對於端點電腦的防護,許多廠商在最近2到3年,都爭相推出了涵蓋了偵測與反制(EDR)的解決方案。然而,在此同時,防毒軟體也持續強化,納入更多偵測進階威脅的能力。

今年4月,企業版本的Kaspersky防毒軟體──Kasperksy Endpoint Security for Business(KESB),推出了5年以來的重大改版,新的11版改進重點,包含了操作介面更為容易判讀、使用,針對可疑行為的偵測,擁有更為細致的政策選項,也首度與同廠牌的進階威脅防護平臺,即Kaspersky Anti Targeted Attack Platform(KATA),進行整合。

可與這款防毒軟體搭配、制訂政策的管理平臺,仍然是Kaspersky Security Center(KSC),原廠也一併提供能支援KESB 11的10 SP3版,可管理的端點電腦數量上限擴充為10萬臺,對於與之搭配的資料庫SQL Server,也支援了AlwaysOn高可用性群組機制,企業在部署管理平臺所需的資料庫時,便能啟用上述SQL Server的功能。

支援最新版Win 10平臺,並將工作站進階防護機制擴及伺服器端點

我們取得的KESB與KSC測試版本,介面都是英文。原廠表示, 這兩款軟體的正體中文版本,預計在6月以後才會提供。不過,對於原本已經使用先前版本軟體的用戶來說,KSC集中管理的操作介面變化並不大,管理者若是熟悉常用功能的位置,影響應該相當有限。

而作業系統的支援上,新版KESB能安裝在執行Windows 7與Server 2008以上平臺的電腦,不再向下相容已經結束產品生命周期的Windows XP、Server 2003。而針對Windows 10,KESB 11也正式支援最新版本,也就是2018年4月更新(RS4)。

從因應進階攻擊的功能來看,在現行版本的KESB上,主要透過名為系統監控(System Watcher)的元件,提供相關的保護能力。但這個模組,以往只支援工作站端點電腦,而新版本則將適用的範圍擴及到伺服器平臺,因此對於這些端點而言,KESB 11終於補足了這種進階威脅的防護措施。

只是在新版KESB中,不再使用系統監控這個名稱,而是細分為異常行為偵測、漏洞防護,以及系統修復引擎等。而在設定的項目上,擁有較為細緻的調整彈性,以行為偵測而言,便新增了可納入共用資料夾的選項,而漏洞防護的部分,則是首度針對記憶體內執行的威脅,加入了啟用與否的項目。

能透過專屬管理平臺集中控制

透過Kaspersky Security Center管理平臺,企業可將安裝了KESB 11的電腦,與部署了其他Kaspersky商用防護產品的設備,一併納入管理,並能檢視運作的情況。以圖中的圖表而言,我們就能得知這些受列管電腦的安全態勢。

容易判讀安全程度的新版程式介面

在測試環境中,我們架設了一臺KSC主機,以及幾臺分別執行Windows 7、Windows 10 RS4,以及Windows Server 2012 R2等作業系統的端點電腦。之後,我們也拿了從網路上收集而來的惡意軟體、文件檔案等樣本,包含了WannaCry等加密勒索軟體,與內含進階威脅攻擊的文件等,不少檔案在解壓縮過程時,KESB 11便直接進行了封鎖與刪除。

基本上,端點電腦裡的KESB軟體,還是將自己標示為安全的狀態,但在KSC管理平臺中,管理者能看到這臺電腦曾經遭到攻擊,需要特別加以留意。

相較之下,端點電腦上的KESB 11軟體介面,與先前版本可說是截然不同。在KESB 10上,使用者首先看到的是各項端點的管制措施,像是應用程式控制、外接式裝置控制,以及網頁存取控制等項目。而新版KESB首頁上,則是優先顯示端點電腦的安全狀態,使用者便能快速判讀自己的電腦是否受到威脅。

