Punkt końcowy to każde urządzenie, które może łączyć się z firmową siecią. System bezpieczeństwa punktów końcowych zapewnia tym urządzeniom ochronę, aby uniemożliwić malware'owi lub innym cyberzagrożeniom przedostanie się do firmowej sieci. Jeszcze kilka lat temu określenie Endpoint Protection często kojarzyło się z połączeniem zapory sieciowej z antywirusem, będąc jedynie atrakcyjną i modną nazwą, za pomocą której producenci oprogramowania próbowali się wyróżnić na rynku. Ale dziś, kiedy do pracy wykorzystujemy wiele różnego typu urządzeń, ochrona punktów końcowych nabrała znaczenia i zyskała wiele funkcji, przybierając postać wyspecjalizowanych pakietów zabezpieczających.

Ochrona punktów końcowych. Endpoint Protection a inne produkty

Wiele rozwiązań zabezpieczających może chronić sieć oferując narzędzia do ochrony punktów końcowych. Są jednak funkcje, które występują tylko w systemach Endpoint Protection lub mogą występować w innych rozwiązaniach, ale dzieje się to bardzo rzadko.

Zobacz również:

• Bezpieczeństwo w chmurze publicznej nadal priorytetowe

Pierwszą funkcją występującą niemal wyłącznie w oprogramowaniu do ochrony punktów końcowych, jest blokada urządzeń. System może szybko zidentyfikować zainfekowane urządzenie i ograniczyć jego dostęp do sieci, jednocześnie pracując nad rozwiązaniem problemu. Kolejna funkcja to kontrola dostępu i zarządzanie urządzeniami z poziomu konsoli administratora – osoba, który zarządza systemem Endpoint Protection, może przyznawać różne poziomy dostępu do sieci wybranym grupom użytkowników.

Ostatnią funkcją często kojarzoną z ochroną punktów końcowych, jest obejmowanie ochroną wielu różnych platform, aby firma mogła zabezpieczyć za pomocą jednego systemu zarówno komputery, laptopy, tablety, smartfony i urządzenia smart.

System Endpoint Protection różni się od prostszych rozwiązań zabezpieczających przede wszystkim podejściem do samego zarządzania: administrator ma kontrolę nad wszystkimi urządzeniami służbowymi, używając centralnej konsoli. Ochrona realizowana jest na dwóch poziomach: na pierwszym programy (tzw. agenty) instalowane są na poszczególnych urządzeniach i działają w tle, a na drugim działa scentralizowany system zarządzania bezpieczeństwem, monitorujący i kontrolujący agentów. System może być obsługiwany przez personel IT, choć coraz częściej dużo zadań przebiega w sposób zautomatyzowany, dzięki wdrażaniu algorytmów uczenia maszynowego i sztucznej inteligencji.

Ochrona punktów końcowych. Zmiany w oprogramowaniu

Oprogramowanie do zabezpieczania punktów końcowych, podobnie jak cyberzagrożenia, stale ewoluuje. Z tego powodu, gdy chcemy dziś zdecydować się na system zabezpieczający punkty końcowe, musimy brać pod uwagę najnowsze trendy. Tych jest kilka. O pierwszym już wspomnieliśmy: machine learning i sztuczna inteligencja. Liczba nowych zagrożeń i tempo ich pojawiania się stale rosną, przez co nawet najlepsi specjaliści nie są w stanie za nimi nadążyć.

Dodanie uczenia maszynowego i SI do systemu ochrony punktów końcowych sprawia, że stają się one coraz bardziej zautomatyzowane i są w stanie samodzielnie analizować ruch i identyfikować wiele zagrożeń bez konieczności angażowania człowieka. Platformy wykorzystujące takie technologie są już na rynku; oferują je m.in. Microsoft, Symantec i Kaspersky.

Drugi trend to coraz większa dostępność platform Endpoint Protection w formie usługi abonamentowej, czyli w modelu Software as a Service. Dzięki temu wiele firm może sobie pozwolić na zakup nowoczesnego i na bieżąco aktualizowanego rozwiązania bez konieczności ponoszenia dużych wydatków na zakup i wdrożenie. Tradycyjnie systemy ochrony punktów końcowych działają na serwerze, który zostanie wdrożony wewnętrznie przez firmę, natomiast za sprawą systemów w chmurze i na modelu oprogramowania jako usługi przedsiębiorstwa nie muszą już przeznaczać dużego budżetu i czasu pracowników na takie działania.

Dostawcy, tacy jak FireEye, Carbon Black czy Webroot, oferują EP w formie usługi abonamentowej w chmurze. Warto dodać, że takie rozwiązania również wykorzystują machine learning i oferują podobną funkcjonalność.

Rynek produktów Endpoint Protection stoi również pod znakiem konsolidowania narzędzi i ograniczania złożoności. Producenci wprowadzali przez ostatnie lata wiele nowych narzędzi i usług, przez co dochodziło do sytuacji, że firmy musiały instalować na urządzeniach końcowych nawet kilka oddzielnych programów – każdy z nich musiał być następnie osobno zarządzany. Obecnie producenci ujednolicają swoje oferty, tworząc skonsolidowane platformy. Przykładowo, Symantec wprowadził już taki system, który nie wymaga instalacji odrębnych agentów, a administrator może zarządzać wszystkim z jednego miejsca.

