OCHRONA STACJI i SERWERÓW

Szybkość powstawania nowych rodzajów zagrożeń, w połączeniu z wyszukanymi metodami zaciemniającymi złośliwy kod powoduje, że rozwiązania sygnaturowe przestają zapewniać wystarczająco wysoki poziom bezpieczeństwa chronionych środowisk.

Powstałą w ten sposób lukę uzupełnia się w związku z tym rozwiązaniami typu sandbox, uruchamiającymi i analizującymi złośliwy kod w wyizolowanym środowisku oraz systemami badającymi zachowanie kodu na stacjach końcowych i serwerach, zapewniającymi reagowanie na niestandardowe działania poszczególnych aplikacji, ujawniające ich złośliwe zamiary.

Jednym z efektów prac nad przygotowaniem tego rodzaju narzędzi są rozwiązania McAfee Dynamic Application Containment (DAC) oraz McAfee Real Protect, integrujące się z dotychczas udostępnianym pakietem rozwiązań do ochrony stacji końcowych i serwerów.

McAfee Real Protect

Funkcjonalność McAfee RP oparta jest o badanie reputacji zachowań kodu przed jego uruchomieniem i podczas jego wykonywania. Dzięki temu możliwe jest zatrzymanie danego procesu w momencie wykrycia typowych dla złośliwej aktywności schematów działań.

Źródłem wiedzy rozwiązania McAfee RP są prowadzone przez McAfee Labs badania oraz algorytmy machine learning, które w czasie rzeczywistym analizują trendy w zgłaszanych przez klientów próbkach. Technologia ta potrafi zabezpieczać systemy przed najbardziej zaawansowanymi atakami, bazując tylko i wyłącznie na ich zachowaniu – niezależnie od wyników porównania sygnaturowego.

McAfee Dynamic Application Containment

McAfee DAC pozwala na izolowanie nieznanych plików i aplikacji. Niezaufany kod nie jest blokowany, lecz uruchamiany w specjalnie wyizolowanym środowisku uruchomieniowym, gdzie blokowane są operacje typowe dla działalności kodu złośliwego. Analizowana w takim środowisku aplikacja nie będzie w stanie uruchamiać procesów zależnych, modyfikować krytycznych obszarów w rejestrze systemowym oraz tworzyć pliki wykonywalne na dysku twardym. Katalog zachowań potencjalnie szkodliwych jest stale aktualizowany przez McAfee Labs. Sam proces konteneryzacji nie zużywa prawie żadnych dodatkowych zasobów, jako że nie jest on odzwierciedleniem sandboxingu, wykonywanego na wyspecjalizowanych systemach.

Wszelkie informacje o potencjalnie szkodliwym zachowaniu aplikacji są wysyłane centralnej konsoli, gdzie mogą być analizowane w trakcie procesu reagowania na incydenty.

Niebezpieczeństwo niepopranego działania aplikacji biznesowych, które mogą być poddane konteneryzacji jest tutaj niewielkie – McAfee DAC ingeruje w działanie procesu tylko w sytuacji wykonania działań potencjalnie szkodliwych dla systemu.