Раскрываем секреты решений по киберзащите от FireEye

5 Ноября 09:31
Владимир Семенчук, Engineer of Information Security, Softprom by ERC
Что мы знаем о решениях компании FireEye? В основном на этот вопрос будет быстрый и чёткий ответ – «песочница». И это конечно правда, но – функционал «песочницы» занимает важную, однако всё же ничтожную часть во всех решениях FireEye.

Как мы видим, в мире идет стремительное развитие новых технологий и соответственно их незамедлительное использование в новейших продуктах. Это конечно касается компьютеров, но также «тренд развития» на сейчас – АСУТП/IoT. Соответственно это затрагивает как обычные наши рабочие станции, ноутбуки и сервера так и устройства, которые мы используем дома. Скорее всего никто не задаемся вопросом – «а что же там внутри?». Можно смело утверждать, что в каждом нашем новом любимом устройстве присутствует какой-то «маленький компьютер», который производит какое-то управление. А если есть компьютер, то есть соответственно угроза, что компьютер может быть взломан или использован в зловредных целях. Как показывает практика, к сожалению, за новшествами скрывается ещё большая вероятность возникновения опасности, которая соответственно принесет отнюдь не радость при использовании любимого «девайса».

12_04

Традиционные средства защиты применяют так называемые «статистические методы» поиска и нейтрализации зловредной активности, но как показывает практика и на чем постоянно делает акцент компания FireEye – решений с такими методами абсолютно недостаточно для защиты наших устройств, информации, репутации.

Если мы хотим действительно иметь современную надежную киберзащиту, нужно обратить внимание на решения, имеющие механизм - «динамический анализ», только такие решения позволяют Вам защититься от 0-day, APT и мультивекторных атак.

В каждом решении FireEye есть инновационный механизм киберзащиты - «динамический анализ»! Применяя отдельные решения FireEye в соответствующих сегментах Ваших информационных сетей, – вы можете быть уверены в их надежной защите.

Что же на самом деле представляет собой комплекс решений от компании FireEye? Давайте разберемся подробнее.

Начнем с того, что компания FireEye на рынке киберзащиты следует подходу по организации защиты с уклоном на аналитику, расследование - учитывая многовекторность и целенаправленность современных атак. Поэтому, все решения от компании FireEye работают именно в таком режиме. Просто  «сканировать файлы разных форматов на зловреды» - этого на сегодня уже не достаточно. Файлы могут быть просто частью зловредного кода (поэтому они никак не детектируются традиционными «сигнатурными» средствами защиты), сессии атакующих могут тщательно скрываться используя всё новые и новые возможности операционных систем и приложений (которые так беззаботно и радостно раздают производители) и конечно сама атака может тщательно готовиться, «впрыскиваясь в жертву»  периодично, разными путями и конечно никто не будет при атаке использовать «старые, проторенные дорожки», у злодеев тоже есть амбиции и желание заработать денег. Как показывает статистика (и конечно практика) стандартные, популярные средства защиты не справляются с современными атаками, как бы тщательно и оперативно не обновлялись сигнатуры, что соответственно ведёт к финансовым потерям или остановки работы компании.

Что же есть в решениях  FireEye такого, чего нет у других? В первую очередь это конечно присутствие   в каждом решении уникального запатентованного механизма , который по крупицам, с разных «потоков атаки» собирает информацию и т.к. это «мозг» всех решений, то соответственно это ещё и «обучаемый» механизм, которому может внести и сам пользователь системы знания. Т.е. распознавание атаки, зловредов присутствует в каждом решении от FireEye, на уникальных алгоритмах где применяется: элементы «песочницы», элементы правил, поведенческий анализ, специальный статистический анализ,  плюс всё это ещё дополняется встроенным механизмом IPS и NAC, а так же  это дополняется отдельным специальным аналитическим подразделением от FireEye, которое 365/24/7 изучает тренды угроз, механизмы современных атак, и конечно же всё это венчает аналитические и «форенсик» механизмы. Отдельно следует подчеркнуть, что если мы упоминаем IPS/NAC, то уже это означает, что все решения от FireEye – это активная киберзащита, т.е. при необходимости есть возможность включить режим «блокировка» на всех решениях от FireEye. Данное описание механизмов относится не только для решений «железных», тот же самый подход к киберзащите присутствует и в облачных решениях, которые так же присутствуют в «корзине инструментов» от FireEye.

