Kaspersky Endpoint Security для бизнеса: все в одном

Выпустив в начале нынешнего года новую линейку средств безопасности «... для бизнеса» Лаборатория Касперского (ЛК) существенно упрочила свое положение на корпоративном рынке. Так, если в квадранте Gartner Endpoint Protection Platforms за 2012 г. ЛК едва пересекла границу между претендентами и лидерами, то в 2013 г. заняла прочное мест среди последних и оценивается аналитиками как одна из наиболее динамично развивающихся компаний.

Обратите внимание, что в данном случае, как и во многих прочих, Gartner рассматривает именно платформы, т.е. комплексные решения, включающие целый ряд механизмов:

• защиту от вредоносного ПО;
• защиту от шпионского ПО;
• персональный брандмауэр;
• предотвращение вторжений на уровне хоста;
• защиту мобильных данных (пофайловое или полнодисковое шифрование);
• защиту от утечек на конечных точках (DLP);
• контроль за уязвимостями;
• контроль за приложениями;
• управление мобильными устройствами (MDM).

Хотя все перечисленные механизмы имеют самое непосредственное отношение к обеспечению безопасности, реализуются они с помощью разных технологий и, вообще говоря, независимо. Gartner, однако, указывает, что среди заказчиков наибольшим спросом пользуются моновендорные интегрированные решения с унифицированным управлением, которые оказываются не только дешевле, но и гораздо проще в развертывании и обслуживании, чем комплект разрозненных продуктов с той же функциональностью. Именно в этом направлении и развивается линейка Kaspersky Endpoint Security (KES) для бизнеса, включающая три типовые редакции (Kaspersky Total Security выходит за рамки защиты только конечных точек):

Даже беглое знакомство с данной схемой показывает, что «KES для бизнеса» покрывает практически все функциональные разделы, определяемые Gartner, за исключением разве что DLP, хотя Контроль устройств представляет некоторые инструменты данного класса, в частности, позволяет блокировать подключение внешних накопителей и сетевых адаптеров. Сама ЛК выделяет пять основных функциональных блоков:

• защита от вредоносного ПО;
• безопасность мобильных устройств;
• шифрование данных;
• контроль рабочих мест;
• системное администрирование.

И всеми ими можно управлять из Kaspersky Security Center — административной консоли на основе стандартной Microsoft Management Console. Имеется также веб-консоль (на основе веб-сервера Apache) с базовыми возможностями, которая может пригодиться для оперативного удаленного управления или делегирования полномочий в рамках сервисной модели.

Защита от вредоносного ПО включает сигнатурный антивирус, поведенческий блокиратор и HIPS, персональный бандмауэр и ряд дополнительных механизмов, в том числе, основанных на облачных сервисах ЛК (к примеру, оценку репутации файлов). Реализующее ее ПО имеется для Windows, Mac OS X и Linux, хотя версии и функциональные возможности могут отличаться (ниже речь пойдет только о Windows). Оно же, при содействии специального агента, обеспечивает и все прочие защитные функции на рабочих местах:

Также защита от вредоносного ПО предлагается и для мобильных устройств фактически на всех актуальных платформах, включая Windows Mobile и BlackBerry, но исключая Windows Phone. Kaspersky Endpoint Security for Smartphone также различаются версиями, возможностями и способами развертывания (к примеру, для iOS — только в рамках MDM-решения). Кроме антивирусного сканера, в них может включаться брандмауэр, а также функции, характерные именно для смартфонов, такие как Анти-вор, фильтр контактов и SMS, шифрование и дистанционное удаление информации. Наиболее гибким и развитым является, очевидно, ПО для Android, имеющее современный аналог и для персонального использования:

После развертывания серверной части «KES для бизнеса» Kaspersky Security Center (KSC) позволяет подключать конечные точки к обслуживанию, а для поиска компьютеров и распространения на них агентов имеется множество хорошо документированных способов. Смартфоны же первоначально должны самостоятельно обратиться к серверу, после чего администратор получит возможность управления ими наравне с ПК:

Собственно управление осуществляется с помощью двух основных механизмов: политик и задач. Первые представляют собой конфигурационные наборы для всех основных компонентов «KES для бизнеса», вторые предназначены для установки и обновления ПО и централизованного выполнения административных задач (всевозможные проверки) вручную либо по расписанию. Для любой группы конечных точек может действовать только одна политика каждого типа:

Политики клиентских модулей охватывают сразу все функциональные блоки, что кажется не вполне удобным, особенно, на первых порах. Впрочем, из соответствующей панели KSC можно сразу обращаться к нужному разделу, да и вообще настройки хорошо структурированы и управление ими достаточно прозрачно:

Мобильные политики запутаны еще больше, т.к. охватывают сразу все возможные платформы — соответственно, практически на каждом экране настроек указываются какие-то ограничения или особенности:

