Обновление MaxPatrol Endpoint Security: от уменьшения поверхности атаки до восстановления зашифрованных файлов

Positive Technologies, одна из лидирующих компаний в области результативной кибербезопасности, выпустила десятую версию MaxPatrol Endpoint Security — решения для защиты конечных устройств. В его состав входят два продукта — MaxPatrol EPP (для предотвращения массовых и известных киберугроз) и MaxPatrol EDR (для выявления сложных кибератак и реагирования на них). Продукт получил возможность устанавливать агенты сразу из интерфейса. В решение добавлен контроль приложений и подключаемых устройств, что уменьшает поверхность атаки и возможность злоумышленнику закрепиться в системе. Кроме того, появился модуль «Антишифровальщик» для мгновенного восстановления поврежденных и удаленных файлов. Это важно, потому что действия вайперов и шифровальщиков могут привести к остановке критически важных бизнес-процессов или полному уничтожению инфраструктуры. По результатам нагрузочных тестов скорость обнаружения вредоносного ПО антивирусным движком в некоторых сценариях выросла почти на четверть, а средняя скорость сканирования приложений — на 11%.

По данным Центра стратегических разработок, за последний год доля сегмента защиты конечных устройств на рынке кибербезопасности выросла с 15 до 20%, достигнув 40 млрд рублей. Ожидается, что к 2031 году этот показатель составит более 78 млрд рублей. Прогнозы подтверждает и текущая обстановка по киберугрозам: массовыми атаками (20%) остаются одной из самых опасных угроз для организаций, зачастую в них применяется автоматизация и продвинутые инструменты, которые ранее были присущи целевым атакам. Такие инциденты все чаще приводят к нарушению основной деятельности организации, вплоть до необратимого повреждения систем (например, с помощью шифровальщиков и вайперов, которые применялись в 52% успешных атак с использованием ВПО). В таких условиях результативная защита невозможна без комплексного подхода к безопасности компьютеров, серверов и виртуальных рабочих мест. MaxPatrol Endpoint Security позволяет бизнесу, независимо от его масштаба и отрасли, обеспечивать защиту конечных устройств на необходимом уровне даже в автономном режиме, помогая вовремя предотвращать их компрометацию.

В десятой версии появились функции, которые делают борьбу с актуальными угрозами более проактивной. Среди них — управление перечнем разрешенных к подключению внешних устройств, позволяющее не допустить загрузку вредоносного кода через флеш-накопители или другое USB-оборудование. Также, решение помогает блокировать нежелательные программы для обмена файлами, утилиты для удаленного доступа (RAT), некорпоративные VPN и мессенджеры.

Более того, в MaxPatrol Endpoint Security впервые представлен модуль для противодействия наиболее распространенной угрозе — шифровальщикам. В случае успешной компрометации данных модуль восстанавливает зашифрованные и поврежденные файлы до первоначального состояния. Это актуально и в случае применения вайперов: при исправлении последствий кибератаки удаленные файлы возвращаются в исходный вид за несколько секунд, не требуя от пользователя никаких дополнительных действий. Механизм решает важную задачу по защите бизнеса от нанесения непоправимого ущерба.

Еще одно важное новшество связано с расширением возможностей самозащиты агента: он продолжает отслеживать и останавливать атаки, несмотря на попытки злоумышленника повысить права до уровня администратора, обойти защиту либо остановить работу агента. Изменился и сам механизм подключения агента: теперь это можно сделать из интерфейса без прописывания команд, что упрощает процесс и экономит ресурсы на установку решения, независимо от количества устройств в инфраструктуре.

Антивирусная технология, разработанная Positive Technologies совместно с «ВИРУСБЛОКАДОЙ», также была усовершенствована с момента выпуска на рынок в составе MaxPatrol EPP. Команда оптимизировала антивирусную базу, благодаря чему потребление оперативной памяти сократилось на 8%. Кроме того, специалисты оптимизировали логику работы движка: в некоторых сценариях поток файлов проверяется на 24% быстрее. Была модернизирована и подсистема сканирования .NET-приложений, что дало прирост скорости на операционных системах семейства Microsoft Windows в среднем на 11%.

В антивирусный движок внедрен модернизированный механизм обнаружения вредоносных скриптов. Он позволяет выявлять целые семейства ВПО без использования многочисленных сигнатур — идентификаторов известного ВПО. Схожие механизмы теперь используются и для обнаружения подозрительных приложений в форматах PE (в операционных системах Microsoft Windows) и ELF (в ОС на базе Linux).

«Злоумышленники продолжают совершенствовать вредоносные программы, превращая их в гибридные инструменты с функциями разных типов ВПО. Более того, киберпреступники разрабатывают сценарии для обхода классических антивирусов и решений EDR, создавая среди прочего отдельные модули. Учитывая эти реалии, мы не только расширяем функциональные возможности MaxPatrol Endpoint Security, но и продолжаем усиливать самозащиту агентов[2], чтобы атакующие не смогли отключить их даже после повышения привилегий в системе», — рассказал Сергей Лебедев, директор по продуктам для защиты рабочих станций и серверов, Positive Technologies.

MaxPatrol Endpoint Security объединяет все возможности продуктов MaxPatrol EPP и MaxPatrol EDR в одной платформе и может быть установлен на все устройства инфраструктуры компании менее чем за день.