Тест решения Trend Micro Safe Lock для защиты банкоматов

Дата проведения: 24.11.2016 18:18

В последнее время участились сообщения об атаках на банкоматы ряда банков на территории России, стран СНГ, а также европейских стран различными кибергруппировками. Компанией ARinteg были протестированы несколько решений, позволяющих обеспечить противодействие данной угрозе.

Программное обеспечение Trend Micro Safe Lock предназначено для защиты банкоматов и работает по принципу контроля «белых списков» приложений, разрешённых к запуску. В данном обзоре мы рассмотрим функционал, предлагаемый Trend Micro Safe Lock Version 2.0 Build 5069 (далее, TM Safe Lock), а также проверим надёжность обеспечиваемой защиты.

Функциональные возможности

TM Safe Lock контролирует запуск приложений на системе, а также имеет ряд дополнительных функций для защиты от хакерских атак.

Системные требования

Для запуска TM Safe Lock нет никаких специальных аппаратных требований, помимо следующих:

Поддерживаемые операционные системы:

ТМ Safe Lock может быть установлен следующими способами:
- с помощью графического интерфейса;
- из командной строки;
- удалённо из консоли управления решением.
Для демонстрации процесса работы с продуктом проведём установку из дистрибутива с помощью графического интерфейса на банкомате Personas NCR-5877 CEN-L с Windows XP SP3:

В следующем окне указывается необходимость установки компонента Network Virus Protection, отвечающего за защиту от сетевых атак.
После ввода лицензионного ключа и пароля администратора TrendMicro Safe Lock про-водится сканирование файлов системы для подтверждения безопасности среды установки. Задаются папки, в которых проводить поиск, списки исключений, глубина сканирования архивов.
Выгода: Установка ПО только в безопасную среду.

В случае обнаружения подозрительных файлов выдаётся предупреждение:

А также подробный отчёт о результатах сканирования:

Предлагается либо устранить найденные проблемы, либо продолжить установку:

После окончания установки все изменения в конфигурации ПО можно проводить только, введя пароль администратора:

На этапе первого запуска ПО составляется реестр легитимных приложений:

В результате в автоматическом режиме генерируется список разрешённых исполняемых файлов:

Данный список может быть экспортирован/импортирован для дальнейшего использования в других инсталляциях.
Выгода: Сокращение времени разработки политик безопасности.

Работа с продуктом TM Safe Lock

TM Safe Lock имеет интуитивно понятный интерфейс. На pисунке отображена краткая сводка о дате и времени запуска ТМ Safe Lock. А также: индикатор работы модуля предотвращения использования уязвимостей, количество «проверенных» приложений, дата и время последнего обновления списка «проверенных» приложений, дата и время блокировки последнего приложения, дата истечения лицензии.

Тест производительности системы без ПО ТМ Safe Lock показывает загрузку ЦПУ на уровне 2% и 235 МБ использованной оперативной памяти.
При установке ПО ТМ Safe Lock загрузка ЦПУ колебалась в пределах 2%-18%, загрузка оперативной памяти выросла незначительно и составила 239МБ.
Данный тест показывает эффективность технологии «белых списков» по сравнению с обычными антивирусами.

Создав реестр разрешённых приложений, запустить что-то ещё на системе не получится. Нажав на надпись «Last Applications blocked on» на вкладке «Overview», можно увидеть список заблокированных файлов.

При попытке выполнения исполняемого файла со съемного носителя (автозапуском, либо вручную) также происходит блокировка:

Централизованная система управления TM Safe Lock Intelligent Manager

Решение имеет централизованную консоль мониторинга и управления TM Safe Lock Intelligent Manager. С помощью централизованной консоли управления можно установить агенты на целевые системы, проверить статус и просмотреть события, которые произошли на критичных системах. Для примера, администратор системы может удаленно установить агент, создать список доверительных приложений и в дальнейшем изменять его. Дополнительно, выполняется сканирование на вредоносные программы и файлы, с помощью установленного Safe Lock Agents, что позволяет сократить время проверки событий и быстро реагировать на инциденты.

Информационная панель TM Safe Lock Intelligent Manager

Пользовательская информационная панель позволяет обеспечить гибкость в просмотре событий администратором. По необходимости, можно создавать собственные информационные панели.
Администратору системы доступна следующая информация:
- Open Warnings – отображает последние открытые предупреждения;
- Top Blocked Files – отображает заблокированные файлы;
- Blocked Event History – отображает заблокированные события за определенный промежуток времени;
- Top Endpoint Triggering blocked Events – отображает конечные устройства на котором было заблокировано событие;
- Blocked File Scan Results – отображает результаты заблокированных вредоносных файлов.
На основе этих данных можно сгенерировать отчет в наглядном и удобном виде.

Есть возможность более глубоко ознакомиться с возникшим инцидентом, просто перейдя в него. С событиями могут быть выполнены следующие действия:
- Ignore – оставить файл на месте, не перемещать и не изменять;
- Delete – удалить файл;
- Quarantine – переместить файл в карантин;
- Add to Approved List – добавить данный файл в доверительный список.

Одной из особенностей решения является антивирусный движок, встроенный непосредственно в консоль, тем самым минимизируя нагрузку на конечное устройство. С его помощью можно просканировать файлы на наличие вредоносного кода и, при необходимости, осуществить его блокировку.

Удаленная установка агентов на различные системы и централизованное управление

Еще одной из особенностей решения является управление агентами на различных операционных системах. Присутствует возможность консолидации операционных систем в группы с созданием списков доверенных приложений, которые в дальнейшем будут применены на TM Safe Lock.

Разграничение прав пользователей TM Safe Lock Intelligent Manager

В решение TM Safe Lock Intelligent Manager используются два вида учетных записей для управления и мониторинга системы: администратор и пользователь. Учетная запись может быть наделена определенными правами, в соответствие с поставленными задачами, которым необходимо выполнять в TM Safe Lock Intelligent Manager.
Список основных задач, возможных для пользователей:
- Создание нового пользователя в системе;
- Удаленная установка агента на целевую систему;
- Управление доверенным списком приложений, которые могут быть запущены;
- Просмотр событий, появляющихся на консоли TM Safe Lock Intelligent Manager;
- Просмотр событий, возникающих на агенте Safe Lock Agents.

Выводы

Решение Safe Lock предлагает различные функции, обеспечивающие быстрое и легкое внедрение, удобство работы и надежный контроль. Простую начальную настройку с автоматическим сбором сведений о контролируемых системой файлах, ручное редактирование списка, предварительно установленные надежные программы обновления, экспорт и импорт списка, а также проверку хешзначений.

Safe Lock обеспечивает подход, предусматривающий возможность выполнения только тех приложений, которые были предварительно зарегистрированы в списке утвержденных. К ним относятся файлы с расширениями .dll, exe, а также драйвера, скритпы и другие файлы.

Данное ПО предоставляет защиту от вредоносного кода, почти не затрагивая производительность системы по сравнению с защитным ПО, которое использует файлы антивирусной базы данных. Кроме того, решение Safe Lock не влияет на скорость обмена важными данными в системе и не требует перезапуска системы во время работы.

Для снижения риска заражения вредоносными программами и несанкционированного выполнения Safe Lock предлагает различные функции предотвращения вторжений и исполнения уязвимостей: защита от вредоносных программ на USB-накопителях, защита от сетевых вирусов, предотвращение внедрения DLL, предотвращение перехвата вызовов API и рандомизация памяти.

Так как в регулярном обновлении файлов антивирусной базы данных нет необходимости, Safe Lock может защищать терминалы в средах, не подключенных к Интернету.

В Safe Lock используются два типа учётных записей: администратор и пользователь с ограниченными правами, что даёт возможность создавать пользователей для выполнения только необходимого им функционала.

Журнал событий Safe Lock передаётся в Windows Event Log, обеспечивая лёгкую интеграцию с системами управления событиями.