ManageEngine предлагает два модуля безопасности для Endpoint Central с почти одинаковыми названиями, охватывающими пересекающиеся угрозы: Ransomware Protection Plus (RPP) и Malware Protection Plus (MPP). Оба обнаруживают шифровальщиков. Оба используют поведенческий анализ. Оба интегрируются с одним и тем же агентом Endpoint Central. По одним только названиям различие не очевидно.
Эта статья объясняет, что именно разделяет их, какие возможности есть только в MPP, почему разница в цене составляет почти 3,5 раза, и как решить, какой из продуктов — или оба — нужны в вашей инфраструктуре.
Ответ в одном предложении
Ransomware Protection Plus — специализированный уровень защиты и восстановления исключительно от программ-вымогателей, предназначенный для работы рядом с вашим существующим антивирусом.
Malware Protection Plus — полноценный антивирус нового поколения (NGAV), заменяющий ваш существующий антивирус и включающий всё, что есть в RPP, — плюс значительно больше.
Сам ManageEngine формулирует это отношение явно: защита от вымогателей является подмножеством NGAV. RPP покрывает это подмножество. MPP покрывает полный набор.
Текущие версии
| Продукт | Текущая версия |
|---|---|
| Ransomware Protection Plus | 11.5.2611.02 |
| Malware Protection Plus | 11.4.2540.04 |
Оба являются дополнениями к ManageEngine Endpoint Central. Ни один не требует отдельного развёртывания агента, если Endpoint Central уже работает.
Что охватывает Ransomware Protection Plus
RPP построен вокруг одного класса угроз — программ-вымогателей — и полного жизненного цикла инцидента с шифровальщиком:
Обнаружение:
- Поведенческое обнаружение активности шифровальщиков (массовая модификация файлов, массовое изменение расширений, всплески энтропии содержимого файлов)
- Мониторинг файлов-приманок — стратегически размещённые ловушки срабатывают в момент начала волны шифрования, перехватывая шифровальщика до того, как зашифрованы реальные данные в значимом объёме
- Обнаружение через память и скрипты — перехватывает бесфайловые шифровальщики, доставляемые через PowerShell, WMI или документы с макросами
- Мониторинг попыток удаления теневых копий — помечает любой процесс, пытающийся удалить снимки VSS (стандартный шаг шифровальщиков перед шифрованием)
- Обнаружение на периметре без подключения к сети — работает без облачного подключения, эффективно в изолированных (air-gapped) средах
Сдерживание:
- Автоматическая изоляция конечной точки — разрыв сетевых соединений при подтверждённом или высокодостоверном заражении
- Режимы «Аудит» и «Уничтожение» — настраиваемая агрессивность ответных действий
- Антишифрование на уровне ядра — блокирует несанкционированное шифрование на уровне ОС до завершения выполнения полезной нагрузки
Восстановление:
- Теневые копии VSS с защитой от взлома каждые три часа — с использованием запатентованного механизма, не позволяющего шифровальщику удалить резервные копии (адресно решает атаки типа LockerGoga, нацеленные на теневые копии)
- Восстановление зашифрованных файлов в один клик — избирательное восстановление только затронутых файлов, без полной переустановки системы
- RPO около трёх часов; RTO исчисляется минутами при параллельном восстановлении нескольких конечных точек
Анализ угроз:
- Анализ корневой причины — полная хронология атаки от точки входа до горизонтального перемещения
- Отображение на MITRE ATT&CK
- Обогащение IoC через VirusTotal (хеши файлов, вредоносные IP и URL)
Что RPP НЕ охватывает:
- Трояны, шпионы, рекламное ПО, черви, руткиты, криптомайнеры — любое вредоносное ПО, не являющееся шифровальщиком
- Сигнатурное обнаружение известного вредоносного ПО
- Сканирование памяти на внедрённый шелл-код, не связанный с шифровальщиком
- Защита LSASS от кражи учётных данных
- Техники противодействия эксплойтам / защиты памяти
- Комплексная аналитика угроз за пределами IoC, специфичных для шифровальщиков
Что добавляет Malware Protection Plus
MPP включает всё, что охватывает RPP — тот же движок обнаружения шифровальщиков, те же файлы-приманки, то же восстановление VSS с защитой от взлома, — а затем расширяет защиту на весь спектр вредоносного ПО.
Уровень сигнатурного обнаружения
RPP исключительно поведенческий — у него нет базы сигнатур. MPP добавляет традиционное сигнатурное обнаружение, работающее параллельно с поведенческим анализом. Это означает:
- Известное вредоносное ПО с установленными сигнатурами (включая старые трояны, черви и устоявшиеся семейства шифровальщиков) перехватывается при первом контакте путём сопоставления с сигнатурами — ещё до запуска поведенческого анализа
- Комбинация сигнатур + поведения обеспечивает эшелонированную защиту: сигнатуры перехватывают быстро, поведенческий анализ — новое
Это наиболее фундаментальное архитектурное различие. RPP не может идентифицировать вредоносное ПО по сигнатуре. MPP может.
