Какую информацию отправляют и хранят в облаке EPP и EDR решения



    Наравне с частыми нововведениями в законе о персональных данных и усилением роли государства в этом вопросе, возникают вопросы относительно политик конфиденциальности различных вендоров. И стоит ли доверять производителям ПО свои персональные данные? Тем более, интересно знать, какую информацию собирают, передают и хранят антивирусные вендоры в облаке. В этой статье рассмотрим данный вопрос на примере облачного решения безопасности для корпоративных клиентов Panda Adaptive Defense [360] (консоль централизованного управления которого также находится в облаке).


    Мы неоднократно писали об облачных решениях Panda для централизованной защиты конечных точек, к которым относятся решения Panda Endpoint Protection [Plus] и Panda Adaptive Defense [360]. Особенность этих решений заключается в том, что вся их инфраструктура (консоль управления, базы данных, репозиторий и пр.) вынесена в облако, а на конечные точки устанавливаются локальные агенты.


    Т.к. локальные агенты и консоль управления должны постоянно обмениваться информацией, то получается, что локальные агенты что-то отправляют в облако. Давайте разберемся, что именно отправляется в облако и что там хранится.


    Какие данные передаются в облако


    Новая модель защиты в Panda Adaptive Defense требует сбора информации о том, что делает каждое приложение. Непрерывный мониторинг действий, выполняемых приложениями, а также дальнейший анализ этих данных с помощью техник машинного обучения в нашем окружении Больших данных, — это то, что позволяет предлагать пользователям высокий уровень защиты.


    Данные, собираемые Panda Adaptive Defense, соответствуют следующим правилам:


    • Собирается только относительная информация об исполняемых файлах в Windows (файлы .exe, dll и т.д.), которые запускаются/ загружаются на машине.


    • Атрибуты таких файлов отправляются в виде стандартных ссылок без специфичной для каждого пользователя информации. Например, пути файлов стандартизованы как LOCALAPPDATA\name.exe вместо c: \Users\USERS_NAME\ AppData\Local\ name.exe.


    • Собираемые URL только для загружаемых исполняемых файлов. Те URL, которые пользователь сам открывает в браузере при просмотре сайтов, не собираются.


    • Собираемые данные не содержат персональную информацию.


    • Ни в коем случае Panda Adaptive Defense не отправляет персональную информацию в облако.


    Следующая информация собирается с каждой машины:


    • Название устройства.
    • Операционная система.
    • Service Pack.
    • Группа, в которой находится защищаемый ПК.
    • IP-адрес машины по умолчанию.
    • MAC-адрес.
    • IP-адреса, назначенные различным веб-адаптерам.
    • MAC-адреса для различных веб-адаптеров.
    • Память ОЗУ в МБ.


    В качестве важной информации для поддержки новой модели защиты в Panda Adaptive Defense, в облако отправляется информация о действиях, выполняемых приложениями в системе.


    Атрибут Данные Описание Пример
    Файл Хэш Хэш файла, относящегося к событию -
    URL Url Адрес, откуда был скачен PE- файл http://www.malware.com/executable.exe
    Путь Путь Стандартизованный путь, где находится файл данного события APPDATA\
    Реестр Ключ / Значение Ключ реестра Windows и соответствующее значение HKEY_LOCAL_MACHINE\SOFT WARE\Panda Security\Panda Research\ Minerva\Version = 3.2.21
    Операция ID операции ID операции выполненного события (создание/изменение/загрузка/… PE-файла, его скачивания, коммуникации и т.д.) Тип события 0 показывает выполнение PE-файла
    Коммуникация Протокол / Порт / Адрес Собирает коммуникационное событие процесса (не его контент) вместе с его протоколом и адресом Malware.exe отправляет данные UDP на порт 4865
    ПО Установленное ПО Собирает список ПО, установленного на машине в соответствии с Windows API Office 2007, Firefox 25, IBM Client Access 1.0

    Кроме того, может потребоваться отправка исполняемых файлов в нашу облачную платформу Коллективного разума. Чтобы снизить уровень использования канала связи, в платформу Коллективного разума отправляются только те исполняемые файлы, которые еще не присутствуют в ней.


    Отправляя любые исполняемые файлы, мы гарантируем, что в любом случае они не будут содержать конфиденциальной информации пользователя/клиента.


    Вся собираемая информация отправляется в облако в зашифрованном виде. В некоторых случаях мы используем протокол SSL, иногда — шифрование Blowfish.


    Передача данных третьим лицам


    Вся рабочая информация хранится исключительно на нашей облачной платформе Windows Azure.


