+7 (495) 775 72 94    |    sales@symbuy.ru    |    

Программы для резервного копирования

Обзор программ резервного копирования и восстановления данных

Ожидается, что к 2021 г. платформы для комплексной защиты конечных устройств (EPPs) смогут в автоматическом режиме производить расследования инцидентов в сфере информационной безопасности, а также реагировать на выявляемые инциденты. Решения в системе специальных автономных средств защиты конечных устройств (EDR) сосредоточатся на работе с Поставщиками комплексных услуг информационной безопасности (MSSP) и работе Центров информационной безопасности крупных предприятий (SOC).

Определение рынка / Характеристики

В сентябре 2017 года, в ответ на изменение рынка и требований клиентов, мы скорректировали понятие - платформа для комплексной защиты конечных устройств (EPP). EPP – это совокупность решении, применяемых на конечных устройствах с следующих целях:

  • предотвращение влияния вредоносных программ;
  • обнаружение и блокировка вредоносных действий надежных или ненадежных приложений;
  • создание условий при которых становится возможным оперативное расследование и исправление инцидентов и угроз информационной безопасности

Компании делают ставку на возможности, предлагаемые EPP только в области защиты и обнаружения угроз безопасности, однако, такая услуга, как защита данных, включающая в себя предотвращение потери данных, шифрование или управление сервером, зачастую ими недооценивается.

Покупатели систем безопасности все чаще обращают внимание на встроенные в операционные системы функции безопасности и защиты, а большинство компании разработчиков внедряют в операционные системы собственные функции шифрования диска (Microsoft Windows 10 с помощью BitLocker и Apple macOS с помощью FileVault).

Одновременно с этим защита серверов отличается от платформ защиты конечных устройств (EPP), которые обладают специализированными инструментами для работы современных гибридных центров обработки данных (как «облачных», так и локальных).

Исследование Gartner рекомендует компаниям внедрять решения для защиты серверов, отдельно от любых иных продуктов связанных с защитой конечных устройств. Продиктованный эволюцией переход от аппаратных серверов к виртуальным машинам, хранилищам и облачной инфраструктуре с частным и публичным доступом означает, что в настоящее время к работе серверов предъявляются совсем другие требования безопасности, чем к ориентированным на конечного пользователя.

В данный момент ситуация на рынке платформ EPP активно меняется, и поскольку сам рынок претерпевает изменения, аспекты исследования, включенные в данный анализ, изменяются наряду с ним.

В «Magic Quadrant for Endpoint Protection Platforms» 2017 года в области платформ для комплексной защиты конечных устройств EPP функции EDR считались «желательными к применению». В настоящем исследовании 2018 года некоторые из этих функций являются ключевыми компонентами EPP, благодаря которым появляется возможность влиять и реагировать на современные угрозы информационной безопасности.

Gartner Magic Quadrant for Endpoint Protection Platforms 2018

Квадрант Gartner платформ для защиты конечных устройств 2018

SYMANTEC

Антивирус Symantec

Отказ от работы с Veritas в январе 2016 г. и приобретение компании Blue Coat в августе 2016 г. привело к появлению новой руководящей группы, чье видение поспособствовало переориентации поставщика и привело к повышению оценок в настоящем анализе.

В 2017 г. компания Symantec выпустила успешное обновление для своих традиционных продуктов, в котором, наряду с улучшениями, присутствуют и новые возможности, такие как технология защиты от кибератак Deception.

В сфере EDR, компания Symantec является наиболее успешной среди поставщиков традиционного EPP, в чьих продуктах «Усовершенствованной защиты от угроз» (ATP), применяется та же программа, что и в платформе защиты конечных устройств Symantec (SEP).

На протяжении 2017 г. Symantec продолжала оставаться ведущим поставщиком и не раз называлась другими поставщиками «основным конкурентом». Symantec продолжает наращивать обороты как в частном, так и в корпоративном секторе (примерно 50/50). Также она продолжает занимать лидирующую позицию по объему выручки, полученной компанией на рынке EPP и доле занимаемого рынка.

Symantec предоставляет услуги одну из наиболее полных и доступных на рынке EPP, площадок, показатели которой, согласно проведенному сторонней организацией тестированию, остаются на высшем уровне.