Полный спектр угроз вредоносного ПО
MPP защищает от полного диапазона угроз для конечных точек:
- Трояны — трояны удалённого доступа (RAT), банковские трояны, бэкдоры
- Шпионское ПО и кейлоггеры — перехват учётных данных, скриншоты, запись нажатий клавиш
- Рекламное ПО — угонщики браузеров, нежелательное ПО
- Черви — самораспространяющееся вредоносное ПО, распространяющееся по сетям
- Руткиты — механизмы глубокого закрепления в системе
- Криптомайнеры — захват CPU/GPU для добычи криптовалюты
- Компоненты APT — стейджеры, загрузчики и импланты, используемые в продвинутых постоянных угрозах
RPP не перехватит ничего из этого, если только эти угрозы не проявляют поведение, характерное для шифровальщиков (массовое шифрование файлов, удаление теневых копий).
Углублённое сканирование памяти
MPP включает возможности глубокого сканирования памяти, выходящие за рамки того, что предоставляет RPP:
- Обнаружение шелл-кода — выявление вредоносного кода, внедрённого в память процессов
- Обнаружение внедрения DLL — перехват техник типа рефлексивной загрузки DLL и полого процесса (process hollowing)
- Сканирование памяти по требованию или при записи — проактивное сканирование скрытых полезных нагрузок в ОЗУ
Это важно, поскольку изощрённое вредоносное ПО — в особенности импланты класса APT и бесфайловые загрузчики — часто работает исключительно в памяти. Обнаружение через память в RPP сосредоточено на механизмах доставки шифровальщиков (скрипты PowerShell, WMI). Сканирование памяти MPP шире и охватывает весь диапазон угроз в памяти.
Защита LSASS — противодействие краже учётных данных
Local Security Authority Subsystem Service (LSASS) — процесс Windows, отвечающий за аутентификацию. Он является основной целью инструментов кражи учётных данных типа Mimikatz, которые извлекают хеши паролей из памяти LSASS для использования в атаках типа Pass-the-Hash или горизонтального перемещения.
MPP отслеживает LSASS и защищает его от попыток дампа памяти — перехватывая кражу учётных данных у источника. RPP не имеет возможности защиты LSASS. Это существенно: кража учётных данных — именно тот шаг, который позволяет шифровальщику распространиться по организации, однако RPP ничего не делает для противодействия этому предшественнику.
Противодействие эксплойтам и защита памяти
MPP применяет техники противодействия эксплойтам на уровне ядра и процессов:
- Защита от переполнения буфера
- Обнаружение цепочек Return-Oriented Programming (ROP)
- Защита от распыления кучи (heap spray)
- Обеспечение целостности памяти процессов
Эти техники не позволяют атакующим использовать уязвимости программного обеспечения — незакрытые CVE, эксплойты нулевого дня — для получения первоначального выполнения кода. RPP не имеет возможности противодействия эксплойтам.
Сертификация AV-Comparatives
MPP (в составе пакета ManageEngine Malware Protection) сертифицирован AV-Comparatives для корпоративной безопасности — независимая сторонняя лабораторная оценка, подтверждающая эффективность обнаружения. RPP не проходил такую независимую сертификацию как самостоятельный продукт.
Для организаций, где фреймворки соответствия или аудиты безопасности требуют подтверждённой сторонней AV-сертификации, сертификат AV-Comparatives MPP имеет практическое значение.
Бесплатный уровень (до 25 конечных точек)
MPP включает бесплатный уровень для до 25 конечных точек с полным доступом к функционалу — реально полезная точка входа для небольших ИТ-команд, оценивающих продукт или защищающих ограниченное число критических систем. RPP не имеет сопоставимого бесплатного уровня — он лицензируется как дополнение с первой конечной точки.
