad aktualizacjami zainstalowanego oprogramowania.

Kolejna bardzo przydatna funkcjonalność: zarządzanie aktualizacjami, czy to zainstalowanego oprogramowania, czy też aktualizacji systemowych. Tak szczerze, to obecnie nie wyobrażam sobie bez tego zarządzania jakąkolwiek grupą komputerów.

W konsoli zarządzającej widzimy dokładnie jaki komputer, jakiej aktualizacji oprogramowania potrzebuje. Teraz za pomocą kliknięcia lub dwóch jestem w stanie zainstalować krytyczną aktualizację np. Chrome, bez oczekiwania, kiedy Chrome zrobi to sam. Wszystko odbywa się w tle, bez niepokojenia użytkowników. Fenomenalne narzędzie!

2.8 Ochrona przeglądania stron WWW

Dodatek do popularnych przęglądarek WWW, który podnosi poziom bezpieczeństwa organizacji. Dzięki temu, każdy adres pobrany przez przeglądarkę jest poddawany ocenie w systemie reputacji stron WWW WithSecure. Tylko bezpieczne adresy stron WWW mogą zostać wyświetlone i pobrane. Inne są blokowane. Oczywiście z poziomu konsoli zarządzającej możemy tworzyć wyjątki.

Alarmy o blokowanych stronach widzimy również w konsoli zarządzającej.

2.9 Uproszczona instalacja na stacjach roboczych

WithSecure EPP posiada bardzo proste mechanizmy instalacyjne, dostępne z poziomu konsoli zarządzającej.

1. Możemy wysłać poprzez wiadomość e-mail link-zaproszenie (stworzone przez system), za pomocą którego użytkownik pobierze oprogramowanie i po zainstalowaniu na swoim komputerze od razu pojawi się w konsoli zarządzającej.
2. Możemy też wygenerować sobie plik instalatora exe/msi i zainstalować w trybie offline na komputerze docelowym.
3. Możemy też wykorzystać GPO domeny Windows i plik instalatora MSI, aby w ten sposób zainstalować agenta WithSecure EPP.

W zależności od potrzeb.

2.10 Raporty

WithSecure EPP posiada rozbudowany mechanizm tworzenia raportów. Administrator może zdefinować własne za pomocą dostępnego kreatora lub korzystać z gotowych raportów.

2.11 Zdarzenia bezpieczeństwa

System wyświetla w konsoli zarządzającej informację o wykrytych i zablokowanych zagrożeniach, podając dokładnie wszystkie informacje: nazwę stacji roboczej, nazwę zalogowanego użytkownika, rodzaj zagrożenia etc. Mamy pełny wgląd w sytuację i możemy szybko zareagować.

3. Rozwiązania w ramach WithSecure Elements - przegląd

Rozwiązanie WithSecure Elements składa się z kilku elementów, które są wykorzystywane razem lub osobno, według potrzeb w danej organizacji:

1. WithSecure Elements EPP (Endpoint Protection Premium):

• Ochrona przez całą dobę wpełni autonomicznie, co przekłada się na małą ilość ręcznych operacji - bez konieczności posiadania specjalistycznej wiedzy.
• Pełna Ochrona przed ukrytymi zagrożeniami i atakami - analiza heurystyczna i behawioralna, zaawansowane uczenie maszynowe i dynamiczne gromadzenie danych o zagrożeniach w czasie rzeczywistym.
• Automatyczny system zarządzania poprawkami, który dba, aby poprawki zostały zinstalowane natychmiast po ich pojawieniu się.
• Blokada uruchamiania aplikacji i skryptów według reguł utworzonych przez Twojego administratora (pełna kontrola).
• Aktywna ochrona użytkowników Twojej organizacji przed zagrożeniami w sieci (strony ze złośliwym oprogramowaniem).
• Technologie DeepGuard i DataGuard chronią przed działaniem złośliwego oprogramowania oraz zapobiegają niszczeniu i manipulowaniu danymi.
• Pełna kontrola nad urządzeniami zewnętrznymi typu pendrive, napędy USB - zapobieganie wyciekowi danych.
• Ochrona przed nieuprawnionemu dostępowi aplikacji do plików i zasobów systemowych.