Также специалисты Symantec добавили расширенные функции для лучшего реагирования на постоянно меняющуюся обстановку в пространстве киберугроз, став первым поставщиком, который объединил защиту от вредоносных программ, EDR, укрепление системы и возможности защиты Deception в одном решении.

Компания Symantec запустила процесс перемещения своих продуктов на облачную площадку, одновременно оставив для предпочитающих клиентов локальное управление.

Сильные стороны Symantec

  • Symantec Endpoint Protection версии 14 и 14.1 показали себя довольно стабильными и эффективными решениями. Клиенты сообщают, что добавление ML и других расширенных возможностей защиты от вредоносных программ улучшило обнаружение и локализацию угроз и вредоносных программ
  • Symantec ATP и его EDR решение, предоставляют отличные возможности для обнаружения и реагирования на киберугрозы, а действующие клиенты SEP получат выгоду от интеграции с Symantec Endpoint Protection.
  • Symantec начала внедрять облачную стратегию в последних обновления своих продуктов, в том числе SEP Cloud и EDR Cloud, которые предоставляют собой облачную консоль с паритетом функциональных возможностей для локальной консоли управления.
  • Широкая линейка решений компании Symantec и большая база различных конечных устройств, принадлежащих как частным, так и корпоративным пользователям, позволяет Symantec видеть более полную картину угроз в разных плоскостях

Факторы риска Symantec

  • По сравнению с другими поставщиками на рынке EPP Symantec по-прежнему воспринимается как наиболее сложное и ресурсоемкое в управлении ПО
  • Несмотря на то, что Symantec активно использует компоненты EDR и пытается донести все преимущества работы своей программы. Многие клиенты Gartner, использующие Endpoint Protection и планирующие воспользоваться EDR, все же не знают о доступности Symantec ATP
  • Symantec предлагает полный управляемый сервис и SOC, которые привлекательны только тогда, когда компания намеревается переложить все свои задачи SIEM на поставщика
  • Большая область оказываемых услуг Managed Security Services (MSS) обходится для клиента дороже по сравнению с альтернативными решениями, предлагаемыми новыми поставщиками, ориентированых на более узкий набор услуг или функций
  • Клиенты Symantec продолжают сообщать о том, что сталкиваются со случаями некорректной работы службы поддержки, даже когда речь идет о крупных организациях, которым предоставляется выделенный персонал службы поддержки. Клиенты Symantec также сообщили о низком уровне взаимодействия между клиентом и менеджером учетных записей.

ESET

антивирус Eset

ESET занимает значительную долю рынка EPP охватывая как субъекты малого и среднего бизнеса, так и крупные предприятия. Компания обеспечивает надежную защиту с помощью облегченного программного обеспечения. При этом компании удается снабжать пользователей объемным пакетом услуг включая централизованную систему предотвращения вторжений (HIPS), ML, защиту от эксплойтов, систему обнаружения атак в памяти и обнаружения поведения программ-вымогателей. Незадолго до написания настоящего отчета ESET запустила дополнительную платформу, позволяющую использовать возможности EDR, которая называется Enterprise Inspector. Данная платформа позволяет клиентам с помощью опытного персонала, отвечающего за информационную безопасность, проверять и изменять правила поведения, а также адаптировать их к своим уникальным требованиям. Благодаря опубликованным исследованиям, мероприятиям по борьбе с организованной преступностью и веб-сайту WeLiveSecurity наблюдается высокий уровень осведомленности покупателей о продуктах компании ESET. В настоящей оценке поставщика влияет то, насколько он ограничен в своих возможностях облачного управления и скорость внедрения функций EDR.

Благодаря тому, что ESET поддерживается локально на 35-и языках, платформа данной компании становится привлекательной для глобальных дистрибьютеров. В свою очередь, предлагаемая компанией защита, позволяет ей зарекомендовать себя как надежного поставщика, услуги которого ценятся организациями в разных сферах деятельности.