Сравнительная таблица
| Возможность | RPP 11.5 | MPP 11.4 |
|---|---|---|
| Основная область | Только шифровальщики | Полный спектр вредоносного ПО |
| Поведенческое обнаружение шифровальщиков | ✅✅ | ✅✅ |
| Мониторинг файлов-приманок | ✅✅ | ✅✅ |
| Восстановление теневых копий VSS | ✅✅ Защита от взлома | ✅✅ Защита от взлома |
| Восстановление зашифрованных файлов в один клик | ✅✅ | ✅✅ |
| Антишифрование на уровне ядра | ✅✅ | ✅✅ |
| Обнаружение через память/скрипты | ✅ (доставка шифровальщиков) | ✅✅ (полный спектр) |
| Изоляция конечной точки | ✅✅ | ✅✅ |
| Отображение MITRE ATT&CK | ✅✅ | ✅✅ |
| Анализ корневой причины | ✅✅ | ✅✅ |
| Интеграция IoC с VirusTotal | ✅✅ | ✅✅ |
| Режим «Аудит» / «Уничтожение» | ✅✅ | ✅✅ |
| Обнаружение на периметре без сети | ✅✅ | ✅✅ |
| Сигнатурное обнаружение | ❌ | ✅✅ |
| Трояны, шпионы, черви, рекламное ПО | ❌ | ✅✅ |
| Обнаружение руткитов | ❌ | ✅✅ |
| Обнаружение криптомайнеров | ❌ | ✅✅ |
| Углублённое сканирование памяти (шелл-код, внедрение DLL) | ❌ | ✅✅ |
| Защита LSASS от кражи учётных данных | ❌ | ✅✅ |
| Противодействие эксплойтам / защита памяти | ❌ | ✅✅ |
| Сертификация AV-Comparatives | ❌ | ✅✅ |
| Бесплатный уровень (≤25 конечных точек) | ❌ | ✅✅ |
| Требует наличия существующего AV | Да | Нет (заменяет AV) |
| Цена | ~$145/год | ~$495/год |
Реальность ценообразования
| Продукт | Цена | Что заменяет |
|---|---|---|
| Ransomware Protection Plus | ~$145/год | Ничего — добавляет уровень к существующему AV |
| Malware Protection Plus | ~$495/год | Полностью заменяет существующий AV |
| Оба вместе | ~$640/год | Заменяет AV + максимальное покрытие |
| Бесплатно (MPP, ≤25 конечных точек) | $0 | Заменяет AV для небольших развёртываний |
Математика MPP против RPP: MPP стоит примерно в 3,4 раза дороже RPP. Если ваша организация платит ~$15–50/конечная точка/год за Kaspersky, Dr.Web, ESET или другой коммерческий AV, замена его на MPP может фактически снизить совокупные расходы на безопасность при одновременном получении интеграции с Endpoint Central. Если вы используете Windows Defender (бесплатный), MPP добавляет платный NGAV с начальной ценой ~$495.
Четыре сценария принятия решения
Сценарий 1: У нас есть антивирус, нужна только лучшая защита от шифровальщиков
→ Выберите Ransomware Protection Plus (~$145/год)
Ваш существующий AV справляется с троянами, шпионами и общим вредоносным ПО. Чего ему может не хватать: защищённого от взлома восстановления VSS, раннего предупреждения через файлы-приманки и специализированного поведенческого сдерживания шифровальщиков. RPP накладывается поверх любого AV — Kaspersky, Dr.Web, ESET, Windows Defender — без конфликтов. Он добавляет устойчивость к восстановлению, которую общий AV обеспечить не может.
Сценарий 2: Нам нужно заменить антивирус
→ Выберите Malware Protection Plus (~$495/год)
Если срок вашего AV-контракта истекает, вы консолидируете инструменты или строите защиту для новой среды — MPP является правильным продуктом. Он охватывает полный спектр вредоносного ПО: сигнатурный + поведенческий + сканирование памяти, — заменяя то, что делает ваш текущий AV, плюс добавляя возможности NGAV, которых у него, скорее всего, нет.
Сценарий 3: Нужна максимальная защита от одного вендора
→ Запускайте оба — RPP + MPP (~$640/год в совокупности)
MPP охватывает широкий ландшафт угроз. RPP добавляет свой специализированный уровень восстановления от шифровальщиков — защищённый от взлома VSS, мониторинг файлов-приманок, оптимизированный для шифровальщиков, антишифрование на уровне ядра — поверх него. Оба разработаны для одновременной работы без конфликтов. Для организаций из группы высокого риска (здравоохранение, финансы, критическая инфраструктура, государственный сектор), где шифровальщики — основная экзистенциальная угроза, а полный спектр вредоносного ПО по-прежнему требует охвата, запуск обоих обеспечивает глубочайшую эшелонированную защиту.
Сценарий 4: Небольшая команда, ограниченный бюджет, ≤25 конечных точек
→ Начните с бесплатного уровня Malware Protection Plus
Бесплатный уровень MPP охватывает до 25 конечных точек с полным доступом к функционалу. Для небольшой ИТ-команды, защищающей несколько серверов или критических рабочих станций, это обеспечивает полноценный NGAV — включая защиту от шифровальщиков — без дополнительных затрат. По мере роста среды свыше 25 конечных точек включается платное лицензирование.
Можно ли запускать оба одновременно?