Во-вторых, отличительной особенностью решений FireEye, есть их мультиплатформенность (MacOS, Linux, Microsoft Windows).

Нельзя оставить без внимания сервисы компании FireEye. Компания планомерно и целенаправленно собирала «под свое крыло» уникальные компании, которые на протяжении как минимум 10 лет занимались изучением механизмов киберугроз, хакерских группировок, расследованием инцидентов в крупных корпорациях, чего только стоят уникальные услуги от Mandiant, iSIGHT, Verodin!

Ну и конечно одной из основных отличительных особенностей всех решений FireEye есть, их возможность интегрироваться с любыми уже используемым у Вас инструментарием/системами кибербезопасности, что соответственно мощно усиливает стойкость ваших критических ресурсов к атакам.

Давайте теперь ближе познакомимся с предлагаемыми решениями  FireEye.

FireEye Network Security (NX)

13_03

Устройство FireEye NX Series предотвращает атаки через Интернет, которые пропускают традиционные межсетевые экраны и брандмауэры следующего поколения (NGFW), IPS, AV и веб-шлюзы. FireEye NX защищает Ваш сетевой трафик. Блокирует новое поколение кибератак, использующих эксплойты нулевого дня, целенаправленные и многовекторные атаки тем самым служит инструментом для обеспечения безопасности конфиденциальных данных и систем.

FireEye Email Security (EX)

14_01

FireEye EX защищает вашу сеть от угроз, передаваемых по электронной почте, фишинга и целевых атак. Он защищает от вредоносных вложений в разрешенных форматах файлов, таких как DOC, DLL, CHM, XLS, RAR, ZIP, PDF (и ещё более 60 форматов), путем сканирования вложений в электронных письмах, поступающих на почтовый сервер в режиме реального времени. Он защищает от вредоносных URL-адресов. FireEye EX использует механизм «динамического анализа», который отсутствует в традиционных технологиях защиты. FireEye EX является проактивным средством защиты.

FireEye Endpoint Security (HX)

15_01

FireEye HX расширяет ваши возможности по обнаружению и блокированию вредоносных программ на ваших конечных точках, непосредственно в локальной сети или за ее пределами. Он автоматизирует сбор данных между вашими конечными точками для корреляции событий, предоставляя вам лучшее понимание для исправления и предотвращения

продвинутых атак.

Продукты для обеспечения безопасности конечных точек FireEye позволяют обнаруживать, анализировать и реагировать на целевые кибератаки и эксплойты нулевого дня на конечной точке.

Используя Endpoint Security, вы можете непрерывно отслеживать конечные точки на наличие современных вредоносных программ, которые обычно обходят системы безопасности на основе сигнатур и эвристики. Предоставляет возможность самому (или автоматически) создавать индикаторы компрометации (IOC). Решение так же имеет встроенный функционал NAC, что позволяет сразу блокировать скомпрометированное устройство.

FireEye Malware Analysis (AX)

16_01

FireEye AX предоставляет аналитикам безопасности среду для безопасного тестирования, воспроизведения, характеризации и документирования расширенных вредоносных действий. После загрузки одного или нескольких подозрительных файлов (таких как вложения электронной почты, документы PDF и веб-объекты, запрошенные по URL-адресу) в устройство серии AX, механизм «динамического анализа» MVX анализирует файлы. Устройство AX Series сообщает полную информацию об атаке, начиная с первоначального эксплойта, заканчивая адресатами обратного вызова и последующими двоичными попытками загрузки.

Анализ вредоносных программ в реальном времени позволяет зловредам выполнять обратные вызовы и взаимодействовать с посторонними объектами через соединение вне локальной сети.

Данное решение предоставляет подробные сведения о атаках, записывая их хронологию в видеофайл, который можно возпроизвести в любом медиаплеере.

После анализа вредоносных программ создается отчет с использованием аналитики угроз в закрытой среде.