Сильные стороны Eset

  • Несмотря на небольшой расход трафика при работе облегченной версии программы ESET, результаты тестов показывают, что модуль защиты от вредоносных программ остается стабильно устойчивым и обладает мощным уровнем защиты
  • ESET содержит полный набор средств как защиты, так и обнаружения угроз
  • С недавних пор клиентам стали доступны управляемые функции EDR, обеспечивающие поиск угроз и обнаружение атак
  • Клиентам некоторых стран доступна бесплатная техническая поддержка на ESET, что упрощает переход c программного обеспечения другого поставщика

Факторы риска Eset

  • Возможности облачного управления ограничены платформами Microsoft Azure или Amazon Web Services (AWS), реальной платформы SaaS не существует. В тоже время защита данных облачных платформ поддерживается ESET только для жителей стран Северной Америки
  • Несмотря на то, что антивирус ESET может сканировать оперативную память для предотвращения атак и защищать от эксплойтов, в данной программе отсутствует возможность обнаружения уязвимости или создания отчетов. Эти возможности предоставляются только через партнерскую экосистему ESET т.е. силами сторонних решений
  • Программа для защиты конечных устройств компании ESET не включает в себя технологию Application Whitelisting (Белые списки программ). Также в ней отсутствует возможность блокировки системы. Вместо этого приложения и исполняемые файлы заносятся в черный список с помощью хешированного файла или с помощью системы предотвращения вторжений HIPS
  • Программа ESET для macOS не поддерживает поиск IOC в реальном времени и не интегрируется с EDR, что является очевидным недостатком для многих организаций
  • Ролевое администрирование в ESET Enterprise Inspector допускает только два пользовательских режима (администратор и конечный пользователь), а это означает, что для крупных организаций, в которых применяется иерархическая система управления, при внедрении Enterprise Inspector могут возникнуть сложности в работе из-за отсутствия возможности разделения полномочий на расследование дел и инцидентов

ЛАБОРАТОРИЯ КАСПЕРСКОГО

Антивирус КАСПЕРСКОГО

Подход «Лаборатории Касперского» сформулированный как «Построил, не купил», обеспечивает отличную интеграцию и позволяет эффективно использовать управляемые услуги.

Поставщик опаздывает с внедрением на рынок EDR и не способен предоставить свое решение организациям количество конечных устройств, которых превышает 1000 единиц и платформу на основе облака типа SaaS

Исследовательский отдел Лаборатории Касперского составляет почти одну треть штата всей компании и хорошо известен благодаря своим возможностям производить точное обнаружение вредоносных программ, а также проведением углубленных исследований и анализа большого количества сложных атак

«Лаборатория Касперского» стала объектом пристального внимания СМИ, которые ссылаясь на неназванные источники в разведке, утверждали, что программное обеспечение Касперского использовалось российским правительством для получения доступа к конфиденциальной информации. И несмотря на то, что правительство США наложило запрет на использование государственными службами ПО «Лаборатории Касперского», никаких доказательств того, что ПО Лаборатории Касперского использовалось правительством РФ для получения конфиденциальной информации предоставлено не было. Как не было доказательств и тому что, то что ПО «Лаборатории Касперского» более уязвимо (в техническом или ином смысле), чем антивирусное ПО других производителей. В конце 2017 года «Лаборатория Касперского» подала апелляцию в федеральный суд США с требованием отменить запрет правительства США. С точки зрения развития технологий и защиты от вредоносных программ «Лаборатория Касперского» остается надежным поставщиком, предоставляющим решения для организации разных сфер деятельности, помимо тех компаний, в которых использование данного ПО запрещено законом США.

Несмотря на все заявления СМИ о «Лаборатории Касперского», она продолжает расширять свое присутствие нам мировом рынке защиты конечных устройств.

Сильные стороны Лаборатории Касперского

  • «Лаборатория Касперского» - постоянный лидер различных публичных и независимых AV тестов
  • Программа и консоль управления «Лаборатории Касперского» предоставляют возможность создавать подробные отчеты о выявленных уязвимостях, а также автоматизировать процесс исправления
  • Полуавтоматический поиск IOC в рамках новых возможностей EDR может использовать преимущества открытых файлов формата IOC, это позволяет произвести первоначальную оценку угроз в быстром и повторяемом режиме
  • Kaspersky Managed Protection и Targeted Attack Discovery - это полностью управляемые сервисы обнаружения угроз, которые будут интересны организациям, не имеющих специального SOC
  • «Лаборатория Касперского» продолжает публиковать больше чем любой другой поставщик антивирусного ПО отчетов о сложных атаках

