По мере того как киберугрозы становятся всё более изощрёнными и разрушительными, организациям необходимо комплексное, интеллектуальное решение для противодействия программам-вымогателям. ManageEngine Ransomware Protection Plus — одна из наиболее передовых корпоративных антишифровальщиковых платформ, разработанная Zoho Corporation и доступная в версии 11.5.2611.02 с возможностями, созданными специально для специалистов в области ИТ и управления информационной безопасностью.
Сочетая искусственный интеллект, поведенческий анализ и машинное обучение, программа не только блокирует известные шифровальщики, но и обнаруживает и нейтрализует неизвестные угрозы и атаки нулевого дня ещё до того, как они успевают нанести ущерб.
Что такое программа-вымогатель и почему это важно?
Программа-вымогатель (шифровальщик) — это тип разрушительного вредоносного ПО, которое после проникновения в систему шифрует критически важные файлы организации и требует выкуп в обмен на восстановление доступа. Число таких атак резко возросло за последние годы, и ни одна отрасль — от больниц до нефтяных компаний, от банков до государственных структур — не застрахована от них.
Организации подвергаются повышенному риску из-за ряда типичных уязвимостей:
1. Неполное обновление программного обеспечения: Многие организации используют устаревшие и уязвимые версии программ, которые являются привлекательными целями для атакующих.
2. Недостаточное резервное копирование: Отсутствие регулярной и защищённой системы резервного копирования означает, что в случае атаки у организации может не остаться иного выхода, кроме выплаты выкупа.
3. Недостаточное обучение персонала: Переход по вредоносным ссылкам в фишинговых письмах по-прежнему остаётся одним из основных векторов проникновения шифровальщиков.
4. Отсутствие специализированных решений: Стандартные антивирусы недостаточно эффективны против современных шифровальщиков, использующих бесфайловые техники и уязвимости нулевого дня.
ManageEngine Ransomware Protection Plus создан именно для того, чтобы устранить эти бреши в безопасности.
Что такое ManageEngine Ransomware Protection Plus?
ManageEngine Ransomware Protection Plus — специализированное корпоративное решение для защиты от программ-вымогателей, разработанное ManageEngine — подразделением ИТ-управления корпорации Zoho. Оно предлагает многоуровневый подход, охватывающий обнаружение, сдерживание, реагирование и восстановление.
В отличие от традиционных антивирусов, опирающихся на базы известных сигнатур, программа использует продвинутый поведенческий анализ для обнаружения шифровальщиков, которые прежде никогда не встречались. В настоящее время продукт защищает более 2,5 миллиона конечных точек по всему миру и обеспечивает уровень обнаружения выше 99%.
Ключевые возможности ManageEngine Ransomware Protection Plus
1. Поведенческое обнаружение
Вместо опоры на базу сигнатур программа анализирует поведение процессов и файлов в режиме реального времени. Любой аномальный паттерн в изменении, удалении или шифровании файлов немедленно выявляется и блокируется. Этот подход особенно эффективен против современных вариантов шифровальщиков, которые каждый раз появляются с новой сигнатурой.
2. Защита от бесфайловых вредоносных программ
Современные шифровальщики больше не нуждаются в записи файла на диск — они выполняются непосредственно в ОЗУ, оставаясь невидимыми для традиционных антивирусов. ManageEngine Ransomware Protection Plus обнаруживает и блокирует эти атаки, выполняемые через скрипты или системные процессы, даже без файловой сигнатуры.
3. Обнаружение на периметре без подключения к сети (Edge-Based Offline Detection)
Многие решения безопасности критически зависят от интернет-подключения для получения обновлений баз. Благодаря архитектуре на базе периметра эта программа способна защищать конечные точки даже при отключении от сети или ограниченном подключении — что особенно ценно для изолированных сегментов (air-gapped) и промышленных сред с требованиями по сегментации сети.
4. Анализ цепочки атаки
Программа отображает весь жизненный цикл атаки шифровальщика — от начальной точки проникновения до распространения по сети. Этот комплексный обзор позволяет командам безопасности понять, как началась атака, какой путь она прошла и какие системы оказались затронуты, — что даёт возможность провести полное, а не частичное устранение последствий.
5. Отображение на MITRE ATT&CK
Тактики, техники и процедуры (ТТП), используемые в атаках шифровальщиков, автоматически сопоставляются с фреймворком MITRE ATT&CK. Это позволяет командам SOC анализировать природу атак с большей точностью и использовать стандартизированный язык при коммуникации с заинтересованными сторонами и при прохождении аудитов.
6. Обнаружение индикаторов компрометации (IoC)
Система автоматически идентифицирует хеши вредоносных файлов, подозрительные IP-адреса и URL-адреса, связанные с шифровальщиками, фиксируя их в базе данных угроз. Эта информация перекрёстно сверяется с сообществом VirusTotal для дополнительного обогащения контекстом.
7. Блокировка на уровне процессов
Подозрительные действия — включая массовое шифрование файлов, изменение критических системных файлов или удаление теневых копий — немедленно блокируются на уровне процессов ещё до того, как может быть нанесён существенный ущерб.
8. Изоляция устройства в реальном времени
При обнаружении заражения скомпрометированная система автоматически изолируется от сети для предотвращения распространения шифровальщика на другие конечные точки. Изоляция применяется только при необходимости и оказывает минимальное влияние на производительность.
9. Восстановление в один клик
ManageEngine Ransomware Protection Plus использует Службу теневого копирования томов Microsoft (VSS) для создания теневых копий файлов конечных точек каждые три часа. В случае атаки система автоматически восстанавливает зашифрованные файлы до последней чистой версии, позволяя возобновить работу в течение нескольких минут. Теневые копии защищены запатентованным механизмом защиты от взлома — шифровальщик не может их удалить, даже если ему удалось удалить стандартные снимки VSS.
10. Защита от повторных атак
Система запоминает поведенческие паттерны известных шифровальщиков и немедленно нейтрализует любую программу, демонстрирующую аналогичное поведение, — даже если она несёт новую сигнатуру или является ранее невиданным вариантом.
ManageEngine Ransomware Protection Plus vs традиционный антивирус
| Возможность | Традиционный антивирус | ManageEngine Ransomware Protection Plus |
|---|---|---|
| Метод обнаружения | На основе сигнатур | Поведенческий + ИИ/МО |
| Обнаружение атак нулевого дня | Ограниченное | ✅ Полное |
| Защита от бесфайловых атак | ❌ | ✅ |
| Обнаружение без подключения к сети | ❌ | ✅ |
| Автоматическое восстановление файлов | ❌ | ✅ VSS одним кликом |
| Теневые копии, защищённые от взлома | ❌ | ✅ Запатентовано |
| Отображение MITRE ATT&CK | ❌ | ✅ |
| Зависимость от обновления баз | Высокая | Минимальная |
| Изоляция конечной точки | ❌ | ✅ Автоматическая |
| Анализ корневой причины | ❌ | ✅ |
Новые возможности в версии 11.5.2611.02
Последняя версия ManageEngine Ransomware Protection Plus представляет значительные улучшения в области обнаружения, реагирования и интеграции:
- Улучшенный движок ИИ: Усовершенствованные модели машинного обучения, обученные на данных реальных инцидентов, обеспечивающие более высокую точность обнаружения и меньшее количество ложных срабатываний
- Расширенная база IoC: Расширенная киберразведка для более быстрой идентификации новых семейств шифровальщиков
- Улучшенная защита VSS: Более надёжный механизм защиты от взлома против продвинутых семейств шифровальщиков, пытающихся повредить или удалить теневые копии перед шифрованием файлов
- Более быстрая изоляция конечной точки: Сокращение времени от обнаружения до сетевого карантина, что минимизирует радиус поражения активной атаки
- Расширенное покрытие MITRE ATT&CK: Расширенное отображение на более широкий набор техник и подтехник ATT&CK
- Улучшение интеграции с Endpoint Central: Более тесная интеграция с консолью управления Endpoint Central для оптимизированных рабочих процессов реагирования на инциденты
Варианты развёртывания
ManageEngine Ransomware Protection Plus доступен в двух конфигурациях развёртывания:
Дополнение к Endpoint Central: Рекомендуемый вариант для организаций, уже использующих ManageEngine Endpoint Central. Установка отдельного агента не требуется — модуль активируется через лицензирование. Та же консоль Endpoint Central, используемая для управления исправлениями, развёртывания программного обеспечения и удалённого устранения неполадок, также обрабатывает обнаружение шифровальщиков, сдерживание и восстановление. Это устраняет необходимость переключения между отдельными инструментами во время активного инцидента.
Автономное развёртывание: Для организаций, не использующих Endpoint Central, программа может быть развёрнута независимо. Сначала устанавливается агент Endpoint Central, который служит транспортным механизмом для модуля защиты от шифровальщиков.