FireEye File Content Security (FX)

16_02

FireEye FX анализирует общие файловые ресурсы с помощью запатентованного механизма виртуального исполнения FireEye MultiVector (MVX), который обнаруживает вредоносный код нулевого дня, встроенный в распространенные типы файлов. Устройство серии FX выполняет рекурсивные, запланированные и по требованию

сканирования доступных сетевых файловых ресурсов с целью выявления и помещения в карантин резидентных вредоносных программ, проникшее в сеть через Интернет, электронную почту или ручным способом, без ущерба для производительности компании.

Это препятствует боковому распространению современных вредоносных программ, данный функционал отсутствуют в традиционных средствах защиты.

FireEye Central Management (CM)

17_02

FireEye CM объединяет управление, отчетность и управление «с одной консоли» всех решений FireEye. Он позволяет в режиме реального времени выявленную вредоносную активность на одном устройстве FireEye, распространять на остальные развернутые решения FireEye, чтобы остановить продвинутые целевые атаки, угрожающие вашей организации.

Удаленное управление с CM другими платформами FireEye сокращает время, затрачиваемое на управление конфигурациями, обновлениями угроз и обновлениями программного обеспечения, предлагая плавную интеграцию рабочего процесса.

FireEye MX/MTP (защита мобильных устройств)

18_02

FireEye Helix (NG SOC ECO-платформа по кибербезопасности + SIEM 2.0 + FireEye Orchestration)

19_01

FireEye Helix является облачной платформой для обеспечения безопасности, которая позволяет организациям контролировать любой инцидент от оповещения до исправления. FireEye Helix интегрирует ваши инструменты безопасности и дополняет их возможностями SIEM следующего поколения, оркестровки и анализа угроз для охвата неиспользованного потенциала инвестиций в безопасность.

Разработанный экспертами по безопасности для экспертов по безопасности, он позволяет группам безопасности эффективно выполнять основные функции, такие как управление оповещениями, поиск, анализ, расследования и отчетность. Helix также включает в себя информацию об угрозах от FireEye iSIGHT, Mandiant и Verodin.

Helix расширяет существующую инфраструктуру безопасности с помощью контекста, корреляции и автоматизации.

Инструмент помогающий соответствовать - HIPAA и PCI.

Услуги от FireEye (криминалистический анализ и исследования Mandiant, iSIGHT, Verodin).

FireEye знает о продвинутых злоумышленниках больше, чем кто-либо другой. Мы помогаем нашим клиентам увидеть общую картину - понять возникающие мотивы и методологии атакующего так, как другие не могут. Службы кибербезопасности FireEye, основанные на признанном в отрасли опыте и разведывательных данных об угрозах на уровне государства, полученных от машин, злоумышленников, «компаний-жертв» - позволяют принимать более взвешенные решения, помогая обойти ваших злоумышленников.

Можно ещё очень долго и много рассказывать о секретах решений от FireEye. Но как показывает практика, лучше своими руками на своих информационных сетях протестировать данные инструменты киберзащиты.

Более детальную информацию, консультацию, демонстрацию или пилотный проект вы можете запросить, обратившись к Softprom by ERC – официальному дистрибьютору компании FireEye. Подробнее  https://softprom.com/vendor/fireeye

Защита от FireEye это серьезный подход к организации деятельности компании, трезвая оценка своих критических активов - понимание что такое риски и к чему они приводят.

Softprom by ERC – Value Added IT Distributor в странах СНГ и Европы. Компания основана в 1999 году, и сегодня представлена на территории более 30 стран, с решениями от 56 производителей по направлениям ИТ Безопасность, ИТ Инфраструктура, Облачные сервисы, Графика и мультимедиа.

Подробнее  https://softprom.com

Материалы по теме:

Комментарии:

НОВЫЕ СТАТЬИ

Elcore UA и Dell Technologies расширили сотрудничество
По материалам Elcore Distribution Сегодня 09:34
ГК БАКОТЕК начала сотрудничество с Attivo Networks
По материалам ГК БАКОТЕК 11 Ноября 08:48
Открой меня
Обратите внимание: ×