Факторы риска Лаборатории Касперского

  • Клиенты Gartner сообщают, что консоль управления Kaspersky Security Center может показаться сложной в освоении, особенно по сравнению с гибким, ориентированным на пользователя дизайном новых консолей управления EPP и EDR
  • Основные возможности EDR были внедрены в платформу Kaspersky Anti Targeted Attack в конце 2017 года, что означает, что «Лаборатория Касперского» стала одним из последних поставщиков, подключившим эти возможности
  •  
  • В EDR отсутствуют пошаговые, управляемые расследования для менее опытных организаций, но «Лаборатория Касперского» предоставляет обучение по использованию своих продуктов, в которые входят такие сложные для освоения функции, как цифровая криминалистика, анализ вредоносных программ и реагирование на инциденты.
  •  
  • Kaspersky Endpoint Security Cloud - облачное решение для защиты конечных устройств - в настоящее время доступно только организациям малого и среднего бизнеса. Более крупным организациям, которым требуется облачное управление, приходится разворачивать сервер управления в AWS или Azure

SOPHOS

Антивирус SOPHOS

В марте 2017 года Sophos приобрела Invincea – поставщика из «Магического квадранта» платформ защиты конечных устройств 2017 г. находящегося в тот момент в плоскости «Провидца», - и тот в свою очередь предоставил Sophos доступ к своим алгоритмам ML для проведения глубокого обучения.

Продукт Sophos Intercept X, предназначенный как для защиты и восстановления после вредоносных действий, вызванных вымогателями и эксплойтами, так и для защиты от них, оказался популярным и среди существующих клиентов Sophos Endpoint Protection и клиентов, выбирающих его в качестве дополнения к действующему EPP.

Эти решения продолжают повышать узнаваемость бренда в корпоративном пространстве.

В конце 2017 года были добавлены содержащиеся в Intercept X функции EDR (аналогичные возможностям EDR Sophos), получившие название Root Cause Analysisи с технологии обнаружения вредоносных программ ML, так же приобретенные вместе с Invincea.

Облачный EPP от Sophos с платформой Intercept-X отлично подходит для компаний, которые сумеют извлечь преимущества администрирования облачной платформы и предпочитают надежную защиту от вымогателей и атак эксплойтов расширенным возможностям криминалистических расследований.

Сильные стороны Sophos

  • Клиенты Intercept X сообщают о твердой уверенности не только в защите от большинства вымогателей, но и о возможности запуска отмены изменений, запущенных программами-вымогателями, которые сумели обойти защиту
  • Intercept X доступен в качестве обособленной программы для организаций, которые не могут полностью уйти от действующего поставщика EPP
  • Техника борьбы с эксплойтами сосредоточена на наиболее часто используемых в современное время инструментах, методах и процедурах атак на информационную безопасность, например, таких как кража учетных данных через Mimikatz
  • Через облачную консоль администрирования Sophos Central также можно управлять и другими услугами, предоставляемыми поставщиком на единой платформе безопасности, включая такие услуги как шифрование диска, защиту сервера, межсетевой экран, электронную почту и веб-шлюзы
  • Анализ первопричин обеспечивает простоту в управлении и расследовании подозрительных или вредоносных событий

Факторы риска Sophos

  • Хотя в прошлом году мы приписывали Sophos облачный подход развития, теперь, после покупки платформы Intercept X, его возможности стали доступны и для локальных клиентов. Это может тормозить внедрение облачных технологий и увеличить срок, который потребуется Sophos для управления и поддержки отдельных видов защиты.
  • Анализ первопричин недоступен на платформе Intercept X для клиентов, использующих локальную версию Sophos Endpoint Protection
  • Основным улучшением компании Sophos стало применение технологии глубокого обучения Invincea. За исключением этого, за последние 12 месяцев, возможности EDR на платформе Sophos Endpoint Protection претерпели незначительное количество улучшений.
  • Sophos не предоставляет отчеты об уязвимостях; компания, в первую очередь, полагается на технологии уменьшения последствий и блокировки, поэтому покупателям придется самостоятельно искать способы управления исправлениями

TREND MICRO

Антивирус Trend Micro

Trend Micro является третьим по величине поставщиком на рынке EPP и специализируется на продуктах, охватывающих сети, центры обработки данных и системы конечных устройств. Компания является большим международным игроком, и более ее половины клиентов приходится на Японию и Америку.