Да. RPP и MPP разработаны для совместной работы без конфликтов. Они используют одного агента Endpoint Central, применяют отдельные движки обнаружения и не конкурируют за системные ресурсы в значимой мере.
При развёртывании обоих:
- MPP выполняет широкое обнаружение вредоносного ПО (сигнатуры + поведенческий анализ AI/ML по всем категориям угроз)
- Специализированное обнаружение шифровальщиков RPP работает параллельно — в особенности его уровень файлов-приманок и защищённый от взлома VSS, которые функционируют ниже уровня, где вмешивается MPP
Наиболее практически значимая причина запуска обоих: защита от шифровальщиков MPP охватывает обнаружение и сдерживание, однако механизм tamper-proof VSS в RPP — это отдельный уровень резервной устойчивости. Даже если MPP обнаружил и уничтожил шифровальщика, защищённые теневые копии RPP обеспечивают страховочную сеть восстановления на случай, если какое-либо шифрование успело произойти до сдерживания.
Часто задаваемые вопросы
Включает ли MPP всё, что есть в RPP? Да. Антишифровальщиковый компонент MPP включает то же поведенческое обнаружение, файлы-приманки, восстановление VSS, изоляцию конечной точки и отображение MITRE ATT&CK, что и RPP, — плюс более широкие возможности NGAV. При покупке MPP дополнительный RPP для покрытия шифровальщиков не нужен, если только вы специально не хотите иметь tamper-protected VSS RPP как независимый уровень резервной устойчивости.
Если я куплю MPP, можно ли отказаться от существующего антивируса? Да. MPP разработан для полной замены существующего антивируса. ManageEngine позиционирует его как NGAV — полноценный заменитель традиционного AV — с более широким охватом через поведенческое обнаружение AI/ML наряду с сигнатурным обнаружением.
Работает ли RPP без Endpoint Central? Оба — RPP и MPP — технически структурированы как дополнения к Endpoint Central. Сначала должен быть развёрнут агент Endpoint Central. Тем не менее ManageEngine поддерживает сценарии автономного развёртывания, в которых Endpoint Central функционирует преимущественно как транспортный механизм для модуля безопасности.
У какого продукта есть независимая сторонняя сертификация? MPP (в составе пакета ManageEngine Malware Protection) сертифицирован AV-Comparatives для корпоративной безопасности. RPP не проходил независимую сертификацию в сторонней испытательной лаборатории как самостоятельный продукт.
Есть ли бесплатный пробный период для любого из продуктов? Endpoint Central предлагает 30-дневный бесплатный пробный период для неограниченного числа конечных точек. MPP дополнительно предлагает постоянный бесплатный уровень для до 25 конечных точек. RPP не имеет постоянного бесплатного уровня.
Совместимы ли оба продукта с Kaspersky / Dr.Web / Windows Defender? RPP совместим со всеми антивирусами и разработан для работы рядом с ними без конфликтов. MPP при развёртывании в качестве замены AV должен заменить существующий антивирус — одновременная работа двух полноценных AV-решений не рекомендуется. При переходе на MPP удалите предыдущий AV-продукт.
Итог
Ransomware Protection Plus (11.5.2611.02) — правильный выбор, когда у вас есть существующее антивирусное покрытие и конкретно нужно добавить: защищённое от взлома восстановление теневых копий VSS, раннее предупреждение через файлы-приманки, специализированное поведенческое сдерживание шифровальщиков и анализ инцидентов с отображением на MITRE ATT&CK. За ~$145/год это наименее затратный способ добавить выделенную устойчивость к шифровальщикам к любому существующему стеку безопасности.
Malware Protection Plus (11.4.2540.04) — правильный выбор, когда нужно полноценное NGAV-решение, заменяющее существующий антивирус и охватывающее полный спектр угроз: шифровальщики, трояны, шпионы, руткиты, криптомайнеры, кража учётных данных, атаки на основе эксплойтов и продвинутые угрозы, резидентные в памяти. За ~$495/год он предоставляет значительно больше, чем RPP, и может заменить расходы на отдельную AV-лицензию.
Запуск обоих обеспечивает наиболее полное покрытие в рамках экосистемы ManageEngine: MPP как широкий уровень NGAV по всем категориям угроз, tamper-protected VSS RPP как независимая страховочная сеть восстановления, специально укреплённая против тактики шифровальщиков по удалению резервных копий.
По вопросам лицензирования любого из продуктов обращайтесь в Telegram: t.me/DoCrackMe
Смотрите также: ManageEngine Ransomware Protection Plus 11.5 — Полное руководство | ManageEngine Malware Protection Plus 11.4 — Полное руководство | ManageEngine Endpoint Central Security Edition — Полное руководство