В нынешней версии «KES для бизнеса» появился еще один способ управления мобильными устройствами — на этот раз класса MDM, т.е. максимально основанный на возможностях каждой платформы. Для его реализации необходима установка дополнительного ПО — серверов мобильных устройств. Они есть двух типов: один может обслуживать любые устройства с поддержкой Exchange ActiveSync и работает во взаимодействии с Microsoft Exchange; другой предназначен для устройств на платформе iOS и позволяет управлять ими с помощью сервиса Apple Push Notifications. Для подключенных таким образом смартфонов и планшетов в консоли KSC имеется специальный раздел Мобильные устройства. Управление осуществляется с помощью профилей (аналоги политик), в которых, в зависимости от возможностей платформы, настраиваются параметры синхронизации, пароли, шифрование, использование карт памяти, возможность установки и запуска приложений, также администратор сможет удаленно блокировать или стирать устройства (к примеру, в случае их утери или кражи).

Еще одной новинкой «KES для бизнеса» стало шифрование по алгоритму AES, которое может распространяться на отдельные файлы и папки, съемные накопители или на жесткие диски целиком. Может показаться, что таким образом дублируется функциональность, уже присутствующая, к примеру, в последних версиях Windows, в частности, BitLocker и BitLocker To Go. Однако ключевой момент заключается в централизованном управлении. Microsoft для этих целей предлагает инструмент MBAM (Microsoft BitLocker Administration and Monitoring), но он распространяется только в составе MDOP. Кроме того, шифрование в «KES для бизнеса» интегрируется с другими функциями. Так, контроль за активностью ПО позволяет использовать правила, разрешающие/запрещающие доступ отдельных программ к зашифрованным данным или предписывающие шифровать создаваемые ими файлы.

Контроль рабочих мест распространяется на запуск и исполнение программ, использование различных устройств и доступ к веб-ресурсам. Для программного контроля в Windows также имеются стандартные инструменты (AppLocker), однако ЛК предлагает готовые и, к тому же, регулярно обновляемые категории ПО, для которых есть правила по умолчанию (разрешать или блокировать запуск). Мониторинг программной активности по сути формирует песочницу, ограничивающую возможности, которые могут нести в себе потенциальную угрозу, такие как запись в реестр или доступ к важным ресурсам. Все достаточно гибко настраивается: можно добавлять новые программы (в т.ч. в автоматическом режиме с доверенных ПК) и категории, правила, защищаемые объекты и пр.

Контроль устройств, определяет возможность подключения к ПК различной периферии. Оперировать можно типами самих устройств или их подключения (шинами), также можно формировать список исключений (доверенных устройств) и реагировать на заявки пользователей.

Назначение веб-контроля достаточно очевидно — этот механизм регулирует доступ к веб-ресурсам. Традиционно такую задачу решают на уровне интернет-шлюза, т.е. всей сети. Преимущество же «индивидуального» подхода в том, что соответствующие правила будут действовать на пользовательском ПК всегда, даже когда он находится вне поля зрения корпоративных систем. Правила могут учитывать категории веб-ресурсов и типы данных, а также действовать по расписанию (к примеру, ограничения в рабочее время и полная свобода в остальное):

Инструменты системного администрирования — пожалуй, самое неоднозначное добавление «KES для бизнеса». С одной стороны, корректное обустройство рабочего места имеет к безопасности самое непосредственное отношение. С другой, системное администрирование все-таки специфическая (и достаточно сложная) область и заниматься им должен профильный специалист. Кроме того, для решения соответствующих задач есть множество отлаженных и привычных средств, стоит ли изобретать новые? Так, для обновления ПО и борьбы с уязвимостями «KES для бизнеса» может не только использовать WSUS, но и фактически заменять его. Для удаленного развертывания образов ОС «KES для бизнеса» подменяет WDS, хотя и основывается на стандартном WAIK. К другим возможностям системного администрирования относятся инвентаризация аппаратного и программного обеспечения; управление лицензиями; выявление программ с известными и незакрытыми уязвимостями; централизованная установка ПО; удаленная диагностика и удаленный доступ к пользовательским ПК; контроль подключения к сети (NAC). Впрочем, данные возможности поддерживаются только в расширенной редакции.

Таким образом, ЛК действует вполне в соответствии с выводом Gartner о предпочтении заказчиками комплексных решений. Конечно, можно спорить о уместности и целесообразности включения в «KES для бизнеса» отдельных инструментов, но преимущества единого центра управления безопасностью несомненны. Отдельно стоит отметить прогресс «KES для бизнеса» в поддержке мобильных устройств всех типов. Шифрование, MDM и специальные правила и настройки для клиентских модулей в автономном режиме помогут защитить конфиденциальную информацию и рабочую среду мобильных сотрудников, не ограничивая их в выборе вычислительной техники.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365