Równie ważną zmianą w systemach Endpoint Protection jest włączenie pod ochronę urządzeń wchodzących w skład szeroko pojętego internetu rzeczy, czyli sprzętów różnego typu mogących łączyć się z internetem. Do takich urządzeń należą kamery, czujniki, gadżety dla dzieci, lodówki czy ekspresy do kawy które często funkcjonują w środowisku sieciowym bez jakichkolwiek zabezpieczeń.

Pamiętacie botnet Mirai? Studenci przejęli kontrolę nad tysiącami kamer telewizyjnych, które wykorzystali by przeprowadzić ataki DDoS na serwery Minecraft, przypadkowo doprowadzając do uruchomienia jednego z największych ataków DDoS w historii. Wiele urządzeń internetu rzeczy działa pod kontrolą systemów niszowych i trudnych w zarządzaniu, jednak pracą znacznej ich części steruje Android, iOS, Linux, a nawet Windows. Z tego powodu producenci systemów Endpoint Protection coraz częściej biorą pod uwagę konieczność zabezpieczania również i takiej elektroniki.

Ostatni z trendów to wprowadzenie warstwowej ochrony dla ataków bezplikowych, czyli takich, gdzie szkodliwe oprogramowanie znajduje się w całości w pamięci RAM i nigdy nie dokonuje zapisu na dysku. Systemy Endpoint Protection coraz częściej zapewniają ochronę przed takimi atakami.

Ochrona punktów końcowych. Co w standardzie

Cechą decydującą o przydatności i jakości systemu Endpoint Protection są jego możliwości prewencyjne – najlepszą ochroną przed cyberzagrożeniami jest podejście „zapobiegać zamiast leczyć”. System ochrony punktów końcowych powinien oferować narzędzia zapobiegające atakom, zanim te faktycznie będą miały miejsce. Przed wyborem systemu warto dokładnie zapoznać się z jego specyfikacją i sprawdzić czy oferuje funkcje prewencyjne.

Równie ważna funkcja systemu Endpoint Protection to sandboxing, czyli uruchamianie podejrzanych plików w środowiskach kwarantanny, które nie mają wpływu na sieć korporacyjną i inne działania. Sandboxing przydaje się przy analizowaniu nieznanych plików, zarówno przy analizie statycznej, jak i dynamicznej. Ale uwaga: należy unikać takich produktów, w których ta funkcja jest realizowana przez firmę trzecią w formie doinstalowanego rozszerzenia. Sandboxing powinien być wbudowany bezpośrednio w system Endpoint Protection i oferowany przez jednego dostawcę.

Kolejne funkcje, na które warto zwracać uwagę, to krótki czas wykrywania zagrożeń (szczegółowe informacje dotyczące konkretnych systemów podają producenci) oraz monitorowanie aktywności w sieci w trybie 24/7 dla wszystkich punktów końcowych.

Nie bez znaczenia jest łatwy w obsłudze interfejs – administratorzy nie powinni mieć problemu z obsługą systemu. Im większa przejrzystość w interfejsie, tym lepiej można zarządzać siecią i zapewnić odpowiednio wysokie bezpieczeństwo. Znaczenie ma także integracja z aktualnie wykorzystywaną architekturą bezpieczeństwa. System Endpoint Protection to tylko część całej architektury, dlatego sytuacja, w której nie będzie pasował do architektury lub będzie musiał działać poza nią, będzie powodować problemy zarówno przy monitorowaniu sieci, jak i pracy całej infrastruktury IT. Warto wybrać takie rozwiązanie, które dobrze zintegruje się z aktualnymi zasobami.

Ochrona punktów końcowych. Środowiska komplementarne

Duże organizacje mogą potrzebować czegoś więcej niż tylko systemu Endpoint Protection. Często, jako komplementarne do niego, polecane są jeszcze rozwiązania typu Mobile Device Management oraz Data Loss Prevention. To pierwsze pozwala sprawować kontrolę nad urządzeniami mobilnymi – zwłaszcza smartfonami – i zabezpieczać je.

W kontekście RODO i tego, że pracownicy przechowują służbowe dane osobowe na telefonach, często nawet na tych prywatnych, stosowanie MDM wydaje się w pełni uzasadnione i zapewni dodatkową ochronę. Z kolei systemy DLP podnoszą bezpieczeństwo przechowywania danych, dbając o to, aby nie dochodziło do ich utraty i wycieków.

Małe firmy, posiadające tylko kilka komputerów stacjonarnych i laptopów, będą pewnie kierować się innymi czynnikami przy wyborze systemu zabezpieczającego punkty końcowe niż korporacje, które muszą zapewnić ochronę tysiącom takich punktów – od serwerów po smartfony. Firmy, które mają zamiar objąć ochroną dużą liczbę punktów końcowych, powinny wziąć pod uwagę łatwość zarządzania i skalowalność systemu – na pewno warto rozważyć rozwiązania oferowane w chmurze w formie abonamentu.

Poza tym firmy mogą stosować jeszcze dodatkową warstwę ochrony w postaci zapory sieciowej. Podstawowym zadaniem firewalla jest utrudnianie złośliwemu oprogramowaniu infiltracji sieci firmowej. Jeśli mamy wysokie wymagania lub musimy wdrożyć kilka różnych systemów, warto zwracać uwagę czy producenci oferują ujednolicone konsole administracyjne do zarządzania poszczególnymi systemami lub czy wybrane produkty będą w stanie ze sobą współpracować. Takie podejście sprawi, że zapewnimy sobie bardzo wysoki poziom bezpieczeństwa i zachowamy komfort związany z obsługą całego systemu.