在KESB 11的個人端程式介面首頁,我們可以看到大大的打勾圖示,下方附註沒有尚未處理的威脅。而這個圖示的左側,則是列出這款防毒軟體所擁有的進階偵測機制,包含了機器學習、雲端沙箱分析、行為分析,以及原廠的信譽評等資料庫平臺等。上述機制清單的旁邊,也顯示所發現的威脅事件數量。

針對異常行為提供進階因應政策

在發現可疑行為的做法上,KSC新增KESB 11專屬的設定項目,包含了偵測到這種型態的手法時,防毒軟體便自動執行檔案刪除、終止處理程序,或是只發出通知。再者,這項保護功能,也能擴及共用的網路資料夾,避免其中的檔案遭受竄改。

可與其他同廠牌防護措施集中管理

在集中控管或是大量部署KESB 11的做法上,企業需要透過建置於Windows Server上的KSC軟體。透過這套軟體控管的特點是,若是公司同時採用了多款Kaspersky的產品,只要KSC安裝了對應的外掛元件後,這些防護措施一概都能經由KSC集中管理。

基本上,這套軟體採用了Windows系統管理主控臺(MMC)為基礎,雖然功能相當豐富,但實際操作的流程而言,仍然有些複雜,管理者仍需要從左側的階層式選單裡,找尋所需的項目。而且,相較於許多企業級防毒軟體的管理平臺,已經朝向網頁化發展,這套軟體雖然也提供,但僅限於檢視防護狀態,管理KESB仍要遠端登入KSC伺服器中,才能操作。

再者,與其他同類型產品中,採取新版軟體政策向下相容的做法有所不同,現行與新版本的KESB政策並不相容,管理者必須個別管控,不過,KSC提供了匯入功能,能將之前版本的政策,轉換成KESB11可用的項目,算是略為減輕管理者控管不同版本KESB政策的不便。

從防護的政策上來看,最顯著的不同之處,在於針對KESB 11的部分,KSC在設定畫面上方加入了防護等級指標,藉此提醒管理者啟用必要的保護功能。而在管制使用者的做法上,新版本KESB增加端點簡化介面模式,開啟之後,端點電腦工具列上圖示的功能,便只保留快速掃描電腦、安裝軟體更新等項目,無法啟用軟體設定介面,而管理者則可透過專屬的密碼,開啟端點電腦上原本封鎖的KESB操作介面。

而對於進階防護的措施而言,除了前述提到的保護機制之外,KESB與自家的安全網路情報平臺(KSN)連接,也被視為重要的一環。而在現有的版本中,管理者只能選擇是否啟用這項功能,但在KESB 11的政策裡,包含了連線到雲端KSN模式與延伸應用模組的項目,前者對於端點電腦無法與KSN連線的情況下,會特別發出警示通知給管理者,後者則是能選擇是否上傳較多的檔案資料,以供KSN進階分析,假如關閉的話,KESB 11只會提供檔案的雜湊值。

此外,原廠也特別強調開啟了KSN雲端模式後,能大幅減少KESB占用端點電腦的記憶體與磁碟空間。根據原廠提供的資料,在啟用之後,所運用的記憶體較未啟用前少了15%到20%,而磁碟空間也減少30%到40%之多。

漏洞滲透防護涵蓋記憶體內執行檢測

針對近年來層出不窮的漏洞滲透攻擊,KSC也提供了相關執行政策的選項,管理者可選擇一律封鎖,或是警示用戶與管理員。另外也加入了記憶體內執行的偵測功能,但只能選擇開啟或關閉。

 產品資訊 

●建議售價:標準版每臺每年2,100元起(未稅)

●代理商:展碁國際(02)2371-6000

●處理器需求:1GHz以上,並支援SSE2指令集

●記憶體需求:2GB

●儲存空間需求:2GB

●作業系統需求:Windows 7 SP1~10、Windows Server 2008 SP2~2016

●管理平臺需求:Kaspersky Security Center 10 Service Pack 3

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容