2. WithSecure Elements EDR (Endpoint Detection Response):

• Pełny podgląd sytuacji na urządzeniach użytkowników w czasie rzeczywistym - obsługa systemów Windows, macOS i Linux.
• Broad Context Detection - szybkie i dokładne wykrywanie zagrożeń. Brak nieistotnych alertów, obserwowanie podejrzanych zachowań.
• Skuteczny mechanizm wyszukiwania zagrożeń - filtrowania zdarzeń.
• Schematyczne wizualizacje, które pozwalają na zrozumienie powiązanego łańcuchów zdarzeń.
• Natychmiastowa reakcja na zagrożenie za pomocą zdefiniowanych zautomatyzowanych akcji reagowania, łącznie z izolacją hosta od sieci.
• Platforma zgodna z wymogami PCI, HIPAA i GDPR.

3. WithSecure Elements VM (Vulnerability Management):

• Pełny obraz sytuacyjny i dokładna prezentacja wszystkich zasobów, systemów i aplikacji oraz shadow IT.
• Zredukowanie do minimum obszaru podatnego na zagrożenia za pomocą identyfikacji podatnych systemów, oprogramowania i niewłaściwych konfiguracji.
• Ryzyko zminimalizowane poprzez zastosowanie środków predykcyjnych i zapobiegawczych przed wystąpieniem jakichkolwiek incydentów.
• Usprawnienie workflow - zautomatyzowane i zaplanowane skanowania systemowe. Priorytetowe traktowanie działań naprawczych z wbudowaną punktacją ryzyka.
• Skanowania w zakresie podatności na urządzenia zdalne poza siecią przy pomocy agenta punktu końcowego systemu Windows.
• Elastyczny system raportowania dotyczący stanu bezpieczeństwa i ryzyka.
• Ułatwienie przy spełnieniu wymagań zgodności – możliwość wygenerowania raportu opartego na kryteriach PCI ASV, na który można powołać się przy certyfikacji zgodności.

4. WithSecure Elements CP (Collaboration Protection):

• Wielopoziomowa i atrakcyjna cenowo ochrona zapewniająca ciągłość działania.
• Nieprzerwana ochrona uniezalezniona od urządzenia dostępowego użytkownika końcowego (PC, tablet, smartfon) - brak przerw lub przestojów bramy poczty e-mail.
• Uproszczony workflow - jednolite zarządzanie zabezpieczeniami w urządzeniach końcowych i chmurze.
• Skuteczne wdrożenie dzięki integracji chmura-chmura. Brak potrzeby stosowania oprogramowania pośredniczącego ani rozbudowanej konfiguracji.
• Blokowanie złośliwej zawartości oraz złośliwego oprogramowania ( ransomware) i co za tym idzie prób wyłudzenia informacji.
• Skuteczne wykrywanie zaawansowanego złośliwego oprogramowania, dzięku uruchamianiu i analize podejrzanych plików wykrytych w programach Outlook i SharePoint. Wszystkie operacje odbywają się w izolowanym środowisku typu sandbox.
• Umożliwienie sprawdzenia, czy mogło nastąpić włamanie na konta firmowe dzięki informacjom dotyczącym sposobu, kont, czasu i stopnia zaawansowania.
• Wykrywanie anomalii behawioralnych - zabezpieczenie skrzynki pocztowej przed podejrzanymi działaniami.
• Wydajność zwiększona dzięki automatycznym skanom.

4. Podsumowanie

WithSecure EPP to rozwiązanie dla organizacji każdej wielkości. Zabezpiecza instalacje złożone z klikunastu stacji roboczych, czy też kilkuset. Konsola centralnego zarządzania ułatwia zarządzanie, a funkcjonalności opisane powyżej upraszczają i usprawniają użytkowanie systemu.