Несмотря на то, что у Trend Micro был довольно примечательный год с точки зрения внедрения технологических инноваций, компания особенно стремится к внедрению основных требования EPP, особенно для тех клиентов, которые ищут комплексный набор решений по доступной цене.

В отличие от более дальновидных участников данного магического квадранта, решение EDR компании Trend Micro поставляется в виде отдельной программы, созданной для решения EPP. И хотя он интегрируется с дополнительными локальными продуктами, такими как песочница Deep Discovery, ему не хватает интеграции с облачной песочницей, и он не может управляется с облачной платформы Trend Micro.

Одним из главных преимуществ Trend Micro является технология оценки уязвимостей и виртуальных исправлений, которая использует механизм IPS для обнаружения уязвимостей и HIPS для создания виртуального исправления и блокировки дальнейшего использования.

Trend Micro остается одним из передовых кандидатов в поставщики для малого, среднего и крупного бизнеса.

Сильные стороны Trend Micro

  • Trend Micro принимает участие во множестве тестах проводимых сторонними организациями и показывает в целом хорошие результаты. Антивирус OfficeScan обладает основными функциями традиционных решений в дополнении к EDR, например функция обнаружения поведения на основе IOA
  • Возможности виртуальных исправлений могут снизить нагрузку на IT -отделы, позволяя им придерживаться стратегии управления исправлениями без ущерба для безопасности
  • Для клиентов, которые ищут единого стратегического поставщика услуг, в распоряжении Trend Micro имеется тесная интеграция между конечными устройствами, шлюзами и сетевыми решениями, что позволяет в реальном времени корректировать стратегию безопасности
  • Trend Micro предлагает услуги управляемого обнаружения и реагирования в рамках сервиса Advanced Threat Assessment, благодаря которым становится возможным дополнить технологию экспертным анализом и передовыми наработками

Факторы риска Trend Micro

  • EPP и расширенные возможности EDR, такие как визуализация процесса расследования и поиск угроз, предоставляются отдельными опциями/агентами
  • Для использования функций, выходящих за рамки базового EPP, такие, например, как EDR, понадобится локальная консоль управления
  • Несмотря на то, что более чем на 50% устройств, использующих Trend Micro, установлена последняя версия продукта, ряд клиентов, сообщают Gartner о низком уровне обнаружения вредоносных программ в связи с тем, что они не знали о доступности последних обновлений или новых возможностей поставщика
  • Нет поддержки MacOS для EDR, что мешает в полной мере воспользоваться услугами Trend Micro

Критерии оценки Gartner Magic Quadrant

Поставщик должен удовлетворять как минимум 12-ти «базовым» требованиям и по крайней мере 4-м «желательным»:

Базовые требования:

  • Блокировать известные и неизвестные файловые вредоносные программы, без ежедневной рассылки сигнатур
  • Выявлять подозрительные и злонамеренные действия на основе поведенческих факторов
  • Реализовать защиту уязвимых мест популярных приложений и защиту от эксплойтов
  • По требованию выполнять статическое сканирование для обнаружения вредоносных программ отдельных папок, дисков или съемных устройств, таких как USB-носители
  • Хранить данные о подозрительных событиях в централизованном месте для ретроспективного поиска / анализа IOC / IOA
  • В режиме реального времени осуществлять поиск IOC / IOA по всем конечным устройствам (например, хэш файла, IP-адресу источника / назначения, разделе реестра)
  • Удаленно изолировать конечное устройство, ограничив доступ к сети для сервера управления EPP
  • Автоматически обновлять стратегию, элементы управления, устанавливать новые версии программ / механизмов без непосредственного подключения к корпоративной сети
  • Собирать данные о подозрительных событиях за пределами корпоративной сети
  • Выявления и оповещения включают в себя показатели надежности и достоверности, помогающие расставить приоритеты
  • Предоставлять информацию, по уровню риска, приоритету, основанного на доверии и важности инцидента
  • Отображать полное дерево процессов, для анализа и выявлены первопричины
  • Автоматически помещать в карантин вредоносные файлы
  • Выявлять изменения, внесенные вредоносным ПО, и предоставлять рекомендуемые шаги по исправлению
  • Обнаруживать, блокировать и сообщать о попытках отключить или удалить программу EPP