Продукты Ultra и Elite стали логичным продолжением классической линейки Bitdefender GravityZone, созданной в 2015 году. Тогда компания разработала с нуля полноценный комплекс защиты для всех типов инфраструктур: от физических ПК до дата-центров. В его основу легли продукты Business, Advanced Business и Enterprise Security.

В этой статье сосредоточимся на новинках для взыскательных корпоративных заказчиков, которым требуется дополнительный функционал и ультразащита.

Bitdefender GravityZone Ultra Suite

Один агент, управляемый из cloud-консоли GravityZone

— уменьшение поверхности атаки (управление приложениями, контроль контента и «Better-than-before» модуль)
— защита данных (add-on шифрования диска)
— обнаружение и устранение вредоносного ПО перед запуском (аналитика поведения, machine learning, проверка процессов в реальном времени, cloud-песочница)
— автоматическое обнаружение, расследование атаки и инструменты для восстановления на месте

У продукта есть свои особенности. Управление осуществляется только через cloud-консольи, как следствие, Ultra не поддерживает защиту мобильных устройств.

Чем же продукт выделяется из всей линейки? Отвечаем. Наличием функциональных дополнений в виде модуля Investigation & Response, интегрированного EDR-решения и песочницы (SandBox).

Интегрированная архитектура с централизованным управлением

1. Расследование инцидентов и реагирование

Благодаря чётким индикаторам компрометации (Indicator of Compromise, IOC) Ultra упрощает анализ угроз и возможность реагирования на инциденты. Система предоставляет аналитикам безопасности и группам реагирования на инциденты все необходимые инструменты:

— видимость конечных точек в режиме реального времени
— быстрый анализ подозрительных действий
— визуализация анализа инцидентов
— расследование атаки
— отслеживание “живых” атак
— быстрое реагирование, сдерживание и восстановление

2. Endpoint Detection and Response (EDR)

Хороший антивирусный продукт (endpoint protection platforms, EPP) может защитить систему от большинства угроз. Сложные атаки не так многочисленны, но болезненнее для цели. Принцип Парето.

GZ Ultra — это многоуровневая защита конечных точек, интегрированная с платформой обнаружения и реагирования на конечных точках (EDR). Цель симбиоза EPP+EDR — защита от самых сложных киберугроз.

Объединение технологий EDR в комплексные решения безопасности становится всё более распространённым явлением. Bitdefender последние 10 лет делает упор на машинное обучение и запантентовал несколько технологий со сложными алгоритмами идентификации угроз.

Как же Bitdefender выстраивает защиту от новых угроз?

Существует несколько основных моделей разработки архитектуры безопасности для реагирования на инциденты. Один из самых эффективных подходов — непрерывная адаптивная оценка риск-доверие (continuous adaptive risk and trust assessment, CARTA). Кстати, Gartner назвал этот принцип одним из лучших трендов защиты от сложных угроз в 2018 году.

Подход включает четыре элемента рекомендуемой архитектуры безопасности: Предотвращение, Обнаружение, Реагирование и Предупреджение. Каждый элемент, в свою очередь, делится на более мелкие ”задачи”.

Например, фаза Обнаружения предусматривает:

— обнаружение инцидентов
— подтверждение приоритетности риска
— определение “состава” инцидента

Если EDR распознал подозрительные действия и точно уверен, что это угроза, последует автоматическое сдерживание. Однако, если алгоритм машинного обучения не может подтвердить, что подозрительная активность является киберугрозой, в работу вступает группа реагирования на инциденты. Система же даст графическое представление цепочки событий, информацию по контексту, выводы песочницы и т.д., чтобы дальнейшие действия были предприняты пользователем.

3. Песочница

Bitdefender Sandbox Analyzer является частью платформы GravityZone Endpoint Security.

Предварительное обнаружение угроз обеспечивается путём автоматической отправки файлов в облачную песочницу и принятия мер на основе вердикта.

Песочница анализирует файл, используя специально разработанные алгоритмы машинного обучения, ловушки и методы против уклонения от обнаружения, анти-эксплойт и агрессивный анализ поведения. Поскольку файл анализируется в среде песочницы, Bitdefender GravityZone может выполнять углублённый анализ, не влияя на производительность и устраняя риск заражения конечной точки.

Bitdefender GravityZone Elite Suite

Один агент, управляемый из единой консоли GravityZone

GravityZone Elite – продукт для мощной, даже агрессивной защиты. Можно как развернуть on-premise вариант, так и воспользоваться cloud консолью Bitdefender.

Настройки позволяют администратору перейти в Paranoid mode. Он может повысить количество ложных срабатываний, зато защита такого уровня точно обеспечит high-level безопасность даже от самых сложных угроз. Благодаря чему? Машинное обучение, анализ поведения, анти-эксплойт и интегрированная песочница. Во всех тестах, например, AV-Test, продукт всегда показывает максимальный результат в категории “Защита”.

Вишенка на торте — Hypervisor Introspection. Плюс, помимо адской защиты в продукт входит технология HyperDetect™ и Песочница.

Полный отчёт о тестировании Bitdefender GravityZone Elite Suite независимой лабораторией AV-Test

1. HyperDetect™

Собственная технология Bitdefender использует специализированные техники анализа поведения, предназначенные для обнаружения хакерских инструментов, эксплойтов и методов обфускации вредоносных программ. HD опеределяет на угрозу на фазе предисполнения. Это могут быть эксплойты, безфайловые и Powershell атаки, вымогатели (Ransomware), фишинговые угрозы и неизвестный вреденосный код.

Функционал:

— сложные модели машинного обучения
— технология обнаружения скрытых атак, которая включает в себя обнаружение потенциально неправильного использования PowerShell, выгрузки учётных записей домена, команды powersploit (сканирование портов, dll injection, запись нажатия клавиш и т.д.), кодирование командной строки, запуск необычных исполняемых файлов (например, IIS)
— обнаружение файлов, скомпилированных в неизвестных программах
— проверка всех архивов (Known Packer)
— поиск на наличие кода вымогателей (ransomware)
— обнаружение нежелательных инструментов, например, для сброса паролей или атак методом «грубой силы» (brute-forcing)
— обнаружение потенциально нежелательных приложений

Настройка:

Система позволяет настроить классификатор обнаружения на целевые атаки, подозрительные файлы и сетевой трафик, Ransomware, Exploits, Grayware. Также можно выставить уровень чувствительности моделей машинного обучения: «Разрешающая», «Обычная» и «Агрессивная» для каждого из типов атак.

HyperDetect можно оставить в режиме «Только отчёт» или же перевести в «Режим принудительного исполнения». Плюс, простое управление исключениями процессов или приложений, что позволяет максимально точно настроить работу системы.

2. Песочница

Bitdefender Sandbox Analyzer является частью платформы GravityZone Endpoint Security.

Предварительное обнаружение угроз обеспечивается путём автоматической отправки файлов в облачную песочницу и принятия мер на основе вердикта.

Песочница анализирует файл, используя специально разработанные алгоритмы машинного обучения, ловушки и методы против уклонения от обнаружения, анти-эксплойт и агрессивный анализ поведения. Поскольку файл анализируется в среде песочницы, Bitdefender GravityZone может выполнять углубленный анализ, не влияя на производительность и устраняя риск заражения конечной точки.