Поддерживаемые платформы
- Windows 10 / 11 (все редакции)
- Windows Server 2012 R2, 2016, 2019, 2022
Примечание: в текущей версии Ransomware Protection Plus защищает только конечные точки Windows.
Потребление ресурсов
- ~1% потребления сетевой полосы пропускания агентом
- Минимальное влияние на ЦП и память — разработано для производственных конечных точек без снижения производительности пользователей
- Теневые копии хранятся локально на конечной точке с пренебрежимо малыми накладными расходами на хранение (VSS захватывает только изменения с момента последнего снимка, а не полные копии файлов)
Цены
| Вариант | Цена |
|---|---|
| Ransomware Protection Plus (дополнение к Endpoint Central) | ~$145/год |
| Malware Protection Plus (полный NGAV, включая защиту от шифровальщиков) | ~$495/год |
| Бесплатный пробный период | 30 дней, неограниченное число конечных точек |
Что выбрать: Выбирайте Ransomware Protection Plus (~$145/год), если в вашей организации уже есть антивирусное решение (Kaspersky, Dr.Web, ESET, Windows Defender и другие) и вам конкретно нужно добавить защищённое от взлома восстановление VSS, мониторинг файлов-приманок и специализированное сдерживание шифровальщиков. Выбирайте Malware Protection Plus (~$495/год), если нужна полная замена антивируса, покрывающая весь спектр угроз вредоносного ПО.
Часто задаваемые вопросы
Требуется ли установка отдельного агента на каждой конечной точке? Нет. Ransomware Protection Plus использует существующий агент Endpoint Central. Если Endpoint Central уже развёрнут, дополнительная установка агента не требуется — модуль активируется через лицензирование.
Каков максимальный объём потерь данных при восстановлении через VSS? Теневые копии создаются каждые три часа. В наихудшем случае может быть потеряно до трёх часов изменений файлов. На практике последний снимок обычно моложе трёх часов.
Может ли шифровальщик удалить теневые копии, управляемые этой программой? Нет. Запатентованный механизм защиты от взлома не позволяет ни шифровальщикам, ни пользователям удалять или повреждать теневые копии, созданные Ransomware Protection Plus. Это конкретно устраняет технику, используемую продвинутыми семействами шифровальщиков — такими как LockerGoga, — которые удаляют стандартные снимки VSS перед шифрованием данных.
Заменяет ли это наш существующий антивирус? Нет. Ransomware Protection Plus — специализированный модуль для шифровальщиков, а не полная замена антивируса. Ваше существующее антивирусное решение должно оставаться на месте вместе с ним. Если нужна полная замена NGAV — Malware Protection Plus является подходящим продуктом.
Что происходит, если конечная точка офлайн во время атаки? Обнаружение на базе периметра работает локально без необходимости облачного или серверного подключения. Конечная точка способна обнаружить угрозу, сформировать локальное оповещение и инициировать ответные действия даже при отключении от сети.
Совместимо ли с Kaspersky, Dr.Web, CrowdStrike, SentinelOne или Windows Defender? Да. Ransomware Protection Plus разработан для совместной работы с существующими продуктами безопасности без конфликтов. Уровень восстановления VSS с защитой от взлома дополняет любую платформу защиты конечных точек.
Итог
ManageEngine Ransomware Protection Plus 11.5 — специализированный уровень защиты от шифровальщиков, устраняющий конкретные уязвимости, которые традиционные и NGAV-продукты оставляют открытыми в сценариях с программами-вымогателями: защищённое от взлома восстановление теневых копий VSS, раннее предупреждение через мониторинг файлов-приманок, поведенческое обнаружение без зависимости от сигнатур, а также анализ корневой причины с отображением на MITRE ATT&CK.
За ~$145/год в качестве дополнения к Endpoint Central — одно из наиболее экономичных решений для добавления восстановления на базе VSS и поведенческого сдерживания к существующей инфраструктуре управления конечными точками, особенно ценное для организаций, уже имеющих антивирусное решение и конкретно нуждающихся в уровне устойчивости к шифровальщикам.
По вопросам лицензирования обращайтесь в Telegram: t.me/DoCrackMe
Смотрите также: ManageEngine Malware Protection Plus — Полное руководство по NGAV | ManageEngine Endpoint Central Security Edition — Полное руководство | ManageEngine ADManager Plus — Управление Active Directory