    Информация не передается третьим лицам за исключением случаев, когда пользователи:


    • Хотят получать информацию в свою SIEM-систему о тревогах и данных безопасности, которые собираются в Panda Adaptive Defense. Собираемая информация о безопасности отправляется в SIEM пользователя по защищенному протоколу по предварительному согласованию с ним.


    • Используют платформу Logtrust (Advanced Reporting Tool) – SIEM-улититу, которая интегрирована в Panda Adaptive Defense [360] по умолчанию. Logtrust — это облачная платформа Больших данных, которая в реальном времени хранит информацию о собранных параметрах со всех машин, защищенных Panda Adaptive Defense. Информация отправляется в Logtrust через HTTPS и хранится в Logtrust CPD.


    Безопасность облачной платформы


    Вся облачная инфраструктура решения Panda Adaptive Defense [360], как и их «младших версий» Panda Endpoint Protection [Plus], расположена на платформе Windows Azure. Она предоставляет максимальную защиту и конфиденциальность хранящихся данных. Политики безопасности и контроля, установленные в Azure, описаны в Белой книге “Обзор безопасности Windows Azure”.


    Какую безопасность предоставляет платформа, где размещен logtrust?

    Logtrust использует Amazon Web Services, предоставляя все преимущества средств физической и информационной безопасности дата-центров Amazon.


    Для получения более подробной информации смотрите следующий документ «Соответствие облака AWS нормативным требованиям».


    Доступ к системам Logtrust всегда фильтруется файерволом и защищается с помощью проверки подлинности на основе сертификатов. Кроме этого, все системы, сервисы и приложения, которые составляют облачную инфраструктуру, передают свои логи для целей аудита и безопасности.


    Сертификаты безопасности

    Как было сказано выше, Windows Azure работает в инфраструктуре Microsoft Global Foundation Services (GFS).


    В следующем документе содержатся сведения об управлении безопасностью в Global Foundation Services (GFS) — облачной инфраструктуре Microsoft, где работает Windows Azure.


    Сертификаты Windows Azure:


    • ISO/IEC 27001:2005
    • Statement on Auditing Standards No. 70 (SAS 70) Type I and II
    • Sarbanes-Oxley (SOX)
    • Payment Card Industry Data Security Standard (PCI DSS)
    • Federal Information Security Management Act (FISMA)


    Более подробная информация о сертификате 27001.


    Кстати, на странице содержится Белая книга, которая описывает, как Windows Azure соответствует требованиям безопасности, которые определены Cloud Security Alliance, Cloud Control Matrix.


    Параграф из этой книги:


    "Наши рамки безопасности основаны на ISO 27001, что позволяет пользователям оценить, как Microsoft соответствует или превосходит стандарты безопасности и принципы их применения. ISO 27001 определяет порядок внедрения, мониторинга, поддержания и постоянного улучшения системы управления информационной безопасностью (ISMS). Кроме этого, инфраструктура GFS ежегодно проходит аудиты American Institute of Certified Public Accountants (AICPA) Statement of Auditing Standards (SAS) No. 70, которые будут заменены аудитами AICPA Statement on Standards for Attestation Engagements (SSAE) No. 16 и International Standards for Assurance Engagements (ISAE) No. 3402. Также планируется аудит Windows Azure в рамках SSAE 16 audit".


    Сертификаты безопасности платформы, где размещены данные Logtrust

    Те пользователи, которые намерены использовать сервис Logtrust, должны знать, что они могут рассчитывать на меры физической безопасности Amazon CPD.


    Как Вы можете увидеть в данном документе, Amazon имеет все основные сертификаты:


    • ISO/IEC 27001
    • SOC 1/SSAE 16/ISAE 3402 (ранее — SAS70)
    • Payment Card Industry Data Security Standard (PCI DSS)
    • Federal Information Security Management Act (FISMA)


    Где расположена платформа Windows Azure?

    Windows Azure имеет свои узлы по всему миру. Сейчас дата-центр Panda Security расположен в Дублине (Ирландия). Ниже — фотография дата-центра в Ирландии.





    Где расположена платформа Amazon Logtrust?

    Logtrust работает в режиме высокой доступности на своей платформе в Amazon, расположенной в собственном дата-центре в Ирландии.


    Заключение


    Облачные решения Panda – это серьезные решения, которые выпускаются компанией Panda Security со штаб-квартирой в Испании. Принимая во внимание высокие требования по защите персональных данных в Евросоюзе и США, данные решения обладают всеми необходимыми международными сертификатами, гарантирующими безопасность и конфиденциальность передаваемых данных и систем хранения информации.


    Как результат, никакие персональные данные в облако с локальных агентов не передаются.

    Panda Security в России 50,81
    Облачные решения безопасности, антивирусы
    Поделиться публикацией
    Комментарии 0

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое